Informazioni sul AWS-RunPatchBaselineAssociation SSM documento

Come il documento AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation esegue operazioni di applicazione di patch sulle istanze per aggiornamenti correlati alla sicurezza e di altro tipo. Puoi utilizzare il documento AWS-RunPatchBaselineAssociation per applicare patch ai sistemi operativi e alle applicazioni. (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft).

Questo documento supporta le istanze Amazon Elastic Compute Cloud (AmazonEC2) per Linux emacOS. Windows Server Non supporta i non EC2 nodi in un ambiente ibrido e multicloud. Il documento eseguirà le azioni appropriate per ogni piattaforma, richiamando un modulo Python su Linux macOS e istanze e PowerShell un modulo su istanze Windows.

AWS-RunPatchBaselineAssociation, tuttavia, differisce da AWS-RunPatchBaseline nei seguenti modi:

• AWS-RunPatchBaselineAssociation è destinato all'uso principalmente con associazioni State Manager create utilizzando Quick Setup, una funzionalità di AWS Systems Manager. In particolare, quando utilizzi il tipo di configurazione di gestione host Quick Setup, se scegli l'opzione Scan instances for missing patches daily (Scansiona le istanze per le patch mancanti ogni giorno), il sistema utilizza AWS-RunPatchBaselineAssociation per l'operazione.

  Nella maggior parte dei casi, tuttavia, quando si impostano le proprie operazioni di patch, è necessario scegliereAWS-RunPatchBaseline o AWS-RunPatchBaselineWithHooksInvece di AWS-RunPatchBaselineAssociation.

• Quando utilizzi il documento AWS-RunPatchBaselineAssociation, è possibile specificare una coppia di chiavi di tag nel campo parametro BaselineTags del documento. Se una patch di base personalizzata Account AWS condivide questi tag, una funzionalità di Patch Manager AWS Systems Manager, utilizza quella baseline con tag quando viene eseguita sulle istanze di destinazione anziché la baseline di patch «predefinita» attualmente specificata per il tipo di sistema operativo.

  Importante

  Se scegli di utilizzare AWS-RunPatchBaselineAssociation in operazioni di patching diverse da quelle configurate utilizzando Quick Setup e desideri utilizzare il relativo BaselineTags parametro opzionale, devi fornire alcune autorizzazioni aggiuntive al profilo dell'istanza per le istanze Amazon Elastic Compute Cloud (AmazonEC2). Per ulteriori informazioni, consulta Nome parametro: BaselineTags.

  Entrambi i formati seguenti sono validi per il tuo parametro BaselineTags:

  Key=tag-key,Values=tag-value

  Key=tag-key,Values=tag-value1,tag-value2,tag-value3

• Durante l'AWS-RunPatchBaselineAssociationesecuzione, i dati di conformità delle patch raccolti vengono registrati utilizzando il PutComplianceItems API comando anziché il PutInventory comando, utilizzato da. AWS-RunPatchBaseline Questa differenza indica che le informazioni sulla conformità delle patch che vengono archiviate e segnalate per una specifica associazione. I dati di conformità delle patch generati al di fuori di questa associazione non vengono sovrascritti.

• Le informazioni sulla conformità delle patch riportate dopo l'esecuzione di AWS-RunPatchBaselineAssociationindicano se un'istanza è conforme o meno. Non include dettagli a livello di patch, come dimostra l'output del comando following AWS Command Line Interface ()AWS CLI. Il comando filtra su Association come tipo di conformità:

  aws ssm list-compliance-items \
      --resource-ids "i-02573cafcfEXAMPLE" \
      --resource-types "ManagedInstance" \
      --filters "Key=ComplianceType,Values=Association,Type=EQUAL" \
      --region us-east-2

  Il sistema restituisce informazioni simili alle seguenti.

