Acerca de los documentos de SSM para la aplicación de revisiones a nodos administrados

En este tema se describen los nueve documentos de Systems Manager (documentos de SSM) disponibles para que pueda mantener los nodos administrados actualizados con las últimas revisiones relacionadas con la seguridad.

Se recomienda utilizar solo cinco de estos documentos en las operaciones de aplicación de revisiones. En conjunto, estos cinco documentos de SSM le proporcionan una gama completa de opciones de aplicación de revisiones con AWS Systems Manager. Cuatro de estos documentos se publicaron después de los cuatro documentos de SSM heredados a los que sustituyen, y contienen ampliaciones o consolidaciones de funcionalidad.

Documentos de SSM recomendados para las revisiones

Recomendamos utilizar los cinco documentos de SSM a continuación en las operaciones de revisión.

• AWS-ConfigureWindowsUpdate

• AWS-InstallWindowsUpdates

• AWS-RunPatchBaseline

• AWS-RunPatchBaselineAssociation

• AWS-RunPatchBaselineWithHooks

Documentos de SSM heredados para las revisiones

Los cuatro documentos de SSM heredados a continuación aún están disponibles para ser utilizados en algunos Regiones de AWS, pero no están actualizados ni se puede garantizar que funcionen en todos los casos y puede que ya no cuenten con más soporte en el futuro. Recomendamos que no se utilicen en las operaciones de revisión.

• AWS-ApplyPatchBaseline

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

Consulte las secciones siguientes para obtener más información sobre el uso de estos documentos de SSM en las operaciones de aplicación de revisiones.

Temas

• Documentos de SSM recomendados para la aplicación de revisiones a nodos administrados
• Documentos de SSM heredados para la aplicación de revisiones a nodos administrados
• Acerca del documento AWS-RunPatchBaseline de SSM
• Acerca del documento AWS-RunPatchBaselineAssociation de SSM
• Acerca del documento AWS-RunPatchBaselineWithHooks de SSM
• Ejemplo de escenario para utilizar el parámetro InstallOverrideList en AWS-RunPatchBaseline o AWS-RunPatchBaselineAssociation
• Uso del parámetro BaselineOverride

Documentos de SSM recomendados para la aplicación de revisiones a nodos administrados

Se recomienda utilizar los siguientes cinco documentos de SSM para las operaciones de aplicación de revisiones en los nodos administrados.

AWS-ConfigureWindowsUpdate

Admite configurar las funciones básicas de Windows Update y utilizarlas para instalar actualizaciones de forma automática (o para desactivar las actualizaciones automáticas). Disponible en todas las Regiones de AWS.

Este documento de SSM indica a Windows Update que descargue e instale las actualizaciones especificadas y que reinicie los nodos administrados según sea necesario. Utilice este documento con State Manager, una capacidad de AWS Systems Manager, para asegurarse de que Windows Update conserve su configuración. También puede ejecutarlo de forma manual con Run Command, una capacidad de AWS Systems Manager, para cambiar la configuración de Windows Update.

Los parámetros disponibles en este documento permiten especificar la categoría de actualizaciones que se deben instalar (o si se deben desactivar las actualizaciones automáticas), así como especificar el día de la semana y la hora del día en que se deben ejecutar las operaciones de aplicación de revisiones. Este documento de SSM es más útil si no se necesita un control estricto sobre las actualizaciones de Windows y no es necesario recopilar información de conformidad.

Documentos de SSM heredados a los que sustituye:

• Ninguna

AWS-InstallWindowsUpdates

Instala actualizaciones en un nodo administrado de Windows Server. Disponible en todas las Regiones de AWS.

Este documento de SSM proporciona la funcionalidad básica de aplicación de revisiones para los casos en los que se desea instalar una actualización específica (mediante el parámetro Include Kbs), o se desea instalar revisiones con clasificaciones o categorías específicas, pero no se necesita información de conformidad de revisiones.

Documentos de SSM heredados a los que sustituye:

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

Los tres documentos heredados realizan diferentes funciones, pero se pueden alcanzar los mismos resultados mediante una configuración de parámetros distinta con el documento AWS-InstallWindowsUpdates de SSM más reciente. Esta configuración de parámetros se describe en Documentos de SSM heredados para la aplicación de revisiones a nodos administrados.

