Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Application de correctifs sur les nœuds gérés à la demande
L'utilisation de l'option Corriger maintenant dans Patch Manager, une fonctionnalité de AWS Systems Manager, vous permet d'exécuter des opérations d'application de correctifs à la demande depuis la console Systems Manager. Cela signifie que vous n'avez pas à créer de calendrier pour mettre à jour le statut de conformité de vos nœuds gérés ou pour installer des correctifs sur les nœuds non conformes. Vous n'avez pas non plus besoin de permuter la console Systems Manager entre Patch Manager et Maintenance Windows, une fonctionnalité de AWS Systems Manager, pour configurer ou modifier une fenêtre d'application de correctifs planifiée.
L'option Patch now (Appliquer les correctifs maintenant) est particulièrement utile lorsque vous devez appliquer des mises à jour « zéro jour » ou installer d'autres correctifs critiques sur vos nœuds gérés dans les plus brefs délais.
Note
L'application de correctifs à la demande est prise en charge pour une seule Compte AWSRégion AWS paire à la fois. Elle ne peut pas être utilisée avec des opérations d'application de correctifs basées sur des politiques de correctif. Nous vous recommandons d'utiliser des politiques de correctif pour garantir la conformité de tous vos nœuds gérés. Pour plus d'informations sur l'utilisation des politiques de correctifs, consultez la rubrique Utilisation des stratégies de correctifs Quick Setup.
Rubriques
Fonctionnement de l'option « Corriger maintenant »
Pour exécuter l'option Corriger maintenant, vous devez spécifier deux paramètres obligatoires seulement :
-
La simple recherche des correctifs manquants, ou l'analyse et l'installation des correctifs sur vos nœuds gérés
-
Les nœuds gérés sur lesquels exécuter l'opération
Lorsque l'opération Patch now (Appliquer les correctifs maintenant) s'exécute, elle détermine le référentiel de correctifs à utiliser, comme pour les autres opérations d'application de correctifs. Si un nœud géré est associé à un groupe de correctifs, le référentiel de correctifs spécifié pour ce groupe est utilisé. Si le nœud géré n'est associé à aucun groupe de correctifs, l'opération utilise le référentiel de correctifs défini par défaut pour le type de système d'exploitation du nœud géré. Il peut s'agir d'un référentiel prédéfini ou du référentiel personnalisé que vous avez défini par défaut. Pour plus d'informations sur la sélection du référentiel de correctifs, consultez À propos des groupes de correctifs.
Parmi les options que vous pouvez spécifier pour l'opération Patch now (Appliquer les correctifs maintenant) figurent le choix du moment, ou de l'opportunité, de redémarrer les nœuds gérés après l'application de correctifs, la spécification d'un compartiment Amazon Simple Storage Service (Amazon S3) pour stocker les données de journal de l'opération d'application de correctifs, et l'exécution de documents Systems Manager (documents SSM) en tant que hooks de cycle de vie pendant l'application des correctifs.
Seuils de simultanéité et d'erreur pour l'option « Corriger maintenant »
Pour les opérations Corriger maintenant, les options de simultanéité et de seuil d'erreur sont gérées par Patch Manager. Il n'est pas nécessaire de spécifier le nombre de nœuds gérés à corriger simultanément, ni le nombre d'erreurs autorisées avant que l'opération échoue. Patch Manager applique les paramètres de simultanéité et de seuil d'erreur décrits dans les tableaux suivants lorsque vous appliquez des correctifs à la demande.
Important
Les seuils suivants s'appliquent aux opérations Scan and install uniquement. Pour les opérations Scan, Patch Manager tente d'analyser jusqu'à 1 000 nœuds simultanément et de poursuivre l'analyse jusqu'à ce qu'il ait rencontré jusqu'à 1 000 erreurs.
Concurrences : opérations d'installation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nombre total de nœuds gérés associés à l'opération Patch now (Appliquer les correctifs maintenant) | Nombre de nœuds gérés analysés ou corrigés simultanément | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Moins de 25 | 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 25 à 100 | 5 % | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 101 à 1 000 | 8 % | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Plus de 1 000 | 10 % | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Seuil d'erreur : opérations d'installation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nombre total de nœuds gérés associés à l'opération Patch now (Appliquer les correctifs maintenant) | Nombre d'erreurs autorisées avant que l'opération échoue | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Moins de 25 | 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 25 à 100 | 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 101 à 1 000 | 10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Plus de 1 000 | 10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Utilisation des hooks de cycle de vie « Corriger maintenant »
L'opération Corriger maintenant vous permet d'exécuter des documents SSM Command en tant que hooks de cycle de vie durant une opération d'application de correctifs Install. Vous pouvez utiliser ces hooks pour des tâches telles que l'arrêt des applications avant l'application de correctifs ou l'exécution de surveillances de l'état de vos applications après l'application de correctifs ou après un redémarrage.
Pour plus d'informations sur l'utilisation des hooks de cycle de vie, consultez À propos du document SSM AWS-RunPatchBaselineWithHooks.
Le tableau suivant répertorie les hooks de cycle de vie disponibles pour chacun des trois options Corriger maintenant, ainsi que des exemples d'utilisation pour chaque hook.
