Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Systems Manager Patch Manager
Patch Manager, ein Tool in AWS Systems Manager, automatisiert das Patchen verwalteter Knoten sowohl mit sicherheitsrelevanten Updates als auch mit anderen Arten von Updates.
Wichtig
Systems Manager bietet Unterstützung für Patch-Richtlinien in Quick Setup, ein Tool in AWS Systems Manager. Die Verwendung von Patch-Richtlinien ist die empfohlene Methode zur Konfiguration Ihrer Patching-Vorgänge. Mit einer einzelnen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in allen Regionen in Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.
Sie können Folgendes verwenden … Patch Manager um Patches sowohl für Betriebssysteme als auch für Anwendungen anzuwenden. (Am Windows Server, die Anwendungsunterstützung ist auf Updates für von Microsoft veröffentlichte Anwendungen beschränkt.) Sie können Folgendes verwenden … Patch Manager um Service Packs auf Windows-Knoten zu installieren und kleinere Versionsupgrades auf Linux-Knoten durchzuführen. Sie können Flotten von Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen (VMs) nach Betriebssystemtyp patchen. Dazu gehören unterstützte Versionen mehrerer Betriebssysteme, wie unter Patch Manager Voraussetzungen aufgeführt. Sie können Instances nur auf Patches hin durchsuchen und dann einen Bericht zu fehlenden Patches anzeigen oder automatisch alle fehlenden Patches installieren. Um loszulegen mit Patch Manager, öffnen Sie die Systems Manager Manager-Konsole
Anmerkung
AWS testet Patches nicht, bevor sie in verfügbar gemacht werden Patch Manager. Außerdem Patch Manager unterstützt nicht die Aktualisierung von Hauptversionen von Betriebssystemen, wie Windows Server 2016 bis Windows Server 2019, oder SUSE Linux Enterprise Server (SLES) 12,0 bis SLES 15,0.
Für Linux-basierte Betriebssysteme, die einen Schweregrad für Patches melden, Patch Manager verwendet den Schweregrad, den der Softwarehersteller für den Update-Hinweis oder den einzelnen Patch gemeldet hat. Patch Manager leitet den Schweregrad nicht aus Quellen Dritter ab, wie dem Common Vulnerability Scoring System
Patch-Baselines
Patch Manager verwendet Patch-Baselines, die Regeln für die automatische Genehmigung von Patches innerhalb von Tagen nach ihrer Veröffentlichung sowie optionale Listen mit genehmigten und abgelehnten Patches enthalten. Wenn ein Patching-Vorgang ausgeführt wird, Patch Manager vergleicht die Patches, die derzeit auf einen verwalteten Knoten angewendet werden, mit denen, die gemäß den in der Patch-Baseline festgelegten Regeln angewendet werden sollten. Sie können wählen für Patch Manager um Ihnen nur einen Bericht über fehlende Patches anzuzeigen (ein Scan
Vorgang), oder Sie können wählen Patch Manager um automatisch alle Patches zu installieren, die auf einem verwalteten Knoten fehlen (ein Scan and install
Vorgang).
Methoden für das Patchen von Vorgängen
Patch Manager bietet derzeit vier Methoden für die Ausführung Scan
und den Scan
and install
Betrieb an:
-
(Empfohlen) Eine Patch-Richtlinie, die konfiguriert ist in Quick Setup— Basierend auf der Integration mit AWS Organizations können mit einer einzigen Patch-Richtlinie Patch-Zeitpläne und Patch-Baselines für eine gesamte Organisation definiert werden, einschließlich mehrerer AWS-Konten und all AWS-Regionen dieser Konten. Eine Patch-Richtlinie kann sich auch nur auf einige Organisationseinheiten (OUs) in einer Organisation beziehen. Sie können eine einzige Patch-Richtlinie verwenden, um nach verschiedenen Zeitplänen zu scannen und zu installieren. Weitere Informationen erhalten Sie unter Konfigurieren Sie das Patching für Instanzen in einer Organisation mit Quick Setup und Patch-Richtlinienkonfigurationen in Quick Setup.
-
Eine Host-Management-Option, konfiguriert in Quick Setup— Host-Management-Konfigurationen werden auch durch die Integration mit unterstützt AWS Organizations, sodass ein Patch-Vorgang für bis zu ein ganzes Unternehmen ausgeführt werden kann. Diese Option ist jedoch darauf beschränkt, anhand der aktuellen Standard-Patch-Baseline nach fehlenden Patches zu suchen und Ergebnisse in Compliance-Berichten bereitzustellen. Mit dieser Vorgangsmethode können keine Patches installiert werden. Weitere Informationen finden Sie unter Richten Sie die EC2 Amazon-Hostverwaltung ein mit Quick Setup.
