Amazon Systems Manager Patch Manager - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Systems Manager Patch Manager

Patch Manager(Amazon Systems Manager 的一个功能)能够使用安全相关更新及其他类型的更新自动执行修补托管式节点的过程。您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于更新 Microsoft 发布的应用程序。) 您可以使用 Patch Manager 在 Windows 节点上安装 Service Pack,并在 Linux 节点上执行次要版本升级。可以按操作系统类型对 Amazon Elastic Compute Cloud (Amazon EC2) 实例、边缘设备或本地服务器和虚拟机 (VM) 的机群进行修补。其中包括受支持的 Amazon Linux、Amazon Linux 2、CentOS、Debian Server、macOS、Oracle Linux、Raspberry Pi OS(原 Raspbian)、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise Server (SLES)、Ubuntu Server 和 Windows Server。您可以扫描实例以仅查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。要开始使用 Patch Manager,请打开 Systems Manager 控制台。在导航窗格中,选择 Patch Manager

重要

在 Patch Manager 中提供补丁之前,Amazon 不会测试这些补丁。此外,Patch Manager 不支持升级操作系统的主要版本,例如,将 Windows Server 2016 升级到 Windows Server 2019,或将 SUSE Linux Enterprise Server (SLES) 12.0 升级到 SLES 15.0。

对于报告修补程序严重性级别的基于 Linux 的操作系统类型,Patch Manager 将软件发布商报告的严重性级别用于更新通知或单个修补程序。Patch Manager 不会从第三方来源(例如常见漏洞评分系统 (CVSS)),或者国家漏洞数据库 (NVD) 发布的指标中获取严重性级别。

Patch Manager 使用补丁基准,该基准包含用于在补丁发布几天内自动批准补丁的规则以及一系列已批准和已拒绝的补丁。您可以通过安排修补作为 Systems Manager 维护时段任务运行来定期安装补丁。您还可以单独安装补丁,或使用标签将补丁安装到大型托管式节点组。(标签是帮助您在组织中识别和排序资源的键。) 在创建或更新补丁基准时,您可以向其添加标签。

Patch Manager 提供了用于扫描托管式节点和按计划报告合规性、按计划安装可用补丁以及在需要时按需修补或扫描目标的选项。也可以生成发送到您选择的 Amazon Simple Storage Service (Amazon S3) 存储桶的补丁合规性报告。您可以生成一次性报告,也可以生成定期报告。对于单个托管式节点,报告包含节点所有补丁的详细信息。对于所有托管式节点的报告,仅提供缺少多少补丁的摘要。

Patch Manager 与 Amazon Identity and Access Management (IAM)、Amazon CloudTrail 和 Amazon EventBridge 集成,以提供包括事件通知和审核使用情况的能力的安全修补体验。

有关使用 CloudTrail 来监控 Systems Manager 操作的信息,请参阅 使用 Amazon Systems Manager 记录 Amazon CloudTrail API 调用

有关使用 EventBridge 监控 Systems Manager 事件的信息,请参阅 使用 Amazon EventBridge 监控 Systems Manager 事件