AWS-RunPatchBaseline または AWS-RunPatchBaselineAssociation で InstallOverrideList パラメータを使用するサンプルシナリオ - AWS Systems Manager

AWS-RunPatchBaseline または AWS-RunPatchBaselineAssociation で InstallOverrideList パラメータを使用するサンプルシナリオ

InstallOverrideList パラメータを使用すると、AWS Systems Manager の一機能であるパッチマネージャーの現在のデフォルトのパッチベースラインで指定されたパッチを上書きできます。このトピックでは、このパラメータを使用して次のことを実現する方法の例を示します。

  • インスタンスのターゲットグループに異なるパッチセットを適用する。

  • これらのパッチセットを異なる頻度で適用する。

  • 両方の操作に同じパッチベースラインを使用する。

Amazon Linux 2 インスタンスに 2 つの異なるカテゴリのパッチをインストールするとします。メンテナンスウィンドウを使用して、これらのパッチを異なるスケジュールでインストールします。毎週 1 つのメンテナンスウィンドウを実行し、すべての Security パッチをインストールする必要があります。月に 1 回は、別のメンテナンスウィンドウを実行し、使用可能なすべてのパッチ、または Security 以外のカテゴリのパッチをインストールする必要があります。

ところが、オペレーティングシステムのデフォルトとして定義できるパッチベースラインは、一度に 1 つだけです。この要件は、あるパッチベースラインでパッチが承認され、別のパッチベースラインでパッチがブロックされる (これによって競合するバージョン間で問題が発生する) 状況を回避するために役立ちます。

次の方法では、同じパッチベースラインを使用しながら、InstallOverrideList パラメータを使用して、異なるスケジュールで異なるタイプのパッチをターゲットグループに適用します。

  1. デフォルトのパッチベースラインで、Security 更新のみが指定されていることを確認します。

  2. AWS-RunPatchBaseline または AWS-RunPatchBaselineAssociation を毎週実行するメンテナンスウィンドウを作成します。上書きリストは指定しないでください。

  3. 毎月適用するすべてのタイプのパッチの上書きリストを作成し、Amazon Simple Storage Service (Amazon S3) バケットに保存します。

  4. 1 か月に 1 回実行する 2 番目のメンテナンスウィンドウを作成します。ただし、このメンテナンスウィンドウに登録する Run Command タスクについては、上書きリストの場所を指定します。

その結果、デフォルトのパッチベースラインで定義されている Security パッチのみが毎週インストールされます。利用可能なすべてのパッチや、定義したパッチのサブセットがすべて、毎月インストールされます。