インスタンスにパッチを適用する SSM ドキュメントについて - AWS Systems Manager

インスタンスにパッチを適用する SSM ドキュメントについて

このトピックでは、マネージドインスタンスが最新のセキュリティアップデートでパッチが適用された状態に維持できるように公開されている 8 種類の Systems Manager ドキュメント (SSM ドキュメント) をご紹介します。

現在、パッチ適用オペレーションで使用が推奨されているのは、これらのうち 5 種類のドキュメントのみです。これらの 5 つの SSM ドキュメントには、AWS Systems Manager を使用したパッチ適用オプションの詳細が記載されています。これらのうち、4 つのドキュメントは、それらが置き換えられた 4 つのレガシー SSM ドキュメントよりも後にリリースされ、機能の拡張または統合を表しています。

推奨される 5 種類の SSM ドキュメントには、次の内容を含みます。

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

一部の AWS リージョン では 4 つのレガシー SSM ドキュメントは現在も使用できますが、今後廃止される可能性があります。内容は次のとおりです。

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

パッチ適用オペレーションでこれらの SSM ドキュメントを使用する方法の詳細については、次のセクションを参照してください。

マネージドインスタンスのパッチ適用オペレーションで使用が推奨されている SSM ドキュメントは、次の 5 つです。

Windows Update の基本機能を設定してから、その機能を使用して更新を自動インストール (または自動更新を無効に) できます。すべての AWS リージョン で利用可能。

この SSM ドキュメントを使用すると、Windows Update において、指定の更新をダウンロードおよびインストールし、必要に応じてインスタンスを再起動するよう求められます。この文書は、Windows Update がその設定を維持できるようにするために、AWS Systems Manager の一機能であるステートマネージャーと一緒に使用してください。AWS Systems Manager の一機能である Run Command を使用して手動で実行し、Windows Update の設定を変更することもできます。

このドキュメントで利用可能なパラメータを使用することで、インストールする更新のカテゴリ (または自動更新を無効にするかどうか) だけでなく、パッチ適用オペレーションを実行する日時と曜日を指定することができます。この SSM ドキュメントは、Windows updates で厳重に管理する必要なく、コンプライアンス情報を収集する必要がない場合に非常に便利です。

レガシーの SSM ドキュメントを置き換える:

  • なし

Windows Server インスタンスに更新プログラムをインストールします。すべての AWS リージョン で利用可能。

この SSM ドキュメントには、特定の更新をインストール (Include Kbs パラメータを使用) するか、特定の分類やカテゴリのパッチをインストールするが、パッチのコンプライアンス情報が不要な場合の基本パッチ適用機能について記載されています。

レガシーの SSM ドキュメントを置き換える:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

3 つのレガシードキュメントを使用してさまざまな機能を実行することができますが、新しい SSM ドキュメント (AWS-InstallWindowsUpdates) で別のパラメータ設定を使用して、同様の結果を得ることができます。これらのパラメータ設定については、「インスタンスにパッチを適用するレガシーの SSM ドキュメント」を参照してください。

必要なパッチが適用されているかどうかを確認するには、インスタンスにパッチをインストールするか、インスタンスをスキャンします。すべての AWS リージョン で利用可能。

AWS-RunPatchBaseline を使用すると、オペレーティングシステムタイプの「デフォルト」として現在指定されているパッチベースラインを使用して、パッチの承認を制御できます。Systems Manager Compliance ツールを使用して表示できるパッチコンプライアンス情報をレポートします。これらのツールでは、必要なパッチが適用されていないインスタンスや、そのパッチの内容など、インスタンスのパッチコンプライアンス状態に関する洞察を得ることができます。AWS-RunPatchBaseline を使用すると、PutInventory API コマンドを使用してパッチコンプライアンス情報が記録されます。Linux オペレーティングシステムの場合、インスタンスに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager Compliance ツールの詳細については、「AWS Systems Manager Compliance」を参照してください。

レガシードキュメントを置き換える:

  • AWS-ApplyPatchBaseline

レガシードキュメント AWS-ApplyPatchBaseline は、Windows Server インスタンスにのみ適用され、アプリケーションのパッチ適用をサポートしません。新しい AWS-RunPatchBaseline バージョンでは、Windows システムと Linux システムの両方で同じサポートが提供されます。AWS-RunPatchBaseline ドキュメントを使用するには、バージョン 2.0.834.0 以降の SSM Agent が必要です。

