AWS Systems Manager Patch Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Patch Manager

Patch Manager, ein Tool in AWS Systems Manager, automatisiert das Patchen verwalteter Knoten sowohl mit sicherheitsrelevanten Updates als auch mit anderen Arten von Updates.

Wichtig

Systems Manager bietet Unterstützung für Patch-Richtlinien in Quick Setup, ein Tool in AWS Systems Manager. Die Verwendung von Patch-Richtlinien ist die empfohlene Methode zur Konfiguration Ihrer Patching-Vorgänge. Mit einer einzelnen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in allen Regionen in Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.

Sie können Folgendes verwenden … Patch Manager um Patches sowohl für Betriebssysteme als auch für Anwendungen anzuwenden. (Am Windows Server, die Anwendungsunterstützung ist auf Updates für von Microsoft veröffentlichte Anwendungen beschränkt.) Sie können Folgendes verwenden … Patch Manager um Service Packs auf Windows-Knoten zu installieren und kleinere Versionsupgrades auf Linux-Knoten durchzuführen. Sie können Flotten von Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen (VMs) nach Betriebssystemtyp patchen. Dazu gehören unterstützte Versionen mehrerer Betriebssysteme, wie unter Patch Manager Voraussetzungen aufgeführt. Sie können Instances nur auf Patches hin durchsuchen und dann einen Bericht zu fehlenden Patches anzeigen oder automatisch alle fehlenden Patches installieren. Um loszulegen mit Patch Manager, öffnen Sie die Systems Manager Manager-Konsole. Wählen Sie im Navigationsbereich Patch Manager.

Anmerkung

AWS testet Patches nicht, bevor sie in verfügbar gemacht werden Patch Manager. Außerdem Patch Manager unterstützt nicht die Aktualisierung von Hauptversionen von Betriebssystemen, wie Windows Server 2016 bis Windows Server 2019, oder SUSE Linux Enterprise Server (SLES) 12,0 bis SLES 15,0.

Für Linux-basierte Betriebssysteme, die einen Schweregrad für Patches melden, Patch Manager verwendet den Schweregrad, den der Softwarehersteller für den Update-Hinweis oder den einzelnen Patch gemeldet hat. Patch Manager leitet den Schweregrad nicht aus Quellen Dritter ab, wie dem Common Vulnerability Scoring System (CVSS), oder aus von der National Vulnerability Database (NVD) veröffentlichten Kennzahlen.

Patch-Baselines

Patch Manager verwendet Patch-Baselines, die Regeln für die automatische Genehmigung von Patches innerhalb von Tagen nach ihrer Veröffentlichung sowie optionale Listen mit genehmigten und abgelehnten Patches enthalten. Wenn ein Patching-Vorgang ausgeführt wird, Patch Manager vergleicht die Patches, die derzeit auf einen verwalteten Knoten angewendet werden, mit denen, die gemäß den in der Patch-Baseline festgelegten Regeln angewendet werden sollten. Sie können wählen für Patch Manager um Ihnen nur einen Bericht über fehlende Patches anzuzeigen (ein Scan Vorgang), oder Sie können wählen Patch Manager um automatisch alle Patches zu installieren, die auf einem verwalteten Knoten fehlen (ein Scan and install Vorgang).

Methoden für das Patchen von Vorgängen

Patch Manager bietet derzeit vier Methoden für die Ausführung Scan und den Scan and install Betrieb an:

  • (Empfohlen) Eine Patch-Richtlinie, die konfiguriert ist in Quick Setup— Basierend auf der Integration mit AWS Organizations können mit einer einzigen Patch-Richtlinie Patch-Zeitpläne und Patch-Baselines für eine gesamte Organisation definiert werden, einschließlich mehrerer AWS-Konten und all AWS-Regionen dieser Konten. Eine Patch-Richtlinie kann sich auch nur auf einige Organisationseinheiten (OUs) in einer Organisation beziehen. Sie können eine einzige Patch-Richtlinie verwenden, um nach verschiedenen Zeitplänen zu scannen und zu installieren. Weitere Informationen erhalten Sie unter Konfigurieren Sie das Patching für Instanzen in einer Organisation mit Quick Setup und Patch-Richtlinienkonfigurationen in Quick Setup.

