カスタムパッチベースラインの作成 (Windows) - AWS Systems Manager

カスタムパッチベースラインの作成 (Windows)

AWS Systems Manager の一機能である Patch Manager で Windows マネージドノードのカスタム パッチベースラインを作成するには、以下の手順に従います

Linux マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Linux)」を参照してください。macOS マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインを作成する (macOS)」を参照してください。

Windows サービスパックのインストールのみに限定された修正プログラムベースラインの作成例については、「チュートリアル: Windows サービスパックをインストールするためのパッチベースラインを作成する (コンソール)」を参照してください 。

カスタムパッチベースラインを作成するには (Windows)

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開いた際、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  3. [Create patch baseline] を選択します。

    -または-

    現在の AWS リージョン で Patch Manager に初めてアクセスしている場合は、[View predefined patch baselines] (事前定義されたパッチベースラインの表示) を選択してから、[Create patch baseline] (パッチベースラインの作成) を選択します。

  4. [Name (名前)] フィールドに、新しいパッチベースラインの名前 (例: MyWindowsPatchBaseline) を入力します。

  5. (オプション) [Description (説明)] に、パッチベースラインの説明を入力します。

  6. [Operating system (オペレーティングシステム)] で、Windows を選択します。

  7. 作成してすぐに、このパッチベースラインを Windows のデフォルトとして使用する場合は、[Set this patch baseline as the default patch baseline for Windows Server instances (このパッチベースラインを Windows Server インスタンスのデフォルトのパッチベースラインにする)] を選択します。

    このパッチベースラインをすぐに使用するよう選択しない場合でも、後で選択することができます。詳細については、既存のパッチベースラインをデフォルトとして設定する (コンソール) を参照してください。

  8. [Approval rules for operating systems (オペレーティングシステムの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    • [Product (製品)]: 承認ルールが適用されるオペレーティングシステムのバージョン (WindowsServer2012 など)。デフォルトの選択は All です。

    • [Classification (分類)]: 承認ルールが適用されるパッチのタイプ (CriticalUpdatesDriversTools など)。デフォルトの選択は All です。

      ヒント

      ServicePacks を含めるか、Classification リストで All を選択して、Windows サービスパックのインストールを承認ルールに含めることができます。例については、「チュートリアル: Windows サービスパックをインストールするためのパッチベースラインを作成する (コンソール)」を参照してください。

    • [Severity (重要度)]: ルールが適用されるパッチの重要度の値 (Critical など)。デフォルトの選択は All です。

    • [Auto-approval (自動承認)]: 自動承認のためにパッチを選択する方法。

      • [Approve patches after a specified number of days (指定した日数後にパッチを承認)]: パッチがリリースされてから、自動的に承認されるまでPatch Managerが待機する日数。ゼロ (0) から 360 の任意の整数を入力できます。ほとんどのシナリオでは、待機日数を 100 日以内にすることをお勧めします。

      • [Approve patches released up to a specific date (特定の日付までにリリースされたパッチを承認)]: Patch Managerがその日付以前にリリースされたすべてのパッチを自動的に適用するパッチのリリース日。たとえば、2020 年 7 月 7 日を指定した場合、2020 年 7 月 8 日以降にリリースされたパッチは自動的にインストールされません。

    • (オプション) [Compliance reporting (コンプライアンスレポート)]: ベースラインで承認されたパッチに割り当てる重要度 (High など)。

      注記

      承認済みパッチが見つからないとレポートされた場合は、[Compliance reporting (コンプライアンスレポート)] で選択したオプション (CriticalMedium など) に従ってコンプライアンス違反の深刻度が判断されます。

  9. (オプション) [Approval rules for applications (アプリケーションの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    注記

    承認ルールを指定する代わりに、承認されたパッチと拒否されたパッチのリストをパッチ例外として指定できます。手順 10 と 11 を参照してください。

    • [Product family (製品ファミリー)]: ルールを指定する Microsoft 製品ファミリー全般 (OfficeExchange Server など)。

    • [Product (製品)]: 承認ルールが適用されるアプリケーションのバージョン (Office 2016Active Directory Rights Management Services Client 2.0 2016 など)。デフォルトの選択は All です。

    • [Classification (分類)]: 承認ルールが適用されるパッチのタイプ (CriticalUpdates など)。デフォルトの選択は All です。

    • [Severity (重要度)]: ルールが適用されるパッチの重要度の値 (Critical など)。デフォルトの選択は All です。

    • [Auto-approval (自動承認)]: 自動承認のためにパッチを選択する方法。

      • [Approve patches after a specified number of days (指定した日数後にパッチを承認)]: パッチがリリースされてから、自動的に承認されるまでPatch Managerが待機する日数。ゼロ (0) から 360 の任意の整数を入力できます。ほとんどのシナリオでは、待機日数を 100 日以内にすることをお勧めします。

      • [Approve patches released up to a specific date (特定の日付までにリリースされたパッチを承認)]: Patch Managerがその日付以前にリリースされたすべてのパッチを自動的に適用するパッチのリリース日。たとえば、2020 年 7 月 7 日を指定した場合、2020 年 7 月 8 日以降にリリースされたパッチは自動的にインストールされません。

    • (オプション) [Compliance reporting (コンプライアンスレポート)]: ベースラインで承認されたパッチに割り当てる重要度 (High など)。

      注記

      承認済みパッチが見つからないとレポートされた場合は、[Compliance reporting (コンプライアンスレポート)] で選択したオプション (CriticalMedium など) に従ってコンプライアンス違反の深刻度が判断されます。

  10. (オプション) 承認ルールに従ってパッチを選択させるのではなく、パッチを明示的に承認する場合は、[パッチの例外] セクションで次の手順を実行します。

    • [Approved patches (承認済みパッチ)] ボックスに、承認するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • (オプション) [Approved patches compliance level (承認済みパッチのコンプライアンスレベル)] リストで、リスト内のパッチにコンプライアンスレベルを割り当てます。

  11. 承認ルールに適合するパッチにもかかわらず明示的に拒否するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Rejected patches (拒否済みパッチ)] ボックスに、拒否するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • [Rejected patches action (拒否されたパッチのアクション)] で、[Rejected patches (拒否されたパッチ)] リストに含まれているパッチに実行するPatch Managerのアクションを選択します。

      • 依存関係として許可: [拒否済みパッチ] リスト内のパッケージは、他のパッケージの依存関係である場合にのみインストールされます。これはパッチベースラインに準拠しているとみなされ、そのステータスは InstalledOther として報告されます。オプションが何も指定されていないときは、これがデフォルトのアクションとなります。

      • ブロック: [拒否済みパッチ] リスト内のパッケージ、およびそれらを依存関係として含むパッケージは、いずれの状況でもインストールされません。パッケージが [Rejected patches (拒否済みパッチ)] リストに追加される前にインストールされている場合は、そのパッチはパッチベースラインに準拠していないとみなされ、そのステータスは InstalledRejected として報告されます。

  12. (オプション) [Manage tags (タグの管理)] で、1 つ以上のタグキーの名前と値のペアをパッチベースラインに適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。例えば、指定したパッチの重要度レベル、適用されるオペレーティングシステムファミリー、環境タイプを識別するためにパッチベースラインにタグ付けする場合があります。この場合、次のようなキーの名前と値のペアのタグを指定することができます。

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. [Create patch baseline] を選択します。