インスタンスにパッチを適用する SSM ドキュメントについて - AWS Systems Manager

インスタンスにパッチを適用する SSM ドキュメントについて

このトピックでは、マネージドインスタンスが最新のセキュリティアップデートでパッチが適用された状態に維持できるように公開されている 8 種類の SSM ドキュメントを紹介します。

現在、パッチ適用オペレーションで使用が推奨されているのは、これらのうち 5 種類のドキュメントのみです。これらの 5 つの SSM ドキュメントには、AWS Systems Manager を使用したパッチ適用オプションの詳細が記載されています。これらのうち、4 つのドキュメントは、それらが置き換えられた 4 つのレガシー SSM ドキュメントよりも後にリリースされ、機能の拡張または統合を表しています。

5 つの推奨 SSM ドキュメントには以下が含まれます。

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

4 つのレガシー SSM ドキュメントは現在も一部の AWS リージョンで使用できますが、今後廃止される可能性があります。内容は次のとおりです。

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

パッチ適用オペレーションでこれらの SSM ドキュメントを使用する方法の詳細については、次のセクションを参照してください。

マネージドインスタンスのパッチ適用オペレーションで使用が推奨されている SSM ドキュメントは、次の 5 つです。

Windows Update の基本機能を設定してから、その機能を使用して更新を自動インストール (または自動更新を無効に) できます。すべての AWS リージョンで使用できます。

この SSM ドキュメントを使用すると、Windows Update において、指定の更新をダウンロードおよびインストールし、必要に応じてインスタンスを再起動するよう求められます。Windows Update の設定が維持されていることを確認するには、ステートマネージャー でこのドキュメントを使用します。Run Command を使用して手動で実行し、Windows Update 設定を変更することもできます。

このドキュメントで利用可能なパラメータを使用することで、インストールする更新のカテゴリ (または自動更新を無効にするかどうか) だけでなく、パッチ適用オペレーションを実行する日時と曜日を指定することができます。この SSM ドキュメントは、Windows updates で厳重に管理する必要なく、コンプライアンス情報を収集する必要がない場合に非常に便利です。

次のレガシー SSM ドキュメントを置き換える:

  • なし

Windows Server インスタンスに更新をインストールします。すべての AWS リージョンで使用できます。

この Include Kbs ドキュメントには、特定の更新をインストール (SSM パラメータを使用) するか、特定の分類やカテゴリのパッチをインストールするが、パッチのコンプライアンス情報が不要な場合の基本パッチ適用機能について記載されています。

次のレガシー SSM ドキュメントを置き換える:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

3 つのレガシードキュメントを使用してさまざまな機能を実行することができますが、新しい SSM ドキュメント (AWS-InstallWindowsUpdates) で別のパラメータ設定を使用して、同様の結果を得ることができます。これらのパラメータ設定については、「インスタンスにパッチを適用するレガシーの SSM ドキュメント」を参照してください。

必要なパッチが適用されているかどうかを確認するには、インスタンスにパッチをインストールするか、インスタンスをスキャンします。すべての AWS リージョンで使用できます。

AWS-RunPatchBaseline を使用すると、オペレーティングシステムタイプの「デフォルト」として現在指定されているパッチベースラインを使用して、パッチの承認 を制御できます。Systems Manager コンプライアンスツールを使用して表示できるパッチコンプライアンス情報を報告します。これらのツールでは、必要なパッチが適用されていないインスタンスや、そのパッチの内容など、インスタンスのパッチコンプライアンス状態に関する洞察を得ることができます。AWS-RunPatchBaseline を使用すると、PutInventory API コマンドを使用してパッチコンプライアンス情報が記録されます。Linux オペレーティングシステムの場合、インスタンスに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager コンプライアンスツールに関する詳細については、「AWS Systems Manager 設定コンプライアンス」を参照してください。

レガシードキュメントを置き換える:

  • AWS-ApplyPatchBaseline

レガシードキュメント AWS-ApplyPatchBaseline は、Windows Server インスタンスにのみ適用され、アプリケーションのパッチ適用をサポートしません。新しい AWS-RunPatchBaseline は、Windows システムと Linux システムのいずれも同様にサポートしています。AWS-RunPatchBaseline ドキュメントを使用するには、バージョン 2.0.834.0 以降の SSM エージェント が必要です。

AWS-RunPatchBaselineAWS-RunPatchBaseline SSM ドキュメントについて ドキュメントに関する詳細については、「SSM」を参照してください。

必要なパッチが適用されているかどうかを確認するには、インスタンスにパッチをインストールするか、インスタンスをスキャンします。すべての商用の AWS リージョンで使用できます。

AWS-RunPatchBaselineAssociation は、AWS-RunPatchBaseline とは実行時に一連のターゲットで使用するパッチベースラインを識別するためにタグの使用をサポートする点で異なります。さらに、パッチコンプライアンスデータは、特定の ステートマネージャー 関連付けの観点からコンパイルされます。AWS-RunPatchBaselineAssociation の実行時に収集されたパッチコンプライアンスデータは、PutInventory コマンドではなく PutComplianceItems API コマンドを使用して記録されます。これにより、この特定の関連付けに関連付けられていないコンプライアンスデータが上書きされるのを防ぐことができます。

Linux オペレーティングシステムの場合、インスタンスに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager コンプライアンスツールに関する詳細については、「AWS Systems Manager 設定コンプライアンス」を参照してください。

レガシードキュメントを置き換える:

  • なし

AWS-RunPatchBaselineAssociation の SSM ドキュメントに関する詳細については、「AWS-RunPatchBaselineAssociation SSM ドキュメントについて 」を参照してください。

インスタンスにパッチをインストールするか、インスタンスをスキャンして、修飾されたパッチが欠けているかどうかを判断します。オプションのフックを使用すると、パッチ適用サイクル中の 3 つのポイントで SSM ドキュメントを実行できます。すべての商用の AWS リージョンで使用できます。

AWS-RunPatchBaselineWithHooks は、インストールオペレーションにおいて AWS-RunPatchBaseline とは異なります。

AWS-RunPatchBaselineWithHooks は、インスタンスのパッチ適用中に指定されたポイントで実行されるライフサイクルフックをサポートしています。パッチのインストールにはインスタンスの再起動が必要になる場合があるため、パッチ適用オペレーションは 2 つのイベントに分割され、合計 3 つのフックでカスタム機能をサポートします。最初のフックは Install with NoReboot オペレーションの前です。2 番目のフックは Install with NoReboot オペレーションの後です。3 番目のフックは、インスタンスの再起動後に使用できます。

レガシードキュメントを置き換える:

  • なし

AWS-RunPatchBaselineWithHooks の SSM ドキュメントに関する詳細については、「AWS-RunPatchBaselineWithHooks SSM ドキュメントについて」を参照してください。

インスタンスにパッチを適用するレガシーの SSM ドキュメント

次の 4 つの SSM ドキュメントは、引き続き一部の AWS リージョンでパッチ適用オペレーションに使用することができます。ただし、今後廃止される可能性があるため、使用は推奨されていません。代わりに、「インスタンスへのパッチ適用に推奨されている SSM ドキュメント」に記載されているドキュメントを使用します。

AWS-ApplyPatchBaseline

Windows Server インスタンスのみをサポートしますが、代わりの AWS-RunPatchBaseline にあるアプリケーションのパッチ適用のサポートは含みません。2017 年 8 月以降に設立された AWS リージョンでは使用できません。

注記

この SSM ドキュメントに置き換わる AWS-RunPatchBaseline を使用するには、2.0.834.0 以降のバージョンの SSM エージェント が必要です。AWS-UpdateSSMAgent ドキュメントを使用して、インスタンスを最新バージョンのエージェントに更新することができます。

AWS-FindWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられますが、同じアクションをすべて実行することができます。2017 年 4 月以降に設立された AWS リージョンでは使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられますが、同じアクションをすべて実行することができます。2017 年 4 月以降に設立されたどの AWS リージョンでも使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられますが、同じアクションをすべて実行することができます。2017 年 4 月以降に設立されたどの AWS リージョンでも使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = KB の記事のカンマ区切りリスト