AWS-RunPatchBaseline SSM ドキュメントの詳細については、「AWS-RunPatchBaseline SSM ドキュメントについて」を参照してください。

必要なパッチが適用されているかどうかを確認するには、インスタンスにパッチをインストールするか、インスタンスをスキャンします。すべての商用の AWS リージョン で使用できます。

AWS-RunPatchBaselineAssociation はいくつかの重要な点で AWS-RunPatchBaseline とは異なります。

  • AWS-RunPatchBaselineAssociation は、主に、AWS Systems Manager の一機能である高速セットアップを使用して作成された関連付けで使用することを目的としています。(Quick Setup Host Management 設定タイプを使用する場合、[毎日インスタンスをスキャンして欠落しているパッチを確認する] オプションを選択すると、システムはオペレーションに AWS-RunPatchBaselineAssociation を使用します)。

    ただし、ほとんどの場合、独自のパッチ適用オペレーションを設定する場合は、AWS-RunPatchBaselineAssociation の代わりに、AWS-RunPatchBaseline または AWS-RunPatchBaselineWithHooks を選択する必要があります。

    詳細については、以下のトピックを参照してください。

  • AWS-RunPatchBaselineAssociation は、実行時にターゲットのセットで使用するパッチベースラインを識別するためのタグの使用をサポートしています。

  • AWS-RunPatchBaselineAssociation を使用するパッチ適用オペレーションの場合、パッチコンプライアンスデータは特定のステートマネージャーの関連付けに基づいてコンパイルされます。AWS-RunPatchBaselineAssociation 実行時に収集されたパッチコンプライアンスデータは、PutInventory コマンドではなく、PutComplianceItems API コマンドを使用して記録されます。これにより、この特定の関連付けに関連付けられていないコンプライアンスデータが上書きされるのを防ぐことができます。

    Linux オペレーティングシステムの場合、インスタンスに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager Compliance ツールの詳細については、「AWS Systems Manager Compliance」を参照してください。

レガシードキュメントを置き換える:

  • なし

AWS-RunPatchBaselineAssociation SSM ドキュメントの詳細については、「AWS-RunPatchBaselineAssociation SSM ドキュメントについて 」を参照してください。

インスタンスにパッチをインストールするか、インスタンスをスキャンして、修飾されたパッチが欠けているかどうかを判断します。オプションのフックを使用すると、パッチ適用サイクル中の 3 つのポイントで SSM ドキュメントを実行できます。すべての商用の AWS リージョン で使用できます。

AWS-RunPatchBaselineWithHooks は その Install オペレーションで AWS-RunPatchBaseline とは異なります。

AWS-RunPatchBaselineWithHooks では、インスタンスのパッチ適用中に指定されたポイントで実行されるライフサイクルフックがサポートされます。パッチのインストールにはインスタンスの再起動が必要になる場合があるため、パッチ適用オペレーションは 2 つのイベントに分割され、合計 3 つのフックでカスタム機能をサポートします。最初のフックは Install with NoReboot オペレーションの前です。2 番目のフックは Install with NoReboot オペレーションの後です。3 番目のフックは、インスタンスの再起動後に使用できます。

レガシードキュメントを置き換える:

  • なし

AWS-RunPatchBaselineWithHooks SSM ドキュメントの詳細については、「AWS-RunPatchBaselineWithHooks SSM ドキュメントについて」を参照してください。

インスタンスにパッチを適用するレガシーの SSM ドキュメント

次の 4 つの SSM ドキュメントは、一部の AWS リージョン では引き続きパッチ適用オペレーションに使用することができます。ただし、今後廃止される可能性があるため、使用は推奨されていません。代わりに、「インスタンスへのパッチ適用に推奨されている SSM ドキュメント」に記載されているドキュメントを使用します。

AWS-ApplyPatchBaseline

Windows Server インスタンスのみをサポートしますが、代わりの AWS-RunPatchBaseline にあるアプリケーションのパッチ適用のサポートは含みません。2017年8月以降にローンチされた AWS リージョン では使用できません。

注記

この SSM ドキュメントに置き換わる AWS-RunPatchBaseline を使用するには、2.0.834.0 以降のバージョンの SSM Agent が必要です。AWS-UpdateSSMAgent ドキュメントを使用して、インスタンスを最新バージョンのエージェントに更新することができます。

AWS-FindWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017年4月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017 年 4 月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017 年 4 月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = KB の記事のカンマ区切りリスト