カスタムパッチベースラインの作成 (Linux) - AWS Systems Manager

カスタムパッチベースラインの作成 (Linux)

Patch Manager の一機能である AWS Systems Manager で Linux マネージドノードのカスタム パッチベースラインを作成するには、以下の手順に従います

macOS マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインを作成する (macOS)」を参照してください。Windows マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Windows)」を参照してください。

Linux マネージドノードのカスタム パッチベースラインを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開いた際、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Create patch baseline] を選択します。

    -または-

    現在の AWS リージョン で Patch Manager に初めてアクセスしている場合は、[View predefined patch baselines] (事前定義されたパッチベースラインの表示) を選択してから、[Create patch baseline] (パッチベースラインの作成) を選択します。

  4. [Name (名前)] フィールドに、新しいパッチベースラインの名前 (例: MyRHELPatchBaseline) を入力します。

  5. (オプション) [Description (説明)] に、パッチベースラインの説明を入力します。

  6. [Operating system (オペレーティングシステム)] リストでオペレーティングシステム (Red Hat Enterprise Linux など) を選択します。

  7. このパッチベースラインを作成してすぐに、選択したオペレーティングシステムのデフォルトとして使用する場合は、[Set this patch baseline as the default patch baseline for operating system name instances (このパッチベースラインをオペレーティングシステム名インスタンスのデフォルトのパッチベースラインにする)] の横にあるボックスをオンにします。

    既存のパッチベースラインのデフォルト設定の詳細については、「既存のパッチベースラインをデフォルトとして設定する (コンソール)」を参照してください。

  8. [Approval rules for operating-systems (オペレーティングシステムの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    • [Product (製品)]: 承認ルールが適用されるオペレーティングシステムのバージョン (RedhatEnterpriseLinux7.4 など)。デフォルトの選択は All です。

    • [Classification (分類)]: 承認ルールが適用されるパッチのタイプ (Security または Enhancement など)。デフォルトの選択は All です。

      ヒント

      パッチベースラインを設定して、RHEL 7.8 などの Linux 用のマイナーバージョンアップグレードをインストールするかどうかを制御できます。マイナーバージョンのアップグレードは、更新プログラムが適切なリポジトリにある場合は、Patch Managerで自動的にインストールできます。

      Linux オペレーティングシステムの場合、マイナーバージョンのアップグレードは分類が一貫していません。同じカーネルバージョン内であっても、バグ修正やセキュリティアップデートとして分類されることも、分類されないこともあります。パッチベースラインによってインストールされるかどうかを制御するためのいくつかのオプションを以下に示します。

      • オプション 1: マイナーバージョンのアップグレードが可能な場合に確実にインストールされるための最も広範な承認ルールは、[分類] を All (*) と指定し、[Include nonsecurity updates (セキュリティ以外の更新を含める)] オプションを選択することです。

      • オプション 2: オペレーティングシステムバージョンのパッチを確実にインストールするには、ワイルドカード (*) を使用して、ベースラインの [Patch exceptions (パッチの例外)] セクションでそのカーネル形式を指定できます。例えば、RHEL 7.* のカーネル形式は kernel-3.10.0-*.el7.x86_64 です。

        パッチベースラインの [Approved patches] (承認済みパッチ) リストに kernel-3.10.0-*.el7.x86_64 と入力して、マイナーバージョンアップグレードを含むすべてのパッチが RHEL 7.* マネージドノードに適用されるようにします。(マイナーバージョンパッチの正確なパッケージ名がわかっている場合は、代わりにそれを入力できます)。

      • オプション 3: AWS-RunPatchBaseline ドキュメントの InstallOverrideList パラメータを使用すると、マイナーバージョンのアップグレードなど、マネージドノードに適用するパッチを最大限に制御できます。詳しくは、「AWS-RunPatchBaseline SSM ドキュメントについて」を参照してください。

    • [Severity (重要度)]: ルールが適用されるパッチの重要度の値 (Critical など)。デフォルトの選択は All です。

    • [Auto-approval (自動承認)]: 自動承認のためにパッチを選択する方法。

      注記

      Ubuntu Server の更新プログラムパッケージのリリース日は確定できないため、このオペティングシステムでは自動承認オプションがサポートされていません。

      • [Approve patches after a specified number of days] (指定した日数後にパッチを承認): パッチがリリースまたは最後に更新されてから、自動的に承認されるまで Patch Manager が待機する日数。ゼロ (0) から 360 の任意の整数を入力できます。ほとんどのシナリオでは、待機日数を 100 日以内にすることをお勧めします。

