Configurar las revisiones para las instancias de una organización
Con Quick Setup, una capacidad de AWS Systems Manager, puede crear políticas de revisiones con tecnología de Patch Manager. Una política de revisiones define la programación y la línea base que se utilizarán al aplicar revisiones automáticamente a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y a otros nodos administrados. Con una configuración de política de revisiones única, puede definir la aplicación de revisiones para todas las cuentas de varias Regiones de AWS de su organización, solo para las cuentas y regiones que elija o para un solo par de cuenta y región. Para obtener más información sobre las políticas de revisiones, consulte Uso de políticas de revisiones de Quick Setup.
Requisito previo
Para definir una política de revisiones para un nodo que utilice Quick Setup, el nodo debe ser un nodo administrado. Para obtener más información sobre la administración de nodos, consulte Configuración de AWS Systems Manager.
importante
Métodos de escaneo de conformidad de las revisiones: Systems Manager admite varios métodos para analizar nodos administrados y así comprobar la conformidad de las revisiones. Si implementa más de uno de estos métodos a la vez, la información de conformidad de las revisiones que ve siempre será el resultado del análisis más reciente. Los resultados de análisis anteriores se sobrescriben. Si los métodos de análisis utilizan diferentes líneas de base de revisiones con diferentes reglas de aprobación, la información de conformidad de revisiones puede cambiar inesperadamente. Para obtener más información, consulte Evitar sobrescrituras involuntarias de datos de conformidad de revisiones.
Estado de conformidad de la asociación y políticas de revisiones: el estado de las revisiones para un nodo administrado bajo una política de revisiones de Quick Setup coincide con el estado de la ejecución de la asociación de State Manager de ese nodo. Si el estado de ejecución de la asociación es Compliant, el estado de las revisiones del nodo administrado también se marca como Compliant. Si el estado de ejecución de la asociación es Non-Compliant, el estado de las revisiones del nodo administrado también se marca como Non-Compliant.
Regiones compatibles para configuraciones de políticas de revisiones
Las configuraciones de políticas de revisiones en Quick Setup se admiten actualmente en las siguientes regiones:
-
Este de EE. UU. (Ohio) (us-east-2)
-
Este de EE. UU. (Norte de Virginia) (us-east-1)
-
EE. UU. Oeste (Norte de California) (us-west-1)
-
Oeste de EE. UU. (Oregón) (us-west-2)
-
Asia Pacífico (Bombay) (ap-south-1)
-
Asia-Pacífico (Seúl) (ap-northeast-2)
-
Asia-Pacífico (Singapur) (ap-southeast-1)
-
Asia-Pacífico (Sídney) (ap-southeast-2)
-
Asia-Pacífico (Tokio) (ap-northeast-1)
-
Canadá (centro) (ca-central-1)
-
Europa (Fráncfort) (eu-central-1)
-
Europa (Irlanda) (eu-west-1)
-
Europa (Londres) (eu-west-2)
-
UE (París) (eu-west-3)
-
Europa (Estocolmo) (eu-north-1)
-
América del Sur (São Paulo) (sa-east-1)
Permisos para el bucket de S3 de la política de revisiones
Cuando crea una política de revisiones, Quick Setup crea un bucket de Amazon S3 que contiene un archivo denominado baseline_overrides.json. Este archivo almacena información sobre las líneas de base de revisiones que especificó para la política de revisiones.
El nombre del bucket de S3 tiene el siguiente formato aws-quicksetup-patchpolicy-. account-id-quick-setup-configuration-id
Por ejemplo: aws-quicksetup-patchpolicy-123456789012-abcde.
Si va a crear una política de revisiones para una organización, el bucket se crea en la cuenta de administración de la organización.
Hay dos casos de uso en los que debe proporcionar permiso a otros recursos de AWS para acceder a este bucket de S3 mediante políticas AWS Identity and Access Management (IAM):
La política de permisos que necesita en ambos casos se encuentra en la siguiente sección: Política de permisos para buckets de S3 de Quick Setup
Caso 1: uso de su propio perfil de instancia o rol de servicio con los nodos administrados en lugar de utilizar uno proporcionado por Quick Setup
Las configuraciones de políticas de revisiones incluyen una opción para Agregar las políticas de IAM necesarias a los perfiles de instancia existentes adjuntos a sus instancias.
Si no elige esta opción pero quiere que Quick Setup aplique revisiones a los nodos administrados mediante esta política de revisiones, debe asegurarse de implementar lo siguiente:
-
La política gestionada de IAM
AmazonSSMManagedInstanceCoredebe adjuntarse al perfil de instancia de IAM o al rol de servicio de IAM que se utiliza para proporcionar permisos de Systems Manager a los nodos administrados. -
Debe agregar permisos para acceder a su bucket de políticas de revisiones como política integrada al perfil de instancia de IAM o rol de servicio de IAM. Puede proporcionar un acceso comodín a todos los buckets de
aws-quicksetup-patchpolicyo solo al bucket específico creado para su organización o cuenta, como se muestra en los ejemplos de código anteriores. -
Debe etiquetar el perfil de instancia de IAM o rol de servicio de IAM con el siguiente par clave-valor.
