Erstellen einer benutzerdefinierten Patch-Baseline (macOS) - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer benutzerdefinierten Patch-Baseline (macOS)

Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für macOS verwaltete Knoten in zu erstellenPatch Manager, eine Fähigkeit von AWS Systems Manager.

Informationen zum Erstellen einer Patch-Baseline für Windows Server-verwaltete Knoten finden Sie unter Erstellen einer benutzerdefinierten Patch-Baseline (Windows). Informationen zum Erstellen einer Patch-Baseline für Linux-verwaltete Knoten finden Sie unter So erstellen Sie eine benutzerdefinierte Patch-Baseline (Linux).

Anmerkung

macOSwird nicht in allen unterstützt AWS-Regionen. Weitere Informationen zur Amazon EC2-Unterstützung für macOS finden Sie unter Amazon EC2 Mac-Instances im Amazon EC2 EC2-Benutzerhandbuch.

So erstellen Sie eine benutzerdefinierte Patch-Baseline für macOS-verwaltete Knoten

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Patch Manager aus.

  3. Wählen Sie die Registerkarte Patch-Baselines und dann Patch-Baseline erstellen aus.

    –oder–

    Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie Mit einer Übersicht beginnen, wechseln Sie zur Registerkarte Patch-Baselines und wählen Sie dann Patch-Baseline erstellen.

  4. Geben Sie im Feld Name (Name) einen Namen für die neue Patch-Baseline ein, z. B. MymacOSPatchBaseline.

  5. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für diese Patch-Baseline ein.

  6. Wählen Sie unter Operating system (Betriebssystem) die Option macOS aus.

  7. Wenn Sie die Patch-Baseline direkt nach dem Erstellen als Standard für macOS verwenden möchten, aktivieren Sie das Kontrollkästchen Set this patch baseline as the default patch baseline for macOS instances (Diese Patch-Baseline als Standard-Patch-Baseline für macOs-Instances festlegen).

    Anmerkung

    Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der Patch-Richtlinien am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.

    Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter Festlegen einer vorhandenen Patch-Baseline als Standard.

  8. Erstellen Sie im Abschnitt Approval Rules for operating-systems (Genehmigungsregeln für Betriebssysteme) unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.

    • Produkte: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. Mojave10.14.1 oder Catalina10.15.1. Die Standardauswahl ist All.

      Anmerkung

      Das Open-Source-Softwarepaketverwaltungssystem Homebrew hat die Unterstützung für macOS 10.14.x (Mojave) und 10.15.x (Catalina) eingestellt. Aus diesem Grund werden Patch-Operationen für diese Versionen derzeit nicht unterstützt.

    • Klassifizierung: Der oder die Paketmanager, auf den/die während des Patchvorgangs Pakete angewendet werden sollen. Sie können aus den folgenden Optionen auswählen:

      • softwareupdate

      • installer

      • brew

      • brew cask

      Die Standardauswahl ist All.

    • (Optional) Konformitätsbericht : Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. Critical oder High).

      Anmerkung

      Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als Missing gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.

    • Include non-security updates (Nicht sicherheitsrelevante Updates einbeziehen): Aktivieren Sie das Kontrollkästchen zum Installieren von nicht sicherheitsrelevanten Betriebssystem-Patches, die im Quell-Repository verfügbar gemacht wurden, zusätzlich zu den sicherheitsrelevanten Patches.

    Weitere Informationen zum Arbeiten mit Genehmigungsregeln in einer benutzerdefinierten Patch-Baseline finden Sie unter Info zu benutzerdefinierten Baselines.

  9. Wenn Sie zusätzlich zu den Patches, die Ihren Genehmigungsregeln entsprechen, alle Patches ausdrücklich genehmigen möchten, gehen Sie im Abschnitt Patch exceptions (Patch-Ausnahmen) wie folgt vor:

    • Geben Sie im Feld Approved patches (Genehmigte Patches) eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.

      Anmerkung

      Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für Listen genehmigter und abgelehnter Patches.

    • (Optional) Weisen Sie in der Liste Approved patches compliance level (Compliance-Stufe genehmigter Patches) den Patches in der Liste eine Compliance-Stufe zu.

    • Wenn genehmigte Patches, die Sie angeben, nicht sicherheitsbezogen sind, wählen Sie das Kästchen Genehmigte Patches umfassen nicht sicherheitsrelevante Updates aus, damit diese Patches ebenfalls auf Ihrem macOS-Betriebssystem installiert werden.

  10. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt Patch exceptions (Patch-Ausnahmen) wie folgt vor:

    • Geben Sie im Feld Rejected patches (Abgelehnte Patches) eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.

      Anmerkung

      Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für Listen genehmigter und abgelehnter Patches.

    • Wählen Sie in der Liste Rejected patches action (Aktion für abgelehnte Patches) die Aktion aus, die Patch Manager für Patches in der Liste Rejected patches (Abgelehnte Patches) ausführen soll.

      • Allow as dependency (Als Abhängigkeit zulassen): Ein Paket in der Liste Rejected patches (Abgelehnte Patches) wird nur installiert, wenn es sich um eine Abhängigkeit eines anderen Pakets handelt. Es gilt als konform mit der Patch-Baseline und sein Status wird als gemeldet InstalledOther. Dies ist die Standardaktion, wenn keine Option ausgewählt ist.

      • Blockieren: Pakete in der Liste der abgelehnten Patches sowie Pakete, die diese als Abhängigkeiten enthalten, werden Patch Manager unter keinen Umständen installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der abgelehnten Patches hinzugefügt wurde, oder wenn es außerhalb oder Patch Manager danach installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als gemeldet. InstalledRejected

  11. (Optional) Wählen Sie für Manage tags (Tags verwalten) ein oder mehrere Tag-Schlüsselname/Wertpaare für die Patch-Baseline aus.

    Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, den Paketmanager, auf den sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall können Sie etwa Tags mit den folgenden Schlüsselnamen/Wertpaaren angeben:

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

  12. Wählen Sie die Option Create Patch Baseline.