Conception de solutions de correctifs pour les instances EC2 mutables - AWS Directives prescriptives
Processus automatisé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conception de solutions de correctifs pour les instances EC2 mutables

Le processus de correctif pour les instances mutables implique les équipes et actions suivantes :

  • Leéquipes d'application (DevOps)définissez les groupes de correctifs pour leurs serveurs en fonction de l'environnement d'application, du type de système d'exploitation ou d'autres critères. Ils définissent également les fenêtres de maintenance spécifiques à chaque groupe de correctifs. Ces informations sont stockées sur leGroupe de correctifsetMaintenance Windowbalises des instances d'application EC2. Au cours de chaque cycle de correctifs, les équipes d'application se préparent au correctif, testent l'application après le correctif et résolvent tout problème lié à leurs applications et à leur système d'exploitation pendant le correctif.

  • Leéquipe d'opérations de sécuritédéfinit les lignes de base de correctifs pour les différents types de systèmes d'exploitation utilisés par les équipes d'application, approuve les correctifs et rend les correctifs disponibles via Systems Manager Patch Manager.

  • Lesolution de correctifs automatiséss'exécute régulièrement et déploie les correctifs définis dans les lignes de base de correctifs en fonction des groupes de correctifs définis par l'utilisateur et des fenêtres de maintenance. Les informations de conformité des correctifs sont obtenues via une synchronisation des données de ressources dans Systems Manager Inventory et sont utilisées pour les rapports de conformité des correctifs via les tableaux de bord Amazon QuickSight.

  • Leéquipes de gouvernance et de conformitédéfinir les directives de correctifs, définir les processus et mécanismes d'exception et obtenir les rapports de conformité auprès d'Amazon QuickSight.

Pour obtenir des informations détaillées sur les principales parties prenantes impliquées dans une solution de gestion des correctifs du système d'exploitation réussie et leurs responsabilités, consultez lePrincipales parties prenantes, rôles et responsabilitésdans la suite de ce guide.

Processus automatisé

La solution de correctifs automatisés utilise plusieursAWSservices fonctionnant en tandem pour déployer les correctifs sur les instances EC2. Ce processus impliqueAWS Config,AWS Lambda, Systems Manager, Amazon Simple Storage Service (Amazon S3) et Amazon QuickSight. Le schéma suivant illustre l'architecture de référence et le flux de travail.

Reference architecture and workflow for a standard mutable EC2 instance patching process

Le flux de travail inclut ces étapes, où les numéros de pas correspondent aux légendes du diagramme :

  1. AWS Configsurveille en permanence les éléments suivants et envoie des notifications avec les détails des instances non conformes et des configurations nécessaires :

    • Conformité au balisage des correctifs sur les instances EC2.AWS Configvérifie les instances qui n'ont pasGroupe de correctifsetMaintenance Windowétiquettes.

    • LeAWS Identity and Access Management(IAM) avec le rôle Systems Manager, qui permet à Systems Manager de gérer les instances.

  2. La fonction Lambda (on l'appelleraautomate-patch) s'exécute selon un calendrier prédéfini et recueille leGroupe de correctifsetMaintenance Windowinformations pour tous les serveurs.

  3. Leautomate-patchcrée ou met à jour les groupes de correctifs et les fenêtres de maintenance appropriés, associe les groupes de correctifs aux lignes de base de correctifs, configure l'analyse des correctifs et déploie la tâche de correction. Le cas échéant, leautomate-patchcrée également des événements dans Amazon CloudWatch Events pour informer les utilisateurs des correctifs imminents.

  4. Sur la base des fenêtres de maintenance, les événements envoient des notifications de correctifs aux équipes d'application avec les détails de l'opération de correctif imminente.

  5. Patch Manager effectue des correctifs système en fonction de la planification définie et des groupes de correctifs.

  6. Une synchronisation des données de ressources dans Systems Manager Inventory rassemble les détails des correctifs et les publie dans un compartiment S3.

  7. Les rapports de conformité des correctifs et les tableaux de bord sont intégrés à Amazon QuickSight à partir des informations du compartiment S3.