Hooks de cycle de vie et exemples d'utilisation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Option de redémarrage | Hook : avant l'installation | Hook : après l'installation | Hook : à la sortie | Hook : après le redémarrage planifié | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Redémarrer si nécessaire |
Exécutez un document SSM avant le début de l'application des correctifs. Exemple d'utilisation : arrêtez les applications en toute sécurité avant le début du processus d'application des correctifs. |
Exécutez un document SSM à la fin de l'opération d'application des correctifs et avant le redémarrage du nœud géré. Exemple d'utilisation : exécutez des opérations telles que l'installation d'applications tierces avant un redémarrage potentiel. |
Exécutez un document SSM une fois l'opération de correctif terminée et les instances redémarrées. Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après l'application des correctifs. |
Non disponible | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ne pas redémarrer mes instances | Idem ci-dessus. |
Exécutez un document SSM à la fin de l'opération d'application des correctifs. Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après l'application des correctifs. |
Non disponible |
Non disponible |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Planifier une heure de redémarrage | Idem ci-dessus. | Identique à Ne pas redémarrer mes instances. | Non disponible |
Exécutez un document SSM immédiatement après la fin d'un redémarrage planifié. Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après le redémarrage. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Exécution de l'option « Corriger maintenant »
Procédez comme suit pour appliquer des correctifs à la demande à vos nœuds gérés.
Pour exécuter l'option « Corriger maintenant »
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. -
Dans le panneau de navigation, sélectionnez Patch Manager.
-
Sur la AWS Systems Manager Patch Managerpage ou sur la page des lignes de base des correctifs, selon celle qui s'ouvre, choisissez Patch now.
-
Pour Opération d'application des correctifs, sélectionnez l'une des options suivantes :
-
Scan (Analyser) : Patch Manager recherche les correctifs manquants sur vos nœuds gérés, mais ne les installe pas. Vous pouvez afficher les résultats dans le tableau de bord Compliance ou dans les autres outils que vous utilisez pour afficher la conformité des correctifs.
-
Scan and install (Analyser et installer) : Patch Manager recherche les correctifs manquants sur vos nœuds gérés et les installe.
-
-
Effectuez cette étape uniquement si vous avez choisi Analyser et installer à l'étape précédente. Pour Reboot option (Option de redémarrage), sélectionnez l'une des options suivantes :
-
Reboot if needed (Redémarrer si nécessaire) : après l'installation, Patch Manager ne redémarre les nœuds gérés que si cela est nécessaire pour finaliser l'installation des correctifs.
-
Don't reboot my instances (Ne pas redémarrer mes instances) : après l'installation, Patch Manager ne redémarre pas les nœuds gérés. Vous pouvez redémarrer les nœuds manuellement lorsque vous sélectionnez ou gérez les redémarrages en dehors de Patch Manager.
-
Schedule a reboot time (Planifier une heure de redémarrage) : spécifiez la date, l'heure et le fuseau horaire UTC auxquels vous souhaitez que Patch Manager redémarre vos nœuds gérés. Après avoir exécuté l'option Corriger maintenant, le redémarrage planifié est répertorié comme une association dans State Manager sous le nom
AWS-PatchRebootAssociation.
-
-
Pour Instances to patch (Instances à corriger), sélectionnez l'une des options suivantes :
-
Corrigez toutes les instances : Patch Manager exécute actuellement l'opération spécifiée sur tous les nœuds gérés Compte AWS de votre instance Région AWS.
-
Patch only the target instances I specify (N'appliquer les correctifs que sur les instances cibles que je spécifie) : vous spécifiez les nœuds gérés à cibler à l'étape suivante.
-
-
Utilisez cette étape uniquement si vous avez choisi Corriger seulement les instances cibles que je spécifie à l'étape précédente. Dans la section Target selection (Sélection de la cible), identifiez les nœuds sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant les nœuds manuellement ou en spécifiant un groupe de ressources.
Note
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez Résolution des problèmes de disponibilité des nœuds gérés pour obtenir des conseils de dépannage.
Si vous choisissez de cibler un groupe de ressources, notez que les groupes de ressources basés sur une AWS CloudFormation pile doivent toujours être étiquetés avec la
aws:cloudformation:balise par défaut. Si elle a été supprimée, cela peut empêcher Patch Manager de déterminer quels nœuds gérés appartiennent au groupe de ressources.stack-id -
(Facultatif) Pour Stockage des journaux d'application des correctifs, si vous voulez créer et enregistrer des journaux à partir de cette opération d'application de correctifs, sélectionnez le compartiment S3 dans lequel les journaux seront stockés.
Note
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager ou Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud. En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, assurez-vous que le profil d'instance ou le rôle de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
-
(Facultatif) Pour exécuter des documents SSM en tant que hooks de cycle de vie au niveau de points spécifiques de l'opération d'application de correctifs, procédez comme suit :
-
Sélectionnez Utiliser des hooks de cycle de vie.
-
Pour chaque hook disponible, sélectionnez le document SSM à exécuter au point spécifié de l'opération :
-
Avant l'installation
-
Après l'installation
-
À la sortie
-
Après le redémarrage planifié
Note
Le document par défaut,
AWS-Noop, n'exécute aucune opération. -
-
-
Sélectionnez Corriger maintenant.
La page Association execution summary (Résumé d'exécution de l'association) s'ouvre. (Le patch utilise désormais des associations dansState Manager, une fonctionnalité de AWS Systems Manager, pour ses opérations.) Dans la zone Operation summary (Résumé de l'opération), vous pouvez surveiller le statut de l'analyse ou de l'application des correctifs sur les nœuds gérés que vous avez spécifiés.
