Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Patch Manager, alat di AWS Systems Manager, mengotomatiskan proses menambal node yang dikelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya.
penting
Systems Manager menyediakan dukungan untuk kebijakan patch di Quick Setup, alat di AWS Systems Manager. Menggunakan kebijakan tambalan adalah metode yang disarankan untuk mengonfigurasi operasi penambalan Anda. Dengan menggunakan konfigurasi kebijakan tambalan tunggal, Anda dapat menentukan penambalan untuk semua akun di semua Wilayah di organisasi Anda; hanya untuk akun dan Wilayah yang Anda pilih; atau untuk satu pasangan Account-region. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan tambalan di Quick Setup.
Anda dapat menggunakan Patch Manager untuk menerapkan tambalan untuk sistem operasi dan aplikasi. (Pada Windows Server, dukungan aplikasi terbatas pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.) Anda dapat menggunakan Patch Manager untuk menginstal Paket Layanan pada node Windows dan melakukan upgrade versi minor pada node Linux. Anda dapat menambal armada instans Amazon Elastic Compute Cloud EC2 (Amazon), perangkat edge, server lokal, dan mesin virtual (VMs) berdasarkan jenis sistem operasi. Ini termasuk versi yang didukung dari beberapa sistem operasi, seperti yang tercantum dalamPatch Manager prasyarat. Anda dapat memindai instans untuk melihat laporan patch yang hilang saja, atau Anda dapat memindai dan secara otomatis menginstal semua patch yang hilang. Untuk memulai dengan Patch Manager, buka konsol Systems Manager
catatan
AWS tidak menguji tambalan sebelum membuatnya tersedia di Patch Manager. Juga, Patch Manager tidak mendukung peningkatan versi utama sistem operasi, seperti Windows Server 2016 ke Windows Server 2019, atau SUSE Linux Enterprise Server (SLES) 12.0 ke SLES 15.0.
Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager menggunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau tambalan individual. Patch Manager tidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System
Garis dasar patch
Patch Manager menggunakan garis dasar tambalan, yang mencakup aturan untuk patch yang menyetujui otomatis dalam beberapa hari setelah rilis, selain daftar opsional tambalan yang disetujui dan ditolak. Saat operasi penambalan berjalan, Patch Manager membandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang ditetapkan di baseline patch. Anda dapat memilih untuk Patch Manager untuk menunjukkan kepada Anda hanya laporan tambalan yang hilang (Scanoperasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua tambalan yang ditemukan hilang dari node terkelola (Scan and installoperasi).
Metode operasi penambalan
Patch Manager saat ini menawarkan empat metode untuk menjalankan Scan dan Scan
and install operasi:
-
(Disarankan) Kebijakan tambalan yang dikonfigurasi di Quick SetupBerdasarkan integrasi dengan AWS Organizations, kebijakan patch tunggal dapat menentukan jadwal patching dan patch baseline untuk seluruh organisasi, termasuk beberapa Akun AWS dan semua akun Wilayah AWS yang beroperasi. Kebijakan patch juga dapat menargetkan hanya beberapa unit organisasi (OUs) dalam suatu organisasi. Anda dapat menggunakan kebijakan patch tunggal untuk memindai dan menginstal pada jadwal yang berbeda. Untuk informasi selengkapnya, silakan lihat Konfigurasikan penambalan untuk instance dalam organisasi menggunakan Quick Setup dan Konfigurasi kebijakan tambalan di Quick Setup.
-
Opsi Manajemen Host yang dikonfigurasi di Quick SetupKonfigurasi Manajemen Host juga didukung oleh integrasi dengan AWS Organizations, sehingga memungkinkan untuk menjalankan operasi penambalan hingga seluruh Organisasi. Namun, opsi ini terbatas pada pemindaian tambalan yang hilang menggunakan baseline patch default saat ini dan memberikan hasil dalam laporan kepatuhan. Metode operasi ini tidak dapat menginstal tambalan. Untuk informasi selengkapnya, lihat Siapkan manajemen EC2 host Amazon menggunakan Quick Setup.
-
Jendela pemeliharaan untuk menjalankan tambalan
ScanatauInstalltugas — Jendela pemeliharaan, yang Anda atur di alat Systems Manager yang disebut Maintenance Windows, dapat dikonfigurasi untuk menjalankan berbagai jenis tugas pada jadwal yang Anda tentukan. A Run Command-type task dapat digunakan untuk menjalankanScanatauScan and installtugas satu set node terkelola yang Anda pilih. Setiap tugas jendela pemeliharaan dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol. -
Patch sesuai permintaan sekarang beroperasi di Patch Manager— Opsi Patch now memungkinkan Anda melewati pengaturan jadwal saat Anda perlu menambal node terkelola secepat mungkin. Menggunakan Patch sekarang, Anda menentukan apakah akan menjalankan
ScanatauScan and installoperasi dan node terkelola mana yang menjalankan operasi. Anda juga dapat memilih untuk menjalankan dokumen Systems Manager (dokumen SSM) sebagai kait siklus hidup selama operasi penambalan. Setiap operasi Patch sekarang dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat Menambal node terkelola sesuai permintaan.
Pelaporan kepatuhan
Setelah Scan operasi, Anda dapat menggunakan konsol Systems Manager untuk melihat informasi tentang node terkelola mana yang tidak sesuai dengan patch, dan patch mana yang hilang dari masing-masing node tersebut. Anda juga dapat membuat laporan kepatuhan patch dalam format.csv yang dikirim ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan satu kali, atau membuat laporan pada jadwal rutin. Untuk satu node terkelola, laporan menyertakan detail semua tambalan untuk node. Untuk laporan tentang semua node terkelola, hanya ringkasan berapa banyak tambalan yang hilang yang disediakan. Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon QuickSight untuk mengimpor dan menganalisis data. Untuk informasi selengkapnya, lihat Bekerja dengan laporan kepatuhan patch.
catatan
Item kepatuhan yang dihasilkan melalui penggunaan kebijakan tambalan memiliki jenis eksekusiPatchPolicy. Item kepatuhan yang tidak dihasilkan dalam operasi kebijakan tambalan memiliki jenis eksekusiCommand.
Integrasi
Patch Manager terintegrasi dengan yang lain Layanan AWS berikut:
-
AWS Identity and Access Management (IAM) — Gunakan IAM untuk mengontrol pengguna, grup, dan peran mana yang memiliki akses Patch Manager operasi. Untuk informasi selengkapnya, lihat Bagaimana AWS Systems Manager bekerja dengan IAM dan Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
-
AWS CloudTrail— Gunakan CloudTrail untuk merekam riwayat yang dapat diaudit dari peristiwa operasi penambalan yang diprakarsai oleh pengguna, peran, atau grup. Untuk informasi selengkapnya, lihat Logging panggilan AWS Systems Manager API dengan AWS CloudTrail.
-
AWS Security Hub— Patch data kepatuhan dari Patch Manager dapat dikirim ke AWS Security Hub. Security Hub memberi Anda pandangan komprehensif tentang pemberitahuan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat Mengintegrasikan Patch Manager dengan AWS Security Hub.
-
AWS Config— Siapkan perekaman AWS Config untuk melihat data manajemen EC2 instans Amazon di Patch Manager Dasbor. Untuk informasi selengkapnya, lihat Melihat ringkasan Patch Dasbor.
Topik