Key: QSConfigId-quick-setup-configuration-id, Value:quick-setup-configuration-idquick-setup-configuration-idrepresenta el valor del parámetro aplicado a la pila AWS CloudFormation que se utiliza para crear la configuración de la política de revisiones. Para recuperar este identificador, haga lo siguiente:Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation
. -
Seleccione el nombre de la pila que se utiliza para crear la política de revisiones. El nombre tiene un formato como
StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE. -
Elija la pestaña Parámetros.
-
En la lista de Parámetros, en la columna Clave, busque la clave QSConfigurationID. En la columna Valor de su fila, busque el ID de configuración, por ejemplo
abcde.En este ejemplo, para que la etiqueta se aplique al perfil de instancia o al rol de servicio, la clave es
QSConfigId-abcdey el valor esabcde.
Para obtener información sobre cómo agregar etiquetas a un rol de IAM, consulte Etiquetar los roles de IAM y Administrar las etiquetas en los perfiles de instancia (AWS CLIo AWS API) en la Guía del usuario de IAM.
Caso 2: uso de puntos de conexión de VPC para conectarse a Systems Manager
Si utiliza puntos de conexión de VPC para conectarse a Systems Manager, su política de puntos de conexión de VPC para S3 debe permitir el acceso al bucket de S3 de su política de revisiones de Quick Setup.
Para obtener información sobre cómo agregar permisos a una política de puntos de conexión de VPC para S3, consulte Control del acceso desde puntos de conexión de VPC con políticas de bucket en la Guía del usuario de Amazon S3.
Política de permisos para buckets de S3 de Quick Setup
Puede proporcionar acceso comodín a todos los buckets de aws-quicksetup-patchpolicy o solo al bucket específico creado para su organización o cuenta. Para proporcionar los permisos necesarios en los dos casos que se describen a continuación, utilice uno de los dos formatos.
Asignación al azar de identificadores de línea de base de revisiones en las operaciones de la política de revisiones
Las operaciones de aplicación de revisiones para las políticas de revisiones utilizan el parámetro BaselineOverride del documento de comandos SSM AWS-RunPatchBaseline.
Si se utiliza AWS-RunPatchBaseline para aplicar revisiones fuera de una política de revisiones, se puede utilizar BaselineOverride para especificar una lista de líneas de base de revisiones que se utilizarán durante la operación y que sean distintas de las predeterminadas especificadas. Esta lista se crea en un archivo denominado baseline_overrides.json y se agrega manualmente a un bucket de Amazon S3 de su propiedad, tal y como se explica en Uso del parámetro BaselineOverride.
Sin embargo, para las operaciones de aplicación de revisiones basadas en políticas de revisiones, Systems Manager crea automáticamente un bucket de S3 y le agrega un archivo baseline_overrides.json. A continuación, cada vez que Quick Setup se ejecuta una operación de aplicación de revisiones (utilizando la función de Run Command), el sistema genera un identificador aleatorio para cada línea de base de revisiones. Este identificador es diferente para cada operación de aplicación de revisiones a la política de revisiones, y la línea de base de revisiones que representa no se almacena en su cuenta ni tiene acceso a ella.
Como resultado, no verá el ID de la línea de base de revisiones seleccionada en su configuración en los registros de aplicación de revisiones. Esto se aplica tanto a las líneas de base de revisiones de AWS administradas como a las líneas de base de revisiones personalizadas que haya seleccionado. El identificador de línea de base indicado en el registro es, en cambio, el que se generó para esa operación de aplicación de revisiones específica.
Además, si intenta ver los detalles en Patch Manager sobre la línea de base de revisiones que se generó con un identificador asignado al azar, el sistema indicará que la línea de base de revisiones no existe. Este es el comportamiento esperado y se puede omitir.
Creación de una política de revisiones
Para crear una política de revisiones, realice las siguientes tareas en la consola de Systems Manager.
Para crear una política de revisiones con Quick Setup
Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/
. Si va a configurar revisiones para una organización, asegúrese de haber iniciado sesión en la cuenta de administración de la organización. No puede configurar la política con la cuenta de administrador delegado ni con una cuenta de miembro.
En el panel de navegación, elija Quick Setup.
-
En la tarjeta de Patch Manager, elija Create (Crear).
sugerencia
Si ya tiene una o más configuraciones en su cuenta, seleccione primero la pestaña Biblioteca o el botón Crear de la sección Configuraciones para ver las tarjetas.
