Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaselineAssociation
Comme le document AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation effectue des opérations d'application de correctifs, pour les mises à jour liées à la sécurité et pour d'autres types de mises à jour. Vous pouvez également utiliser le document AWS-RunPatchBaselineAssociation pour appliquer des correctifs pour les systèmes d'exploitation et les applications. (Activé Windows Server, le support des applications est limité aux mises à jour des applications publiées par Microsoft.)
Ce document prend en charge les instances Amazon Elastic Compute Cloud (AmazonEC2) pour Linux, macOS, et Windows Server. Il ne prend pas en charge EC2 les non-nœuds dans un environnement hybride et multicloud. Le document exécutera les actions appropriées pour chaque plate-forme, en invoquant un module Python sous Linux et macOS instances, et un PowerShell module sur les instances Windows.
AWS-RunPatchBaselineAssociation diffère cependant de AWS-RunPatchBaseline par les aspects suivants :
-
AWS-RunPatchBaselineAssociationest destiné à être utilisé principalement avec State Manager associations créées à l'aide de Quick Setup, une capacité de AWS Systems Manager. Plus précisément, lorsque vous utilisez le Quick Setup Type de configuration de gestion de l'hôte, si vous choisissez l'option Analyser les instances pour détecter les correctifs manquants tous les jours, le systèmeAWS-RunPatchBaselineAssociationles utilise pour l'opération.Dans la plupart des cas, cependant, lors de la configuration de vos propres opérations d'application de correctifs, sélectionnez AWS-RunPatchBaseline ou AWS-RunPatchBaselineWithHooks de préférence à
AWS-RunPatchBaselineAssociation. -
Lorsque vous utilisez le document
AWS-RunPatchBaselineAssociation, vous pouvez spécifier une paire clé-balise dans le champ de paramètreBaselineTagsdu document. Si une ligne de base de patch personnalisée de votre Compte AWS site partage ces balises, Patch Manager, une fonctionnalité de AWS Systems Manager, utilise cette ligne de base balisée lorsqu'elle s'exécute sur les instances cibles au lieu de la ligne de base de correctifs « par défaut » actuellement spécifiée pour le type de système d'exploitation.Important
Si vous choisissez de l'utiliser
AWS-RunPatchBaselineAssociationdans des opérations d'application de correctifs autres que celles configurées à l'aide de Quick Setup, et si vous souhaitez utiliser sonBaselineTagsparamètre facultatif, vous devez fournir des autorisations supplémentaires au profil d'instance pour les instances Amazon Elastic Compute Cloud (AmazonEC2). Pour de plus amples informations, veuillez consulter Nom du paramètre: BaselineTags.Les deux formats suivants sont valides pour votre paramètre
BaselineTags:Key=tag-key,Values=tag-valueKey=tag-key,Values=tag-value1,tag-value2,tag-value3 -
Lors de son
AWS-RunPatchBaselineAssociationexécution, les données de conformité des correctifs collectées sont enregistrées à l'aide de laPutComplianceItemsAPI commande plutôt que de laPutInventorycommande, qui est utilisée parAWS-RunPatchBaseline. Cette différence signifie que les informations de conformité des correctifs sont stockées et signalées pour une association particulière. Les données sur la conformité des correctifs générées hors de cette association ne sont pas remplacées. -
Les informations de conformité des correctifs signalées après l'exécution de
AWS-RunPatchBaselineAssociationindiquent si une instance est conforme ou non. Il n'inclut pas les détails au niveau du correctif, comme le montre le résultat de la commande suivante AWS Command Line Interface (AWS CLI). La commande exécute un filtrage surAssociationcomme type de conformité :aws ssm list-compliance-items \ --resource-ids "i-02573cafcfEXAMPLE" \ --resource-types "ManagedInstance" \ --filters "Key=ComplianceType,Values=Association,Type=EQUAL" \ --region us-east-2Le système retourne des informations telles que les suivantes.
