AWS Systems Manager Patch Manager

AWS Systems Manager の一機能である Patch Manager は、セキュリティ関連の更新およびその他の種類の更新の両方を使用してマネージドノードにパッチを適用するプロセスを自動化します。

重要

2022 年 12 月 22 日より、Systems Manager はパッチポリシーのサポートを行います。パッチポリシーは、パッチ適用オペレーションを設定するために新しく推奨される方法です。1 つのパッチポリシー設定を使用して、組織内のすべてのリージョンにおける全アカウント、選択したアカウントとリージョンのみ、または 1 つのアカウントとリージョンのペアにパッチを定義できます。詳細については、「Quick Setup パッチポリシーの使用」を参照してください。

Patch Manager を使用すると、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。Patch Manager を使用して、Windows ノードにサービスパックをインストールしたり、Linux ノードでマイナーバージョンのアップグレードを実行したりすることができます。オペレーティングシステムのタイプ別に、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのフリート、エッジデバイス、オンプレミスサーバー、および仮想マシン (VM) にパッチを適用できます。「Patch Manager の前提条件」に記載されているように、これにはサポートされているバージョンのオペレーティングシステムが複数含まれます。インスタンスをスキャンし、見つからないパッチのレポートのみを表示できます。または、すべての見つからないパッチをスキャンして自動的にインストールできます。Patch Manager の使用を開始するには、Systems Manager コンソールを開きます。ナビゲーションペインで、[Patch Manager] を選択します。

注記

AWS では、Patch Manager で公開する前にパッチをテストしません。また、Patch Managerでは、Windows Server 2016～Windows Server 2019、SUSE Linux Enterprise Server (SLES) 12.0～SLES 15.0 などのオペレーティングシステムのメジャーバージョンのアップグレードはサポートされていません。

パッチの重要度を報告する Linux ベースタイプのオペレーティングシステムの場合、Patch Manager は更新通知または個々のパッチのために、ソフトウェア発行者によって報告された重要度レベルを使用します。Patch Manager では、CVSS (共通脆弱性評価システム) のような サードパーティのソースからの、または NVD (National Vulnerability Database) がリリースしたメトリクスからの重要度レベルは取得しません。

パッチベースライン

Patch Manager では、承認済みおよび拒否済みパッチの選択可能なリストに加え、リリースから数日以内にパッチを自動承認するためのルールを含むパッチベースラインを使用します。パッチ適用オペレーションを実行すると、Patch Manager はマネージドノードに現在適用されているパッチとパッチベースラインで設定されたルールに従い適用する必要があるパッチを比較します。マネージドノードに不足しているパッチのレポートのみを表示する Patch Manager (Scan オペレーション) か、不足しているパッチをすべて自動的にインストールする Patch Manager (Scan and install オペレーション) を選択できます。

パッチ適用オペレーションメソッド

現在、Patch Manager で Scan および Scan and install オペレーションを実行する場合、次の 4 つのメソッドがあります。

• (推奨) Quick Setup で設定されるパッチポリシー — AWS Organizations との統合に基づいて、1 つのパッチ定義ポリシーで組織全体 (複数の AWS アカウントおよびそれらが運用されているすべての AWS リージョンを含む) のパッチ定義スケジュールおよびパッチベースラインを定義できます。また、組織内の一部の組織単位 (OU) のみにパッチポリシーを適用することもできます。1 つのパッチポリシーを使用して、さまざまなスケジュールでスキャンおよびインストールを実行できます。詳細については、Patch Manager 組織パッチ適用設定 および Quick Setup パッチポリシーの使用 を参照してください。

• Quick Setup で設定されるホスト管理オプション — AWS Organizations との統合によりホスト管理設定もサポートされるため、最大で組織全体に対してパッチ適用オペレーションを実行できます。ただしこのオプションでできるのは、現在のデフォルトのパッチベースラインを使用して不足しているパッチをスキャンし、結果をコンプライアンスレポートで提供することに限られます。このオペレーションメソッドでパッチをインストールすることはできません。詳細については、「Amazon EC2 ホスト管理」を参照してください。

