Informazioni sulle basi di patch predefinite e personalizzate - AWS Systems Manager
Informazioni sulle basi di patch predefiniteInformazioni sulle basi personalizzate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni sulle basi di patch predefinite e personalizzate

Patch Manager, una funzionalità di AWS Systems Manager, fornisce linee di base di patch predefinite per ciascuno dei sistemi operativi supportati da. Patch Manager Puoi utilizzare queste basi così come sono configurate (non è possibile personalizzarle) oppure puoi creare base di patch personalizzate. Le basi di patch personalizzate ti consentono di ottenere un maggiore controllo sulle patch approvate o rifiutate per l'ambiente. Inoltre, le basi predefinite assegnano un livello di conformità Unspecified a tutte le patch installate queste basi. Per assegnare i valori di conformità, puoi creare una copia di una base predefinita e specificare i valori di conformità che vuoi assegnare alle patch. Per ulteriori informazioni, consultare Informazioni sulle basi personalizzate e Utilizzo delle basi di patch personalizzate.

Nota

Le informazioni contenute in questo argomento si applicano indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione delle patch:

  • Una policy di patch configurata in Quick Setup

  • Un'opzione di gestione host configurata in Quick Setup

  • Una finestra di manutenzione per eseguire un'attività Scan o Install di patch

  • Un'operazione Patch now (Applica subito una patch) on demand

Informazioni sulle basi di patch predefinite

Nella seguente tabella sono riportate le basi di patch predefinite fornite con Patch Manager.

Per informazioni sulle versioni di ciascun sistema operativo supportato da Patch Manager , consulta Prerequisiti di Patch Manager.

Nome Sistema operativo supportato Informazioni

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Approva inoltre tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux 1

Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Inoltre approva automaticamente tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹
AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Inoltre approva tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio.¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio. Inoltre approva tutte le patch classificate come "Bugfix" sette giorni dopo il rilascio
AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio. Inoltre approva tutte le patch classificate come "Bugfix" sette giorni dopo il rilascio
AWS-CentOSDefaultPatchBaseline CentOS e CentOS Stream Approva tutti gli aggiornamenti 7 giorni dopo il rilascio, inclusi quelli non correlati alla sicurezza.
AWS-DebianDefaultPatchBaseline Debian Server Approva immediatamente tutte le patch del sistema operativo correlate alla sicurezza con la priorità "Required", "Important", "Standard", "Optional" o "Extra". Non vi è alcun tempo di attesa prima dell'approvazione perché le date di rilascio affidabili non sono disponibili nei repository.
AWS-MacOSDefaultPatchBaseline macOS Approva tutte le patch del sistema operativo classificate come “Security”. Approva anche tutti i pacchetti con un aggiornamento corrente.
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Important" o "Moderate". Approva inoltre tutte le patch classificate come "Bugfix" 7 giorni dopo il rilascio. Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS Approva immediatamente tutte le patch del sistema operativo correlate alla sicurezza con la priorità "Required", "Important", "Standard", "Optional" o "Extra". Non vi è alcun tempo di attesa prima dell'approvazione perché le date di rilascio affidabili non sono disponibili nei repository.

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Approva inoltre tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Approva inoltre tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹
AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) Approva tutte le patch del sistema operativo classificate come "Security" e con una gravità pari a "Critical" o "Important". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

Approva immediatamente tutte le patch del sistema operativo correlate alla sicurezza con la priorità "Required", "Important", "Standard", "Optional" o "Extra". Non vi è alcun tempo di attesa prima dell'approvazione perché le date di rilascio affidabili non sono disponibili nei repository.
AWS-DefaultPatchBaseline

Windows Server

Approva tutte le patch del sistema Windows Server operativo classificate come "" o "CriticalUpdatesSecurityUpdates" e che hanno una severità MSRC di «Critica» o «Importante». Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.²
AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

Approva tutte le patch del sistema Windows Server operativo classificate come "" o "CriticalUpdatesSecurityUpdates" e che hanno una severità MSRC di «Critica» o «Importante». Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.²
AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Per il sistema Windows Server operativo, approva tutte le patch classificate come "" o "CriticalUpdatesSecurityUpdates" e che hanno una gravità MSRC di «Critica» o «Importante». Per le applicazioni rilasciate da Microsoft, approva tutte le patch. Sia le patch del sistema operativo sia quelle delle applicazioni vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.²

¹ Per Amazon Linux 1 e Amazon Linux 2, l'attesa di 7 giorni prima dell'approvazione automatica delle patch viene calcolata in base a un Updated Date valore inupdateinfo.xml, non a un valore. Release Date Vari fattori possono influire sul valore Updated Date. Altri sistemi operativi gestiscono le date di rilascio e aggiornamento in modo diverso. Per informazioni su come evitare risultati imprevisti dovuti a ritardi nell'approvazione automatica, consulta Il modo in cui vengono calcolate le date di rilascio e di aggiornamento dei pacchetti.