{ "ComplianceItems": [ { "Status": "NON_COMPLIANT", "Severity": "UNSPECIFIED", "Title": "MyPatchAssociation", "ResourceType": "ManagedInstance", "ResourceId": "i-02573cafcfEXAMPLE", "ComplianceType": "Association", "Details": { "DocumentName": "AWS-RunPatchBaselineAssociation", "PatchBaselineId": "pb-0c10e65780EXAMPLE", "DocumentVersion": "1" }, "ExecutionSummary": { "ExecutionTime": 1590698771.0 }, "Id": "3e5d5694-cd07-40f0-bbea-040e6EXAMPLE" } ] }
Si une valeur de paire de clés de balise a été spécifiée en tant que paramètre pour le AWS-RunPatchBaselineAssociation document, Patch Manager recherche une ligne de base de correctif personnalisée qui correspond au type de système d'exploitation et qui a été étiquetée avec la même paire tag-clé. Cette recherche ne se limite pas au référentiel de correctifs par défaut actuellement spécifié ou au référentiel affecté à un groupe de correctifs. Si aucune ligne de base n'est trouvée avec les balises spécifiées, Patch Manager recherche ensuite un groupe de correctifs, s'il a été spécifié dans la commande exécutéeAWS-RunPatchBaselineAssociation. Si aucun groupe de correctifs ne correspond, Patch Manager revient à la ligne de base de correctifs par défaut actuelle pour le compte du système d'exploitation.
Si plusieurs lignes de base de correctifs sont trouvées avec les balises spécifiées dans le AWS-RunPatchBaselineAssociation document, Patch Manager renvoie un message d'erreur indiquant qu'une seule ligne de base de correctif peut être étiquetée avec cette paire clé-valeur pour que l'opération puisse se poursuivre.
Note
Sur les instances Linux, le gestionnaire de packages approprié pour chaque type d'instance est utilisé pour installer les packages :
-
Amazon Linux 1, Amazon Linux 2, CentOS, Oracle Linux, et RHEL les instances utilisentYUM. Pour les YUM opérations, Patch Manager nécessite
Python 2.6ou une version ultérieure prise en charge (2.6 - 3.10). -
Debian Server, Raspberry Pi OS, et Ubuntu Server les instances utilisentAPT. Pour les APT opérations, Patch Manager nécessite une version prise en charge de
Python 3(3.0 - 3.10). -
SUSE Linux Enterprise Server les instances utilisent Zypper. Pour les opérations Zypper, Patch Manager nécessite
Python 2.6ou une version ultérieure prise en charge (2.6 - 3.10).
Une fois l'analyse terminée ou toutes les mises à jour approuvées et applicables installées, et les redémarrages exécutés au besoin, les informations de conformité des correctifs sont générées sur une instance et rapportées au service Patch Compliance.
Note
Si le RebootOption paramètre est défini sur NoReboot dans le AWS-RunPatchBaselineAssociation document, l'instance n'est pas redémarrée après Patch Manager court. Pour de plus amples informations, veuillez consulter Nom du paramètre: RebootOption.
Pour plus d'informations sur l'affichage des données de conformité des correctifs, consultez A propos de la conformité des correctifs.
AWS-RunPatchBaselineAssociation paramètres
AWS-RunPatchBaselineAssociation prend en charge quatre paramètres. Les paramètres Operation et AssociationId sont obligatoires. Les paramètres InstallOverrideList, RebootOption et BaselineTags sont facultatifs.
Paramètres
Nom du paramètre: Operation
Utilisation : Obligatoire.
Options : Scan | Install.
