Patching für Instanzen in einer Organisation konfigurieren - AWS Systems Manager
Unterstützte Regionen für Patch-RichtlinienkonfigurationenBerechtigungen für den S3-Bucket mit der Patch-RichtlinieZufällige Patch-Baseline-IDs bei Patch-Richtlinien-OperationenErstellen einer Patch-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Patching für Instanzen in einer Organisation konfigurieren

Mit Quick Setup einer Funktion von können Sie Patch-Richtlinien erstellen AWS Systems Manager, die von. Patch Manager Eine Patch-Richtlinie definiert den Zeitplan und die Baseline, die beim automatischen Patchen Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instances und anderer verwalteter Knoten verwendet werden sollen. Mit einer einzelnen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in mehreren AWS-Regionen in Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen zu Patch-Richtlinien finden Sie unter Verwenden von Quick Setup-Patch-Richtlinien.

Voraussetzung

Um eine Patch-Richtlinie für einen Knoten mit Quick Setup zu definieren, muss es sich bei dem Knoten um einen verwalteten Knoten handeln. Weitere Informationen zum Verwalten Ihrer Knoten finden Sie unter Einrichten AWS Systems Manager.

Wichtig

Scanmethoden für Patch-Konformität — Systems Manager unterstützt mehrere Methoden zum Scannen verwalteter Knoten auf Patch-Konformität. Wenn Sie mehr als eine dieser Methoden gleichzeitig implementieren, sind die angezeigten Patch-Compliance-Informationen immer das Ergebnis des letzten Scans. Ergebnisse früherer Scans werden überschrieben. Wenn die Scan-Methoden unterschiedliche Patch-Baselines mit unterschiedlichen Genehmigungsregeln verwenden, können sich die Informationen zur Patch-Compliance unerwartet ändern. Weitere Informationen finden Sie unter Vermeiden von unbeabsichtigtem Überschreiben von Patch-Compliance-Daten.

Zuordnungs-Compliance-Status und Patch-Richtlinien — Der Patching-Status für einen verwalteten Knoten, für den eine Quick Setup Patch-Richtlinie gilt, entspricht dem Status der State Manager Zuordnungsausführung für diesen Knoten. Wenn der Status der Zuordnungsausführung lautetCompliant, wird der Patching-Status für den verwalteten Knoten ebenfalls markiert. Compliant Wenn der Ausführungsstatus der Assoziation lautetNon-Compliant, wird der Patching-Status für den verwalteten Knoten ebenfalls markiert. Non-Compliant

Unterstützte Regionen für Patch-Richtlinienkonfigurationen

Patch-Richtlinien-Konfigurationen in Quick Setup werden derzeit in den folgenden Regionen unterstützt:

  • USA Ost (Ohio): (us-east-2)

  • USA Ost (Nord-Virginia): (us-east-1)

  • USA West (Nordkalifornien) (us-west-1)

  • USA West (Oregon): (us-west-2)

  • Asien-Pazifik (Mumbai): (ap-south-1)

  • Asien-Pazifik (Seoul): (ap-northeast-2)

  • Asien-Pazifik (Singapur): (ap-southeast-1)

  • Asien-Pazifik (Sydney): (ap-southeast-2)

  • Asien-Pazifik (Tokyo) (ap-northeast-1)

  • Kanada (Zentral): (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Irland) (eu-west-1)

  • Europa (London) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • Europa (Stockholm) (eu-north-1)

  • Südamerika (São Paulo) (sa-east-1)

Berechtigungen für den S3-Bucket mit der Patch-Richtlinie

Wenn Sie eine Patch-Richtlinie erstellen, erstellt Quick Setup einen Amazon-S3 Bucket, der eine Datei mit dem Namen baseline_overrides.json enthält. In dieser Datei werden Informationen zu den Patch-Baselines gespeichert, die Sie für Ihre Patch-Richtlinie angegeben haben.

Der S3-Bucket-Name hat das folgende Format aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id.