² Per Windows Server, le baseline predefinite includono un ritardo di approvazione automatica di 7 giorni. Per installare una patch entro 7 giorni dal rilascio, è necessario creare una baseline personalizzata.

Informazioni sulle basi personalizzate

Se crei la tua base di patch, potrai scegliere le patch da approvare automaticamente utilizzando le seguenti categorie.

  • Sistema operativo: Windows Server, Amazon Linux, Ubuntu Server e così via.

  • Nome del prodotto (per i sistemi operativi): ad esempio, RHEL 6.5, Amazon Linux 2014.09, Windows Server 2012, Windows Server 2012 R2 e così via.

  • Nome del prodotto (Windows Serversolo per le applicazioni rilasciate da Microsoft su): ad esempio, Word 2016, BizTalk Server e così via.

  • Classificazione: ad esempio aggiornamenti critici, aggiornamenti di sicurezza e così via

  • Gravità: ad esempio critica, importante e così via.

Per ogni regola di approvazione creata, è possibile scegliere di specificare un ritardo di approvazione automatica o specificare una data limite di approvazione patch.

Nota

Poiché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

Il ritardo è il numero di giorni di attesa dopo il rilascio o l'ultimo aggiornamento della patch, prima che questa venga automaticamente approvata per l'applicazione. Ad esempio, se crei una regola con la classificazione CriticalUpdates e la configuri con un ritardo dell'approvazione automatica di 7 giorni, la nuova patch critica rilasciata il 7 gennaio verrà automaticamente approvata il 14 gennaio.

Nota

Se un repository Linux non fornisce informazioni sulla data di rilascio per i pacchetti, Systems Manager utilizza il tempo di compilazione del pacchetto come ritardo di approvazione automatica per Amazon Linux 1RHEL, Amazon Linux 2 e CentOS. Se il sistema non è in grado di trovare il tempo di compilazione del pacchetto, Systems Manager considera il ritardo dell'approvazione automatica come un valore zero.

Quando si specifica una data limite di approvazione automatica, Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate in data o precedente. Ad esempio, se si specifica il 7 luglio 2023 come data limite, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

Nota

Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical o High. Se lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

Quando crei una base di patch, tieni presente quanto segue:

  • Patch Manager fornisce una base di patch predefinita per ogni sistema operativo supportato. Queste vengono utilizzate come basi di patch predefinite per ciascun tipo di sistema operativo, a meno che non si crei la propria base di patch designandola come predefinita per il tipo di sistema operativo corrispondente.

    Nota

    Per Windows Server, vengono fornite tre baseline di patch predefinite. Le basi di patch AWS-DefaultPatchBaseline e AWS-WindowsPredefinedPatchBaseline-OS supportano solo gli aggiornamenti del sistema operativo Windows stesso. AWS-DefaultPatchBaselineViene utilizzato come patch di base di default per nodi gestiti Windows Server a meno che non si specifichi una base di patch diversa. Le impostazioni di configurazione in queste due linee di base delle patch sono le stesse. Il più recente dei due, AWS-WindowsPredefinedPatchBaseline-OS, è stato creato per distinguerlo dalla terza linea di base della patch predefinita per Windows Server. Quella base di patch, AWS-WindowsPredefinedPatchBaseline-OS-Applications, può essere utilizzata per applicare patch sia nel sistema operativo Windows Server che nelle applicazioni supportate rilasciate da Microsoft.

  • Per server e macchine virtuali on-premise, Patch Manager tenta di utilizzare la base di patch predefinita personalizzata. Se non è disponibile alcuna base di patch predefinita personalizzata, il sistema utilizza la base di patch predefinita per il sistema operativo corrispondente.

  • Se una patch è specificata come approvata e rifiutata nella stessa base di patch, viene rifiutata.

  • Un nodo gestito può avere una patch di base definita.

  • I formati dei nomi dei pacchetti che possono essere aggiunti agli elenchi delle patch approvate e di quelle rifiutate per una base di patch dipendono dal tipo di sistema operativo a cui si applicano le patch.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Informazioni sui formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

  • Se utilizzi una configurazione della policy di patch in Quick Setup, gli aggiornamenti apportati alle patch di base personalizzate vengono sincronizzati con Quick Setup una volta ogni ora.

    Se si elimina una patch di base personalizzata a cui si fa riferimento in una policy di patch, viene visualizzato un banner nella pagina Configuration details (Dettagli di configurazione) di Quick Setup relativa alla policy. Il banner informa che la policy di patch fa riferimento a una patch di base che non esiste più, di conseguenza le successive operazioni di applicazione di patch avranno esito negativo. In questo caso, torna alla pagina Configurations (Configurazioni) di Quick Setup, seleziona la configurazione Patch Manager e scegli Actions (Operazioni), Edit configuration (Modifica configurazione). Il nome della patch di base eliminata viene evidenziato ed è necessario selezionare una nuova patch di base per il sistema operativo interessato.

Per informazioni sulla creazione di una base di patch, consulta Utilizzo delle basi di patch personalizzate e Tutorial: applicazione di patch in un ambiente server (AWS CLI).