- Analyser
-
Lorsque vous choisissez
Scancette option,AWS-RunPatchBaselineAssociationdétermine l'état de conformité des correctifs de l'instance et transmet ces informations à Patch Manager.Scanne demande pas l'installation de mises à jour ou le redémarrage des instances. Cet opération identifie plutôt à quel emplacement il manque des mises à jour approuvées et applicables à l'instance. - Installation
-
Lorsque vous sélectionnez l'option
Install,AWS-RunPatchBaselineAssociationtente d'installer les mises à jour approuvées et applicables qui sont manquantes dans l'instance. Les informations de conformité des correctifs générées dans le cadre d'une opérationInstallne répertorient pas les mises à jour manquantes, mais peuvent signaler les mises à jour avec un état d'échec si l'installation de la mise à jour a échoué pour une raison ou pour une autre. À chaque installation d'une mise à jour sur une instance, cette dernière est redémarrée pour s'assurer que la mise à jour est non seulement installée, mais également active. (Exception : si leRebootOptionparamètre est défini surNoRebootdans leAWS-RunPatchBaselineAssociationdocument, l'instance n'est pas redémarrée après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)Note
Si un correctif spécifié par les règles de base est installé avant Patch Manager met à jour l'instance, le système risque de ne pas redémarrer comme prévu. Cela peut se produire lorsqu'un correctif est installé manuellement par un utilisateur ou automatiquement par un autre programme, tel que le
unattended-upgradespackage sur Ubuntu Server.
Nom du paramètre: BaselineTags
Utilisation : Facultatif.
BaselineTags est une paire clé-valeur de balise unique que vous sélectionnez et affectez à un référentiel de correctifs personnalisé. Vous pouvez spécifier une ou plusieurs valeurs pour ce paramètre. Les deux formats sont valides :
Key=tag-key,Values=tag-value
Key=tag-key,Values=tag-value1,tag-value2,tag-value3
La BaselineTags valeur est utilisée par Patch Manager pour garantir qu'un ensemble d'instances auxquelles des correctifs sont appliqués en une seule opération possède exactement le même ensemble de correctifs approuvés. Lorsque l'opération de correction est exécutée, Patch Manager vérifie si une ligne de base de correctif pour le type de système d'exploitation est étiquetée avec la même paire clé-valeur que celle que vous avez spécifiée. BaselineTags En cas de correspondance, ce référentiel de correctifs personnalisé est utilisé. En l'absence de correspondance, un référentiel de correctifs est identifié en fonction de n'importe quel groupe de correctifs spécifié pour l'application de correctifs. S'il n'y en a pas, la ligne de base de correctifs prédéfinie AWS gérée pour ce système d'exploitation est utilisée.
Exigences d'autorisations supplémentaires
Si vous utilisez des opérations AWS-RunPatchBaselineAssociation d'application de correctifs autres que celles configurées à l'aide de Quick Setup, et si vous souhaitez utiliser le BaselineTags paramètre facultatif, vous devez ajouter les autorisations suivantes au profil d'instance pour les instances Amazon Elastic Compute Cloud (AmazonEC2).
Note
Quick Setup et AWS-RunPatchBaselineAssociation ne prennent pas en charge les serveurs locaux et les machines virtuelles (VMs).
{ "Effect": "Allow", "Action": [ "ssm:DescribePatchBaselines", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetPatchBaseline", "ssm:DescribeEffectivePatchesForPatchBaseline" ], "Resource": "patch-baseline-arn" }
Remplacez patch-baseline-arn avec le nom de ressource Amazon (ARN) de la ligne de base de correctif à laquelle vous souhaitez donner accès, au formatarn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE.
Nom du paramètre: AssociationId
Utilisation : Obligatoire.
AssociationIdest l'identifiant d'une association existante dans State Manager, une capacité de AWS Systems Manager. Il est utilisé par Patch Manager pour ajouter des données de conformité à une association spécifiée. Cette association est liée à une Scan opération de correctif activée dans une configuration de gestion d'hôte créée dans Quick Setup. En envoyant les résultats des correctifs sous forme de données de conformité d'association plutôt que de données de conformité d'inventaire, les informations de conformité d'inventaire existantes pour vos instances ne sont pas remplacées après une opération de correction, ni pour toute autre association. IDs Si vous n'avez pas encore d'association à utiliser, vous pouvez en créer une en exécutant create-associationla commande. Par exemple :
Nom du paramètre: InstallOverrideList
Utilisation : Facultatif.
