Gruppi di patch

Importante

I gruppi di patch non vengono utilizzati nelle operazioni di applicazione di patch basate su policy di patch. Per informazioni sull'utilizzo delle policy di patch, consulta Configurazioni delle policy di patch in Quick Setup.

È possibile utilizzare un gruppo di patch per associare i nodi gestiti a una specifica linea di base di patch in Patch Manager, una capacità di. AWS Systems Manager I gruppi di patch garantiscono che vengano distribuite le patch appropriate, in base alle regole delle basi di patch associate, al set di nodi corretto. Inoltre aiutano a non distribuire le patch non adeguatamente verificate. Ad esempio, è possibile creare gruppi di patch per ambienti diversi (di sviluppo, di test e di produzione) e registrare ciascun gruppo con una base di patch appropriata.

Quando eseguiAWS-RunPatchBaseline, puoi indirizzare i nodi gestiti utilizzando i relativi ID o tag. SSM Agent e Patch Manager quindi valuta quale patch baseline utilizzare in base al valore del gruppo di patch che hai aggiunto al nodo gestito.

Puoi creare un gruppo di patch utilizzando i tag Amazon Elastic Compute Cloud (AmazonEC2). A differenza di altri scenari di tagging di Systems Manager, un gruppo di patch deve essere definito con la chiave del tag Patch Group o PatchGroup. La chiave prevede la distinzione fra lettere maiuscole e minuscole. Puoi specificare qualsiasi valore per aiutarti a identificare e indirizzare le risorse di quel gruppo, ad esempio «server web» o «US- EAST -PROD», ma la chiave deve essere Patch Group oPatchGroup.

Dopo avere creato un gruppo di patch e i nodi gestiti dei tag, puoi registrare il gruppo di patch in una patch di base. La registrazione del gruppo di patch con una patch di base garantisce che i nodi all'interno del gruppo di patch utilizzino le regole definite nella base di patch associata.

Per ulteriori informazioni su come creare un gruppo di patch e associarlo a una base di patch, consulta Creazione e gestione di gruppi di patch e Aggiungere un gruppo di patch a una base di patch.

Per visualizzare un esempio di creazione di una base di patch e di gruppi di patch con AWS Command Line Interface (AWS CLI), consulta Tutorial: applicare una patch a un ambiente server utilizzando il AWS CLI. Per ulteriori informazioni sui EC2 tag Amazon, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

Come funziona

Quando il sistema esegue l'operazione di applicazione di una patch di base a un nodo gestito, SSM Agent verifica che per il nodo sia definito un valore del gruppo di patch. Se il nodo è assegnato a un gruppo di patch, Patch Manager quindi verifica quale patch baseline è registrata in quel gruppo. Se viene trovata una patch baseline per quel gruppo, Patch Manager notifica SSM Agent per utilizzare la patch baseline associata. Se un nodo non è configurato per un gruppo di patch, Patch Manager notifica automaticamente SSM Agent per utilizzare la linea di base delle patch predefinita attualmente configurata.

Importante

Un nodo gestito può trovarsi solo in un singolo gruppo di patch.

Un gruppo di patch può essere registrato con una sola base di patch per ciascun tipo di sistema operativo.

Non puoi applicare il Patch Group tag (con uno spazio) a un'EC2istanza Amazon se l'opzione Allow tags in instance metadati è abilitata sull'istanza. Consenti i tag nei metadati di istanza impedisce ai nomi delle chiavi dei tag di contenere spazi. Se hai consentito l'uso di tag nei metadati dell'EC2istanza, devi utilizzare la chiave tag PatchGroup (senza spazio).

Diagramma 1: esempio generale del flusso di elaborazione delle operazioni di applicazione di patch

La seguente illustrazione mostra un esempio generale dei processi eseguiti da Systems Manager durante l'invio di un Run Command assegnate al vostro parco server il compito di applicare le patch Patch Manager. Questi processi determinano le linee di base delle patch da utilizzare nelle operazioni di patching. (Un processo simile viene utilizzato quando una finestra di manutenzione è configurata per inviare un comando alla patch utilizzando Patch Manager.)

L'intero processo è spiegato sotto l'illustrazione.

