AWS Systems Manager Patch Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Patch Manager

Patch Manager, eine Funktion von AWS Systems Manager, automatisiert den Prozess des Patchens verwalteter Knoten sowohl mit sicherheitsrelevanten Updates als auch mit anderen Arten von Updates.

Wichtig

Ab dem 22. Dezember 2022 bietet Systems Manager Unterstützung für Patch-Richtlinien inQuick Setup, eine Funktion von AWS Systems Manager. Die Verwendung von Patch-Richtlinien ist die empfohlene Methode zur Konfiguration Ihrer Patching-Vorgänge. Mithilfe einer einzigen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in allen Regionen Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.

Sie können Patch Manager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen. (Unter Windows Server ist der Anwendungssupport auf Updates für Microsoft-Anwendungen beschränkt.) Sie können mit Patch Manager Service Packs auf Windows-Instances installieren und Nebenversionsupgrades auf Linux-Knoten ausführen. Sie können Flotten von Amazon Elastic Compute Cloud (AmazonEC2) -Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen (VMs) nach Betriebssystemtyp patchen. Dazu gehören unterstützte Versionen mehrerer Betriebssysteme, wie unter Patch Manager-Voraussetzungen aufgeführt. Sie können Instances nur auf Patches hin durchsuchen und dann einen Bericht zu fehlenden Patches anzeigen oder automatisch alle fehlenden Patches installieren. Um mit Patch Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Patch Manager aus.

Anmerkung

AWS testet Patches nicht, bevor sie in verfügbar gemacht werden. Patch Manager Der Patch Manager unterstützt außerdem keine Upgrades von Hauptversionen von Betriebssystemen wie Windows Server 2016 auf Windows Server 2019 oder SUSE Linux Enterprise Server (SLES) 12.0 auf SLES 15.0.

Patch ManagerVerwendet bei Linux-basierten Betriebssystemen, die einen Schweregrad für Patches angeben, den Schweregrad, den der Softwarehersteller für den Update-Hinweis oder den einzelnen Patch angegeben hat. Patch Managerleitet Schweregrade nicht aus Quellen von Drittanbietern ab, z. B. aus dem Common Vulnerability Scoring System (CVSS), oder aus Kennzahlen, die von der National Vulnerability Database (NVD) veröffentlicht wurden.

Patch-Baselines

Patch Manager verwendet Patch-Baselines, die Regeln für die automatische Genehmigung von Patches innerhalb weniger Tage nach ihrer Veröffentlichung enthalten, zusätzlich zu den optionalen Listen der genehmigten und abgelehnten Patches. Wenn ein Patching-Vorgang ausgeführt wird, vergleicht Patch Manager die Patches, die derzeit auf einen verwalteten Knoten angewendet werden, mit denen, die gemäß den in der Patch-Baseline festgelegten Regeln angewendet werden sollten. Sie können auswählen, dass Patch Manager Ihnen nur einen Bericht über fehlende Patches anzeigt (ein Scan-Vorgang), oder Sie können auswählen, dass Patch Manager automatisch alle Patches installiert, die es auf einem verwalteten Knoten findet (ein Scan and install-Vorgang).

Methoden für das Patchen von Vorgängen

Patch Manager bietet derzeit vier Methoden zum Ausführen von Scan- und Scan and install-Operationen:

  • (Empfohlen) Eine in konfigurierte Patch-Richtlinie Quick Setup — Basierend auf der Integration mit AWS Organizations können mit einer einzigen Patch-Richtlinie Patch-Zeitpläne und Patch-Baselines für eine gesamte Organisation definiert werden, einschließlich mehrerer AWS-Konten und all AWS-Regionen dieser Konten. Eine Patch-Richtlinie kann sich auch nur auf einige Organisationseinheiten (OUs) in einer Organisation beziehen. Sie können eine einzige Patch-Richtlinie verwenden, um nach verschiedenen Zeitplänen zu scannen und zu installieren. Weitere Informationen erhalten Sie unter Patching für Instanzen in einer Organisation konfigurieren und Patch-Richtlinienkonfigurationen in Quick Setup.

