Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Informazioni sul documento SSM AWS-RunPatchBaselineWithHooks
AWS Systems Manager supportaAWS-RunPatchBaselineWithHooks
, un documento Systems Manager (documento SSM) perPatch Manager, una funzionalità di AWS Systems Manager. Questo documento SSM esegue operazioni di applicazione di patch nei nodi gestiti per aggiornamenti correlati alla sicurezza e di altro tipo.
AWS-RunPatchBaselineWithHooks
differisce da AWS-RunPatchBaseline
nei seguenti modi:
-
Un documento wrapper –
AWS-RunPatchBaselineWithHooks
è un wrapper perAWS-RunPatchBaseline
e si basa suAWS-RunPatchBaseline
per alcune delle sue operazioni. -
L'operazione
Install
–AWS-RunPatchBaselineWithHooks
supporta gli hook del ciclo di vita che vengono eseguiti in punti designati durante l'applicazione delle patch del nodo gestito. Poiché le installazioni di patch a volte richiedono il riavvio dei nodi gestiti, l'operazione di applicazione delle patch è suddivisa in due eventi, per un totale di tre hook che supportano funzionalità personalizzate. Il primo hook è prima dell'operazioneInstall with NoReboot
. Il secondo hook è dopo dell'operazioneInstall with NoReboot
. Il terzo hook è disponibile dopo il riavvio del nodo gestito. -
Nessun supporto per l'elenco di patch personalizzato –
AWS-RunPatchBaselineWithHooks
non supporta il parametro diInstallOverrideList
. -
Il supportoSSM Agent –
AWS-RunPatchBaselineWithHooks
richiede che SSM Agent 3.0.502 o versione successiva deve essere installata sul nodo gestito di patch.
Quando il documento viene eseguito, utilizza la base di patch attualmente specificata come “predefinita” per un tipo di sistema operativo se non è specificato alcun gruppo di patch. In caso contrario, vengono utilizzate le base di patch associate al gruppo di patch. Per informazioni sui gruppi di patch, consulta Informazioni sui gruppi di patch.
Puoi utilizzare il documento AWS-RunPatchBaselineWithHooks
per applicare patch ai sistemi operativi e alle applicazioni. (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft).
Questo documento supporta Linux e i nodi Windows Server gestiti. Il documento eseguirà le operazioni adeguate per ciascuna piattaforma.
Nota
AWS-RunPatchBaselineWithHooks
non è supportato sumacOS.
Ogni istantanea è specifica per un gruppo di patch Account AWS, un sistema operativo e un ID di istantanea. Lo snapshot viene consegnato tramite un URL Amazon Simple Storage Service (Amazon S3) prefirmato, che scade 24 ore dopo la creazione dello snapshot. Dopo la scadenza dell'URL, tuttavia, se desideri applicare lo stesso contenuto snapshot ad altri nodi gestiti, puoi generare un nuovo URL Amazon S3 prefirmato fino a tre giorni dopo la creazione della copia istantanea. Per farlo, utilizzare il comando get-deployable-patch-snapshot-for-instance.
Dopo avere installato tutti gli aggiornamenti approvati e applicabili e dopo avere eseguito il riavvio, le informazioni sulla conformità delle patch vengono generate in un nodo gestito e trasferite a Patch Manager.
Nota
Se il parametro RebootOption
è impostato su NoReboot
nel documento AWS-RunPatchBaselineWithHooks
, il nodo gestito non viene riavviata dopo l'esecuzione di Patch Manager. Per ulteriori informazioni, consulta Nome parametro: RebootOption.
Per informazioni sulla visualizzazione dei dati di conformità delle patch, consulta Informazioni sulla conformità delle patch.
