カスタムパッチベースラインの作成 (Windows) - AWS Systems Manager

カスタムパッチベースラインの作成 (Windows)

AWS Systems Manager の一機能である Patch Manager で Windows マネージドノードのカスタム パッチベースラインを作成するには、以下の手順に従います

Linux マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインの作成 (Linux)」を参照してください。macOS マネージドノードのパッチベースラインの作成については、「カスタムパッチベースラインを作成する (macOS)」を参照してください。

Windows サービスパックのインストールのみに限定された修正プログラムベースラインの作成例については、「チュートリアル: Windows サービスパックをインストールするためのパッチベースラインを作成するには (コンソール)」を参照してください 。

カスタムパッチベースラインを作成するには (Windows)

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

  3. [パッチベースライン] タブを選択し、[パッチベースラインの作成] を選択します。

    -または-

    現在の AWS リージョン で Patch Manager に初めてアクセスしている場合は、[概要から開始][パッチベースライン] タブを選択してから、[パッチベースラインの作成] を選択します。

  4. [Name (名前)] フィールドに、新しいパッチベースラインの名前 (例: MyWindowsPatchBaseline) を入力します。

  5. (オプション) [Description (説明)] に、パッチベースラインの説明を入力します。

  6. [Operating system (オペレーティングシステム)] で、Windows を選択します。

  7. 作成してすぐに、このパッチベースラインを Windows のデフォルトとして使用する場合は、[Set this patch baseline as the default patch baseline for Windows Server instances (このパッチベースラインを Windows Server インスタンスのデフォルトのパッチベースラインにする)] を選択します。

    注記

    このオプションは、2022 年 12 月 22 日のパッチポリシーリリース前に初めて Patch Manager にアクセスした場合にのみ使用できます。

    既存のパッチベースラインのデフォルト設定の詳細については、「既存のパッチベースラインをデフォルトとして設定する」を参照してください。

  8. [Approval rules for operating systems (オペレーティングシステムの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    • [製品]: 承認ルールが適用されるオペレーティングシステムのバージョン (WindowsServer2012 など)。デフォルトの選択は All です。

    • [Classification (分類)]: 承認ルールが適用されるパッチのタイプ (CriticalUpdatesDriversTools など)。デフォルトの選択は All です。

      ヒント

      ServicePacks を含めるか、Classification リストで All を選択して、Windows サービスパックのインストールを承認ルールに含めることができます。例については、「チュートリアル: Windows サービスパックをインストールするためのパッチベースラインを作成するには (コンソール)」を参照してください。

    • [Severity (重要度)]: ルールが適用されるパッチの重要度の値 (Critical など)。デフォルトの選択は All です。

    • [Auto-approval (自動承認)]: 自動承認のためにパッチを選択する方法。

      • [Approve patches after a specified number of days] (指定した日数後にパッチを承認): パッチがリリースまたは更新されてから、自動的に承認されるまで Patch Manager が待機する日数。ゼロ (0) から 360 の任意の整数を入力できます。ほとんどのシナリオでは、待機日数を 100 日以内にすることをお勧めします。

      • [Approve patches released up to a specific date] (特定の日付までにリリースされたパッチを承認): Patch Manager がその日付以前にリリースまたは最後に更新されたすべてのパッチを自動的に適用するパッチのリリース日。例えば、2023 年 7 月 7 日を指定した場合、リリース日または最後の更新日が 2023 年 7 月 8 日以降であるパッチは、自動的にインストールされません。

    • (オプション) [Compliance reporting (コンプライアンスレポート)]: ベースラインで承認されたパッチに割り当てる重要度 (High など)。

      注記

      コンプライアンスレポートレベルを指定し、任意の承認されたパッチのパッチ状態が Missing として報告された場合、パッチベースラインで報告されるコンプライアンス全体の重要度は、指定した重要度レベルになります。

  9. (オプション) [Approval rules for applications (アプリケーションの承認ルール)] セクションで、フィールドを使用して 1 つ以上の自動承認ルールを作成します。

