Linux と Windows のパッチ適用の重要な相違点 - AWS Systems Manager

Linux と Windows のパッチ適用の重要な相違点

このトピックでは、AWS Systems Manager の一機能である Patch Manager での Linux と Windows のパッチ適用の重要な違いについて説明します

注記

Linux マネージドノードにパッチを適用するには、ノードが SSM Agent バージョン 2.0.834.0 以降実行されている必要があります。

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化 を参照してください。GitHub の「SSM Agent リリースノート」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

違い 1: パッチ評価
Linux

Linux のパッチ適用では、Systems Manager はパッチベースライン ルールと承認済みおよび拒否済みパッチのリストをマネージドノードで評価します。Systems Manager が各ノードでパッチ適用を評価する必要があるのは、マネージドノードに設定された複数のリポジトリから既知のパッチと更新のリストが取得されるためです。

Windows

Patch Manager では、Windows マネージドノードと Linux マネージドノードで、どのパッチを提供するかを評価するプロセスが異なります。Windows のパッチ適用では、Systems Manager はパッチベースラインルールと承認済みおよび拒否済みパッチのリストをサービス内で直接評価します。これが可能なのは、Windows パッチが単一のリポジトリ (Windows Update) から取得されるためです。

違い 2: Not Applicable パッチ

Linux オペレーティングシステムには多数の使用可能なパッケージがあるため、Systems Manager では該当なし状態のパッチについて詳細をレポートしません。Not Applicable パッチとは、例えば、インスタンスに Apache がインストールされていない場合の Apache ソフトウェア用パッチなどです。Systems Manager は要約で多数の Not Applicable パッチをレポートしますが、マネージドノードで DescribeInstancePatches API を呼び出す場合、戻りデータには状態が Not Applicable のパッチは含まれません。この動作は、Windows とは異なります。

違い 3: SSM ドキュメントのサポート

AWS-ApplyPatchBaseline Systems Manager ドキュメント (SSM ドキュメント) では、Linux マネージドノードはサポートされていません。Linux、macOS、Windows Server マネージドノードにパッチベースラインを適用する上で推奨されている SSM ドキュメントは、AWS-RunPatchBaseline です。詳細については、マネージドノードへのパッチ適用のための SSM ドキュメントについておよびAWS-RunPatchBaseline SSM ドキュメントについてを参照してください。

違い 4: アプリケーションパッチ

Patch Managerの主な目的は、オペレーティングシステムにパッチを適用することです。ただし、Patch Managerを使用して、マネージドノードの一部のアプリケーションにパッチを適用することもできます。

Linux

Linux オペレーティングシステムでは、Patch Manager は更新のために設定されたリポジトリを使用し、オペレーティングシステムとアプリケーションのパッチを区別しません。Patch Managerを使用して、更新を取得するリポジトリを定義できます。詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。

Windows

Windows Server マネージドノードでは、Microsoft Word 2016 や Microsoft Exchange Server 2016 など、Microsoft によってリリースされたアプリケーションに対して、[Approved] (承認済み)および [Rejected] (拒否された) パッチの例外を適用できます。詳細については、「カスタムパッチベースラインの操作」を参照してください。