マネージドノードへのパッチ適用のための SSM ドキュメントについて

このトピックでは、マネージドノードが最新のセキュリティアップデートでパッチが適用された状態に維持できるように公開されている 9 種類の Systems Manager ドキュメント (SSM ドキュメント) をご紹介します。

パッチ適用オペレーションで使用が推奨されているのは、これらのうち 5 種類のドキュメントのみです。これらの 5 つの SSM ドキュメントには、 を使用したパッチ適用オプションの詳細が記載されていますAWS Systems Manager これらのうち、4 つのドキュメントは、それらが置き換えられた 4 つのレガシー SSM ドキュメントよりも後にリリースされ、機能の拡張または統合を表しています。

パッチ適用に推奨されている SSM ドキュメント

パッチ適用オペレーションには、以下の 5 種類の SSM ドキュメントの使用をお勧めします。

• AWS-ConfigureWindowsUpdate

• AWS-InstallWindowsUpdates

• AWS-RunPatchBaseline

• AWS-RunPatchBaselineAssociation

• AWS-RunPatchBaselineWithHooks

パッチ適用のレガシー SSM ドキュメント

次の 4 つのレガシー SSM ドキュメントは、一部の AWS リージョン ではまだ使用できますが、更新されておらず、すべてのシナリオで機能することが保証されているわけではなく、今後サポートされなくなる可能性があります。パッチ適用オペレーションに使用しないことをお勧めします。

• AWS-ApplyPatchBaseline

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

パッチ適用オペレーションでこれらの SSM ドキュメントを使用する方法の詳細については、次のセクションを参照してください。

トピック

• マネージドノードへのパッチ適用に推奨されている SSM ドキュメント
• マネージドノードへのパッチ適用のためのレガシー SSM ドキュメント
• AWS-RunPatchBaseline SSM ドキュメントについて
• AWS-RunPatchBaselineAssociation SSM ドキュメントについて
• AWS-RunPatchBaselineWithHooks SSM ドキュメントについて
• AWS-RunPatchBaseline または AWS-RunPatchBaselineAssociation で InstallOverrideList パラメータを使用するサンプルシナリオ
• BaselineOverride パラメータの使用

マネージドノードへのパッチ適用に推奨されている SSM ドキュメント

マネージドノードのパッチ適用オペレーションで使用が推奨されている SSM ドキュメントは、次の 5 つです。

AWS-ConfigureWindowsUpdate

Windows Update の基本機能の設定、その機能を使用した更新の自動インストール (または自動更新の無効化) をサポートします。すべての AWS リージョン で利用可能。

この SSM ドキュメントを使用すると、Windows Update において、指定の更新をダウンロードおよびインストールし、必要に応じてマネージドノードを再起動するよう求められます。この文書は、Windows Update がその設定を維持できるようにするために、AWS Systems Manager の一機能である State Manager と一緒に使用してください。AWS Systems Manager の一機能である Run Command を使用して手動で実行し、Windows Update の設定を変更することもできます。

このドキュメントで利用可能なパラメータを使用することで、インストールする更新のカテゴリ (または自動更新を無効にするかどうか) だけでなく、パッチ適用オペレーションを実行する日時と曜日を指定することができます。この SSM ドキュメントは、Windows updates で厳重に管理する必要なく、コンプライアンス情報を収集する必要がない場合に非常に便利です。

レガシーの SSM ドキュメントを置き換える:

• なし

AWS-InstallWindowsUpdates

Windows Server マネージドノードに更新ファイルをインストールします。すべての AWS リージョン で利用できます。

この SSM ドキュメントには、特定の更新をインストール (Include Kbs パラメータを使用) するか、特定の分類やカテゴリのパッチをインストールするが、パッチのコンプライアンス情報が不要な場合の基本パッチ適用機能について記載されています。

レガシーの SSM ドキュメントを置き換える:

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

3 つのレガシードキュメントを使用してさまざまな機能を実行することができますが、新しい SSM ドキュメント (AWS-InstallWindowsUpdates) で別のパラメータ設定を使用して、同様の結果を得ることができます。これらのパラメータ設定については、「マネージドノードへのパッチ適用のためのレガシー SSM ドキュメント」を参照してください。

AWS-RunPatchBaseline

必要なパッチが適用されているかどうかを確認するには、マネージドノードにパッチをインストールするか、ノードをスキャンします。すべての AWS リージョン で利用できます。

AWS-RunPatchBaseline を使用すると、オペレーティングシステムタイプの「デフォルト」として指定されているパッチベースラインを使用して、パッチの承認を制御できます。Systems Manager Compliance ツールを使用して表示できるパッチコンプライアンス情報をレポートします。これらのツールでは、必要なパッチが適用されていないノードや、そのパッチの内容など、マネージドノードのパッチコンプライアンス状態に関する洞察を得ることができます。AWS-RunPatchBaseline を使用すると、PutInventory API コマンドを使用してパッチコンプライアンス情報が記録されます。Linux オペレーティングシステムの場合、マネージドノードに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager Compliance ツールの詳細については、「AWS Systems Manager のコンプライアンス」を参照してください。

レガシードキュメントを置き換える:

• AWS-ApplyPatchBaseline

レガシー ドキュメント AWS-ApplyPatchBaseline は、Windows Server マネージドノードにのみ適用され、アプリケーションのパッチ適用をサポートしません。新しい AWS-RunPatchBaseline バージョンでは、Windows システムと Linux システムの両方で同じサポートが提供されます。 AWS-RunPatchBaselineドキュメントを使用するには、バージョン 2.0.834.0 以降の SSM Agent が必要です。

AWS-RunPatchBaseline SSM ドキュメントの詳細については、「AWS-RunPatchBaseline SSM ドキュメントについて」を参照してください。

AWS-RunPatchBaselineAssociation

必要なパッチが適用されているかどうかを確認するには、インスタンスにパッチをインストールするか、インスタンスをスキャンします。すべての商用 AWS リージョン で使用できます。

AWS-RunPatchBaselineAssociation はいくつかの重要な点で AWS-RunPatchBaseline とは異なります。

• AWS-RunPatchBaselineAssociation は、主に AWS Systems Manager の一機能である Quick Setup を使用して作成された State Manager 関連付けでの使用を目的としています。具体的には、Quick Setup ホスト管理設定タイプを使用する場合、[Scan instances for missing patches daily] (不足しているパッチがないか毎日インスタンスをスキャンする) オプションを選択すると、システムはオペレーションに AWS-RunPatchBaselineAssociation を使用します。

  ただし、ほとんどの場合、独自のパッチ適用オペレーションを設定する場合は、AWS-RunPatchBaseline の代わりに、AWS-RunPatchBaselineWithHooks または AWS-RunPatchBaselineAssociation を選択する必要があります。

  詳細については、以下のトピックを参照してください。

  • AWS Systems Manager Quick Setup

  • AWS-RunPatchBaselineAssociation SSM ドキュメントについて

• AWS-RunPatchBaselineAssociation は、実行時にターゲットのセットで使用するパッチベースラインを識別するためのタグの使用をサポートしています。

• AWS-RunPatchBaselineAssociation を使用するパッチ適用オペレーションの場合、パッチコンプライアンスデータは特定の State Manager の関連付けに基づいてコンパイルされます。AWS-RunPatchBaselineAssociation 実行時に収集されたパッチコンプライアンスデータは、PutComplianceItems コマンドではなく、PutInventory API コマンドを使用して記録されます。これにより、この特定の関連付けに関連付けられていないコンプライアンスデータが上書きされるのを防ぐことができます。

  Linux オペレーティングシステムの場合、インスタンスに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager Compliance ツールの詳細については、「AWS Systems Manager のコンプライアンス」を参照してください。

レガシードキュメントを置き換える:

• なし

AWS-RunPatchBaselineAssociation SSM ドキュメントの詳細については、「AWS-RunPatchBaselineAssociation SSM ドキュメントについて」を参照してください。

AWS-RunPatchBaselineWithHooks

マネージドノードにパッチをインストールするか、ノードをスキャンして、修飾されたパッチが欠けているかどうかを判断します。オプションのフックを使用すると、パッチ適用サイクル中の 3 つのポイントで SSM ドキュメントを実行できます。すべての商用 AWS リージョン で使用できます。macOS ではサポートされていません。

AWS-RunPatchBaselineWithHooks は その AWS-RunPatchBaseline オペレーションで Install とは異なります。

AWS-RunPatchBaselineWithHooks では、マネージドノードノードのパッチ適用中に指定されたポイントで実行されるライフサイクルフックがサポートされます。パッチのインストールにはマネージドノードの再起動が必要になる場合があるため、パッチ適用オペレーションは 2 つのイベントに分割され、合計 3 つのフックでカスタム機能をサポートします。最初のフックは Install with NoReboot オペレーションの前です。2 番目のフックは Install with NoReboot オペレーションの後です。3 番目のフックは、ノードの再起動後に使用できます。

レガシードキュメントを置き換える:

• なし

AWS-RunPatchBaselineWithHooks SSM ドキュメントの詳細については、「AWS-RunPatchBaselineWithHooks SSM ドキュメントについて」を参照してください。

マネージドノードへのパッチ適用のためのレガシー SSM ドキュメント

次の 4 つの SSM ドキュメントは、一部の AWS リージョン では引き続き使用できます。ただし、更新されておらず、今後サポートされなくなる可能性があるため、使用はお勧めしません。代わりに、「マネージドノードへのパッチ適用に推奨されている SSM ドキュメント」に記載されているドキュメントを使用します。

レガシーの SSM ドキュメント

• AWS-ApplyPatchBaseline
• AWS-FindWindowsUpdates
• AWS-InstallMissingWindowsUpdates
• AWS-InstallSpecificWindowsUpdates

AWS-ApplyPatchBaseline

Windows Server マネージドノードのみをサポートしますが、代わりの AWS-RunPatchBaseline にあるアプリケーションのパッチ適用のサポートは含みません。2017年8月以降にローンチされた AWS リージョン では使用できません。

注記

この SSM ドキュメントに置き換わる AWS-RunPatchBaseline を使用するには、2.0.834.0 以降のバージョンの SSM Agent が必要です。AWS-UpdateSSMAgent ドキュメントを使用して、マネージドノードを最新バージョンのエージェントに更新することができます。

AWS-FindWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017年4月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

• Action = Scan

• Allow Reboot = False

AWS-InstallMissingWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017 年 4 月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

• Action = Install

• Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017 年 4 月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

• Action = Install

• Allow Reboot = True

• Include Kbs = KB の記事のカンマ区切りリスト