  {
      "ComplianceItems": [
          {
              "Status": "NON_COMPLIANT", 
              "Severity": "UNSPECIFIED", 
              "Title": "MyPatchAssociation", 
              "ResourceType": "ManagedInstance", 
              "ResourceId": "i-02573cafcfEXAMPLE", 
              "ComplianceType": "Association", 
              "Details": {
                  "DocumentName": "AWS-RunPatchBaselineAssociation", 
                  "PatchBaselineId": "pb-0c10e65780EXAMPLE", 
                  "DocumentVersion": "1"
              }, 
              "ExecutionSummary": {
                  "ExecutionTime": 1590698771.0
              }, 
              "Id": "3e5d5694-cd07-40f0-bbea-040e6EXAMPLE"
          }
      ]
  }

Se un valore di una coppia di chiavi di tag è stato specificato come parametro per il documento AWS-RunPatchBaselineAssociation, Patch Manager cerca una base di patch personalizzata che corrisponda al tipo di sistema operativo ed è stata contrassegnata con la stessa coppia di chiavi di tag. Questa ricerca non è limitata alla base di patch predefinita corrente specificata o alla base assegnata a un gruppo di patch. Se non viene trovata alcuna base con i tag specificati, Patch Manager cerca un gruppo di patch, se ne è stato specificato uno nel comando che esegue AWS-RunPatchBaselineAssociation. Se nessun gruppo di patch viene abbinato, Patch Manager torna alla base di patch predefinita corrente per l'account del sistema operativo.

Se viene trovata più di una linea di base della patch con i tag specificati nel documentoAWS-RunPatchBaselineAssociation, Patch Manager restituisce un messaggio di errore che indica che solo una linea di base della patch può essere contrassegnata con quel key value in modo che l'operazione possa continuare.

Nota

Sulle istanze Linux, il gestore di pacchetti idonei per ogni tipo di istanza viene utilizzato per installare i pacchetti:

• Amazon Linux 1, Amazon Linux 2, CentOS e RHEL istanze. Oracle Linux YUM Per YUM le operazioni, Patch Manager richiede Python 2.6 una versione successiva supportata (2.6 - 3.10).

• Debian Servere Raspberry Pi OS le Ubuntu Server istanze vengono utilizzate. APT Per APT le operazioni, Patch Manager richiede una versione supportata di Python 3 (3.0 - 3.10).

• Le istanze SUSE Linux Enterprise Server utilizzano Zypper. Per le operazioni con Zypper, Patch Manager richiede Python 2.6 o una versione successiva supportata (2.6 - 3.10).

Al termine di una scansione, o dopo che tutti gli aggiornamenti approvati e applicabili sono stati installati, con eventuali riavvii eseguiti, le informazioni sulla conformità delle patch sono generate su un'istanza e riportate al servizio Patch Compliance.

Nota

Se il parametro RebootOption è impostato su NoReboot nel documento AWS-RunPatchBaselineAssociation, l'istanza non viene riavviata dopo l'esecuzione di Patch Manager. Per ulteriori informazioni, consulta Nome parametro: RebootOption.

Per informazioni sulla visualizzazione dei dati di conformità delle patch, consulta Informazioni sulla conformità delle patch.

Parametri AWS-RunPatchBaselineAssociation

AWS-RunPatchBaselineAssociation supporta quattro parametri. I parametri Operation e AssociationId sono obbligatori. I parametri InstallOverrideList, RebootOption e BaselineTags sono facoltativi.

Nome parametro: Operation

Utilizzo: obbligatorio.

Opzioni: Scan | Install.

Scan

Quando si sceglie l'opzione Scan, AWS-RunPatchBaselineAssociation determina lo stato di conformità delle patch dell'istanza e riferisce queste informazioni a Patch Manager. Scan non richiede l'installazione degli aggiornamenti o il riavvio delle istanze. L'operazione identifica dove gli aggiornamenti approvati e applicabili all'istanza risultano mancanti.