En utilisantInstallOverrideList, vous spécifiez un URL style de chemin https URL ou Amazon Simple Storage Service (Amazon S3) vers une liste de correctifs à installer. Cette liste d'installation de correctifs, que vous conservez au YAML format, remplace les correctifs spécifiés par la ligne de base de correctifs par défaut actuelle. Cela vous offre un contrôle plus précis sur les correctifs installés sur vos instances.
Le comportement de l'opération de correction lors de l'utilisation du InstallOverrideList paramètre diffère entre Linux et macOS nœuds gérés et Windows Server nœuds gérés. Sur Linux et macOS, Patch Manager tente d'appliquer les correctifs inclus dans la liste des InstallOverrideList correctifs présents dans n'importe quel référentiel activé sur le nœud, que les correctifs respectent ou non les règles de base des correctifs. Activé Windows Server nœuds, cependant, les correctifs de la liste des InstallOverrideList correctifs ne sont appliqués que s'ils correspondent également aux règles de base des correctifs.
Sachez que les rapports de conformité reflètent les états de correctif en fonction de ce qui est spécifié dans le référentiel de correctifs et non pas de ce que vous spécifiez dans une liste InstallOverrideList de correctifs. En d'autres termes, les opérations d'analyse ignorent le paramètre InstallOverrideList. Cela permet de garantir que les rapports de conformité reflètent constamment les états de correctif en fonction de la politique plutôt que de ce qui a été approuvé pour une opération spécifique d'application de correctifs.
URLFormats valides
Note
Si votre fichier est stocké dans un compartiment accessible au public, vous pouvez spécifier un URL format https ou un style de chemin URL Amazon S3. Si votre fichier est stocké dans un compartiment privé, vous devez spécifier un style de chemin URL Amazon S3.
-
Exemple de URL format https :
https://s3.amazonaws.com/amzn-s3-demo-bucket/my-windows-override-list.yaml -
Exemple de chemin d'accès Amazon S3 : URL
s3://amzn-s3-demo-bucket/my-windows-override-list.yaml
Formats YAML de contenu valides
Les formats que vous utilisez pour spécifier des correctifs dans votre liste dépendent du système d'exploitation de votre instance. Le format général, toutefois, est le suivant :
patches: - id: '{patch-d}' title: '{patch-title}' {additional-fields}:{values}
Bien que vous puissiez fournir des champs supplémentaires dans votre YAML fichier, ils sont ignorés lors des opérations de correction.
En outre, nous vous recommandons de vérifier que le format de votre YAML fichier est valide avant d'ajouter ou de mettre à jour la liste dans votre compartiment S3. Pour plus d'informations sur le YAML format, consultez yaml.org
-
Microsoft Windows
id
Le champ id est obligatoire. Utilisez-le pour spécifier des correctifs à l'aide de la base de connaissances Microsoft IDs (par exempleKB2736693) et du bulletin de sécurité Microsoft IDs (par exemple, MS17 -023).
Tous les autres champs que vous voulez fournir dans une liste de correctifs pour Windows sont facultatifs et fournis à titre d'information uniquement. Vous pouvez utiliser des champs supplémentaires, tels que title, classification, severity ou autre, pour fournir des informations plus détaillées sur les correctifs spécifiés.