Beispiel: aws-quicksetup-patchpolicy-123456789012-abcde

Wenn Sie eine Patch-Richtlinie für eine Organisation erstellen, wird der Bucket im Verwaltungskonto Ihrer Organisation erstellt.

Es gibt zwei Anwendungsfälle, in denen Sie anderen AWS Ressourcen die Erlaubnis erteilen müssen, mithilfe von AWS Identity and Access Management (IAM-) Richtlinien auf diesen S3-Bucket zuzugreifen:

Die Richtlinien für die Berechtigungen, die Sie in beiden Fällen benötigen, finden Sie im folgenden Abschnitt, Richtlinienberechtigungen für Quick Setup-S3-Buckets.

Fall 1: Verwenden Sie Ihr eigenes Instance-Profil oder Ihre eigene Servicerolle mit Ihren verwalteten Knoten, anstatt eines von Quick Setup bereitgestellten

Patch-Richtlinienkonfigurationen enthalten eine Option zum Hinzufügen erforderlicher IAM-Richtlinien zu bestehenden Instance-Profilen, die mit Ihren Instances verbunden sind.

Wenn Sie diese Option nicht wählen, aber möchten, dass Quick Setup Ihre verwalteten Knoten mit dieser Richtlinie patcht, müssen Sie sicherstellen, dass Folgendes implementiert ist:

  • Die von IAM verwaltete Richtlinie AmazonSSMManagedInstanceCore muss an das IAM-Instance-Profil oder die IAM-Servicerolle angehängt werden, die verwendet wird, um Systems-Manager-Berechtigungen für Ihre verwalteten Knoten bereitzustellen.

  • Sie müssen dem IAM-Instance-Profil oder der IAM-Servicerolle Berechtigungen für den Zugriff auf Ihren Patch-Richtlinien-Bucket als Inline-Richtlinie hinzufügen. Sie können Wildcard-Zugriff auf alle aws-quicksetup-patchpolicy-Buckets oder nur auf den spezifischen Bucket gewähren, der für Ihre Organisation oder Ihr Konto erstellt wurde, wie in den früheren Codebeispielen gezeigt.

  • Sie müssen Ihr IAM-Instance-Profil oder Ihre IAM-Servicerolle mit dem folgenden Schlüssel-Wert-Paar taggen.

    Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id

    quick-setup-configuration-idstellt den Wert des Parameters dar, der auf den AWS CloudFormation Stack angewendet wird und der bei der Erstellung Ihrer Patch-Richtlinienkonfiguration verwendet wird. Gehen Sie wie nachfolgend beschrieben vor, um diese ID abzurufen:

    1. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

    2. Wählen Sie den Namen des Stacks aus, der zur Erstellung Ihrer Patch-Richtlinie verwendet wird. Der Name hat ein Format wie StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE.

    3. Wählen Sie die Registerkarte Parameters aus.

    4. Suchen Sie in der Parameterliste in der Spalte Schlüssel nach dem Schlüssel QS ConfigurationId. Suchen Sie in der Spalte Wert für die entsprechende Zeile nach der Konfigurations-ID, z. B. abcde

      In diesem Beispiel lautet der Schlüssel für das Tag, das auf Ihr Instance-Profil oder Ihre Servicerolle angewendet werden soll QSConfigId-abcde, und der Wert lautet abcde.

Informationen zum Hinzufügen von Tags zu einer IAM-Rolle finden Sie unter Taggen von IAM-Rollen und Verwalten von Tags in Instanzprofilen (AWS CLI oder AWS APIs) im IAM-Benutzerhandbuch.

Fall 2: Verwenden Sie VPC-Endpunkte, um eine Verbindung zu Systems Manager herzustellen

Wenn Sie VPC-Endpunkte für die Verbindung zu Systems Manager verwenden, muss Ihre VPC-Endpunktrichtlinie für S3 den Zugriff auf Ihren S3-Bucket für Quick Setup-Patch-Richtlinien erlauben.

Informationen zum Hinzufügen von Berechtigungen zu einer VPC-Endpunkt-Richtlinie für S3 finden Sie unter Steuerung des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien im Amazon S3-Benutzerhandbuch.