Installa

Quando si sceglie l'opzione Install, AWS-RunPatchBaselineAssociation tenta di installare gli aggiornamenti applicabili e approvati che risultano mancanti nell'istanza. Le informazioni sulla conformità delle patch generate in un'operazione Install non visualizzano gli aggiornamenti mancanti, ma possono specificare lo stato di errore degli aggiornamenti se per qualsiasi motivo l'installazione non è andata a buon fine. Quando un aggiornamento è installato in un'istanza, questa viene riavviata per assicurare l'aggiornamento sia installato e attivo. (Eccezione: se il parametro RebootOption è impostato su NoReboot nel documento AWS-RunPatchBaselineAssociation, l'istanza non viene riavviata dopo l'esecuzione di Patch Manager. Per ulteriori informazioni, consultaNome parametro: RebootOption).

Nota

Se una patch specificata dalle regole di base viene installata prima Patch Manager dell'aggiornamento dell'istanza di Gestione patch, è possibile che il sistema non venga riavviato come previsto. Ciò può verificarsi quando una patch viene installata manualmente da un utente o installata automaticamente da un altro programma, ad esempio il pacchetto unattended-upgrades su Ubuntu Server.

Nome parametro: BaselineTags

Utilizzo: facoltativo.

BaselineTags è un un key value di tag univoco, scelto e assegnato a una base di patch personalizzata. È possibile specificare uno o più valori per questo parametro. Sono validi entrambi dei seguenti formati:

Key=tag-key,Values=tag-value

Key=tag-key,Values=tag-value1,tag-value2,tag-value3

Il valore BaselineTags è utilizzato da Patch Manager per assicurare che una serie di istanze a cui vengono applicate le patch in un'unica operazione abbiano la stessa serie di patch approvate. Quando viene eseguita l'operazione di patch, Patch Manager controlla se una base di patch per il tipo di sistema operativo è contrassegnata con la stessa coppia di key value per BaselineTags. Se c'è una corrispondenza, viene utilizzata questa base di patch personalizzata. Se non esiste una corrispondenza, una base di patch viene identificata in base a qualsiasi gruppo di patch specificato per l'operazione di applicazione delle patch. Se non ce n'è nessuna, viene AWS utilizzata la patch di base predefinita gestita per quel sistema operativo.

Requisiti di permesso aggiuntivi

Se utilizzi AWS-RunPatchBaselineAssociation operazioni di patching diverse da quelle configurate utilizzando e desideri utilizzare il BaselineTags parametro opzionaleQuick Setup, devi aggiungere le seguenti autorizzazioni al profilo dell'istanza per le istanze Amazon Elastic Compute Cloud (AmazonEC2).

Nota

Quick Setupe AWS-RunPatchBaselineAssociation non supportano server e macchine virtuali locali (). VMs

{
    "Effect": "Allow",
    "Action": [
        "ssm:DescribePatchBaselines",
        "tag:GetResources"
    ],
    "Resource": "*"
},
{
    "Effect": "Allow",
    "Action": [
        "ssm:GetPatchBaseline",
        "ssm:DescribeEffectivePatchesForPatchBaseline"
    ],
    "Resource": "patch-baseline-arn"
}

Replace (Sostituisci) patch-baseline-arn con l'Amazon Resource Name (ARN) della patch di base a cui desideri fornire l'accesso, nel formatoarn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE.

Nome parametro: AssociationId

Utilizzo: obbligatorio.

AssociationId è l'ID di un'associazione esistente in State Manager, una funzionalità di AWS Systems Manager. È usato da Patch Manager per aggiungere i dati di conformità a un'associazione specificata. Questa associazione è correlata a un'operazione Scan di patch abilitata in una configurazione di gestione host creata in Quick Setup. Inviando i risultati delle patch come dati di conformità dell'associazione anziché come dati di conformità dell'inventario, le informazioni sulla conformità dell'inventario esistenti per le tue istanze non vengono sovrascritte dopo un'operazione di patch o per altre associazioni. IDs Se non disponi già di un'associazione da utilizzare, puoi crearla eseguendo il comando create-association. Per esempio:

Linux & macOS

aws ssm create-association \
    --name "AWS-RunPatchBaselineAssociation" \
    --association-name "MyPatchHostConfigAssociation" \
    --targets "Key=instanceids,Values=[i-02573cafcfEXAMPLE,i-07782c72faEXAMPLE,i-07782c72faEXAMPLE]" \
    --parameters "Operation=Scan" \
    --schedule-expression "cron(0 */30 * * * ? *)" \
    --sync-compliance "MANUAL" \
    --region us-east-2