Fasi operative di AWS-RunPatchBaselineWithHooks
Quando AWS-RunPatchBaselineWithHooks
è in esecuzione, vengono portati a termine i seguenti passaggi:
-
Scan- Un'operazione di
Scan
utilizzandoAWS-RunPatchBaseline
viene eseguita sul nodo gestito e viene generato e caricato un report di conformità. -
Verificare gli stati delle patch locali - Viene eseguito uno script per determinare quali passaggi verranno eseguiti in base all'operazione selezionata e al risultato di
Scan
della fase 1.-
Se l'operazione selezionata è
Scan
, essa è contrassegnata come completata. L'operazione si conclude. -
Se l'operazione selezionata è
Install
, Patch Manager valuta il risultato diScan
dal Passaggio 1 per determinare cosa eseguire dopo:-
Se non vengono rilevate patch mancanti e non sono necessari riavvii in sospeso, l'operazione procede direttamente al passaggio finale (Passaggio 8), che include un hook fornito. Tutti i passaggi intermedi vengono saltati.
-
Se non vengono rilevate patch mancanti, ma sono necessari riavvii in sospeso e l'opzione di riavvio selezionata è
NoReboot
, l'operazione procede direttamente alla fase finale (Step 8), che include un hook fornito. Tutti i passaggi intermedi vengono saltati. -
Altrimenti, l'operazione passa alla fase successiva.
-
-
-
Funzionamento con hook pre-patch - Il documento SSM fornito per il primo hook del ciclo di vita,
PreInstallHookDocName
, viene eseguito sul nodo gestito. -
Installa con NoReboot: sul nodo gestito viene eseguita un'
Install
operazione con l'opzione diNoReboot
riavvio utilizzata eAWS-RunPatchBaseline
viene generato e caricato un rapporto di conformità. -
Operazione hook post-installazione - Il documento SSM fornito per il secondo hook del ciclo di vita,
PostInstallHookDocName
, viene eseguito sul nodo gestito. -
Verifica del riavvio - Viene eseguito uno script per determinare se è necessario un riavvio per il nodo gestito e quali passaggi eseguire:
-
Se l'opzione di riavvio selezionata è
NoReboot
, essa procede direttamente alla fase finale (Step 8), che include un hook fornito. Tutti i passaggi intermedi vengono saltati. -
Se l'opzione di riavvio selezionata è
RebootIfNeeded
, Patch Manager verifica se sono necessari riavvii in sospeso dall'inventario raccolto al passaggio 4. Ciò significa che l'operazione continua nella fase 7 e il nodo gestito viene riavviato in uno dei seguenti casi:-
Patch Manager ha installato una o più patch. (Patch Manager non valuta se un riavvio è obbligatorio per la patch. Il sistema viene riavviato anche se la patch non richiede il riavvio.)
-
Patch Manager rileva una o più patch con lo stato di
INSTALLED_PENDING_REBOOT
durante l'operazione di installazione. LoINSTALLED_PENDING_REBOOT
stato può indicare che l'opzioneNoReboot
è stata selezionata l'ultima volta che è stata eseguita l'operazione di installazione o che una patch è stata installata all'esterno Patch Manager dall'ultimo riavvio del nodo gestito.
Se non vengono rilevate patch che rispondono a questi criteri, l'operazione di applicazione della patch del nodo gestito viene completata e si passa direttamente alla fase finale (passaggio 8), che include un hook fornito. Tutti i passaggi intermedi vengono saltati.
-
-
-
Riavvio e report - Un'operazione di installazione con l'opzione di riavvio di
RebootIfNeeded
viene eseguito sul nodo gestito utilizzandoAWS-RunPatchBaseline
e viene generato e caricato un report sulla conformità. -
Operazione hook post-riavvio - Il documento SSM fornito per il terzo hook del ciclo di vita,
OnExitHookDocName
, viene eseguito sul nodo gestito.
Per un'operazione Scan
, se il Passaggio 1 non va a buon fine, il processo di esecuzione del documento si interrompe e il passaggio viene segnalato come non andato a buon fine, anche se i passaggi successivi vengono segnalati come esito positivo.
Per un'operazione Install
, se uno qualsiasi dei passaggi aws:runDocument
non va a buon fine durante l'operazione, tali passaggi vengono segnalati come non andati a buon fine e l'operazione procede direttamente al Passaggio finale (Passaggio 8), che include un hook fornito. Tutti i passaggi intermedi vengono saltati. Questo passaggio viene segnalato come non andato a buon fine, l'ultimo passaggio riporta lo stato del risultato dell'operazione e tutti i passaggi intermedi vengono segnalati come esito positivo.
