セキュリティに関連するパッチの選択方法

AWS Systems Manager の一機能である Patch Manager の主な目的は、オペレーティングシステムのセキュリティに関連する更新プログラムをマネージドノードにインストールすることです。デフォルトでは、Patch Manager はすべての利用可能なパッチをインストールするのではなく、一部のセキュリティ関連のパッチをインストールします。

パッチの重要度を報告する Linux ベースタイプのオペレーティングシステムの場合、Patch Manager は更新通知または個々のパッチのために、ソフトウェア発行者によって報告された重要度レベルを使用します。Patch Manager では、CVSS (共通脆弱性評価システム) のような サードパーティのソースからの、または NVD (National Vulnerability Database) がリリースしたメトリクスからの重要度レベルは取得しません。

注記

Patch Manager でサポートされているすべての Linux ベースのシステムでは、セキュリティに関連しない更新プログラムをインストールしたりするために、マネージドノードに別のソースリポジトリを選択することができます。詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。

以下の各タブを選択して、お使いのオペレーティングシステムで Patch Manager がセキュリティ関連のパッチを選択する方法を確認してください。

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

事前設定されたリポジトリは、Amazon Linux 2022 および Amazon Linux 2023 と Amazon Linux 1 および Amazon Linux 2 では処理が異なります。

Amazon Linux 1 および Amazon Linux 2 では、Systems Manager のパッチベースラインサービスはマネージドノードの設定済みリポジトリを使用します。通常、ノードには 2 つの設定済みリポジトリ (リポウズ) があります。

• リポ ID: amzn-main/latest

  リポ名: amzn-main-Base

• リポ ID: amzn-updates/latest

  リポ名: amzn-updates-Base

Amazon Linux 2023 (AL2023) インスタンスには、最初に AL2023 のバージョンで利用可能なアップデートと、選択した AMI が含まれています。デフォルトでは、AL2023 インスタンスは起動時に追加のクリティカルかつ重要なセキュリティアップデートを自動的に受信しません。代わりに、デフォルトで有効になっている AL2023 のバージョン対応リポジトリによる確定的なアップグレード機能を使用すると、特定のニーズを満たすスケジュールに基づいて更新を適用できます。詳細については、「Amazon Linux 2023 ユーザーガイド」の「バージョン対応リポジトリによる確定的なアップグレード」を参照してください。

Amazon Linux 2022 では、事前設定されたリポジトリはロックされたバージョンのパッケージ更新に関連付けられています。Amazon Linux 2022 用の新規 Amazon Machine Images (AMIs) がリリースされると、特定のバージョンにロックされます。パッチ更新では、Patch Manager は、パッチ更新リポジトリの最新のロックバージョンを取得し、そのロックされたバージョンの内容に基づいてマネージド ノード上のパッケージを更新します。

AL2023 では、事前設定されたリポジトリは次のとおりです。

• リポ ID: amazonlinux

  リポジトリ名: Amazon Linux 2023 リポジトリ

Amazon Linux 2022 (プレビューリリース) では、事前設定されたリポジトリはロックされたバージョンのパッケージ更新に関連付けられています。Amazon Linux 2022 用の新規 Amazon Machine Images (AMIs) がリリースされると、特定のバージョンにロックされます。パッチ更新では、Patch Manager は、パッチ更新リポジトリの最新のロックバージョンを取得し、そのロックされたバージョンの内容に基づいてマネージド ノード上のパッケージを更新します。

Amazon Linux 2022 では、事前設定されたリポジトリは次のとおりです。

• リポ ID: amazonlinux

  リポジトリ名: Amazon Linux 2022 リポジトリ

注記

すべての更新は、マネージドノードに設定されているリモートリポジトリからダウンロードされます。したがって、パッチを適用できるようにレポジトリに接続するために、ノードにインターネットへのアウトバウンドアクセスが必要です。

Amazon Linux 1 および Amazon Linux 2 マネージドノードは、パッケージマネージャーとして Yum を使用します。Amazon Linux 2022 および Amazon Linux 2023 ではパッケージマネージャーとして DNF が使用されます。