Windows Server

aws ssm create-association ^
    --name "AWS-RunPatchBaselineAssociation" ^
    --association-name "MyPatchHostConfigAssociation" ^
    --targets "Key=instanceids,Values=[i-02573cafcfEXAMPLE,i-07782c72faEXAMPLE,i-07782c72faEXAMPLE]" ^
    --parameters "Operation=Scan" ^
    --schedule-expression "cron(0 */30 * * * ? *)" ^
    --sync-compliance "MANUAL" ^
    --region us-east-2

Nome parametro: InstallOverrideList

Utilizzo: facoltativo.

UtilizzandoInstallOverrideList, specifichi uno URL stile di percorso https URL o Amazon Simple Storage Service (Amazon S3) per un elenco di patch da installare. Questo elenco di installazione delle patch, che conservi in YAML formato, sostituisce le patch specificate dalla linea di base delle patch predefinita corrente. Ciò ti consente di avere un controllo più granulare su quali patch vengono installate nelle istanze.

Il comportamento dell'operazione di applicazione delle patch quando si utilizza il InstallOverrideList parametro differisce tra Linux e nodi gestiti e macOS nodi gestiti. Windows Server Su Linux &macOS, Patch Manager tenta di applicare le patch incluse nell'elenco delle InstallOverrideList patch presenti in qualsiasi repository abilitato sul nodo, indipendentemente dal fatto che le patch corrispondano o meno alle regole di base delle patch. Windows ServerSui nodi, tuttavia, le patch nell'elenco delle InstallOverrideList patch vengono applicate solo se corrispondono anche alle regole di base delle patch.

I report di conformità rispecchiano gli stati delle patch in base a quanto specificato nella base di patch, non ciò che hai specificato in un elenco InstallOverrideList di patch. In altre parole, le operazioni di scansione ignorano il parametro InstallOverrideList. In questo modo si garantisce che i report di conformità rispecchino in modo omogeneo gli stati delle patch in base alla policy anziché in base a quanto era stato approvato per una specifica operazione di applicazione di patch.

Formati validi URL

Nota

Se il file è archiviato in un bucket disponibile pubblicamente, puoi specificare un URL formato https o uno stile di percorso Amazon URL S3. Se il file è archiviato in un bucket privato, devi specificare uno stile di percorso Amazon URL S3.

• esempio di formato https: URL

  https://s3.amazonaws.com/amzn-s3-demo-bucket/my-windows-override-list.yaml

• Esempio di percorso URL in stile Amazon S3:

  s3://amzn-s3-demo-bucket/my-windows-override-list.yaml

Formati di contenuto validi YAML

I formati utilizzati per specificare le patch nell'elenco variano in base al sistema operativo dell'istanza. Il formato generale, tuttavia, è quello riportato di seguito:

patches:
    - 
        id: '{patch-d}'
        title: '{patch-title}'
        {additional-fields}:{values}

Sebbene sia possibile fornire campi aggiuntivi nel YAML file, questi vengono ignorati durante le operazioni di patch.

Inoltre, ti consigliamo di verificare che il formato del YAML file sia valido prima di aggiungere o aggiornare l'elenco nel bucket S3. Per ulteriori informazioni sul YAML formato, consulta yaml.org. Per le opzioni degli strumento di convalida, effettua la ricerca sul Web di "convalida formato yaml".

• Microsoft Windows

  id

  Il campo id è obbligatorio. Utilizzatelo per specificare le patch utilizzando Microsoft Knowledge Base IDs (ad esempioKB2736693) e Microsoft Security Bulletin IDs (ad esempio, MS17 -023).

  Tutti gli altri campi che intendi fornire in un elenco di patch per Windows sono facoltativi e hanno unicamente scopo informativo. Puoi utilizzare altri campi, come title, classification, severity o qualsiasi altro per fornire informazioni più dettagliate sulle patch specificate.

