À propos des références de correctifs prédéfinies et personnalisées - AWS Systems Manager
À propos des références prédéfiniesÀ propos des références personnalisées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À propos des références de correctifs prédéfinies et personnalisées

Patch Manager, une fonctionnalité de AWS Systems Manager, fournit des lignes de base de correctifs prédéfinies pour chacun des systèmes d'exploitation pris en charge parPatch Manager. Vous pouvez utiliser ces lignes de base telles qu'elles sont actuellement configurées (vous ne pouvez pas les personnaliser) ou vous pouvez créer vos propres lignes de base de correctifs personnalisées. Les lignes de base de correctifs personnalisées vous permettent de mieux contrôler les correctifs approuvés ou rejetés pour votre environnement. En outre, les lignes de base prédéfinies attribuent un niveau de conformité Unspecified à tous les correctifs installés à l'aide de ces lignes de base. Pour que les valeurs de conformité soient affectées, vous pouvez créer une copie d'une ligne de base prédéfinie et spécifier les valeurs de conformité que vous souhaitez affecter aux correctifs. Pour plus d'informations, consultez À propos des références personnalisées et Utilisation des référentiels de correctifs personnalisés.

Note

Les informations de cette rubrique s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :

  • Une politique de correctifs configurée dans Quick Setup

  • Une option de gestion des hôtes configurée dans Quick Setup

  • Une fenêtre de maintenance pour exécuter un correctif Scan ou une tâche Install

  • Une opération Patch now (Appliquer les correctifs maintenant) à la demande

À propos des références prédéfinies

Le tableau ci-dessous décrit les références de correctifs prédéfinies fournies avec Patch Manager.

Pour plus d'informations sur les versions de chaque système d'exploitation que Patch Manager prend en charge, consultez Conditions préalables requises Patch Manager.

Nom Système d'exploitation pris en charge Détails

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue). L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux 1

Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Avec une classification « Bugfix », l'approbation automatique de tous les correctifs est possible. L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹
AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Avec une classification « Bugfix », l'approbation automatique de tous les correctifs est possible. L'approbation automatique des correctifs se fait 7 jours après leur publication.¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Les correctifs sont approuvés automatiquement sept jours après leur publication. Approuve également tous les correctifs avec une classification « Bugfix (correctif de bogue) » sept jours après leur publication.
AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Les correctifs sont approuvés automatiquement sept jours après leur publication. Approuve également tous les correctifs avec une classification « Bugfix (correctif de bogue) » sept jours après leur publication.
AWS-CentOSDefaultPatchBaseline CentOS et CentOS Stream Approuvez toutes les mises à jour 7 jours après leur disponibilité, notamment les mises à jour non liées à la sécurité.
AWS-DebianDefaultPatchBaseline Debian Server Approuve immédiatement tous les correctifs de système d'exploitation relatifs à la sécurité qui ont une priorité « Required (Obligatoire) », « Important (Importante) », « Standard », « Optional (Facultative) » ou « Extra ». L'approbation est immédiate, car les dates de publication fiables sont indisponibles dans le référentiel.
AWS-MacOSDefaultPatchBaseline macOS Approuve tous les correctifs de système d'exploitation classifiés comme « liés à la sécurité » Approuve également tous les packages faisant l'objet d'une mise à jour.
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Important » ou « Moderate (Modéré) ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue) 7 jours après leur publication. L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS Approuve immédiatement tous les correctifs de système d'exploitation relatifs à la sécurité qui ont une priorité « Required (Obligatoire) », « Important (Importante) », « Standard », « Optional (Facultative) » ou « Extra ». L'approbation est immédiate, car les dates de publication fiables sont indisponibles dans le référentiel.

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue). L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue). L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹
AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) Approuve tous les correctifs de système d'exploitation qui sont classés en tant que « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

Approuve immédiatement tous les correctifs de système d'exploitation relatifs à la sécurité qui ont une priorité « Required (Obligatoire) », « Important (Importante) », « Standard », « Optional (Facultative) » ou « Extra ». L'approbation est immédiate, car les dates de publication fiables sont indisponibles dans le référentiel.
AWS-DefaultPatchBaseline

Windows Server

Approuve tous les correctifs du système Windows Server d'exploitation classés comme « CriticalUpdates » ou « SecurityUpdates » et dont le niveau de gravité MSRC est « Critique » ou « Important ». L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.²
AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

Approuve tous les correctifs du système Windows Server d'exploitation classés comme « CriticalUpdates » ou « SecurityUpdates » et dont le niveau de gravité MSRC est « Critique » ou « Important ». L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.²
AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Pour le système Windows Server d'exploitation, approuve tous les correctifs classés comme « » ou CriticalUpdates « SecurityUpdates » et dont le niveau de gravité MSRC est « Critique » ou « Important ». Pour les applications publiées par Microsoft, approuve tous les correctifs. Les correctifs de système d'exploitation et d'applications sont automatiquement approuvés 7 jours après leur publication.²

¹ Pour Amazon Linux 1 et Amazon Linux 2, le délai d'attente de 7 jours avant l'approbation automatique des correctifs est calculé à partir d'une Updated Date valeur enupdateinfo.xml, et non d'une Release Date valeur. Divers facteurs peuvent affecter la valeur Updated Date. Les autres systèmes d'exploitation gèrent les dates de sortie ainsi que de mise à jour de façon différente. Pour des informations vous permettant d'éviter des résultats inattendus avec les délais d'approbation automatique, consultez Calcul des dates de sortie et des mises à jour des packages.

