Quick Setup パッチポリシーの使用 - AWS Systems Manager
パッチポリシーの主な機能パッチポリシーとのその他の違いAWS リージョン パッチポリシーでサポートされる

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Quick Setup パッチポリシーの使用

2022 年 12 月 22 日以降、 Patch Managerは、パッチポリシー AWS アカウント を使用して、組織のパッチ適用を設定する新しい推奨方法を提供します。

パッチポリシーは、 AWS Systems Manager の一機能である Quick Setup を使用して設定します。パッチポリシーを使用すると、以前のパッチ適用を設定する方法に比べて、パッチ適用オペレーションをより広範囲かつ一元的に制御できます。パッチポリシーは、サポート対象バージョンの Linux、macOS、Windows Server など、Patch Manager がサポートしているすべてのオペレーティングシステムで使用できます。パッチポリシーの作成の詳細については、「Patch Manager 組織パッチ適用設定」を参照してください。

パッチポリシーの主な機能

ノードにパッチを適用する他の方法を使用せずに、パッチポリシーを使用して次に示す主な機能を活用してください。

  • 一度にセットアップ – メンテナンスウィンドウや State Manager アソシエーションを使用してパッチ適用オペレーションをセットアップするには、Systems Manager コンソールのさまざまな部分で複数のタスクを実行する必要があります。パッチポリシーを使用すると、すべてのパッチ適用オペレーションを 1 つのウィザードでセットアップできます。

  • マルチアカウント/マルチリージョンのサポート — メンテナンスウィンドウ、 のState Manager関連付け、またはパッチ更新機能を使用するとPatch Manager、マネージドノードを 1 AWS アカウントAWS リージョン ペアでターゲットにすることに制限されます。複数のアカウントと複数のリージョンを使用している場合、アカウントとリージョンの各ペアでセットアップタスクを実行する必要があるため、セットアップとメンテナンスのタスクに多大な時間がかかる可能性があります。ただし、 を使用する場合は AWS Organizations、すべての のすべての のすべてのマネージドノードに適用される 1 AWS リージョン つのパッチポリシーを設定できます AWS アカウント。または、選択したアカウントとリージョンの一部の組織単位 (OU) にのみパッチポリシーを適用することもできます。パッチポリシーは、必要に応じて 1 つのローカルアカウントに適用することもできます。

  • 組織レベルでのインストールをサポート – Quick Setup の既存のホスト管理設定オプションでは、マネージドノードを毎日スキャンしてパッチコンプライアンスを確認することができます。ただし、このスキャンは予め決められた時間に行われ、パッチのコンプライアンス情報のみが得られます。パッチのインストールは実行されません。パッチポリシーを使用して、スキャンおよびインストールのさまざまなスケジュールを指定できます。カスタムの CRON 式または Rate 式を使用して、これらのオペレーションの頻度と時間を選択することもできます。例えば、未適用のパッチがないか毎日スキャンして、定期的に更新されるコンプライアンス情報を取得できます。ただし、不要なダウンタイムを避けるため、インストールスケジュールは週に 1 回にすることもできます。

  • パッチベースラインの選択の簡略化 – パッチポリシーには引き続きパッチベースラインが組み込まれており、パッチベースラインの設定方法に変更はありません。ただし、パッチポリシーを作成または更新するときに、オペレーティングシステム (OS) のタイプごとに使用する AWS マネージドベースラインまたはカスタムベースラインを 1 つのリストで選択できます。OS の種類ごとにデフォルトベースラインを別々のタスクで指定する必要はありません。

注記

パッチポリシーに基づいてパッチ適用オペレーションが実行される場合、AWS-RunPatchBaseline SSM ドキュメントが使用されます。詳細については、「AWS-RunPatchBaseline SSM ドキュメントについて」を参照してください。

関連情報

「Systems Manager を使用して AWS Organization 全体にパッチ適用オペレーションを一元的にデプロイするQuick Setup」(AWS クラウドオペレーションと移行のブログ)

パッチポリシーとのその他の違い

以前のパッチ適用設定の方法の代わりにパッチポリシーを使用する場合に注意すべきその他の相違点は次のとおりです。

  • パッチグループは不要 – 以前のパッチ適用オペレーションでは、パッチグループに属するように複数のノードをタグ付けし、そのパッチグループに使用するパッチベースラインを指定できました。パッチグループがない場合、Patch Manager では、OS の種類に対する現在のデフォルトのパッチベースラインを使用してパッチが適用されました。パッチポリシーを使用すると、パッチグループをセットアップして管理する必要がなくなります。

  • [Configure patching] (パッチ適用を設定) ページが削除されました – パッチポリシーがリリースされる前は、[Configure patching] (パッチ適用を設定) ページで、パッチを適用するノード、パッチ適用スケジュール、およびパッチ適用オペレーションのデフォルトを指定できました。このページは Patch Manager から削除されました。これらのオプションは、パッチポリシーで指定することになりました。

  • 「パッチ現在」サポートなし — ノードにオンデマンドでパッチを適用する機能は、引き続き一度に 1 AWS アカウントAWS リージョン ペアに制限されています。詳細については、マネージドノードへのオンデマンド パッチ適用 を参照してください。

  • パッチポリシーとコンプライアンス情報 – パッチ適用ポリシーの設定に従ってマネージドノードのコンプライアンスをスキャンすると、コンプライアンスデータが利用可能になります。他のコンプライアンススキャン方法と同じ方法でデータを表示および操作できます。組織全体または複数の組織単位にパッチポリシーを設定できますが、コンプライアンス情報は AWS アカウントAWS リージョン ペアごとに個別に報告されます。詳細については、「パッチコンプライアンスレポートの使用」を参照してください。

  • 関連付けのコンプライアンスステータスとパッチポリシー – パッチポリシーの下にあるマネージドノードのQuick Setupパッチ適用ステータスは、そのノードのState Manager関連付け実行のステータスと一致します。関連付けの実行ステータスが の場合Compliant、マネージドノードのパッチ適用ステータスも とマークされますCompliant。関連付けの実行ステータスが の場合Non-Compliant、マネージドノードのパッチ適用ステータスも とマークされますNon-Compliant

AWS リージョン パッチポリシーでサポートされる

Quick Setup でのパッチポリシー設定は、現在、次のリージョンでサポートされています。

  • 米国東部 (オハイオ) (us-east-2)

  • 米国東部 (バージニア北部) (us-east-1)

  • 米国西部 (北カリフォルニア) (us-west-1)

  • 米国西部 (オレゴン) (us-west-2)

  • アジアパシフィック (ムンバイ) (ap-south-1)

  • アジアパシフィック (ソウル) (ap-northeast-2)

  • アジアパシフィック (シンガポール) (ap-southeast-1)

  • アジアパシフィック (シドニー) (ap-southeast-2)

  • アジアパシフィック (東京) (ap-northeast-1)

  • カナダ (中部) (ca-central-1)

  • ヨーロッパ (フランクフルト) (eu-central-1)

  • 欧州 (アイルランド) (eu-west-1)

  • ヨーロッパ (ロンドン) (eu-west-2)

  • 欧州 (パリ) (eu-west-3)

  • 欧州 (ストックホルム) (eu-north-1)

  • 南米 (サンパウロ) (sa-east-1)