Richtlinienberechtigungen für Quick Setup-S3-Buckets

Sie können Wildcard-Zugriff auf alle aws-quicksetup-patchpolicy-Buckets oder nur auf den speziellen Bucket gewähren, der für Ihre Organisation oder Ihr Konto erstellt wurde. Verwenden Sie eines der beiden Formate, um die erforderlichen Berechtigungen für die beiden unten beschriebenen Fälle bereitzustellen.

All patch policy buckets
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
Specific patch policy bucket
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id"Footnote callout 1 to explain a line in a JSON policy
    }
  ]
}

1 Nachdem die Konfiguration der Patch-Richtlinie erstellt wurde, können Sie den vollständigen Namen Ihres Buckets in der S3-Konsole finden. Beispiel: aws-quicksetup-patchpolicy-123456789012-abcde

Zufällige Patch-Baseline-IDs bei Patch-Richtlinien-Operationen

Patching-Operationen für Patch-Richtlinien verwenden den BaselineOverride-Parameter im AWS-RunPatchBaseline-SSM-Befehlsdokument.

Wenn Sie AWS-RunPatchBaseline zum Patchen außerhalb einer Patch-Richtlinie verwenden, können Sie mit BaselineOverride eine Liste von Patch-Baselines angeben, die während des Vorgangs verwendet werden sollen und sich von den angegebenen Standardwerten unterscheiden. Sie erstellen diese Liste in einer Datei mit dem Namen baseline_overrides.json und fügen sie manuell zu einem Amazon-S3-Bucket hinzu, den Sie besitzen, wie in Verwenden des BaselineOverride Parameters erklärt.

Für Patching-Operationen, die auf Patch-Richtlinien basieren, erstellt Systems Manager jedoch automatisch ein S3 Bucket und fügt diesem eine baseline_overrides.json-Datei hinzu. Jedes Mal, wenn Quick Setup einen Patching-Vorgang durchführt (unter Verwendung der Run Command-Fähigkeit), erzeugt das System eine zufällige ID für jede Patch-Baseline. Diese ID ist für jeden Patch-Vorgang der Richtlinie unterschiedlich, und die Patch-Baseline, die sie repräsentiert, ist in Ihrem Konto weder gespeichert noch für Sie zugänglich.

Daher wird die ID der in Ihrer Konfiguration ausgewählten Patch-Baseline in den Patching-Protokollen nicht angezeigt. Dies gilt sowohl für AWS verwaltete Patch-Baselines als auch für benutzerdefinierte Patch-Baselines, die Sie möglicherweise ausgewählt haben. Die im Protokoll angegebene Baseline-ID ist stattdessen diejenige, die für diesen speziellen Patching-Vorgang erzeugt wurde.

Wenn Sie außerdem versuchen, in Patch Manager Details zu einer Patch-Baseline anzuzeigen, die mit einer zufälligen ID erstellt wurde, meldet das System, dass die Patch-Baseline nicht existiert. Dieses Verhalten ist zu erwarten und kann ignoriert werden.

Erstellen einer Patch-Richtlinie

Führen Sie zum Erstellen einer Patch-Richtlinie die folgenden Aufgaben in der Systems-Manager-Konsole aus.

So erstellen Sie eine Patch-Richtlinie mit Quick Setup

  1. Öffnen Sie die Konsole unter https://console.aws.amazon.com/systems-manager/ AWS Systems Manager .

    Wenn Sie das Patchen für eine Organisation einrichten, stellen Sie sicher, dass Sie beim Verwaltungskonto der Organisation angemeldet sind. Sie können die Richtlinie nicht mit dem delegierten Administratorkonto oder einem Mitgliedskonto einrichten.

  2. Wählen Sie im Navigationsbereich Quick Setup aus.

  3. Wählen Sie auf der Karte Patch Manager (Patch-Manager) die Option Create (Erstellen) aus.

    Tipp

    Wenn Sie bereits eine oder mehrere Konfigurationen in Ihrem Konto haben, wählen Sie zunächst die Registerkarte Bibliothek oder die Schaltfläche Erstellen im Abschnitt Konfigurationen, um die Karten anzuzeigen.