• パッチの Scan または Install タスクを実行するためのメンテナンスウィンドウ — Maintenance Windows という Systems Manager の機能で設定できるメンテナンスウィンドウでは、定義したスケジュールに従いさまざまなタイプのタスクを実行するように設定を行えます。Run Command タイプのタスクを使用すると、Scan または Scan and install タスク、選択したマネージドノードのセットを実行できます。メンテナンスウィンドウの各タスクでは、AWS アカウント と AWS リージョン の 1 つのペアでのみマネージドノードをターゲットにできます。詳細については、「チュートリアル: パッチ適用向けのメンテナンスウィンドウの作成 (コンソール)」を参照してください。

• Patch Manager でのオンデマンドの「今すぐパッチ適用」オペレーション — [Patch now] (今すぐパッチ適用) オプションを使用すると、マネージドノードにできるだけ早くパッチ適用する必要がある場合に、スケジュール設定をバイパスできます。[Patch now] (今すぐパッチ適用) を使用して、Scan または Scan and install オペレーションを実行するか、どのマネージドノードでオペレーションを実行するかを指定します。また、パッチ適用オペレーションでのパッチ適用中に、Systems Manager ドキュメント (SSM ドキュメント) をライフサイクルフックとして実行することもできます。[Patch now] (今すぐパッチ適用) の各オペレーションでは、AWS アカウントと AWS リージョンの 1 つのペアでのみマネージドノードノードをターゲットにできます。詳細については、「マネージドノードへのオンデマンド パッチ適用」を参照してください。

コンプライアンスレポート

Scan オペレーションの後、Systems Manager コンソールを使用して、パッチのコンプライアンス違反であるマネージドノード、およびこれらの各ノードで不足しているパッチについての情報を確認できます。任意の Amazon Simple Storage Service (Amazon S3) バケットに送信する .csv 形式のパッチコンプライアンスレポートを生成することもできます。1 回限りのレポートを生成することも、定期的なスケジュールでレポートを生成することもできます。単一マネージドノードの場合、レポートにはノードのすべてのパッチの詳細が含まれます。すべてのマネージドノードに関するレポートでは、欠けているパッチの数についての概要のみが提供されます。レポートが生成されたら、Amazon QuickSight などのツールを使用してデータをインポートおよび分析できます。詳細については、「パッチコンプライアンスレポートの使用」を参照してください。

注記

パッチポリシーを使用して生成されたコンプライアンス項目の実行タイプは、PatchPolicy です。パッチポリシーのオペレーションで生成されないコンプライアンス項目の実行タイプは、Command です。

統合

Patch Manager は、以下のような他の AWS のサービス サービスと統合します。

• AWS Identity and Access Management (IAM) — IAM を使用して、Patch Manager オペレーションにアクセスできるユーザー、グループ、ロールを制御できます。詳細については、「AWS Systems Manager と IAM の連携方法」および「Systems Manager にインスタンスのアクセス許可を設定する」を参照してください。

• AWS CloudTrail — CloudTrail を使用して、ユーザー、ロール、またはグループによって開始された監査可能なパッチ適用オペレーションのイベント履歴を記録できます。詳細については、「を使用した AWS Systems Manager API コールのログ記録 AWS CloudTrail」を参照してください。

• AWS Security Hub — Patch Manager からのパッチコンプライアンスデータを AWS Security Hub に送信できます。Security Hub では、高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。また、フリートのパッチ適用状況も監視できます。詳細については、「Patch Managerと AWS Security Hub の統合」を参照してください。

• AWS Config — Amazon EC2 インスタンスの管理データを Patch Manager ダッシュボードに表示するように AWS Config の記録を設定できます。詳細については、「パッチダッシュボードの概要の表示」を参照してください。

トピック

• Quick Setup パッチポリシーの使用
• Patch Manager の前提条件
• Patch Managerの動作の仕組み
• マネージドノードへのパッチ適用のための SSM ドキュメントについて
• パッチベースラインについて
• Amazon Linux 2 マネージドノードで Kernel Live Patching を使用
• Patch Managerの使用 (コンソール)
• Patch Managerの使用 (AWS CLI)
• AWS Systems ManagerPatch Manager のチュートリアル
• Patch Manager のトラブルシューティング