どちらのパッケージマネージャーでも、updateinfo.xml という名前のファイルとして更新通知の概念が使用されます。更新通知は、特定の問題を修正するパッケージの集合にすぎません。更新通知に含まれているすべてのパッケージは、Patch Manager ではセキュリティ関連とみなされます。個々のパッケージには分類や重要度は割り当てられません。そのため、Patch Manager は関連するパッケージに更新通知の属性を割り当てます。

注記

[パッチベースラインの作成] ページで [セキュリティ以外の更新を含める] チェックボックスをオンにすると、updateinfo.xml ファイル (または、正しくフォーマットされた分類、重要度、および日付の値のないファイルを含むパッケージ) に分類されないパッケージは、事前にフィルタリングされたパッチのリストに含まれます。ただし、パッチを適用するためには、パッチはユーザーが指定したパッチベースラインルールを満たしている必要があります。

CentOS and CentOS Stream

CentOS および CentOS Stream の場合、Systems Manager のパッチベースラインサービスはマネージドノードの設定済みリポジトリ (リポウズ) を使用します。以下のリストは、架空の CentOS 8.2 Amazon Machine Image (AMI) の例を示します。

• リポ ID: example-centos-8.2-base

  リポ名: Example CentOS-8.2 - Base

• リポ ID: example-centos-8.2-extras

  リポ名: Example CentOS-8.2 - Extras

• リポ ID: example-centos-8.2-updates

  リポ名: Example CentOS-8.2 - Updates

• リポ ID: example-centos-8.x-examplerepo

  リポ名: Example CentOS-8.x – Example Repo Packages

注記

すべての更新は、マネージドノードに設定されているリモートリポジトリからダウンロードされます。したがって、パッチを適用できるようにレポジトリに接続するために、ノードにインターネットへのアウトバウンドアクセスが必要です。

CentOS 6 および 7 のマネージドノードではパッケージマネージャーとして Yum が使用されます。CentOS 8 および CentOS Stream のノードではパッケージマネージャーとして DNF が使用されます。どちらのパッケージマネージャーでも、更新通知の概念が使用されます。更新通知は、特定の問題を修正するパッケージの集合にすぎません。

ただし、CentOS および CentOS Stream のデフォルトリポは更新通知で設定されません。これは、Patch Manager で CentOS および CentOS Stream のデフォルトリポのパッケージが検出されないことを意味します。Patch Manager を許可して更新通知に含まれていないパッケージを処理するには、パッチベースラインルールで EnableNonSecurity フラグを有効にする必要があります。

注記

CentOS および CentOS Stream の更新通知がサポートされています。更新通知のあるリポは起動後にダウンロードできます。

Debian サーバー and Raspberry Pi OS

Debian Server および Raspberry Pi OS (旧称 Raspbian) の場合、Systems Manager のパッチベースラインサービスでは、インスタンスの事前設定済みリポジトリ (リポウズ) を使用します。これらの構成済みリポを使用して、使用可能なパッケージアップグレードの最新リストを取得します。このため、Systems Manager は、sudo apt-get update コマンドと同等のコマンドを実行します。

その後、パッケージは debian-security codename リポからフィルタリングされます。つまり、 の各バージョンではDebian Server、 は次のように、そのバージョンの関連付けられたリポジトリの一部であるアップグレードPatch Managerのみを識別します。

• Debian Server 8: debian-security jessie

• Debian Server 9: debian-security stretch

• Debian Server 10: debian-security buster

• Debian Server 11: debian-security bullseye

• Debian Server 12: debian-security bookworm

注記

Debian Server 8 のみ: 一部の Debian Server 8.* マネージドノードはサポートされなくなったパッケージリポジトリ (jessie-backports) を参照するため、Patch Manager ではパッチ適用オペレーションが正常に完了するように追加の手順を実行します。詳細については、「パッチのインストール方法」を参照してください。

Oracle Linux

Oracle Linux の場合、Systems Manager パッチベースライン サービスはマネージドノードの事前設定済みのリポジトリ (リポウズ) を使用します。通常、ノードには 2 つの設定済みリポウズがあります。