  4. Geben Sie für Configuration name (Konfigurationsname) einen Namen ein, um die Patch-Richtlinie zu identifizieren.

  5. Wählen Sie im Abschnitt Scanning and installation (Scannen und Installation) unter Patch operation (Patching-Vorgang) aus, ob die Patch-Richtlinie die angegebenen Ziele Scan (Scannen) oder Patches auf den angegebenen Zielen Scan and install (Scannen und installieren) soll.

  6. Wählen Sie unter Scanning schedule (Scan-Zeitplan) die Option Use recommended defaults (Empfohlene Standardwerte verwenden) oder Custom scan schedule (Benutzerdefinierter Scan-Zeitplan) aus. Der standardmäßige Scan-Zeitplan scannt Ihre Ziele täglich um 01:00 Uhr UTC.

    • Wenn Sie Custom scan schedule (Benutzerdefinierten Scan-Zeitplan) auswählen, wählen Sie die Scanning frequency (Scan-Frequenz) aus.

    • Wenn Sie Daily (Täglich) auswählen, geben Sie die Zeit in UTC ein, zu der Sie Ihre Ziele scannen möchten.

    • Wenn Sie Custom CRON Expression (Benutzerdefinierter CRON-Ausdruck) wählen, geben Sie den Zeitplan als CRON expression (CRON-Ausdruck) ein. Weitere Informationen zum Formatieren von CRON-Ausdrücken für Systems Manager finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

      Wählen Sie außerdem Wait to scan targets until first CRON interval (Mit dem Scannen von Zielen bis zum ersten CRON-Intervall warten). Standardmäßig scannt Patch Manager Knoten sofort, sobald diese zu Zielen werden.

  7. Wenn Sie Scan and install (Scannen und installieren) gewählt haben, wählen Sie den Installation schedule (Installationszeitplan) aus, der beim Installieren von Patches auf den angegebenen Zielen verwendet werden soll. Wenn Sie die Option Use recommended defaults (Empfohlene Standardeinstellungen verwenden) auswählen, installiert Patch Manager die wöchentlichen Patches am Sonntag um 02:00 Uhr UTC.

    • Wenn Sie Custom install schedule (Benutzerdefinierter Installationszeitplan) auswählen, wählen Sie die Installation Frequency (Installationsfrequenz).

    • Wenn Sie Daily (Täglich) auswählen, geben Sie die Zeit in UTC ein, zu der Sie Updates auf Ihren Zielen installieren möchten.

    • Wenn Sie Custom CRON expression (Benutzerdefinierter CRON-Ausdruck) auswählen, geben Sie den Zeitplan als CRON expression (CRON-Ausdruck) ein. Weitere Informationen zum Formatieren von CRON-Ausdrücken für Systems Manager finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

      Deaktivieren Sie außerdem Wait to install updates until first CRON interval (Mit der Installation von Updates bis zum ersten CRON-Intervall warten), um Updates sofort auf Knoten zu installieren, sobald diese zu Zielen werden. Patch Manager wartet standardmäßig mit der Installation von Updates bis zum ersten CRON-Intervall.

    • Wählen Sie Reboot if needed (Bei Bedarf neu starten), um die Knoten nach der Patch-Installation neu zu starten. Ein Neustart nach der Installation wird empfohlen, kann jedoch zu Verfügbarkeitsproblemen führen.

  8. Wählen Sie im Abschnitt Patch baseline (Patch-Baseline) die Patch-Baselines aus, die beim Scannen und Aktualisieren Ihrer Ziele verwendet werden sollen.

    Patch Manager verwendet standardmäßig die vordefinierten Patch-Baselines. Weitere Informationen finden Sie unter Info zu vordefinierten Baselines.

    Wenn Sie Benutzerdefinierte Patch-Baseline wählen, ändern Sie die ausgewählte Patch-Baseline für Betriebssysteme, für die Sie keine vordefinierte AWS Patch-Baseline verwenden möchten.

