Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Patch-Gruppen
Wichtig
Patch-Gruppen werden nicht in Patch-Vorgängen verwendet, die auf Patch-Richtlinien basieren. Weitere Informationen zur Arbeit mit Patch-Richtlinien finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.
Sie können eine Patchgruppe verwenden, um verwaltete Knoten einer bestimmten Patch-Baseline zuzuordnen in Patch Manager, ein Tool in AWS Systems Manager. Mit Patch-Gruppen können Sie sicherstellen, dass Sie geeignete Patches basierend auf den zugeordneten Patch-Baseline-Regeln für die richtigen Sätze von Knoten bereitstellen. Patch-Gruppen können außerdem dazu beitragen, die Bereitstellung von Patches zu vermeiden, bevor diese angemessen getestet sind. So können Sie Patch-Gruppen beispielsweise für unterschiedliche Umgebungen (Entwicklung, Test und Produktion) erstellen und jede Patch-Gruppe für eine geeignete Patch-Baseline registrieren.
Bei der Ausführung AWS-RunPatchBaseline
können Sie verwaltete Knoten anhand ihrer ID oder Tags als Ziel verwenden. SSM Agent and Patch Manager evaluieren Sie dann anhand des Patchgruppenwerts, den Sie dem verwalteten Knoten hinzugefügt haben, welche Patch-Baseline verwendet werden soll.
Sie erstellen eine Patch-Gruppe mithilfe von Amazon Elastic Compute Cloud (Amazon EC2) -Tags. Im Gegensatz zu anderen Anwendungsszenarien für Tags in Systems Manager muss eine Patch-Gruppe mit dem entweder einem Tag-Schlüssel Patch Group
oder PatchGroup
definiert werden. Bei dem Schlüssel wird die Groß-/Kleinschreibung berücksichtigt. Sie können einen beliebigen Wert angeben, um die Ressourcen in dieser Gruppe zu identifizieren und darauf auszurichten, z. B. „Webserver“ oder „US-EAST-PROD“, aber der Schlüssel muss Patch Group
oder PatchGroup
sein.
Wenn Sie eine Patch-Gruppe erstellt und verwaltete Knoten mit Tags markiert haben, können Sie die Patch-Gruppe für eine Patch-Baseline anmelden. Indem Sie die Patch-Gruppe für eine Patch-Baseline registrieren, stellen Sie sicher, dass die Knoten innerhalb der Patch-Gruppe die in der zugehörigen Patch-Baseline definierten Regeln befolgen.
Weitere Informationen zum Erstellen von Patch-Gruppen und Zuordnen von Patch-Gruppen zu einer Patch-Baseline finden Sie unter Erstellen und Verwalten von Patch-Gruppen und Einer Patch-Baseline eine Patch-Gruppe hinzufügen.
Ein Beispiel für das Erstellen einer Patch-Baseline und von Patch-Gruppen über die AWS Command Line Interface (AWS CLI) finden Sie unter Tutorial: Patchen Sie eine Serverumgebung mit dem AWS CLI. Weitere Informationen zu EC2 Amazon-Tags finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
Funktionsweise
Wenn das System die Aufgabe ausführt, eine Patch-Baseline auf einen verwalteten Knoten anzuwenden, SSM Agent überprüft, ob ein Patchgruppenwert für den Knoten definiert ist. Wenn der Knoten einer Patch-Gruppe zugewiesen ist, Patch Manager überprüft dann, welche Patch-Baseline für diese Gruppe registriert ist. Wenn eine Patch-Baseline für diese Gruppe gefunden wird, Patch Manager benachrichtigt SSM Agent um die zugehörige Patch-Baseline zu verwenden. Wenn ein Knoten nicht für eine Patchgruppe konfiguriert ist, Patch Manager benachrichtigt automatisch SSM Agent um die aktuell konfigurierte Standard-Patch-Baseline zu verwenden.
Wichtig
Ein verwalteter Knoten kann sich nur in einer Patch-Gruppe befinden.
Eine Patch-Gruppe kann nur für eine Patch-Baseline für jeden Betriebssystemtyp registriert werden.
Sie können das Patch Group
Tag (mit einem Leerzeichen) nicht auf eine EC2 Amazon-Instance anwenden, wenn die Option Tags in Instance-Metadaten zulassen für die Instance aktiviert ist. Durch das Zulassen von Tags in Instance-Metadaten wird verhindert, dass Tag-Schlüsselnamen Leerzeichen enthalten. Wenn Sie Tags in EC2 Instance-Metadaten zugelassen haben, müssen Sie den Tag-Schlüssel PatchGroup
(ohne Leerzeichen) verwenden.
Abbildung 1: Allgemeines Beispiel für den Prozessablauf beim Patch-Vorgang
Die folgende Abbildung zeigt ein allgemeines Beispiel für die Prozesse, die Systems Manager beim Senden einer Run Command Aufgabe für Ihre Serverflotte, mit der das Patchen durchgeführt werden soll Patch Manager. Diese Prozesse bestimmen, welche Patch-Baselines bei Patchvorgängen verwendet werden sollen. (Ein ähnliches Verfahren wird verwendet, wenn ein Wartungsfenster so konfiguriert ist, dass ein Befehl zum Patchen gesendet wird Patch Manager.)
Der vollständige Vorgang wird unter der Abbildung erklärt.

In diesem Beispiel haben wir drei Gruppen von Instanzen für EC2 Windows Server wobei die folgenden Tags angewendet wurden:
EC2 Instanzengruppe | Tags |
---|---|
Gruppe 1 |
|
Gruppe 2 |
|
Gruppe 3 |
|
Für dieses Beispiel haben wir auch diese beiden Windows Server Patch-Baselines:
Patch-Baseline-ID | Standard | Zugehörige Patch-Gruppe |
---|---|---|
|
Ja |
|
|
Nein |
|
Das allgemeine Verfahren zum Scannen oder Installieren von Patches mit Run Command, ein Tool in AWS Systems Manager und Patch Manager ist wie folgt:
-
Einen Befehl zum Patchen senden: Verwenden Sie die Systems Manager Manager-Konsole, das SDK, AWS Command Line Interface (AWS CLI), oder AWS Tools for Windows PowerShell um eine Run Command Aufgabe, die das Dokument verwendet
AWS-RunPatchBaseline
. Das Diagramm zeigt eine Run Command Aufgabe, verwaltete Instanzen zu patchen, indem das Tag als Ziel ausgewählt wirdkey=OS,value=Windows
. -
Bestimmung der Patch-Baseline: SSM Agent überprüft die auf die EC2 Instanz und die Abfragen angewendeten Patch-Gruppen-Tags Patch Manager für die entsprechende Patch-Baseline.
-
Passender Patch-Gruppenwert einer Patch-Baseline zugeordnet:
-
SSM Agent, das auf EC2 Instanzen der ersten Gruppe installiert ist, empfängt den in Schritt 1 ausgegebenen Befehl, um einen Patch-Vorgang zu starten. SSM Agent überprüft, ob der
DEV
Patch-Gruppen-Tag-Wert auf die EC2 Instanzen angewendet wurde, und fragt ab Patch Manager für eine zugehörige Patch-Baseline. -
Patch Manager überprüft, ob der Patch-Baseline die Patchgruppe
DEV
zugeordnetpb-9876543210abcdef0
ist, und benachrichtigt SSM Agent. -
SSM Agent ruft einen Snapshot der Patch-Baseline ab von Patch Manager basiert auf den unter konfigurierten Genehmigungsregeln und Ausnahmen
pb-9876543210abcdef0
und fährt mit dem nächsten Schritt fort.
-
-
Instance verfügt nicht über ein Patch-Gruppen-Tag:
-
SSM Agent, das auf EC2 Instanzen in Gruppe 2 installiert ist, empfängt den in Schritt 1 ausgegebenen Befehl zum Starten eines Patch-Vorgangs. SSM Agent überprüft, ob auf die EC2 Instanzen kein
Patch Group
PatchGroup
OR-Tag angewendet wurde, und das hat zur Folge, SSM Agent queries Patch Manager für die standardmäßige Windows-Patch-Baseline. -
Patch Manager überprüft, ob die Standardeinstellung Windows Server Patch-Baseline ist
pb-0123456789abcdef0
und benachrichtigt SSM Agent. -
SSM Agent ruft einen Snapshot der Patch-Baseline ab von Patch Manager basiert auf den Genehmigungsregeln und Ausnahmen, die in der Standard-Patch-Baseline konfiguriert sind,
pb-0123456789abcdef0
und fährt mit dem nächsten Schritt fort.
-
-
Es gibt keinen passenden, einer Patch-Baseline zugeordneten Patch-Gruppenwert:
-
SSM Agent, das auf EC2 Instanzen der Gruppe 3 installiert ist, empfängt den in Schritt 1 ausgegebenen Befehl zum Starten eines Patch-Vorgangs. SSM Agent überprüft, ob der
QA
Patch-Gruppen-Tag-Wert auf die EC2 Instanzen angewendet wurde, und fragt ab Patch Manager für eine zugehörige Patch-Baseline. -
Patch Manager findet keine Patch-Baseline, der die Patchgruppe
QA
zugeordnet ist. -
Patch Manager benachrichtigt SSM Agent um die standardmäßige Windows-Patch-Baseline
pb-0123456789abcdef0
zu verwenden. -
SSM Agent ruft einen Snapshot der Patch-Baseline ab von Patch Manager basiert auf den Genehmigungsregeln und Ausnahmen, die in der Standard-Patch-Baseline konfiguriert sind,
pb-0123456789abcdef0
und fährt mit dem nächsten Schritt fort.
-
-
-
Patch-Scan oder Installation: Nachdem Sie bestimmt haben, welche Patch-Baseline Sie verwenden möchten, SSM Agent beginnt entweder mit der Suche nach Patches oder mit der Installation von Patches auf der Grundlage des in Schritt 1 angegebenen Vorgangswerts. Welche Patches gesucht oder installiert werden, hängt von den Genehmigungsregeln und Patch-Ausnahmen ab, die im Patch-Baseline-Snapshot von definiert sind Patch Manager.
- Weitere Informationen