Oracle Linux 7:

• リポ ID: ol7_UEKR5/x86_64

  リポ名: Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

• リポ ID: ol7_latest/x86_64

  リポ名: Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8:

• リポ ID: ol8_baseos_latest

  リポ名: Oracle Linux 8 BaseOS Latest (x86_64)

• リポ ID: ol8_appstream

  リポ名: Oracle Linux 8 Application Stream (x86_64)

• リポ ID: ol8_UEKR6

  リポ名: Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9:

• リポ ID: ol9_baseos_latest

  リポ名: Oracle Linux 9 BaseOS Latest (x86_64)

• リポ ID: ol9_appstream

  リポ名: Oracle Linux 9 Application Stream Packages(x86_64)

• リポ ID: ol9_UEKR7

  リポ名: Oracle Linux UEK Release 7 (x86_64)

注記

すべての更新は、マネージドノードに設定されているリモートリポジトリからダウンロードされます。したがって、パッチを適用できるようにレポジトリに接続するために、ノードにインターネットへのアウトバウンドアクセスが必要です。

Oracle Linux マネージドノードではパッケージマネージャーとして Yum が使用されます。Yum では updateinfo.xml という名前のファイルとして、更新通知の概念が使用されます。更新通知は、特定の問題を修正するパッケージの集合にすぎません。個々のパッケージには分類や重要度は割り当てられません。このため、Patch Manager は、更新通知の属性を関連するパッケージに割り当てて、パッチベースラインで指定された分類フィルターに基づいてパッケージをインストールします。

注記

[パッチベースラインの作成] ページで [セキュリティ以外の更新を含める] チェックボックスをオンにすると、updateinfo.xml ファイル (または、正しくフォーマットされた分類、重要度、および日付の値のないファイルを含むパッケージ) に分類されないパッケージは、事前にフィルタリングされたパッチのリストに含まれます。ただし、パッチを適用するためには、パッチはユーザーが指定したパッチベースラインルールを満たしている必要があります。

AlmaLinux, RHEL, and Rocky Linux

AlmaLinux、、および Rocky Linux Systems Manager パッチベースラインサービスではRed Hat Enterprise Linux、マネージドノードの設定済みリポジトリ (リポ) を使用します。通常、ノードには 3 つの設定済みリポウズがあります。

すべての更新は、マネージドノードに設定されているリモートリポジトリからダウンロードされます。したがって、パッチを適用できるようにレポジトリに接続するために、ノードにインターネットへのアウトバウンドアクセスが必要です。

注記

[パッチベースラインの作成] ページで [セキュリティ以外の更新を含める] チェックボックスをオンにすると、updateinfo.xml ファイル (または、正しくフォーマットされた分類、重要度、および日付の値のないファイルを含むパッケージ) に分類されないパッケージは、事前にフィルタリングされたパッチのリストに含まれます。ただし、パッチを適用するためには、パッチはユーザーが指定したパッチベースラインルールを満たしている必要があります。

Red Hat Enterprise Linux 7 マネージドノードはパッケージマネージャーとして Yum Red Hat Enterprise Linux を使用します。 AlmaLinux、 8、 Rocky Linuxマネージドノードはパッケージマネージャーとして DNF を使用します。どちらのパッケージマネージャーでも、updateinfo.xml という名前のファイルとして更新通知の概念が使用されます。更新通知は、特定の問題を修正するパッケージの集合にすぎません。個々のパッケージには分類や重要度は割り当てられません。このため、Patch Manager は、更新通知の属性を関連するパッケージに割り当てて、パッチベースラインで指定された分類フィルターに基づいてパッケージをインストールします。

RHEL 7

注記

以下のレポ ID は RHUI 2 に関連付けられています。RHUI 3は 2019 年 12 月に開始され、Yum リポジトリ ID に異なる命名スキームを導入しました。マネージドノード作成元の RHEL-7 AMI によっては、コマンドを更新する必要がある場合があります。詳細については、Red Hat カスタマーポータル RHEL のIDs AWS が変更されました」を参照してください。