AWS-RunPatchBaseline

Instala revisiones en los nodos administrados o los examina para determinar si falta alguna revisión que sea aplicable. Disponible en todas las Regiones de AWS.

AWS-RunPatchBaseline le permite controlar las aprobaciones de revisiones mediante la línea de base de revisiones que se especifica como “predeterminada” para un tipo de sistema operativo. Genera informes de conformidad de revisiones que se pueden visualizar con las herramientas de conformidad de Systems Manager. Estas herramientas proporcionan información sobre el estado de conformidad de revisiones de los nodos administrados como, por ejemplo, en qué nodos faltan revisiones y cuáles son esas revisiones. Cuando utiliza AWS-RunPatchBaseline, la información relativa a la conformidad de revisiones se registra mediante el comando PutInventory de la API. En el caso de los sistemas operativos Linux, se proporciona información sobre la conformidad para las revisiones tanto del repositorio de origen predeterminado configurado en un nodo administrado como de los repositorios de origen alternativos que se especifiquen en una base de referencia de revisiones personalizada. Para obtener más información sobre los repositorios de origen alternativos, consulte Cómo especificar un repositorio de origen de parches alternativo (Linux). Para obtener más información acerca de las herramientas de conformidad de Systems Manager, consulte Conformidad de AWS Systems Manager.

Documentos heredados a los que sustituye:

• AWS-ApplyPatchBaseline

El documento heredado AWS-ApplyPatchBaseline se aplica únicamente en el caso de los nodos administrados de Windows Server y no ofrece soporte para la aplicación de revisiones. El nuevo documento AWS-RunPatchBaseline ofrece la misma compatibilidad para sistemas Windows y Linux. Es necesario disponer de la versión 2.0.834.0 del SSM Agent u otra posterior para poder utilizar el documento AWS-RunPatchBaseline.

Para obtener más información acerca del documento AWS-RunPatchBaseline de SSM, consulte Acerca del documento AWS-RunPatchBaseline de SSM.

AWS-RunPatchBaselineAssociation

Instala revisiones en las instancias o las examina para determinar si falta alguna revisión que sea aplicable. Disponible en todas las Regiones de AWS comerciales.

AWS-RunPatchBaselineAssociation difiere de AWS-RunPatchBaseline en algunos aspectos relevantes:

• AWS-RunPatchBaselineAssociation está diseñado para que se utilice principalmente con asociaciones de State Manager creadas mediante Quick Setup, una capacidad de AWS Systems Manager. Especialmente cuando se utiliza el tipo de configuración Quick Setup de administración de host, si elige la opción escanear las instancias para detectar las revisiones que faltan cada día, el sistema utiliza AWS-RunPatchBaselineAssociation para efectuar la operación.

  Sin embargo, en la mayoría de los casos, a la hora de configurar sus propias operaciones de aplicación de revisiones, debe elegir AWS-RunPatchBaseline o AWS-RunPatchBaselineWithHooks en lugar de AWS-RunPatchBaselineAssociation.

  Para obtener más información, consulte los temas siguientes:

  • AWS Systems Manager Quick Setup

  • Acerca del documento AWS-RunPatchBaselineAssociation de SSM

• AWS-RunPatchBaselineAssociation admite el uso de etiquetas que permiten identificar cuál es la línea de base de revisiones que se utilizará con un conjunto de destinos cuando se ejecute.

• Para las operaciones de aplicación de revisiones que utilizan AWS-RunPatchBaselineAssociation, los datos de conformidad de las revisiones se compilan en función de una asociación específica de State Manager. Los datos de conformidad de revisiones que se recopilan cuando se ejecuta AWS-RunPatchBaselineAssociation se registran mediante el comando PutComplianceItems de la API en lugar del comando PutInventory. Por consiguiente, se evita que se sobrescriban los datos de conformidad que no se encuentran relacionados con esta asociación en particular.

  En el caso de los sistemas operativos Linux, se proporciona información sobre la conformidad para las revisiones tanto del repositorio de origen predeterminado configurado en una instancia como de los repositorios de origen alternativos que se especifiquen en una línea de base de revisiones personalizada. Para obtener más información sobre los repositorios de origen alternativos, consulte Cómo especificar un repositorio de origen de parches alternativo (Linux). Para obtener más información acerca de las herramientas de conformidad de Systems Manager, consulte Conformidad de AWS Systems Manager.

