Patch Manager の前提条件
AWS Systems Manager の一機能である Patch Manager を使用する前に、必要な前提条件を満たしていることを確認してください。
SSM Agent バージョン
Patch Manager で管理するマネージドノードで SSM Agent のバージョン 2.0.834.0 以降が稼働しています。
注記
新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化 を参照してください。GitHub の「SSM Agent リリースノート
Python バージョン
macOS とほとんどの Linux オペレーティングシステム (OS) では、現在、Patch Manager は Python バージョン 2.6~3.10 をサポートします。AlmaLinux、Debian Server、Raspberry Pi OS、Ubuntu Server の OS では、サポートされるバージョンの Python 3 (3.0~3.10) が必要です。
パッチソースへの接続
マネージドノードがインターネットに直接接続しておらず、VPC エンドポイントで Amazon Virtual Private Cloud (Amazon VPC) を使用している場合は、ノードがソース パッチ リポジトリ (repos) に確実にアクセスできるようにしておく必要があります。Linux ノードでは、通常、パッチ更新はノードに設定されているリモートリポジトリからダウンロードされます。したがって、パッチを適用するために、ノードはレポジトリに接続できる必要があります。詳細については、「セキュリティに関連するパッチの選択方法」を参照してください。
CentOS と CentOS Stream: EnableNonSecurity
フラグを有効にする
CentOS 6 および 7 のマネージドノードではパッケージマネージャーとして Yum が使用されます。CentOS 8 および CentOS Stream のノードではパッケージマネージャーとして DNF が使用されます。どちらのパッケージマネージャーでも、更新通知の概念が使用されます。更新通知は、特定の問題を修正するパッケージの集合にすぎません。
ただし、CentOS および CentOS Stream のデフォルトリポは更新通知で設定されません。これは、Patch Manager で CentOS および CentOS Stream のデフォルトリポのパッケージが検出されないことを意味します。Patch Manager を許可して更新通知に含まれていないパッケージを処理するには、パッチベースラインルールで EnableNonSecurity
フラグを有効にする必要があります。
Windows Server: Windows Update カタログまたは Windows Server Update Services (WSUS) に確実に接続できるようにする
Windows Server マネージドノードは、Windows Update カタログまたは Windows Server Update Services (WSUS) に接続できなくてはなりません。ノードがインターネットゲートウェイ、NAT ゲートウェイ、または NAT インスタンスを介して Microsoft Update Catalog
S3 エンドポイントアクセス
マネージドノードが動作するのがプライベート ネットワークまたは公開ネットワークのいずれであるかにかかわらず、必要な AWS マネージド Amazon Simple Storage Service (Amazon S3) バケットにアクセスできない場合、パッチ適用オペレーションは失敗します。マネージドノードがアクセスできる必要がある S3 バケットの詳細については、「SSM Agent と AWS マネージド S3 バケットとの通信」および「Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する」を参照してください。
Patch Manager でサポートされているオペレーティングシステム
Patch Manager の機能では、Systems Manager の他の機能でサポートされているのと同じオペレーティングシステムのバージョンがすべてサポートされるわけではありません。例えば、Patch Manager では CentOS 6.3 や Raspberry Pi OS 8 (Jessie) はサポートされていません。(Systems Manager でサポートされるオペレーティングシステムの詳細なリストについては、「System Manager でサポートされているオペレーティングシステム」を参照してください)。そのため、Patch Manager で使用するマネージドノードで、次の表に示すオペレーティングシステムのいずれかが実行されていることを確認してください。
注記
Patch Manager は、インストール可能なパッチを取得するために、Windows Update カタログや Windows Server Update Services for Windows など、マネージドノードに設定されているパッチリポジトリに依拠します。したがって、サポート終了 (EOL) のオペレーティングシステムバージョンでは、新しい更新プログラムが利用できない場合、Patch Manager は新しい更新プログラムについてレポートできない可能性があります。これは、Linux ディストリビューションのメンテナー、Microsoft、もしくは Apple によって新しい更新プログラムがリリースされていないか、またはマネージドノードに新しい更新プログラムにアクセスするための適切なライセンスがないことが原因である可能性があります。
Patch Manager は、マネージドノードで使用可能なパッチに対するコンプライアンスステータスを報告します。したがって、インスタンスが EOL オペレーティングシステムを実行しており、更新プログラムが利用できない場合、Patch Manager はパッチ適用オペレーション用に設定されたパッチベースラインに応じて、ノードが準拠していると報告する可能性があります。
オペレーティングシステム | 詳細 |
---|---|
Linux |
|
macOS |
11.3.1、11.4~11.7 (Big Sur) 12.0~12.6 (Monterey) 13.0~13.5 (Ventura) 14.0 (Sonoma) macOSOS アップデートPatch Manager は 12.x から 13.x や 13.1 から 13.2 など macOS のオペレーティングシステム (OS) のアップデートやアップグレードはサポートしていません。macOS の OS バージョンを更新するには、Apple に組み込まれている OS アップグレードメカニズムを使用することをおすすめします。詳細については、Apple デベロッパードキュメンテーションウェブサイトの「Device Management HomeBrew サポートHomebrew オープンソースソフトウェアパッケージ管理システムは、macOS 10.14.x (Mojave) および 10.15.x (Catalina) のサポートを終了しました。結果として、これらのバージョンでのパッチオペレーションは現在サポートされていません。 リージョンのサポートすべての AWS リージョン において macOS はサポートされていません。macOS についての Amazon EC2 のサポートの詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 Mac インスタンス」を参照してください。 macOS エッジデバイスAWS IoT Greengrass コアデバイスの SSM Agent は、macOS ではサポートされていません。macOS エッジデバイスをパッチするために Patch Manager が使用できません。 |
Windows |
Windows Server 2008〜Windows Server 2022 (R2 バージョンを含む)。 注記AWS IoT Greengrass コアデバイスの SSM Agent は、Windows 10 ではサポートされていません。Windows 10 エッジデバイスをパッチするために Patch Manager が使用できません。 Windows Server 2008 のサポート2020 年 1 月 14 日以降、Windows Server 2008 は Microsoft の機能更新プログラムまたはセキュリティ更新プログラムでサポートされなくなりました。Windows Server 2008 および 2008 R2 のレガシー Amazon Machine Images (AMIs) には、依然としてバージョン 2 の SSM Agent がプリインストールされていますが、Systems Manager は 2008 バージョンを正式にサポートしなくなり、これらのバージョンの Windows Server のエージェントを更新しなくなりました。さらに、SSM Agent のバージョン 3 は、Windows Server 2008 および 2008 R2 のいずれのオペレーションとも互換性がない場合があります。Windows Server 2008 バージョンで正式にサポートされている最後の SSM Agent のバージョンは 2.3.1644.0 です。 Windows Server 2012 および 2012 R2 のサポートWindows Server 2012 および 2012 R2 は、2023 年 10 月 10 日にサポートが終了しました。これらのバージョンで Patch Manager を使用する場合、Microsoft の拡張セキュリティ更新プログラム (ESU) も使用することをお勧めします。詳細については、Microsoft ウェブサイトの「Windows Server 2012 および 2012 R2 のサポート終了 |