• Linux

  id

  Il campo id è obbligatorio. Utilizzalo per specificare le patch con l'architettura e il nome del pacchetto. Ad esempio: 'dhclient.x86_64'. Negli id, puoi utilizzare i caratteri jolly per indicare più pacchetti. Ad esempio: 'dhcp*' ed 'dhcp*1.*'.

  titolo

  Il campo titolo è facoltativo, ma nei sistemi Linux offre funzionalità di filtraggio aggiuntive. Se utilizzi titolo, il campo deve includere le informazioni sulla versione del pacchetto in uno dei seguenti formati:

  YUM/SUSE Linux Enterprise Server (SLES):

  {name}.{architecture}:{epoch}:{version}-{release}

  APT

  {name}.{architecture}:{version}

  Per i titoli delle patch di Linux, puoi utilizzare uno o più caratteri jolly in qualsiasi posizione per ampliare il numero di corrispondenze dei pacchetti. Ad esempio: '*32:9.8.2-0.*.rc1.57.amzn1'.

  Ad esempio:

  • Il pacchetto apt versione 1.2.25 è correntemente installato nell'istanza, ma ora è disponibile la versione 1.2.27.

  • Puoi aggiungere apt.amd64 versione 1.2.27 all'elenco delle patch. Dipende da apt-utils.amd64 versione 1.2.27, ma apt-utils.amd64 versione 1.2.25 viene specificato nell'elenco.

  In questo caso, la versione 1.2.27 di apt verrà bloccata dall'installazione e riportata come «Failed-». NonCompliant

Altri campi

Tutti gli altri campi che intendi fornire in un elenco di patch per Linux sono facoltativi e hanno unicamente scopo informativo. Puoi utilizzare altri campi, come classification, severity o qualsiasi altro per fornire informazioni più dettagliate sulle patch specificate.

Elenchi di patch di esempio

• Windows

  patches:
      -
          id: 'KB4284819'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)'
      -
          id: 'KB4284833'
      -
          id: 'KB4284835'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)'
      -
          id: 'KB4284880'
      -
          id: 'KB4338814'
  

• APT

  patches:
      -
          id: 'apparmor.amd64'
          title: '2.10.95-0ubuntu2.9'
      -
          id: 'cryptsetup.amd64'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'cryptsetup-bin.*'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'apt.amd64'
          title: '*1.2.27'
      -
          id: 'apt-utils.amd64'
          title: '*1.2.25'
  

• Amazon Linux

  patches:
      -
          id: 'kernel.x86_64'
      -
          id: 'bind*.x86_64'
          title: '32:9.8.2-0.62.rc1.57.amzn1'
      -
          id: 'glibc*'
      -
          id: 'dhclient*'
          title: '*12:4.1.1-53.P1.28.amzn1'
      -
          id: 'dhcp*'
          title: '*10:3.1.1-50.P1.26.amzn1'
  

• Red Hat Enterprise Linux (RHEL)

  patches:
      -
          id: 'NetworkManager.x86_64'
          title: '*1:1.10.2-14.el7_5'
      -
          id: 'NetworkManager-*.x86_64'
          title: '*1:1.10.2-14.el7_5'
      -
          id: 'audit.x86_64'
          title: '*0:2.8.1-3.el7'
      -
          id: 'dhclient.x86_64'
          title: '*.el7_5.1'
      -
          id: 'dhcp*.x86_64'
          title: '*12:5.2.5-68.el7'
  

• SUSE Linux Enterprise Server (SLES)

  patches:
      -
          id: 'amazon-ssm-agent.x86_64'
      -
          id: 'binutils'
          title: '*0:2.26.1-9.12.1'
      -
          id: 'glibc*.x86_64'
          title: '*2.19*'
      -
          id: 'dhcp*'
          title: '0:4.3.3-9.1'
      -
          id: 'lib*'
  
                                      

• Ubuntu Server

  patches:
      -
          id: 'apparmor.amd64'
          title: '2.10.95-0ubuntu2.9'
      -
          id: 'cryptsetup.amd64'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'cryptsetup-bin.*'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'apt.amd64'
          title: '*1.2.27'
      -
          id: 'apt-utils.amd64'
          title: '*1.2.25'
  

• Windows

  patches:
      -
          id: 'KB4284819'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)'
      -
          id: 'KB4284833'
      -
          id: 'KB4284835'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)'
      -
          id: 'KB4284880'
      -
          id: 'KB4338814'
  

Nome parametro: RebootOption

Utilizzo: facoltativo.