² Pour Windows Server, les références par défaut incluent un délai d'approbation automatique de 7 jours. Pour installer un correctif dans les 7 jours suivant sa publication, vous devez créer une base de référence personnalisée.

À propos des références personnalisées

Si vous créez votre propre référentiel de correctifs, vous pouvez choisir les correctifs à approuver automatiquement en utilisant les catégories suivantes.

  • Système d'exploitation : Windows Server, Amazon Linux, Ubuntu Server, etc.

  • Nom du produit (pour les systèmes d'exploitation) : par exemple, RHEL 6.5, Amazon Linux 2014.09, Windows Server 2012, Windows Server 2012 R2, etc.

  • Nom du produit (pour les applications publiées par Microsoft Windows Server uniquement) : par exemple, Word 2016, BizTalk Server, etc.

  • Classification : par exemple, mises à jour critiques, mises à jour de sécurité, etc.

  • Sévérité : par exemple, critique, important, etc.

Pour chaque règle d'approbation que vous créez, vous pouvez choisir de spécifier un délai d'approbation automatique ou une date limite d'approbation des correctifs.

Note

Comme il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

Le délai d'approbation automatique correspond au nombre de jours à attendre après la publication ou la dernière mise à jour du correctif, ceci avant que ce dernier ne soit automatiquement approuvé pour application. Par exemple, si vous créez une règle à l'aide de la classification CriticalUpdates et que vous la configurez pour un délai d'approbation automatique de 7 jours, un nouveau correctif critique publié le 7 juillet sera automatiquement approuvé le 14 juillet.

Note

Si un référentiel Linux ne fournit pas d'informations sur la date de sortie des packages, Systems Manager utilise l'heure de création du package comme délai d'approbation automatique pour Amazon Linux 1, Amazon Linux 2 et RHEL CentOS. Si le système ne peut pas trouver le temps de génération du package, Systems Manager traite le délai d'approbation automatique comme ayant une valeur de zéro.

Lorsque vous indiquez une date limite d'auto-approbation, Patch Manager tous les correctifs publiés ou mis à jour à cette date ou avant sont automatiquement appliqués. Par exemple, si vous indiquez le 7 juillet 2023 comme date limite, aucun correctif publié ou mis à jour le 8 juillet 2023 ou après ne sera installé automatiquement.

Note

Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que Critical ou High. Si l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

Gardez les points suivants à l'esprit lorsque vous créez un référentiel de correctifs :

  • Patch Manager fournit un référentiel de correctifs prédéfini pour chaque système d'exploitation pris en charge. Ces références de correctifs prédéfinies sont utilisées en tant que références de correctifs par défaut pour chaque type de système d'exploitation, sauf si vous créez votre propre référentiel de correctifs et que vous la définissez comme le référentiel par défaut pour le type de système d'exploitation correspondant.

    Note

    Pour Windows Server, trois référentiels de correctifs prédéfinis sont fournis. Les référentiels de correctifs AWS-DefaultPatchBaseline et AWS-WindowsPredefinedPatchBaseline-OS prennent uniquement en charge les mises à jour du système d'exploitation Windows. AWS-DefaultPatchBaseline est utilisé comme référentiel de correctifs par défaut pour les nœuds gérés Windows Server, sauf si vous en spécifiez un autre. Ces deux référentiels de correctifs ont des paramètres de configuration identiques. Le plus récent des deux, AWS-WindowsPredefinedPatchBaseline-OS, a été créé pour le différencier du troisième référentiel de correctifs prédéfini pour Windows Server. Ce référentiel de correctifs, AWS-WindowsPredefinedPatchBaseline-OS-Applications, peut être utilisé pour appliquer des correctifs à la fois au système d'exploitation Windows Server et aux applications prises en charge publiées par Microsoft.

  • Pour les serveurs et les machines virtuelles (VM) sur site, Patch Manager tente d'utiliser votre référentiel de correctifs personnalisé par défaut. S'il n'existe aucun référentiel de correctifs personnalisée par défaut, le système utilise le référentiel de correctifs prédéfinie pour le système d'exploitation correspondant.

  • Si un correctif est répertorié comme approuvé et refusé dans la même référentiel de correctifs, le correctif est refusé.

  • Vous ne pouvez définir qu'un seul référentiel de correctifs par nœud géré.

  • Les formats de noms de package que vous pouvez ajouter à la liste des correctifs approuvés et rejetés pour un référentiel de correctifs dépendent du type de système d'exploitation auquel vous appliquez des correctifs.

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

  • Si vous utilisez une configuration de politique de correctifs dans Quick Setup, les mises à jour que vous apportez aux référentiels de correctifs personnalisés sont synchronisées avec Quick Setup une fois par heure.

    Si un référentiel de correctifs personnalisé référencé dans une politique de correctifs est supprimé, une bannière s'affiche sur la page Quick Setup Configuration details (Détails de configuration) de votre politique de correctifs. La bannière vous informe que la politique de correctifs fait référence à un référentiel de correctifs qui n'existe plus et que les opérations d'application de correctifs suivantes échoueront. Dans ce cas, revenez à la page Quick Setup Configurations, sélectionnez la configuration Patch Manager, puis choisissez Actions, Edit configuration (Modifier la configuration). Le nom du référentiel de correctifs supprimé est surligné et vous devez sélectionner un nouveau référentiel de correctifs pour le système d'exploitation concerné.

Pour plus d'informations sur la création d'un référentiel de correctifs, consultez Utilisation des référentiels de correctifs personnalisés et Didacticiel : application de correctifs à un environnement de serveur (AWS CLI).