Parametri AWS-RunPatchBaselineWithHooks
AWS-RunPatchBaselineWithHooks
supporta sei parametri.
Il parametro Operation
è obbligatorio.
I parametri RebootOption
, PreInstallHookDocName
, PostInstallHookDocName
e OnExitHookDocName
sono facoltativi.
Snapshot-ID
è tecnicamente facoltativo, ma è consigliabile fornire un valore personalizzato per esso quando si esegue AWS-RunPatchBaselineWithHooks
al di fuori di una finestra di manutenzione. Consenti a Patch Manager di fornire il valore automaticamente quando il documento viene eseguito nell'ambito di un'operazione di manutenzione.
Parametri
Nome parametro: Operation
Utilizzo: obbligatorio.
Opzioni: Scan
| Install
.
- Scan
-
Quando si sceglie l'opzione
Scan
, il sistema utilizza il documentoAWS-RunPatchBaseline
per determinare lo stato di conformità delle patch dell'istanza e riferisce queste informazioni a Patch Manager.Scan
non richiede l'installazione degli aggiornamenti o il riavvio dei nodi gestiti. L'operazione identifica dove gli aggiornamenti approvati e applicabili al nodo risultano mancanti. - Installa
-
Quando si sceglie l'opzione
Install
,AWS-RunPatchBaselineWithHooks
tenta di installare gli aggiornamenti applicabili e approvati che risultano mancanti nel nodo gestito. Le informazioni sulla conformità delle patch generate in un'operazioneInstall
non visualizzano gli aggiornamenti mancanti, ma possono specificare lo stato di errore degli aggiornamenti se per qualsiasi motivo l'installazione non è andata a buon fine. Quando un aggiornamento è installato in un nodo gestito, questo viene riavviato per assicurare l'aggiornamento sia installato e attivo. (Eccezione: se il parametroRebootOption
è impostato suNoReboot
nel documentoAWS-RunPatchBaselineWithHooks
, il nodo non viene riavviato dopo l'esecuzione di Patch Manager. Per ulteriori informazioni, consulta Nome parametro: RebootOption.)Nota
Se una patch specificata dalle regole di base viene installata prima Patch Manager dell'aggiornamento del nodo gestito di Gestione patch, è possibile che il sistema non venga riavviato come previsto. Ciò può verificarsi quando una patch viene installata manualmente da un utente o installata automaticamente da un altro programma, ad esempio il pacchetto
unattended-upgrades
su Ubuntu Server.
Nome parametro: Snapshot ID
Utilizzo: facoltativo.
Snapshot ID
è un ID univoco (GUID) utilizzato da Patch Manager per assicurare che una serie di nodi gestiti a cui vengono applicate le patch in un'unica operazione abbiano la stessa serie di patch approvate. Anche se il parametro è definito come facoltativo, la best practice dipende dal fatto che AWS-RunPatchBaselineWithHooks
sia o meno in esecuzione in una finestra di manutenzione, come descritto nella seguente tabella.
Best practice di AWS-RunPatchBaselineWithHooks | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Modalità | Best practice | Informazioni | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
In esecuzione AWS-RunPatchBaselineWithHooks all'interno di una finestra di manutenzione |
Non fornire un ID della snapshot. Patch Manager la fornirà automaticamente. |
Se utilizzi una finestra di manutenzione per eseguire Si noti che se si specifica un valore in questo scenario, la snapshot della patch di base potrebbe non durare per più di 3 giorni. In seguito, verrà generata una nuova snapshot anche se hai specificato lo stesso ID dopo la scadenza della snapshot. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
In esecuzione AWS-RunPatchBaselineWithHooks al di fuori di una finestra di manutenzione |
Generare e specificare un valore GUID personalizzato per l'ID della snapshot. |
Se non utilizzi una finestra di manutenzione per eseguire Ad esempio, potresti eseguire il documento |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
¹ Puoi utilizzare qualsiasi strumento in grado di generare un GUID per ottenere il valore del parametro ID snapshot. Ad esempio, in PowerShell, è possibile utilizzare il |
Nome parametro: RebootOption
Utilizzo: facoltativo.