    Anmerkung

    Wenn Sie VPC-Endpunkte für die Verbindung zu Systems Manager verwenden, stellen Sie sicher, dass Ihre VPC-Endpunktrichtlinie für S3 den Zugriff auf diesen S3-Bucket zulässt. Weitere Informationen finden Sie unter Berechtigungen für den S3-Bucket mit der Patch-Richtlinie.

    Wichtig

    Wenn Sie eine Patch-Richtlinienkonfiguration in Quick Setup verwenden, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, einmal pro Stunde mit Quick Setup synchronisiert.

    Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird auf der Seite mit den Quick Setup-Configuration details (Konfigurationsdetails) ein Banner für Ihre Patch-Richtlinie angezeigt. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Seite Quick Setup-Configurations (Konfigurationen) zurück, wählen Sie die Patch Manager-Konfiguration aus und wählen Sie Actions (Aktionen), Edit configuration (Konfiguration bearbeiten). Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.

  9. (Optional) Wählen Sie im Abschnitt Patching log storage (Patching-Protokollspeicherung) die Option Write output to S3 bucket (Ausgabe in S3-Bucket schreiben) aus, um Patch-Vorgangsprotokolle in einem Amazon-S3-Bucket zu speichern.

    Anmerkung

    Wenn Sie eine Patch-Richtlinie für eine Organisation einrichten, muss das Verwaltungskonto Ihrer Organisation mindestens über schreibgeschützte Berechtigungen für diesen Bucket verfügen. Alle in der Richtlinie enthaltenen Organisationseinheiten müssen über Schreibzugriff auf den Bucket verfügen. Informationen zum Gewähren von Bucket-Zugriff auf verschiedene Konten finden Sie unter Beispiel 2: Bucket-Besitzer, der kontoübergreifende Bucket-Berechtigungen gewährt im Benutzerhandbuch zu Amazon Simple Storage Service.

  10. Wählen Sie S3 durchsuchen, um den Bucket auszuwählen, in dem Sie die Patch-Protokoll-Ausgabe speichern möchten. Das Verwaltungskonto muss über Lesezugriff auf diesen Bucket verfügen. Alle Nicht-Verwaltungskonten und Ziele, die im Abschnitt Targets (Ziele) konfiguriert sind, müssen für die Protokollierung über Schreibzugriff auf den bereitgestellten S3-Bucket verfügen.

  11. Wählen Sie im Abschnitt Targets (Ziele) eine der folgenden Optionen aus, um die Konten und Regionen für diesen Patch-Richtlinienvorgang zu identifizieren.

    Anmerkung

    Wenn Sie in einem einzelnen Konto arbeiten, sind Optionen für die Arbeit mit Organizations und Organisationseinheiten (OUs) nicht verfügbar. Sie können wählen, ob Sie diese Konfiguration auf alle AWS-Regionen in Ihrem Konto oder nur auf die ausgewählten Regionen anwenden möchten.

    • Entire organization (Gesamte Organisation) – Alle Konten und Regionen in Ihrer Organisation.

    • Custom (Benutzerdefiniert) – Nur die von Ihnen angegebenen Organisationseinheiten und Regionen.

      • Wählen Sie im Abschnitt Target OUs (Ziel-Organisationseinheiten) die Organisationseinheiten aus, in denen Sie die Patch-Richtlinie einrichten möchten.

      • Wählen Sie im Abschnitt Target Regions (Zielregionen) die Regionen aus, in denen Sie die Patch-Richtlinie anwenden möchten.

    • Current account (Aktuelles Konto) – Nur die Regionen, die Sie in dem Konto angeben, bei dem Sie derzeit angemeldet sind, werden als Ziel ausgewählt. Wählen Sie eine der folgenden Optionen aus:

      • Current Region (Aktuelle Region) – Nur verwaltete Knoten in der Region, die in der Konsole ausgewählt wurde, werden als Ziel ausgewählt.