Documentos heredados a los que sustituye:

• Ninguna

Para obtener más información acerca del documento AWS-RunPatchBaselineAssociation de SSM, consulte Acerca del documento AWS-RunPatchBaselineAssociation de SSM.

AWS-RunPatchBaselineWithHooks

Instala revisiones en los nodos administrados o analiza los nodos para determinar si falta alguna revisión aplicable, con enlaces opcionales que se pueden utilizar para ejecutar documentos de SSM en tres puntos durante el ciclo de aplicación de revisiones. Disponible en todas las Regiones de AWS comerciales.

AWS-RunPatchBaselineWithHooks se diferencia de AWS-RunPatchBaseline en la operación Install.

AWS-RunPatchBaselineWithHooks admite enlaces de ciclo de vida que se ejecutan en puntos designados durante la aplicación de revisiones en los nodos administrados. Dado que las instalaciones de revisiones en ocasiones requieren que se reinicien los nodos administrados, la operación de aplicación de revisiones se divide en dos eventos, lo que supone un total de tres enlaces que permiten una funcionalidad personalizada. El primer enlace tiene lugar antes de la operación Install with NoReboot. El segundo enlace tiene lugar después de la operación Install with NoReboot. El tercer enlace está disponible después del reinicio del nodo.

Documentos heredados a los que sustituye:

• Ninguna

Para obtener más información acerca del documento AWS-RunPatchBaselineWithHooks de SSM, consulte Acerca del documento AWS-RunPatchBaselineWithHooks de SSM.

Documentos de SSM heredados para la aplicación de revisiones a nodos administrados

Los cuatro documentos de SSM a continuación aún están disponibles en algunas Regiones de AWS. Sin embargo, ya no están actualizados y puede que ya no cuenten con más soporte en el futuro, por lo que recomendamos que no se utilicen. En su lugar, utilice los documentos se describe en Documentos de SSM recomendados para la aplicación de revisiones a nodos administrados.

Documentos de SSM heredados

• AWS-ApplyPatchBaseline
• AWS-FindWindowsUpdates
• AWS-InstallMissingWindowsUpdates
• AWS-InstallSpecificWindowsUpdates

AWS-ApplyPatchBaseline

Admite solo los nodos administrados de Windows Server, pero no incluye la compatibilidad con el uso de revisiones en aplicaciones que se encuentra en su sustitución, AWS-RunPatchBaseline. No está disponible en Regiones de AWS lanzadas después de agosto de 2017.

nota

El sustituto de este documento de SSM, AWS-RunPatchBaseline, requiere la versión 2.0.834.0 del SSM Agent u otra posterior. Puede utilizar el documento AWS-UpdateSSMAgent para actualizar los nodos administrados a la versión más reciente del agente.

AWS-FindWindowsUpdates

Ha sido sustituido por AWS-InstallWindowsUpdates, que puede realizar las mismas acciones. No está disponible en Regiones de AWS lanzadas después de abril de 2017.

Para lograr el mismo resultado que obtendría a partir de este documento de SSM heredado, utilice la siguiente configuración de parámetros con el documento de sustitución recomendado, AWS-InstallWindowsUpdates:

• Action = Scan

• Allow Reboot = False

AWS-InstallMissingWindowsUpdates

Ha sido sustituido por AWS-InstallWindowsUpdates, que puede realizar las mismas acciones. No está disponible en ninguna de las Regiones de AWS lanzadas después de abril de 2017.

Para lograr el mismo resultado que obtendría a partir de este documento de SSM heredado, utilice la siguiente configuración de parámetros con el documento de sustitución recomendado, AWS-InstallWindowsUpdates:

• Action = Install

• Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

Ha sido sustituido por AWS-InstallWindowsUpdates, que puede realizar las mismas acciones. No está disponible en ninguna de las Regiones de AWS lanzadas después de abril de 2017.

Para lograr el mismo resultado que obtendría a partir de este documento de SSM heredado, utilice la siguiente configuración de parámetros con el documento de sustitución recomendado, AWS-InstallWindowsUpdates:

• Action = Install

• Allow Reboot = True

• Include Kbs = lista de artículos de KB separada por comas