In questo esempio, abbiamo tre gruppi di istanze per EC2 Windows Server con i seguenti tag applicati:

EC2gruppo di istanze	Tag
Gruppo 1	key=OS,value=Windows key=PatchGroup,value=DEV
Gruppo 2	key=OS,value=Windows
Gruppo 3	key=OS,value=Windows key=PatchGroup,value=QA

Per questo esempio, abbiamo anche questi due Windows Server linee di base delle patch:

ID della base di confronto delle patch	Predefinita	Gruppo di patch associate
pb-0123456789abcdef0	Sì	Default
pb-9876543210abcdef0	No	DEV

Il processo generale di scansione o installazione delle patch utilizzando Run Command, una capacità di AWS Systems Manager e Patch Manager è la seguente:

1. Inviare un comando alla patch: utilizzare la console Systems ManagerSDK, AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell inviare un Run Command operazione utilizzando il documentoAWS-RunPatchBaseline. Il diagramma mostra un Run Command operazione di applicare patch alle istanze gestite utilizzando come target il tag. key=OS,value=Windows

2. Determinazione della linea di base delle patch: SSM Agent verifica i tag del gruppo di patch applicati all'EC2istanza e alle query Patch Manager per la linea di base della patch corrispondente.

   • Valore del gruppo di patch corrispondente associato alla base di patch:

     1. SSM Agent, che viene installato sulle EC2 istanze del gruppo uno, riceve il comando emesso nel passaggio 1 per iniziare un'operazione di patching. SSM Agent verifica che alle EC2 istanze sia applicato il tag-value del gruppo di patch e le interrogazioni DEV Patch Manager per una baseline di patch associata.

     2. Patch Manager verifica che alla patch basale sia associato pb-9876543210abcdef0 il gruppo DEV di patch e notifica SSM Agent.

     3. SSM Agent recupera un'istantanea della patch di base da Patch Manager in base alle regole di approvazione e alle eccezioni configurate in pb-9876543210abcdef0 e procede al passaggio successivo.

   • Nessun tag del gruppo di patch aggiunto all'istanza:

     1. SSM Agent, che viene installato sulle EC2 istanze del gruppo due, riceve il comando emesso nel passaggio 1 per iniziare un'operazione di patching. SSM Agent verifica che alle EC2 istanze non sia applicato un PatchGroup tag Patch Group or e, di conseguenza, SSM Agent queries Patch Manager per la linea di base delle patch di Windows predefinita.

     2. Patch Manager verifica che sia l'impostazione predefinita Windows Server patch baseline è pb-0123456789abcdef0 e notifica SSM Agent.

     3. SSM Agent recupera un'istantanea della patch di base da Patch Manager si basa sulle regole di approvazione e sulle eccezioni configurate nella baseline di base della patch predefinita pb-0123456789abcdef0 e procede al passaggio successivo.

   • Nessun valore del gruppo di patch corrispondente associato a una base di patch:

     1. SSM Agent, che viene installato sulle EC2 istanze del gruppo tre, riceve il comando emesso nel passaggio 1 per iniziare un'operazione di patching. SSM Agent verifica che alle EC2 istanze sia applicato il tag-value del gruppo di patch e le interrogazioni QA Patch Manager per una baseline di patch associata.

     2. Patch Manager non trova una patch di base a cui sia associato il gruppo QA di patch.

     3. Patch Manager notifica SSM Agent per utilizzare la linea di base pb-0123456789abcdef0 delle patch di Windows predefinita.

     4. SSM Agent recupera un'istantanea della linea di base della patch da Patch Manager si basa sulle regole di approvazione e sulle eccezioni configurate nella baseline di base della patch predefinita pb-0123456789abcdef0 e procede al passaggio successivo.

3. Scansione o installazione delle patch: dopo aver determinato la baseline della patch appropriata da utilizzare, SSM Agent inizia la scansione o l'installazione delle patch in base al valore operativo specificato nel passaggio 1. Le patch che vengono analizzate o installate sono determinate dalle regole di approvazione e dalle eccezioni delle patch definite nello snapshot di base della patch fornito da Patch Manager.

Ulteriori informazioni

• Valori dello stato di conformità delle patch