Prerequisiti di Patch Manager
Assicurati di aver soddisfatto i prerequisiti richiesti prima di utilizzare Patch Manager, uno strumento di AWS Systems Manager.
Argomenti
Versione SSM Agent
La Versione 2.0.834.0 o successiva SSM Agent è in esecuzione sui nodi gestiti che si desidera gestire con Patch Manager.
Nota
Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent
Versione di Python
Per macOS e la maggior parte dei sistemi operativi (OS) Linux, Patch Manager supporta attualmente le versioni di Python 2.6 - 3.10. I sistemi operativi AlmaLinux, Debian Server, e richiedono una versione supportata di Python 3 (3.0 - 3.10).
Connettività all'origine della patch
Se i nodi gestiti non dispongono di una connessione diretta a Internet e si utilizza un Amazon Virtual Private Cloud (Amazon VPC) con un endpoint VPC, è necessario assicurarsi che i nodi abbiano accesso ai repository delle patch di origine (repository). Nei nodi Linux, gli aggiornamenti delle patch vengono solitamente scaricati dai repository remoti configurati nel nodo. Pertanto, il nodo deve essere in grado di connettersi al repository, in modo che possa essere eseguita l'applicazione di patch. Per ulteriori informazioni, consulta Come vengono selezionate le patch di sicurezza.
CentOS Stream: Abilita la EnableNonSecurity bandiera
CentOS Streamnodes si avvale del principio di DNF come programma di gestione dei pacchetti, che si avvale del principio dell'avviso di aggiornamento. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici.
Tuttavia, i repo predefiniti di CentOS non sono configurati con un avviso di aggiornamento. Ciò significa che Patch Manager non è in grado di rilevare i pacchetti in un repo CentOS e CentOS Stream predefinito. Per abilitare Patch Manager all'elaborazione di pacchetti non sono contenuti in un avviso di aggiornamento, dovrai abilitare il flag EnableNonSecurity nelle regole di base di patch.
Windows Server: garantisce la connettività al catalogo di Windows Update o a Windows Server Update Services (WSUS)
I nodi gestiti Windows Server devono essere in grado di connettersi al catalogo di Windows Update o a Windows Server Update Services (WSUS). Verificare che i nodi dispongano della connettività al Catalogo Microsoft Update
Accesso agli endpoint S3
Indipendentemente dal fatto che i nodi gestiti operino in una rete pubblica o privata, senza l'accesso ai bucket AWS Amazon Simple Storage Service (Amazon S3) gestiti, le operazioni di patch non riescono. Per informazioni sui bucket S3 a cui i nodi gestiti devono essere in grado di accedere, consulta Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS e Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager.
Autorizzazioni per installare le patch localmente
Sui sistemi operativi Linux e Windows Server, Patch Manager utilizza, rispettivamente, l'account amministratore e l'account utente root per installare le patch.
Ad ogni modo, su macOS, per Brew e Brew Cask, Homebrew non supporta i comandi eseguiti con l'account dell'utente root. Di conseguenza, Patch Manager esegue query e i comandi Homebrew come proprietario della directory Homebrew, oppure come utente valido appartenente al gruppo proprietario della directory Homebrew. Pertanto, per installare le patch, il proprietario della directory homebrew necessita anche delle autorizzazioni ricorsive del proprietario per la directory /usr/local.
Suggerimento
Il comando seguente fornisce questa autorizzazione per l'utente specificato:
sudo chown -R$USER:admin /usr/local
Sistemi operativi supportati per Patch Manager
Lo strumento Patch Manager non supporta tutte le stesse versioni dei sistemi operativi supportate da altri strumenti di Systems Manager. (Per l'elenco completo dei sistemi operativi supportati da Systems Manager, consulta Sistemi operativi supportati per Systems Manager). Pertanto, assicurati che nei nodi gestiti che desideri utilizzare con Patch Manager sia in esecuzione uno dei sistemi operativi indicati nella seguente tabella.
Nota
Patch Manager si basa sui repository di patch configurati su un nodo gestito, come Windows Update Catalog e Windows Server Update Services per Windows, in modo da recuperare le patch disponibili da installare. Pertanto, per le versioni del sistema operativo EOL (end of life), nel caso non siano disponibili nuovi aggiornamenti, Patch Manager potrebbe non essere in grado di segnalare i nuovi aggiornamenti. Ciò è dovuto al fatto che non vengono rilasciati nuovi aggiornamenti dal manutentore della distribuzione Linux, Microsoft o Apple, o perché il nodo gestito non dispone della licenza appropriata per accedervi.
Ti consigliamo vivamente di evitare di utilizzare versioni del sistema operativo che hanno raggiunto la fine del ciclo di vita (EOL). I fornitori di sistemi operativi, tra cui AWS in genere, non forniscono patch di sicurezza o altri aggiornamenti per le versioni che hanno raggiunto la fine del ciclo di vita. Continuare a utilizzare un sistema EOL aumenta notevolmente il rischio che questo non sia in grado di applicare gli aggiornamenti, comprese le correzioni di sicurezza e altri problemi operativi. AWS non verifica la funzionalità di Systems Manager su versioni del sistema operativo che hanno raggiunto la fine del ciclo di vita.
Patch Manager riporta lo stato di conformità rispetto alle patch disponibili sul nodo gestito. Pertanto, quando un'istanza esegue un sistema operativo EOL e non sono disponibili aggiornamenti, Patch Manager potrebbe segnalare il nodo come conforme, a seconda delle baseline delle patch configurate per la relativa operazione di applicazione.
| Sistema operativo | Dettagli |
|---|---|
|
Linux |
|
| macOS |
macOS è supportato solo per le istanze Amazon EC2. 13.0-13.5 (Ventura) 14.x (Sonoma) 15.x (Sequoia) Aggiornamenti al sistema operativo macOSPatch Manager non supporta gli aggiornamenti o gli upgrade del sistema operativo (OS) per macOS, ad esempio da 12.x a 13.x o da 13.1 a 13.2. Per eseguire gli aggiornamenti della versione del sistema operativo su macOS, consigliamo di utilizzare i meccanismi di aggiornamento del sistema operativo integrati di Apple. Per ulteriori informazioni, consulta Device Management Supporto HomebrewPatch Managerrichiede l'installazione di Homebrew, il sistema di gestione dei pacchetti software open source, in una delle seguenti posizioni di installazione predefinite:
Le operazioni di patching che utilizzano Patch Manager non funzionano correttamente quando Homebrew non è installato. Supporto delle RegionimacOS non è supportato in tutte le Regioni AWS. Per ulteriori informazioni sul supporto di Amazon EC2 per macOS, consulta Istanze Amazon EC2 Mac nella Guida per l'utente di Amazon EC2. Dispositivi edge macOSSSM Agent per i dispositivi core AWS IoT Greengrass non è supportato su macOS. Non è possibile utilizzare Patch Manager per applicare patch macOS Dispositivi Edge. |
|
Windows |
Da Windows Server 2008 a Windows Server 2025, incluse le versioni R2. NotaSSM Agent per i dispositivi core AWS IoT Greengrass non è supportato su Windows 10. Non è possibile utilizzare Patch Manager per applicare patch ai dispositivi edge Windows 10. Supporto Windows Server 2012 e 2012 R2Windows Server 2012 e 2012 R2 hanno raggiunto la fine del supporto il 10 ottobre 2023. Per utilizzare Patch Manager con queste versioni, si consiglia di utilizzare anche gli Extended Security Updates (ESU) di Microsoft. Per ulteriori informazioni, consulta Raggiungimento della fine del supporto di Windows Server 2012 e 2012 R2 |