      • [Approve patches released up to a specific date] (特定の日付までにリリースされたパッチを承認): Patch Manager がその日付以前にリリースまたは最後に更新されたすべてのパッチを自動的に適用するパッチのリリース日。たとえば、2020 年 7 月 7 日を指定した場合、2020 年 7 月 8 日以降にリリースまたは最後に更新されたパッチは自動的にインストールされません。

    • (オプション) [Compliance reporting (コンプライアンスレポート)]: ベースラインで承認されたパッチに割り当てる重要度 (High など)。

      注記

      承認済みパッチが見つからないとレポートされた場合は、[Compliance reporting (コンプライアンスレポート)] で選択したオプション (CriticalMedium など) に従ってコンプライアンス違反の深刻度が判断されます。

    • [Include non-security updates (セキュリティに関連しない更新を含める)]: セキュリティに関連するパッチに加えて、ソースリポジトリで使用可能なセキュリティに関連しない Linux オペレーティングシステムのパッチをインストールするには、このチェックボックスをオンにします。

      注記

      SUSE Linux Enterprise Server (SLES) では、セキュリティに関連する問題とセキュリティに関連しない問題に対するパッチがデフォルトで SLES マネージドノードにインストールされるため、このチェックボックスを選択する必要はありません。詳細については、「SLES」の セキュリティに関連するパッチの選択方法 のコンテンツを参照してください。

    カスタムのパッチベースラインでの承認ルールの使用の詳細については、「カスタムベースラインについて」を参照してください。

  9. 承認ルールに適合するパッチに加えて明示的に承認するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Approved patches (承認済みパッチ)] ボックスに、承認するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • (オプション) [Approved patches compliance level (承認済みパッチのコンプライアンスレベル)] リストで、リスト内のパッチにコンプライアンスレベルを割り当てます。

    • 指定した承認済みパッチがセキュリティに関連しない場合は、[承認済みパッチにセキュリティ以外の更新が含まれる] チェックボックスをオンにして、これらのパッチも Linux オペレーティングシステムにインストールされるようにします。

  10. 承認ルールに適合するパッチにもかかわらず明示的に拒否するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Rejected patches (拒否済みパッチ)] ボックスに、拒否するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • [Rejected patches action (拒否されたパッチのアクション)] で、[Rejected patches (拒否されたパッチ)] リストに含まれているパッチに実行するPatch Managerのアクションを選択します。

      • 依存関係として許可: [拒否済みパッチ] リスト内のパッケージは、他のパッケージの依存関係である場合にのみインストールされます。これはパッチベースラインに準拠しているとみなされ、そのステータスは InstalledOther として報告されます。オプションが何も指定されていないときは、これがデフォルトのアクションとなります。

      • ブロック: [拒否済みパッチ] リスト内のパッケージ、およびそれらを依存関係として含むパッケージは、いずれの状況でもインストールされません。パッケージが [Rejected patches (拒否済みパッチ)] リストに追加される前にインストールされている場合は、そのパッチはパッチベースラインに準拠していないとみなされ、そのステータスは InstalledRejected として報告されます。

  11. (オプション) AmazonLinux2016.03AmazonLinux2017.09 など、異なるバージョンのオペレーティングシステム用に代替パッチリポジトリを指定する場合は、[Patch sources (パッチソース)] セクションで、各製品について以下の操作を行います。

    • [Name (名前)] に、ソース設定を識別するための名前を入力します。

    • [Product (製品)] で、パッチソースリポジトリが使用されるオペレーティングシステムのバージョン (RedhatEnterpriseLinux7.4 など) を選択します。

    • [設定] に、以下の形式で使用する yum リポジトリ設定の値を入力します。

      [main] name=MyCustomRepository baseurl=https://my-custom-repository enabled=1
      ヒント

      yum リポジトリ設定で使用できるその他のオプションについては、 dnf.conf (5) を参照してください。

      [Add another source (別のソースの追加)] を選択して、追加のオペレーティングシステムの最大 20 バージョンのそれぞれにソースリポジトリを指定できます。

      代替ソースパッチリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。

  12. (オプション) [Manage tags (タグの管理)] で、1 つ以上のタグキーの名前と値のペアをパッチベースラインに適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。例えば、指定したパッチの重要度レベル、適用されるオペレーティングシステムファミリー、環境タイプを識別するためにパッチベースラインにタグ付けする場合があります。この場合、次のようなキーの名前と値のペアのタグを指定することができます。

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. [Create patch baseline] を選択します。