-
Ein Wartungsfenster zum Ausführen eines Patches
Scan
oder einerInstall
Aufgabe — Ein Wartungsfenster, das Sie im Systems Manager Manager-Tool mit dem Namen Maintenance Windows, kann so konfiguriert werden, dass verschiedene Arten von Aufgaben nach einem von Ihnen definierten Zeitplan ausgeführt werden. A Run CommandEine Aufgabe vom Typ -type kann verwendet werden, um eine Gruppe von verwalteten Knoten auszuführenScan
oderScan and install
Aufgaben auszuführen, die Sie auswählen. Jede Aufgabe im Wartungsfenster kann auf verwaltete Knoten in nur einem einzigen AWS-Region Paar AWS-Konto abzielen. Weitere Informationen finden Sie unter Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole. -
Ein On-Demand-Patch funktioniert jetzt in Patch Manager— Mit der Option Jetzt patchen können Sie geplante Setups umgehen, wenn Sie verwaltete Knoten so schnell wie möglich patchen müssen. Mit Patch now (Jetzt patchen) geben Sie an, ob der
Scan
- oderScan and install
-Vorgang ausgeführt werden soll und auf welchen verwalteten Knoten der Vorgang ausgeführt werden soll. Sie können sich auch dafür entscheiden, Systems-Manager-Dokumente (SSM-Dokumente) als Lebenszyklus-Hooks während des Patch-Vorgangs auszuführen. Jeder Patch-Now-Vorgang kann auf verwaltete Knoten in nur einem einzigen AWS-Region Paar AWS-Konto abzielen. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.
Compliance-Meldung
Nach einer Scan
-Operation können Sie die Systems-Manager-Konsole verwenden, um Informationen darüber anzuzeigen, welche Ihrer verwalteten Knoten die Patch-Compliance nicht erfüllen und welche Patches auf jedem dieser Knoten fehlen. Sie können auch Patch-Compliance-Berichte im CSV-Format generieren, die an einen Amazon Simple Storage Service (Amazon S3)-Bucket Ihrer Wahl gesendet werden. Sie können einmalige Berichte erstellen oder Berichte nach einem regelmäßigen Zeitplan erstellen. Für einen einzelnen verwalteten Knoten enthalten Berichte Details aller Patches für den Knoten. Für einen Bericht über alle verwaltete Knoten wird nur eine Zusammenfassung der fehlenden Patches bereitgestellt. Nachdem ein Bericht generiert wurde, können Sie ein Tool wie Amazon verwenden, QuickSight um die Daten zu importieren und zu analysieren. Weitere Informationen finden Sie unter Arbeiten mit Patch-Compliance-Berichten.
Anmerkung
Ein durch die Verwendung einer Patch-Richtlinie generiertes Compliance-Element hat den Ausführungstyp PatchPolicy
. Ein Compliance-Element, das nicht in einem Patch-Richtlinienvorgang generiert wurde, hat den Ausführungstyp Command
.
Integrationen
Patch Manager integriert sich in die folgenden anderen AWS-Services:
-
AWS Identity and Access Management (IAM) — Verwenden Sie IAM, um zu kontrollieren, auf welche Benutzer, Gruppen und Rollen Zugriff haben Patch Manager Operationen. Weitere Informationen erhalten Sie unter Wie AWS Systems Manager arbeitet mit IAM und Konfiguration von erforderlichen Instance-Berechtigungen für Systems Manager.
-
AWS CloudTrail— Wird verwendet CloudTrail , um einen überprüfbaren Verlauf von Patch-Vorgängen aufzuzeichnen, die von Benutzern, Rollen oder Gruppen ausgelöst wurden. Weitere Informationen finden Sie unter AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail.
-
AWS Security Hub— Patchen Sie Compliance-Daten von Patch Manager kann gesendet werden an AWS Security Hub. Mit dem Security Hub erhalten Sie einen umfassenden Überblick über Ihre Sicherheitswarnungen und den Compliance-Status mit hoher Priorität. Er überwacht auch den Patching-Status Ihrer Flotte. Weitere Informationen finden Sie unter Integration Patch Manager mit AWS Security Hub.
-
AWS Config— Richten Sie die Aufzeichnung ein AWS Config , um EC2 Amazon-Instance-Verwaltungsdaten in der Patch Manager Dashboard. Weitere Informationen finden Sie unter Patch-Dashboard-Zusammenfassungen anzeigen.
Themen
- Patch-Richtlinienkonfigurationen in Quick Setup
- Patch Manager Voraussetzungen
- Wie Patch Manager Operationen funktionieren
- SSM-Befehlsdokumente zum Patchen verwalteter Knoten
- Patch-Baselines
- Die Verwendung von Kernel Live Patching auf Amazon Linux 2 verwalteten Knoten
- Arbeiten mit Patch Manager Ressourcen und Compliance mithilfe der Konsole
- Arbeiten mit Patch Manager Ressourcen unter Verwendung der AWS CLI
- AWS Systems Manager Patch Manager Tutorials
- Fehlerbehebung Patch Manager