-
En Configuration name (Nombre de configuración), ingrese un nombre que ayude a identificar la política de revisiones.
-
En la sección Scanning and installation (Análisis e instalación), en Patch operation (Operación de revisiones), elija si la política de revisiones analizará los destinos especificados o analizará e instalará las revisiones en los destinos especificados.
-
En Scanning schedule (Programación de análisis), elija Use recommended defaults (Usar los valores predeterminados recomendados) o Custom scan schedule (Programación de análisis personalizado). La programación de análisis predeterminado analizará sus destinos todos los días a las 1:00 h UTC.
-
Si elige Custom scan schedule (Programación de análisis personalizado), seleccione la frecuencia de análisis (Scanning Frequency).
-
Si elige Daily (Diariamente), ingrese la hora, en UTC, en la que desea analizar sus destinos.
-
Si elige Custom CRON Expression (Expresión CRON personalizada), introduzca la programación como expresión CRON. Para obtener más información acerca de cómo dar formato a las expresiones CRON para Systems Manager, consulte Referencia: expresiones cron y rate para Systems Manager.
Además, seleccione Wait to scan targets until first CRON interval (Esperar para analizar los destinos hasta el primer intervalo CRON). De forma predeterminada, Patch Manager analiza inmediatamente los nodos a medida que se convierten en destinos.
-
-
Si elige Scan and install (Analizar e instalar), elija la programación de instalación que se utilizará al instalar las revisiones en los destinos especificados. Si elige Use recommended defaults (Usar los valores predeterminados recomendados), Patch Manager instalará revisiones semanalmente a las 2:00 h UTC del domingo.
-
Si elige Custom install schedule (Programación de instalación personalizada), seleccione la frecuencia de instalación (Installation Frequency).
-
Si elige Daily (Diariamente), ingrese la hora, en UTC, en la que desea instalar las actualizaciones en sus destinos.
-
Si elige Custom CRON expression (Expresión CRON personalizada), introduzca la programación como expresión CRON. Para obtener más información acerca de cómo dar formato a las expresiones CRON para Systems Manager, consulte Referencia: expresiones cron y rate para Systems Manager.
Además, desactive Wait to install updates until first CRON interval (Esperar a instalar las actualizaciones hasta el primer intervalo CRON) para instalar inmediatamente las actualizaciones en los nodos a medida que se convierten en destinos. De forma predeterminada, Patch Manager espera hasta el primer intervalo CRON para instalar las actualizaciones.
-
Elija Reboot if needed (Reiniciar si es necesario) para reiniciar los nodos después de la instalación de la revisión. Se recomienda reiniciar después de la instalación, pero puede causar problemas de disponibilidad.
-
-
En la sección Patch baseline (Línea de base de revisiones), elija las líneas de base de revisiones que se utilizarán al analizar y actualizar sus destinos.
De forma predeterminada, Patch Manager utiliza las líneas de base de revisiones predefinidas. Para obtener más información, consulte Acerca de las bases de referencia predefinidas.
Si elige Custom patch baseline (línea de base de revisiones personalizada), cambie la línea de base de revisiones seleccionada para los sistemas operativos que no desee utilizar una línea de base de revisiones de AWS predefinida.
nota
Si usa puntos de conexión de VPC para conectarse a Systems Manager, asegúrese de que su política de puntos de conexión de VPC para S3 permita el acceso a este bucket de S3. Para obtener más información, consulte Permisos para el bucket de S3 de la política de revisiones.
importante
Si utiliza una configuración de política de revisiones en Quick Setup, las actualizaciones que realice en las líneas de base de revisiones personalizadas se sincronizan con Quick Setup cada hora.
Si se elimina una línea de base de revisiones personalizada a la que se hacía referencia en una política de revisiones, aparece un banner en la página Configuration details (Detalles de configuración) de Quick Setup correspondiente a la política de revisiones. El banner le informa que la política de revisiones hace referencia a una línea de base de revisiones que ya no existe y que las operaciones de aplicación de revisiones posteriores fallarán. En este caso, vuelva a la página Configurations (Configuraciones) de Quick Setup, seleccione la configuración de Patch Manager y elija Actions (Acciones), Edit configuration (Editar configuración). El nombre de la línea de base de revisiones eliminado aparece resaltado y debe seleccionar una nueva línea de base de revisiones para el sistema operativo afectado.