-
Linux
id
Le champ id est obligatoire. Utilisez-le pour spécifier des correctifs à l'aide du nom du package et de l'architecture. olpPar exemple :
'dhclient.x86_64'. Vous pouvez utiliser des caractères génériques dans l'ID pour indiquer plusieurs packages. Par exemple :'dhcp*'et'dhcp*1.*'.title
Le champ title (titre) est facultatif mais, sur les systèmes Linux, il fournit des fonctionnalités de filtrage supplémentaires. Si vous utilisez le champ title (titre), il doit contenir les informations de version de package dans l'un des formats suivants :
YUM/SUSE Linux Enterprise Server (SLES):
{name}.{architecture}:{epoch}:{version}-{release}APT
{name}.{architecture}:{version}Pour les titres de correctifs Linux, vous pouvez utiliser un ou plusieurs caractères génériques dans n'importe quelle position pour étendre le nombre de correspondances de package. olpPar exemple :
'*32:9.8.2-0.*.rc1.57.amzn1'.Par exemple :
-
La version 1.2.25 du package apt est actuellement installée sur votre instance, mais la version 1.2.27 est désormais disponible.
-
Vous ajoutez apt.amd64 version 1.2.27 à la liste des correctifs. Elle dépend de apt utils.amd64 version 1.2.27, mais apt-utils.amd64 version 1.2.25 est spécifié dans la liste.
Dans ce cas, l'installation de la version 1.2.27 d'apt sera bloquée et signalée comme « Failed- NonCompliant ».
-
Autres champs
Tous les autres champs que vous voulez fournir dans une liste de correctifs pour Linux sont facultatifs et fournis à titre d'information uniquement. Vous pouvez utiliser des champs supplémentaires, tels que classification, severity ou autre, pour fournir des informations plus détaillées sur les correctifs spécifiés.
Exemples de listes de correctifs
-
Windows
patches: - id: 'KB4284819' title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)' - id: 'KB4284833' - id: 'KB4284835' title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)' - id: 'KB4284880' - id: 'KB4338814' -
APT
patches: - id: 'apparmor.amd64' title: '2.10.95-0ubuntu2.9' - id: 'cryptsetup.amd64' title: '*2:1.6.6-5ubuntu2.1' - id: 'cryptsetup-bin.*' title: '*2:1.6.6-5ubuntu2.1' - id: 'apt.amd64' title: '*1.2.27' - id: 'apt-utils.amd64' title: '*1.2.25' -
Amazon Linux
patches: - id: 'kernel.x86_64' - id: 'bind*.x86_64' title: '32:9.8.2-0.62.rc1.57.amzn1' - id: 'glibc*' - id: 'dhclient*' title: '*12:4.1.1-53.P1.28.amzn1' - id: 'dhcp*' title: '*10:3.1.1-50.P1.26.amzn1' -
Red Hat Enterprise Linux (RHEL)
patches: - id: 'NetworkManager.x86_64' title: '*1:1.10.2-14.el7_5' - id: 'NetworkManager-*.x86_64' title: '*1:1.10.2-14.el7_5' - id: 'audit.x86_64' title: '*0:2.8.1-3.el7' - id: 'dhclient.x86_64' title: '*.el7_5.1' - id: 'dhcp*.x86_64' title: '*12:5.2.5-68.el7' -
SUSE Linux Enterprise Server (SLES)
patches: - id: 'amazon-ssm-agent.x86_64' - id: 'binutils' title: '*0:2.26.1-9.12.1' - id: 'glibc*.x86_64' title: '*2.19*' - id: 'dhcp*' title: '0:4.3.3-9.1' - id: 'lib*' -
Ubuntu Server
patches: - id: 'apparmor.amd64' title: '2.10.95-0ubuntu2.9' - id: 'cryptsetup.amd64' title: '*2:1.6.6-5ubuntu2.1' - id: 'cryptsetup-bin.*' title: '*2:1.6.6-5ubuntu2.1' - id: 'apt.amd64' title: '*1.2.27' - id: 'apt-utils.amd64' title: '*1.2.25' -
Windows
patches: - id: 'KB4284819' title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)' - id: 'KB4284833' - id: 'KB4284835' title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)' - id: 'KB4284880' - id: 'KB4338814'
Nom du paramètre: RebootOption
Utilisation : Facultatif.