Opzioni: RebootIfNeeded
| NoReboot
Default: RebootIfNeeded
avvertimento
L'opzione predefinita è RebootIfNeeded
. Assicurarsi di selezionare l'opzione corretta per il caso d'uso. Ad esempio, se i nodi gestiti devono essere riavviati immediatamente per completare un processo di configurazione, scegli RebootIfNeeded
. Oppure, se è necessario mantenere la disponibilità dei nodi gestiti fino a un orario di riavvio pianificato, scegli NoReboot
.
Importante
Non è consigliabile utilizzarlo Patch Manager per applicare patch a istanze di cluster in Amazon EMR (precedentemente chiamato Amazon Elastic). MapReduce In particolare, non selezionare l'opzione RebootIfNeeded
per il parametro RebootOption
. (Questa opzione è disponibile nei documenti del comando SSM per l'applicazione di patch AWS-RunPatchBaseline
, AWS-RunPatchBaselineAssociation
e AWS-RunPatchBaselineWithHooks
).
I comandi sottostanti per applicare le patch tramite Patch Manager utilizzano i comandi yum
e dnf
. Pertanto, le operazioni generano incompatibilità a causa del modo in cui i pacchetti vengono installati. Per informazioni sui metodi preferiti per l'aggiornamento del software sui cluster Amazon EMR, consulta Utilizzo dell’AMI predefinita per Amazon EMR nella Guida per la gestione di Amazon EMR.
- RebootIfNeeded
-
Quando si sceglie l'opzione
RebootIfNeeded
, il nodo gestito viene riavviato in uno dei seguenti casi:-
Patch Manager installato uno o più patch.
Patch Manager non valuta se un riavvio è obbligatorio per la patch. Il sistema viene riavviato anche se la patch non richiede il riavvio.
-
Patch Manager rileva una o più patch con lo stato di
INSTALLED_PENDING_REBOOT
durante l'operazioneInstall
.Lo
INSTALLED_PENDING_REBOOT
stato può indicare che l'opzioneNoReboot
è stata selezionata l'ultima volta che l'Install
operazione è stata eseguita o che una patch è stata installata all'esterno dall'ultimo riavvio del Patch Manager nodo gestito.
Il riavvio dei nodi gestiti in questi due casi garantisce che i pacchetti aggiornati vengano svuotati dalla memoria e mantengano coerenti il comportamento di patch e di riavvio in tutti i sistemi operativi.
-
- NoReboot
-
Quando scegli l'opzione
NoReboot
, Patch Manager non riavvia il nodo gestito anche se ha installato patch durante l'operazione diInstall
Questa opzione è utile se i nodi gestiti non richiedono il riavvio dopo l'applicazione di patch, oppure nel caso di applicazioni o processi in esecuzione su un nodo che non dovrebbero essere interrotti da un riavvio a seguito di un'operazione di applicazione di patch. È utile anche quando vuoi un maggiore controllo sui tempi dei riavvii del nodo gestito, ad esempio utilizzando una finestra di manutenzione.Nota
Se scegli l'opzione
NoReboot
e viene installata una patch, alla patch viene assegnato lo statoInstalledPendingReboot
. Il nodo gestito stesso, tuttavia, viene contrassegnato comeNon-Compliant
. Dopo che si verifica un riavvio e viene eseguita un'operazioneScan
, lo stato del nodo diventaCompliant
.
File di monitoraggio dell'installazione delle patch: per tenere traccia dell'installazione delle patch, in particolare delle patch installate dopo l'ultimo riavvio del sistema, Systems Manager mantiene un file nel nodo gestito.
