カスタムパッチベースラインを作成する (macOS) - AWS Systems Manager

カスタムパッチベースラインを作成する (macOS)

AWS Systems Manager の一機能である Patch Manager で macOS マネージドノードのカスタム パッチベースラインを作成するには、以下の手順に従います。

Windows Server マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Windows)」を参照してください。Linux マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Linux)」を参照してください。

注記

すべての AWS リージョン において macOS はサポートされていません。macOS についての Amazon EC2 のサポートの詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 Mac インスタンス」を参照してください。

macOS マネージドノードのカスタム パッチベースラインを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

  3. [パッチベースライン] タブを選択し、[パッチベースラインの作成] を選択します。

    -または-

    現在の AWS リージョン で Patch Manager に初めてアクセスしている場合は、[概要から開始][パッチベースライン] タブを選択してから、[パッチベースラインの作成] を選択します。

  4. [Name (名前)] フィールドに、新しいパッチベースラインの名前 (例: MymacOSPatchBaseline) を入力します。

  5. (オプション) [Description (説明)] に、パッチベースラインの説明を入力します。

  6. [Operating system (オペレーティングシステム)] で、macOS を選択します。

  7. 作成してすぐに、このパッチベースラインを macOS のデフォルトとして使用する場合は、[このパッチベースラインを macOS インスタンスのデフォルトのパッチベースラインとして設定します] を選択します。

    注記

    このオプションは、2022 年 12 月 22 日のパッチポリシーリリース前に初めて Patch Manager にアクセスした場合にのみ使用できます。

    既存のパッチベースラインのデフォルト設定の詳細については、「既存のパッチベースラインをデフォルトとして設定する」を参照してください。

  8. [Approval rules for operating-systems (オペレーティングシステムの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    • [製品]: 承認ルールが適用されるオペレーティングシステムのバージョン (Mojave10.14.1 または Catalina10.15.1 など)。デフォルトの選択は All です。

      注記

      Homebrew オープンソースソフトウェアパッケージ管理システムは、macOS 10.14.x (Mojave) および 10.15.x (Catalina) のサポートを終了しました。結果として、これらのバージョンでのパッチオペレーションは現在サポートされていません。

    • 分類: パッチ適用プロセス中にパッケージを適用するパッケージマネージャー。以下から選択できます。

      • softwareupdate

      • installer

      • brew

      • brew cask

      デフォルトの選択は All です。

    • (オプション) [コンプライアンスレポート]: ベースラインで承認されたパッチに割り当てる重要度 (Critical または High など)。

      注記

      コンプライアンスレポートレベルを指定し、任意の承認されたパッチのパッチ状態が Missing として報告された場合、パッチベースラインで報告されるコンプライアンス全体の重要度は、指定した重要度レベルになります。

    • [セキュリティ以外の更新を含める]: セキュリティに関連するパッチに加えて、ソースリポジトリで使用可能なセキュリティに関連しないオペレーティングシステムのパッチをインストールするには、このチェックボックスをオンにします。

    カスタムのパッチベースラインでの承認ルールの使用の詳細については、「カスタムベースラインについて」を参照してください。

  9. 承認ルールに適合するパッチに加えて明示的に承認するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Approved patches (承認済みパッチ)] ボックスに、承認するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • (オプション) [Approved patches compliance level (承認済みパッチのコンプライアンスレベル)] リストで、リスト内のパッチにコンプライアンスレベルを割り当てます。

    • 指定した承認済みパッチがセキュリティに関連しない場合は、[セキュリティ以外の更新を含める] ボックスをオンにして、これらのパッチも macOS オペレーティングシステムにインストールされるようにします。

  10. 承認ルールに適合するパッチにもかかわらず明示的に拒否するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Rejected patches (拒否済みパッチ)] ボックスに、拒否するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • [Rejected patches action (拒否されたパッチのアクション)] で、[Rejected patches (拒否されたパッチ)] リストに含まれているパッチに実行するPatch Managerのアクションを選択します。

      • 依存関係として許可: [拒否済みパッチ] リスト内のパッケージは、他のパッケージの依存関係である場合にのみインストールされます。これはパッチベースラインに準拠しているとみなされ、そのステータスは InstalledOther として報告されます。オプションが何も指定されていないときは、これがデフォルトのアクションとなります。

      • ブロック: [拒否されたパッチ] リスト内のパッケージ、およびそれらを依存関係として含むパッケージは、いかなる状況でも Patch Manager によってインストールされません。パッケージが [拒否されたパッチ] リストに追加される前にインストールされている場合、または後で Patch Manager 以外でインストールされている場合は、そのパッチはパッチベースラインに準拠していないとみなされ、そのステータスは InstalledRejected として報告されます。

  11. (オプション) [Manage tags (タグの管理)] で、1 つ以上のタグキーの名前と値のペアをパッチベースラインに適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。例えば、指定したパッチの重要度レベル、適用されるパッケージマネージャー、環境タイプを識別するためにパッチベースラインにタグ付けする場合があります。この場合、次のようなキーの名前と値のペアのタグを指定することができます。

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

  12. [Create patch baseline] を選択します。