Options : RebootIfNeeded | NoReboot
Par défaut : RebootIfNeeded
Avertissement
L'option par défaut est RebootIfNeeded. Veillez à sélectionner l'option qui correspond à votre cas d'utilisation. Par exemple, si un redémarrage immédiat de vos instances est nécessaire pour finaliser un processus de configuration, sélectionnez RebootIfNeeded. Ou, si des instances doivent rester disponibles jusqu'à une heure de redémarrage planifiée, sélectionnez NoReboot.
Important
Nous ne recommandons pas d'utiliser Patch Manager pour appliquer des correctifs à des instances de cluster dans Amazon EMR (anciennement Amazon Elastic MapReduce). Ne sélectionnez pas l'option RebootIfNeeded pour le paramètre RebootOption. (Cette option est disponible dans les documents de SSM commande pour les correctifs AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation, etAWS-RunPatchBaselineWithHooks.)
Les commandes sous-jacentes pour appliquer des correctifs à l'aide de Patch Manager utilisation yum et dnf commandes. Par conséquent, les opérations entraînent des incompatibilités en raison de la manière dont les packages sont installés. Pour plus d'informations sur les méthodes préférées pour mettre à jour le logiciel sur les EMR clusters Amazon, consultez Utiliser la valeur par défaut AMI pour Amazon EMR dans le guide EMR de gestion Amazon.
- RebootIfNeeded
-
Lorsque vous sélectionnez l'option
RebootIfNeeded, l'instance est redémarrée dans l'un des cas suivants :-
Patch Manager installé un ou plusieurs correctifs.
Patch Manager n'évalue pas si un redémarrage est requis par le correctif. Le système est redémarré même si le correctif ne nécessite pas de redémarrage.
-
Patch Manager détecte un ou plusieurs correctifs dont l'état est en
INSTALLED_PENDING_REBOOTcours d'Installopération.L'
INSTALLED_PENDING_REBOOTétat peut indiquer que l'optionNoReboota été sélectionnée lors de la dernière exécution de l'Installopération ou qu'un correctif a été installé en dehors de Patch Manager depuis le dernier redémarrage du nœud géré.
Dans ces deux cas, le redémarrage des instances garantit que les packages mis à jour sont supprimés de la mémoire et assure la cohérence du comportement d'application de correctifs et de redémarrage sur tous les systèmes d'exploitation.
-
- NoReboot
-
Lorsque vous choisissez
NoRebootcette option, Patch Manager ne redémarre pas une instance même si elle a installé des correctifs pendant l'Installopération. Cette option est utile si vous savez que vos instances ne nécessitent pas de redémarrage après l'application des correctifs, ou si vous avez des applications ou des processus en cours d'exécution sur une instance qui ne doivent pas être perturbés par un redémarrage suite à une opération d'application de correctifs. Elle est également utile lorsque vous voulez plus de contrôle sur le timing des redémarrages d'instance, par exemple en utilisant une fenêtre de maintenance.
Fichier de suivi de l'installation des correctifs : pour suivre l'installation des correctifs, en particulier les correctifs installés depuis le dernier redémarrage du système, Systems Manager gère un fichier sur l'instance gérée.
Important
Ne supprimez pas ou ne modifiez pas le fichier de suivi. Si ce fichier est supprimé ou endommagé, le rapport de conformité des correctifs pour l'instance est inexact. Si cela se produit, redémarrez l'instance et exécutez une opération d'analyse des correctifs pour restaurer le fichier.
Ce fichier de suivi est stocké dans les emplacements suivants sur vos instances gérées :
-
Systèmes d'exploitation Linux :
-
/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json -
/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json
-
-
Windows Server système d'exploitation :
-
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json -
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json
-