  • Eine Host-Management-Option, konfiguriert in Quick Setup— Host-Management-Konfigurationen werden auch durch die Integration mit unterstützt AWS Organizations, sodass ein Patch-Vorgang für bis zu ein ganzes Unternehmen ausgeführt werden kann. Diese Option ist jedoch darauf beschränkt, anhand der aktuellen Standard-Patch-Baseline nach fehlenden Patches zu suchen und Ergebnisse in Compliance-Berichten bereitzustellen. Mit dieser Vorgangsmethode können keine Patches installiert werden. Weitere Informationen finden Sie unter Richten Sie die EC2 Amazon-Hostverwaltung ein mit Quick Setup.

  • Ein Wartungsfenster zum Ausführen eines Patches Scan oder einer Install Aufgabe — Ein Wartungsfenster, das Sie im Systems Manager Manager-Tool mit dem Namen Maintenance Windows, kann so konfiguriert werden, dass verschiedene Arten von Aufgaben nach einem von Ihnen definierten Zeitplan ausgeführt werden. A Run CommandEine Aufgabe vom Typ -type kann verwendet werden, um eine Gruppe von verwalteten Knoten auszuführen Scan oder Scan and install Aufgaben auszuführen, die Sie auswählen. Jede Aufgabe im Wartungsfenster kann auf verwaltete Knoten in nur einem einzigen AWS-Region Paar AWS-Konto abzielen. Weitere Informationen finden Sie unter Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole.

  • Ein On-Demand-Patch funktioniert jetzt in Patch Manager— Mit der Option Jetzt patchen können Sie geplante Setups umgehen, wenn Sie verwaltete Knoten so schnell wie möglich patchen müssen. Mit Patch now (Jetzt patchen) geben Sie an, ob der Scan- oder Scan and install-Vorgang ausgeführt werden soll und auf welchen verwalteten Knoten der Vorgang ausgeführt werden soll. Sie können sich auch dafür entscheiden, Systems-Manager-Dokumente (SSM-Dokumente) als Lebenszyklus-Hooks während des Patch-Vorgangs auszuführen. Jeder Patch-Now-Vorgang kann auf verwaltete Knoten in nur einem einzigen AWS-Region Paar AWS-Konto abzielen. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.

Compliance-Meldung

Nach einer Scan-Operation können Sie die Systems-Manager-Konsole verwenden, um Informationen darüber anzuzeigen, welche Ihrer verwalteten Knoten die Patch-Compliance nicht erfüllen und welche Patches auf jedem dieser Knoten fehlen. Sie können auch Patch-Compliance-Berichte im CSV-Format generieren, die an einen Amazon Simple Storage Service (Amazon S3)-Bucket Ihrer Wahl gesendet werden. Sie können einmalige Berichte erstellen oder Berichte nach einem regelmäßigen Zeitplan erstellen. Für einen einzelnen verwalteten Knoten enthalten Berichte Details aller Patches für den Knoten. Für einen Bericht über alle verwaltete Knoten wird nur eine Zusammenfassung der fehlenden Patches bereitgestellt. Nachdem ein Bericht generiert wurde, können Sie ein Tool wie Amazon verwenden, QuickSight um die Daten zu importieren und zu analysieren. Weitere Informationen finden Sie unter Arbeiten mit Patch-Compliance-Berichten.

Anmerkung

Ein durch die Verwendung einer Patch-Richtlinie generiertes Compliance-Element hat den Ausführungstyp PatchPolicy. Ein Compliance-Element, das nicht in einem Patch-Richtlinienvorgang generiert wurde, hat den Ausführungstyp Command.

Integrationen

Patch Manager integriert sich in die folgenden anderen AWS-Services: