AWS Systems Manager Patch Manager - AWS Systems Manager

AWS Systems Manager Patch Manager

Patch Manager, eine Funktion von AWS Systems Manager, automatisiert den Patch-Vorgang für verwaltete Knoten mit Sicherheits-Updates und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen. (Unter Windows Server ist der Anwendungssupport auf Updates für Microsoft-Anwendungen beschränkt.) Sie können mit Patch Manager Service Packs auf Windows-Instances installieren und Nebenversionsupgrades auf Linux-Knoten ausführen. Sie können Flotten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Edge-Geräte oder Ihre On-Premises-Server und virtuelle Maschinen (VMs) nach Betriebssystemtyp patchen. Dies beinhaltet unterstützte Versionen von Amazon Linux, Amazon Linux 2, CentOS, Debian Server, macOS, Oracle Linux, Raspberry Pi OS (früher Raspbian), Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES), Ubuntu Server, und Windows Server. Sie können Instances nur auf Patches hin durchsuchen und dann einen Bericht zu fehlenden Patches anzeigen oder automatisch alle fehlenden Patches installieren. Um mit Patch Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Patch Manager aus.

Wichtig

AWS testet Patches nicht, bevor sie in Patch Manager bereitgestellt werden. Der Patch Manager unterstützt außerdem keine Upgrades von Hauptversionen von Betriebssystemen wie Windows Server 2016 auf Windows Server 2019 oder SUSE Linux Enterprise Server (SLES) 12.0 auf SLES 15.0.

Für Linux-basierte Betriebssysteme, die einen Schweregrad für Patches melden, verwendet Patch Manager den vom Softwareherausgeber gemeldeten Schweregrad für den Update-Hinweis oder den einzelnen Patch. Patch Manager leitet keinen Schweregrad aus Drittquellen wie dem Common Vulnerability Scoring System (CVSS) oder aus Metriken ab, die von der National Vulnerability Database (NVD) veröffentlicht werden.

Patch Manager verwendet Patch-Baselines, die Regeln für die automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen nach ihrer Veröffentlichung enthalten, sowie Listen von genehmigten und zurückgewiesenen Patches. Sie können Patches regelmäßig installieren, indem Sie das Einspielen von Patches als eine Systems Manager-Wartungsfenster-Aufgabe planen. Sie können Patches auch auf einzelnen Knoten oder große Gruppen von verwalteten Knoten installieren, indem Sie Tags verwenden. Tags sind Schlüssel, die das Identifizieren und Sortieren der Ressourcen in Ihrer Organisation ermöglichen. Sie können den Patch-Baselines Tags hinzufügen, wenn Sie sie erstellen oder aktualisieren.

Patch Manager bietet Optionen, um Ihre verwalteten Knoten zu scannen und die Compliance eines Zeitplans zu melden, verfügbare Patches nach einem Zeitplan zu installieren und Ziele bei Bedarf zu patchen oder zu scannen. Sie können Patch-Compliance-Berichte auch generieren, die an einen Amazon Simple Storage Service (Amazon S3)-Bucket Ihrer Wahl gesendet werden. Sie können einmalige Berichte erstellen oder Berichte nach einem regelmäßigen Zeitplan erstellen. Für einen einzelnen verwalteten Knoten enthalten Berichte Details aller Patches für den Knoten. Für einen Bericht über alle verwaltete Knoten wird nur eine Zusammenfassung der fehlenden Patches bereitgestellt.

Patch Manager lässt sich in AWS Identity and Access Management (IAM), AWS CloudTrail und Amazon EventBridge integrieren und bietet dann eine sichere Benutzerführung mit Ereignisbenachrichtigungen und der Möglichkeit, die Nutzung zu überwachen.

Informationen zum Verwenden von CloudTrail zum Überwachsen von Systems Manager-Aktivitäten finden Sie unter Protokollierung von AWS Systems Manager-API-Aufrufen mit AWS CloudTrail.

Informationen zum Verwenden von EventBridge zum Überwachsen von Systems Manager-Ereignissen finden Sie unter Überwachung von Systems Manager-Ereignissen mit Amazon EventBridge.