    注記

    承認ルールを指定する代わりに、承認されたパッチと拒否されたパッチのリストをパッチ例外として指定できます。手順 10 と 11 を参照してください。

    • [Product family (製品ファミリー)]: ルールを指定する Microsoft 製品ファミリー全般 (OfficeExchange Server など)。

    • [製品]: 承認ルールが適用されるアプリケーションのバージョン (Office 2016Active Directory Rights Management Services Client 2.0 2016 など)。デフォルトの選択は All です。

    • [Classification (分類)]: 承認ルールが適用されるパッチのタイプ (CriticalUpdates など)。デフォルトの選択は All です。

    • [Severity (重要度)]: ルールが適用されるパッチの重要度の値 (Critical など)。デフォルトの選択は All です。

    • [Auto-approval (自動承認)]: 自動承認のためにパッチを選択する方法。

      • [Approve patches after a specified number of days] (指定した日数後にパッチを承認): パッチがリリースまたは更新されてから、自動的に承認されるまで Patch Manager が待機する日数。ゼロ (0) から 360 の任意の整数を入力できます。ほとんどのシナリオでは、待機日数を 100 日以内にすることをお勧めします。

      • [Approve patches released up to a specific date] (特定の日付までにリリースされたパッチを承認): Patch Manager がその日付以前にリリースまたは最後に更新されたすべてのパッチを自動的に適用するパッチのリリース日。例えば、2023 年 7 月 7 日を指定した場合、リリース日または最後の更新日が 2023 年 7 月 8 日以降であるパッチは、自動的にインストールされません。

    • (オプション) [コンプライアンスレポート]: ベースラインで承認されたパッチに割り当てる重要度 (Critical または High など)。

      注記

      コンプライアンスレポートレベルを指定し、任意の承認されたパッチのパッチ状態が Missing として報告された場合、パッチベースラインで報告されるコンプライアンス全体の重要度は、指定した重要度レベルになります。

  10. (オプション) 承認ルールに従ってパッチを選択させるのではなく、パッチを明示的に承認する場合は、[パッチの例外] セクションで次の手順を実行します。

    • [Approved patches (承認済みパッチ)] ボックスに、承認するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • (オプション) [Approved patches compliance level (承認済みパッチのコンプライアンスレベル)] リストで、リスト内のパッチにコンプライアンスレベルを割り当てます。

  11. 承認ルールに適合するパッチにもかかわらず明示的に拒否するパッチがある場合は、[パッチの例外] セクションで、以下の操作を実行します。

    • [Rejected patches (拒否済みパッチ)] ボックスに、拒否するパッチのカンマ区切りリストを入力します。

      注記

      承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

    • [Rejected patches action (拒否されたパッチのアクション)] で、[Rejected patches (拒否されたパッチ)] リストに含まれているパッチに実行するPatch Managerのアクションを選択します。

      • 依存関係として許可: [拒否済みパッチ] リスト内のパッケージは、他のパッケージの依存関係である場合にのみインストールされます。これはパッチベースラインに準拠しているとみなされ、そのステータスは InstalledOther として報告されます。オプションが何も指定されていないときは、これがデフォルトのアクションとなります。

      • ブロック: [拒否されたパッチ] リスト内のパッケージ、およびそれらを依存関係として含むパッケージは、いかなる状況でも Patch Manager によってインストールされません。パッケージが [拒否されたパッチ] リストに追加される前にインストールされている場合、または後で Patch Manager 以外でインストールされている場合は、そのパッチはパッチベースラインに準拠していないとみなされ、そのステータスは InstalledRejected として報告されます。

  12. (オプション) [Manage tags (タグの管理)] で、1 つ以上のタグキーの名前と値のペアをパッチベースラインに適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。例えば、指定したパッチの重要度レベル、適用されるオペレーティングシステムファミリー、環境タイプを識別するためにパッチベースラインにタグ付けする場合があります。この場合、次のようなキーの名前と値のペアのタグを指定することができます。

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. [Create patch baseline] を選択します。