Opzioni: RebootIfNeeded | NoReboot

Default: RebootIfNeeded

avvertimento

L'opzione predefinita è RebootIfNeeded. Assicurarsi di selezionare l'opzione corretta per il caso d'uso. Ad esempio, se le istanze devono essere riavviate immediatamente per completare un processo di configurazione, scegli RebootIfNeeded. Oppure, se è necessario mantenere la disponibilità delle istanze fino a un orario di riavvio pianificato, scegli NoReboot.

Importante

Non è consigliabile utilizzarlo Patch Manager per applicare patch alle istanze di cluster in Amazon EMR (precedentemente chiamato Amazon Elastic MapReduce). In particolare, non selezionare l'opzione RebootIfNeeded per il parametro RebootOption. (Questa opzione è disponibile nei documenti di SSM comando per l'applicazione di patch AWS-RunPatchBaseline e.) AWS-RunPatchBaselineAssociation AWS-RunPatchBaselineWithHooks

I comandi sottostanti per applicare le patch tramite Patch Manager utilizzano i comandi yum e dnf. Pertanto, le operazioni generano incompatibilità a causa del modo in cui i pacchetti vengono installati. Per informazioni sui metodi preferiti per l'aggiornamento del software sui EMR cluster Amazon, consulta Using the default AMI for Amazon EMR nella Amazon EMR Management Guide.

RebootIfNeeded

Quando si sceglie l'opzione RebootIfNeeded, l'istanza viene riavviata in uno dei seguenti casi:

• Patch Manager installato uno o più patch.

  Patch Manager non valuta se un riavvio è obbligatorio per la patch. Il sistema viene riavviato anche se la patch non richiede il riavvio.

• Patch Manager rileva una o più patch con lo stato di INSTALLED_PENDING_REBOOT durante l'operazione Install.

  Lo INSTALLED_PENDING_REBOOT stato può indicare che l'opzione NoReboot è stata selezionata l'ultima volta che l'Installoperazione è stata eseguita o che una patch è stata installata all'esterno Patch Manager dall'ultimo riavvio del nodo gestito.

Il riavvio delle istanze in questi due casi garantisce che i pacchetti aggiornati vengano svuotati dalla memoria e mantengano coerenti il comportamento di patch e di riavvio in tutti i sistemi operativi.

NoReboot

Quando scegli l'opzione NoReboot, Patch Manager non riavvia l'istanza anche se ha installato patch durante l'operazione di Install Questa opzione è utile se le istanze non richiedono il riavvio dopo l'applicazione di patch, oppure nel caso di applicazioni o processi in esecuzione su un'istanza che non dovrebbero essere interrotti da un riavvio a seguito di un'operazione di applicazione di patch. È utile anche quando vuoi un maggiore controllo sui tempi dei riavvii dell'istanza, ad esempio utilizzando una finestra di manutenzione.

File di monitoraggio dell'installazione delle patch: per tenere traccia dell'installazione delle patch, in particolare delle patch installate dopo l'ultimo riavvio del sistema, Systems Manager mantiene un file nell'istanza gestita.

Importante

Non eliminare o modificare il file di monitoraggio. Se questo file viene eliminato o danneggiato, il rapporto di conformità della patch per l'istanza non è accurato. In questo caso, riavvia l'istanza ed esegui un'operazione di scansione della patch per ripristinare il file.

Questo file di monitoraggio viene archiviato nei seguenti percorsi nelle istanze gestite:

• Sistemi operativi Linux:

  • /var/log/amazon/ssm/patch-configuration/patch-states-configuration.json

  • /var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json

• Windows Server sistema operativo:

  • C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json

  • C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json