Importante
Non eliminare o modificare il file di monitoraggio. Se questo file viene eliminato o danneggiato, il rapporto di conformità della patch per il nodo gestito non è accurato. In questo caso, riavvia il nodo ed esegui un'operazione di scansione della patch per ripristinare il file.
Questo file di monitoraggio viene archiviato nei seguenti percorsi nei nodi gestiti:
-
Sistemi operativi Linux:
-
/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json
-
/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json
-
-
Windows Server sistema operativo:
-
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json
-
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json
-
Nome parametro: PreInstallHookDocName
Utilizzo: facoltativo.
Default: AWS-Noop
Il valore da fornire per il parametro PreInstallHookDocName
è il nome o l'Amazon Resource Name (ARN) di un documento SSM di tua scelta. Puoi fornire il nome di un documento AWS gestito o il nome o l'ARN di un documento SSM personalizzato che hai creato o che è stato condiviso con te. (Per un documento SSM che è stato condiviso con te da un altro Account AWS, devi specificare l'ARN completo della risorsa, ad esempioarn:aws:ssm:us-east-2:123456789012:document/MySharedDocument
.)
Il documento SSM specificato viene eseguito prima dell'operazione Install
esegue tutte le azioni supportate da SSM Agent, ad esempio uno script di shell per controllare il controllo di integrità dell'applicazione prima che venga eseguita l'applicazione di patch sul nodo gestito. Per un elenco di operazioni, consulta Documentazione di riferimento del plugin per i documenti di comando ). Il nome di default del documento SSM è AWS-Noop
, che non esegue alcuna operazione sul nodo gestito.
Per informazioni sulla creazione di un documeno SSM personalizzato, consulta Creazione del contenuto del documento SSM.
Nome parametro: PostInstallHookDocName
Utilizzo: facoltativo.
Default: AWS-Noop
Il valore da fornire per il parametro PostInstallHookDocName
è il nome o l'Amazon Resource Name (ARN) di un documento SSM di tua scelta. Puoi fornire il nome di un documento AWS gestito o il nome o l'ARN di un documento SSM personalizzato che hai creato o che è stato condiviso con te. (Per un documento SSM che è stato condiviso con te da un altro Account AWS, devi specificare l'ARN completo della risorsa, ad esempioarn:aws:ssm:us-east-2:123456789012:document/MySharedDocument
.)
Il documento SSM specificato viene eseguito dopo l'operazione Install with
NoReboot
ed esegue tutte le azioni supportate da SSM Agent, ad esempio uno script di shell per l'installazione di aggiornamenti di terze parti prima del riavvio. Per un elenco di operazioni, consulta Documentazione di riferimento del plugin per i documenti di comando ). Il nome di default del documento SSM è AWS-Noop
, che non esegue alcuna operazione sul nodo gestito.
Per informazioni sulla creazione di un documeno SSM personalizzato, consulta Creazione del contenuto del documento SSM.
Nome parametro: OnExitHookDocName
Utilizzo: facoltativo.
Default: AWS-Noop
Il valore da fornire per il parametro OnExitHookDocName
è il nome o l'Amazon Resource Name (ARN) di un documento SSM di tua scelta. Puoi fornire il nome di un documento AWS gestito o il nome o l'ARN di un documento SSM personalizzato che hai creato o che è stato condiviso con te. (Per un documento SSM che è stato condiviso con te da un Account AWS diverso. È necessario specificare l'ARN della risorsa completa, ad esempioarn:aws:ssm:us-east-2:123456789012:document/MySharedDocument
).
Il documento SSM specificato viene eseguito dopo l'operazione di riavvio del nodo gestito ed esegue tutte le azioni supportate da SSM Agent, ad esempio uno script di shell per verificare l'integrità del nodo dopo il completamento dell'operazione di applicazione delle patch. Per un elenco di operazioni, consulta Documentazione di riferimento del plugin per i documenti di comando ). Il nome di default del documento SSM è AWS-Noop
, che non esegue alcuna operazione sul nodo gestito.
Per informazioni sulla creazione di un documeno SSM personalizzato, consulta Creazione del contenuto del documento SSM.