• リポ ID: rhui-REGION-client-config-server-7/x86_64

  リポ名: Red Hat Update Infrastructure 2.0 Client Configuration Server 7

• リポ ID: rhui-REGION-rhel-server-releases/7Server/x86_64

  リポ名: Red Hat Enterprise Linux Server 7 (RPMs)

• リポ ID: rhui-REGION-rhel-server-rh-common/7Server/x86_64

  リポ名: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux、8 RHEL 8、および Rocky Linux 8

• リポ ID: rhel-8-appstream-rhui-rpms

  リポ名: Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

• リポ ID: rhel-8-baseos-rhui-rpms

  リポ名: Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

• リポ ID: rhui-client-config-server-8

  リポ名: Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9、RHEL9、および Rocky Linux 9

• リポ ID: rhel-9-appstream-rhui-rpms

  リポ名: Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

• リポ ID: rhel-9-baseos-rhui-rpms

  リポ名: Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

• リポ ID: rhui-client-config-server-9

  リポ名:Red Hat Enterprise Linux 9 Client Configuration

SLES

SUSE Linux Enterprise Server (SLES) マネージドノードでは、ZYPP ライブラリは使用可能なパッチのリスト (パッケージの集合) を以下の場所から取得します。

• リポジトリのリスト: etc/zypp/repos.d/*

• パッケージの情報: /var/cache/zypp/raw/*

SLES マネージドノードはパッケージマネージャーとして Zypper を使用し、Zypper はパッチの概念を使用します。パッチは、特定の問題を修正するパッケージのコレクションです。Patch Manager は、パッチに含まれているすべてのパッケージをセキュリティ関連のパッケージとみなします。個々のパッケージには分類や重要度が与えられていないため、Patch Managerはパッケージにその属しているパッチの属性を割り当てます。

Ubuntu Server

Ubuntu Server の場合、Systems Manager パッチベースライン サービスはマネージドノードの事前設定済みのリポジトリ (リポウズ) を使用します。これらの構成済みリポを使用して、使用可能なパッケージアップグレードの最新リストを取得します。このため、Systems Manager は、sudo apt-get update コマンドと同等のコマンドを実行します。

次に、パッケージを codename-security リポジトリでフィルタリングします。この codename はリリースバージョンに固有です (Ubuntu Server 14 の場合は trusty など)。Patch Managerは、次のリポジトリに含まれているアップグレードのみを識別します。

• Ubuntu Server 14.04 LTS: trusty-security

• Ubuntu Server 16.04 LTS: xenial-security

• Ubuntu Server 18.04 LTS: bionic-security

• Ubuntu Server 20.04 LTS: focal-security

• Ubuntu Server 20.10 STR: groovy-security

• Ubuntu Server 22.04 LTS (jammy-security)

• Ubuntu Server 23.04 (lunar-security）

Windows Server

Microsoft Windows オペレーティングシステムの場合、Patch Manager は Microsoft が Microsoft Update に公開して Windows Server Update Services (WSUS) で自動的に利用可能になる更新プログラムのリストを取得します。

Patch Manager は各 AWS リージョン で新しい更新を継続的にモニタリングします。利用可能な更新プログラムのリストは、各リージョンで 1 日 1 回以上更新されます。Microsoft からのパッチ情報が処理されると、Patch Manager は最新の更新プログラムで置き換えられた前の更新プログラムをパッチのリストから削除します。したがって、最新の更新のみが表示され、インストール可能になります。例えば、KB3135456 が KB4012214 に置き換えられると、Patch Managerでは KB4012214 のみが利用可能になります。

Patch Managerでは、Patch Manager でサポートされている Windows Server オペレーティングシステムのバージョンで利用可能なパッチのみを使用できます。例えば、Patch Managerを使用して Windows RT にパッチを適用することはできません。

注記

場合によっては、更新日時を指定しないアプリケーションのパッチを Microsoft がリリースします。このような場合、デフォルトでは 01/01/1970 の更新日時が指定されています。