-
(Opcional) En la sección Patching log storage (Almacenamiento de registros de revisiones), seleccione Write output to S3 bucket (Escribir salida en un bucket de S3) para almacenar los registros de operaciones de revisiones en un bucket de Amazon S3.
nota
Si está configurando una política de revisiones para una organización, la cuenta de administración de su organización debe tener al menos permisos de solo lectura para este bucket. Todas las unidades organizativas incluidas en la política deben tener acceso de escritura al bucket. Para obtener información sobre cómo conceder acceso a un bucket a diferentes cuentas, consulte el Ejemplo 2: el propietario del bucket concede permisos de bucket para varias cuentas en la Guía del usuario de Amazon Simple Storage Service.
-
Elija Examinar S3 para seleccionar el bucket en el que desea almacenar la salida del registro de revisiones. La cuenta de administración debe tener acceso de lectura a este bucket. Todos los destinos y las cuentas que no sean de administración configurados en la sección Targets (Destinos) deben tener acceso de escritura al bucket de S3 proporcionado para el registro.
-
En la sección Targets (Destinos), elija una de las siguientes opciones para identificar las cuentas y las regiones de esta operación de política de revisiones.
nota
Si trabaja en una sola cuenta, las opciones para trabajar con organizaciones y unidades organizativas (OU) no están disponibles. Puede elegir si desea aplicar esta configuración a todas las Regiones de AWS de su cuenta o solo a las regiones que seleccione.
-
Entire organization (Toda la organización): todas las cuentas y regiones de su organización.
-
Custom (Personalizado): solo las unidades organizativas y las regiones que especifique.
-
En la sección Target OUs (Unidades organizativas de destino), seleccione las unidades organizativas en las que desea configurar la política de revisiones.
-
En la sección Target Regions (Regiones de destino), seleccione las regiones en las que desea aplicar la política de revisiones.
-
-
Current account (Cuenta actual): solo se seleccionan las regiones que especifica en la cuenta en la que ha iniciado sesión actualmente. Seleccione una de las siguientes opciones:
-
Current Region (Región actual): solo se dirige a los nodos administrados de la región seleccionada en la consola.
-
Choose Regions (Elegir regiones): elija las regiones individuales a las que se aplicará la política de revisiones.
-
-
-
En Choose how you want to target instances (Elegir cómo desea dirigir las instancias), elija una de las siguientes opciones para identificar los nodos en los que desea aplicar revisiones:
-
All managed nodes (Todos los nodos administrados): todos los nodos administrados de las unidades organizativas y regiones seleccionadas.
-
Specify the resource group (Especificar el grupo de recursos): elija el nombre de un grupo de recursos de la lista para dirigir sus recursos asociados.
nota
Actualmente, la selección de grupos de recursos solo se admite para configuraciones de cuentas individuales. Para aplicar revisiones a recursos de varias cuentas, elija una opción de segmentación diferente.
-
Specify a node tag (Especificar una etiqueta de nodo): solo los nodos etiquetados con el par clave-valor que especifique tendrán revisiones aplicadas en todas las cuentas y regiones a las que se ha dirigido.
-
Manual: elija manualmente los nodos administrados de todas las cuentas y regiones especificadas de una lista.
nota
Actualmente, esta opción solo admite instancias de Amazon EC2.
-
-
En la sección Rate control (Control de frecuencia), haga lo siguiente:
-
En Concurrency (Simultaneidad), ingrese un número o un porcentaje de nodos en los cuales ejecutar la política de revisiones al mismo tiempo.
-
En Error threshold (Umbral de error), ingrese el número o el porcentaje de nodos que pueden experimentar un error antes de que falle la política de revisiones.
-
-
(Opcional) Seleccione la casilla Agregar políticas de IAM necesarias a los perfiles de instancia existentes asociados a sus instancias.
Esta selección aplica las políticas de IAM creadas por esta configuración de Quick Setup a los nodos que ya tengan un perfil de instancia asociado (instancias de EC2) o un rol de servicio asociado (nodos activados de manera híbrida). Recomendamos que seleccione esta opción cuando los nodos administrados ya tengan un perfil de instancia o un rol de servicio asociado, pero no contengan todos los permisos necesarios para trabajar con Systems Manager.
Su selección aquí se aplica a los nodos administrados que se creen más adelante en las cuentas y regiones a las que se aplica esta configuración de política de revisiones.
importante
Si no selecciona esta casilla pero quiere que Quick Setup aplique revisiones a los nodos administrados mediante esta política de revisiones, debe hacer lo siguiente:
Agregue permisos a su perfil de instancia de IAM o rol de servicio de IAM para acceder al bucket de S3 creado para su política de revisiones
Etiquete su perfil de instancia de IAM o rol de servicio de IAM con un par clave-valor específico.
Para obtener más información, consulte Caso 1: uso de su propio perfil de instancia o rol de servicio con los nodos administrados en lugar de utilizar uno proporcionado por Quick Setup.
-
Seleccione Crear.
Para revisar el estado de las revisiones una vez creada la política de revisiones, puede acceder a la configuración desde la página Quick Setup
.