      • Choose Regions (Regionen auswählen) – Wählen Sie die einzelnen Regionen aus, auf die die Patch-Richtlinie angewendet werden soll.

  12. Wählen Sie unter Choose how you want to target instances (Wählen Sie, wie Sie Instances anvisieren möchten) eine der folgenden Möglichkeiten, um die Knoten zu identifizieren, die gepatcht werden sollen:

    • All managed nodes (Alle verwalteten Knoten) – Alle verwalteten Knoten in den ausgewählten Organisationseinheiten und Regionen.

    • Specify the resource group (Angabe der Ressourcengruppe) – Wählen Sie den Namen einer Ressourcengruppe aus der Liste, um die ihr zugeordneten Ressourcen anzuvisieren.

      Anmerkung

      Derzeit wird die Auswahl von Ressourcengruppen nur für Einzelkontokonfigurationen unterstützt. Um Ressourcen in mehreren Konten zu patchen, wählen Sie eine andere Zieloption.

    • Specify a node tag (Angabe eines Knoten-Tags) – Nur Knoten, die mit dem von Ihnen angegebenen Schlüssel-Wert-Paar gekennzeichnet sind, werden in allen von Ihnen ausgewählten Konten und Regionen gepatcht.

    • Manual (Manuell) – Wählen Sie verwaltete Knoten aus allen angegebenen Konten und Regionen manuell aus einer Liste aus.

      Anmerkung

      Diese Option unterstützt derzeit nur Amazon-EC2-Instances.

  13. Gehen Sie im Abschnitt Rate control (Ratensteuerung) wie folgt vor:

    • Geben Sie für Concurrency (Gleichzeitigkeit) eine Anzahl oder einen Prozentsatz von Knoten ein, auf denen die Patch-Richtlinie gleichzeitig ausgeführt werden soll.

    • Geben Sie für Error threshold (Fehlerschwellenwert) die Anzahl oder den Prozentsatz der Knoten ein, bei denen ein Fehler auftreten kann, bevor die Patch-Richtlinie fehlschlägt.

  14. (Optional) Aktivieren Sie das Kontrollkästchen Erforderliche IAM-Richtlinien zu bestehenden Instance-Profilen hinzufügen, die mit Ihren Instances verbunden sind.

    Diese Auswahl wendet die durch diese Quick Setup-Konfiguration erstellten IAM-Richtlinien auf Knoten an, denen bereits ein Instance-Profil (EC2 Instances) oder eine Servicerolle (hybrid-aktivierte Knoten) zugeordnet ist. Wir empfehlen diese Auswahl, wenn Ihre verwalteten Knoten bereits über ein Instance-Profil oder eine Servicerolle verfügen, die jedoch nicht alle Berechtigungen enthalten, die für die Arbeit mit Systems Manager erforderlich sind.

    Ihre Auswahl hier wird auf verwaltete Knoten angewendet, die später in den Konten und Regionen erstellt werden, für die diese Patch-Richtlinienkonfiguration gilt.

    Wichtig

    Wenn Sie dieses Kontrollkästchen nicht aktivieren, aber möchten, dass Quick Setup Ihre verwalteten Knoten mit dieser Richtlinie patcht, müssen Sie Folgendes tun:

    Fügen Sie Ihrem IAM-Instance-Profil oder Ihrer IAM-Servicerolle Berechtigungen für den Zugriff auf den S3-Bucket hinzu, der für Ihre Patch-Richtlinie erstellt wurde

    Taggen Sie Ihr IAM-Instance-Profil oder Ihre IAM-Servicerolle mit einem bestimmten Schlüssel-Wert-Paar.

    Weitere Informationen finden Sie unter Fall 1: Verwenden Sie Ihr eigenes Instance-Profil oder Ihre eigene Servicerolle mit Ihren verwalteten Knoten, anstatt eines von Quick Setup bereitgestellten.

  15. Wählen Sie Erstellen.

    Um den Patch-Status zu überprüfen, nachdem die Patch-Richtlinie erstellt wurde, können Sie über die Quick Setup-Seite auf die Konfiguration zugreifen.