カスタムパッチベースラインを作成する (macOS) - AWS Systems Manager

カスタムパッチベースラインを作成する (macOS)

AWS Systems Manager の一機能である Patch Manager で macOS マネージドノードのカスタム パッチベースラインを作成するには、以下の手順に従います。

Windows Server マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Windows)」を参照してください。Linux マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Linux)」を参照してください。

macOS マネージドノードのカスタム パッチベースラインを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開いた際、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Create patch baseline] を選択します。

    -または-

    現在の AWS リージョン で Patch Manager に初めてアクセスしている場合は、[View predefined patch baselines] (事前定義されたパッチベースラインの表示) を選択してから、[Create patch baseline] (パッチベースラインの作成) を選択します。

  4. [Name (名前)] フィールドに、新しいパッチベースラインの名前 (例: MymacOSPatchBaseline) を入力します。

  5. (オプション) [Description (説明)] に、パッチベースラインの説明を入力します。

  6. [Operating system (オペレーティングシステム)] で、macOS を選択します。

  7. 作成してすぐに、このパッチベースラインを macOS のデフォルトとして使用する場合は、[このパッチベースラインを macOS インスタンスのデフォルトのパッチベースラインとして設定します] を選択します。

    既存のパッチベースラインのデフォルト設定の詳細については、「既存のパッチベースラインをデフォルトとして設定する (コンソール)」を参照してください。

  8. [Approval rules for operating-systems (オペレーティングシステムの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    • [製品]: 承認ルールが適用されるオペレーティングシステムのバージョン (Mojave10.14.1 または Catalina10.15.1 など)。デフォルトの選択は All です。

    • 分類: パッチ適用プロセス中にパッケージを適用するパッケージマネージャー。以下から選択できます。

      • softwareupdate

      • installer

      • brew

      • brew cask

      デフォルトの選択は All です。

    • (オプション) [Compliance reporting (コンプライアンスレポート)]: ベースラインで承認されたパッチに割り当てる重要度 (High など)。

      注記

      承認済みパッチが見つからないとレポートされた場合は、[Compliance reporting (コンプライアンスレポート)] で選択したオプション (CriticalMedium など) に従ってコンプライアンス違反の深刻度が判断されます。

    • [セキュリティ以外の更新を含める]: セキュリティに関連するパッチに加えて、ソースリポジトリで使用可能なセキュリティに関連しないオペレーティングシステムのパッチをインストールするには、このチェックボックスをオンにします。

    カスタムのパッチベースラインでの承認ルールの使用の詳細については、「カスタムベースラインについて」を参照してください。

  9. 承認ルールに適合するパッチに加えて明示的に承認するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Approved patches (承認済みパッチ)] ボックスに、承認するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • (オプション) [Approved patches compliance level (承認済みパッチのコンプライアンスレベル)] リストで、リスト内のパッチにコンプライアンスレベルを割り当てます。

    • 指定した承認済みパッチがセキュリティに関連しない場合は、[承認済みパッチにセキュリティ以外の更新が含まれる] ボックスをオンにして、これらのパッチも macOS オペレーティングシステムにインストールされるようにします。

  10. 承認ルールに適合するパッチにもかかわらず明示的に拒否するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Rejected patches (拒否済みパッチ)] ボックスに、拒否するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • [Rejected patches action (拒否されたパッチのアクション)] で、[Rejected patches (拒否されたパッチ)] リストに含まれているパッチに実行するPatch Managerのアクションを選択します。

      • 依存関係として許可: [拒否済みパッチ] リスト内のパッケージは、他のパッケージの依存関係である場合にのみインストールされます。これはパッチベースラインに準拠しているとみなされ、そのステータスは InstalledOther として報告されます。オプションが何も指定されていないときは、これがデフォルトのアクションとなります。

      • ブロック: [拒否済みパッチ] リスト内のパッケージ、およびそれらを依存関係として含むパッケージは、いずれの状況でもインストールされません。パッケージが [Rejected patches (拒否済みパッチ)] リストに追加される前にインストールされている場合は、そのパッチはパッチベースラインに準拠していないとみなされ、そのステータスは InstalledRejected として報告されます。

  11. (オプション) [Manage tags (タグの管理)] で、1 つ以上のタグキーの名前と値のペアをパッチベースラインに適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。例えば、指定したパッチの重要度レベル、適用されるパッケージマネージャー、環境タイプを識別するためにパッチベースラインにタグ付けする場合があります。この場合、次のようなキーの名前と値のペアのタグを指定することができます。

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

  12. [Create patch baseline] を選択します。