  • Eine in Quick Setup konfigurierte Host-Management-Option – Host-Management-Konfigurationen werden auch durch die Integration mit AWS Organizations unterstützt, wodurch die Ausführung eines Patching-Vorgangs für eine ganze Organisation möglich ist. Diese Option ist jedoch darauf beschränkt, anhand der aktuellen Standard-Patch-Baseline nach fehlenden Patches zu suchen und Ergebnisse in Compliance-Berichten bereitzustellen. Mit dieser Vorgangsmethode können keine Patches installiert werden. Weitere Informationen finden Sie unter Richten Sie die EC2 Amazon-Hostverwaltung ein.

  • Ein Wartungsfenster zum Ausführen eines Patch-Scan oder einer Install-Aufgabe – Ein Wartungsfenster, das Sie in der Systems-Manager-Funktion mit dem Namen Maintenance Windows einrichten, kann so konfiguriert werden, dass es verschiedene Arten von Aufgaben nach einem von Ihnen definierten Zeitplan ausführt. Eine Aufgabe vom Run Command-Typ kann verwendet werden, um Scan oder Scan and install Aufgaben auf einem Satz verwalteter Knoten Ihrer Wahl auszuführen. Jede Aufgabe im Wartungsfenster kann nur auf verwaltete Knoten in einem einzigen AWS-KontoAWS-Region Paar abzielen. Weitere Informationen finden Sie unter Tutorial: Erstellen Sie ein Wartungsfenster für das Patchen mithilfe der Konsole.

  • Ein On-Demand-Vorgang „Jetzt patchen“ in Patch Manager — Mit der Option Jetzt patchen können Sie geplante Setups umgehen, wenn Sie verwaltete Knoten so schnell wie möglich patchen müssen. Mit Patch now (Jetzt patchen) geben Sie an, ob der Scan- oder Scan and install-Vorgang ausgeführt werden soll und auf welchen verwalteten Knoten der Vorgang ausgeführt werden soll. Sie können auch festlegen, dass Systems Manager Manager-Dokumente (SSMDokumente) während des Patchvorgangs als Lifecycle-Hooks ausgeführt werden. Jeder Patch-Now-Vorgang kann auf verwaltete Knoten in nur einem einzigen AWS-Region Paar AWS-Konto abzielen. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.

Compliance-Meldung

Nach einer Scan-Operation können Sie die Systems-Manager-Konsole verwenden, um Informationen darüber anzuzeigen, welche Ihrer verwalteten Knoten die Patch-Compliance nicht erfüllen und welche Patches auf jedem dieser Knoten fehlen. Sie können auch Patch-Compliance-Berichte im CSV-Format generieren, die an einen Amazon Simple Storage Service (Amazon S3)-Bucket Ihrer Wahl gesendet werden. Sie können einmalige Berichte erstellen oder Berichte nach einem regelmäßigen Zeitplan erstellen. Für einen einzelnen verwalteten Knoten enthalten Berichte Details aller Patches für den Knoten. Für einen Bericht über alle verwaltete Knoten wird nur eine Zusammenfassung der fehlenden Patches bereitgestellt. Nachdem ein Bericht generiert wurde, können Sie ein Tool wie Amazon verwenden, QuickSight um die Daten zu importieren und zu analysieren. Weitere Informationen finden Sie unter Arbeiten mit Patch-Compliance-Berichten.

Anmerkung

Ein durch die Verwendung einer Patch-Richtlinie generiertes Compliance-Element hat den Ausführungstyp PatchPolicy. Ein Compliance-Element, das nicht in einem Patch-Richtlinienvorgang generiert wurde, hat den Ausführungstyp Command.

Integrationen

Patch Managerintegriert sich in die folgenden anderen AWS-Services: