事前定義されたパッチベースラインおよびカスタムパッチベースラインについて - AWS Systems Manager

事前定義されたパッチベースラインおよびカスタムパッチベースラインについて

パッチベースラインは、インスタンスへのインストールを承認するパッチを定義します。パッチの承認または拒否は個別に指定できます。また、自動承認ルールを作成して特定のタイプの更新 (例: 重要な更新) を自動承認するよう指定できます。拒否済みリストは、これらのルールと承認リストの両方に優先します。

承認済みパッチのリストを使用して特定のパッケージをインストールするには、最初にすべての自動承認ルールを削除します。パッチを明示的に拒否済みとして特定すると、そのパッチは自動承認ルールのすべての基準を満たしていても承認またはインストールされません。また、パッチがインスタンスに対して承認されていても、パッチがインスタンスにインストールされるのは、それがインスタンスのソフトウェアに適用される場合に限ります。

AWS Systems Manager の一機能であるパッチマネージャーには、サポート対象のオペレーティングシステム別の定義済みパッチベースラインがあります。これらのベースラインは、現在設定されているとおりに使用することも (カスタマイズすることはできません)、独自のカスタムパッチベースラインを作成することもできます。カスタムパッチベースラインを使用すると、環境に対してどのパッチを承認または拒否するかをより詳細に制御できます。また、定義済みのベースラインでは、これらのベースラインを使用してインストールされるすべてのパッチに、コンプライアンスレベル Unspecified が割り当てられます。コンプライアンス値を割り当てるには、定義済みのベースラインのコピーを作成し、パッチに割り当てるコンプライアンス値を指定できます。詳細については、「カスタムベースラインについて」および「カスタムパッチベースラインの操作 (コンソール)」を参照してください。

事前定義されたパッチベースラインについて

次の表は、Patch Manager が提供する定義済みパッチベースラインの一覧と説明です。

Patch Manager がサポートする各オペレーティングシステムのバージョンについては、「パッチマネージャーの前提条件」を参照してください。

名前 サポートされるオペレーティングシステム 詳細

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が「バグ修正」のすべてのパッチをリリースから 7 日後に自動承認します。

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が "Bugfix" のすべてのパッチをリリースから 7 日後に承認します。
AWS-CentOSDefaultPatchBaseline CentOS すべての更新は、更新 (セキュリティ以外の更新を含む) が使用可能になってから 7 日後に承認されます。
AWS-DebianDefaultPatchBaseline Debian サーバー 優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。レポに信頼できるリリース日がないため、承認前の待機期間はありません。
AWS-MacOSDefaultPatchBaseline macOS 「セキュリティ」に分類されるすべてのオペレーティングシステムパッチを承認します。また、現在の更新を含むすべてのパッケージを承認します。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が「Bugfix」のすべてのパッチをリリースから 7 日後に承認します。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が「Bugfix」のすべてのパッチをリリースから 7 日後に承認します。

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 分類が「セキュリティ」で、重要度が「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。レポに信頼できるリリース日がないため、承認前の待機期間はありません。

AWS-DefaultPatchBaseline

Windows Server

分類が「CriticalUpdates」または「SecurityUpdates」で、MSRC 重要度が「非常事態」または「重要」のすべての Windows Server オペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

分類が「CriticalUpdates」または「SecurityUpdates」で、MSRC 重要度が「非常事態」または「重要」のすべての Windows Server オペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Windows Server オペレーティングシステムの場合は、分類が「CriticalUpdates」または「SecurityUpdates」で、MSRC 重要度が「非常事態」または「重要」のすべてのパッチを承認します。Microsoft がリリースしたアプリケーションについては、すべてのパッチを承認します。OS とアプリケーションのパッチの両方を、リリースから 7 日後に自動承認します。

カスタムベースラインについて

独自のパッチベースラインを作成する場合は、以下のカテゴリを使用して自動承認するパッチを選択できます。

  • オペレーティングシステム: Windows、Amazon Linux、Ubuntu Server など。

  • 製品名 (オペレーティングシステム): RHEL 6.5、Amazon Linux 2014.09、Windows Server 2012、Windows Server 2012 R2 など。

  • 製品名 (Windows Server の Microsoft アプリケーションのみ): Word 2016、BizTalk Server など。

  • 分類: 重要な更新プログラム、セキュリティ更新プログラムなど。

  • 重要度: 非常事態、重要など。

作成する承認ルールごとに、自動承認の遅延を指定するか、パッチ承認の期限日を指定するかを選択できます。

注記

Ubuntu Server の更新プログラムパッケージのリリース日は確定できないため、このオペレーティングシステムでは自動承認オプションがサポートされていません。

自動承認の遅延とは、パッチがリリースされてから自動承認されて適用されるまでの待機日数です。たとえば、CriticalUpdates 分類を使用してルールを作成し、自動承認の遅延として 7 日間を設定した場合、7 月 7 日にリリースされた新しい重要なパッチは 7 月 14 日に自動的に承認されます。

注記

Linux リポジトリがパッケージのリリース日情報を提供しない場合、Systems Manager は、パッケージのビルド時間を Amazon Linux、Amazon Linux 2、RHEL、および CentOS の自動承認の遅延として使用します。システムがパッケージのビルド時間を検出できない場合、Systems Manager は自動承認の遅延を値ゼロとして扱います。

自動承認の期限日を指定すると、Patch Manager はその日付以前にリリースされたすべてのパッチを自動的に適用します。たとえば、期限日として 2020 年 7 月 7 日を指定すると、2020 年 7 月 8 日以降にリリースされたパッチは自動的にインストールされません。

コンプライアンスの重要度レベルを指定することもできます。承認済みパッチが見つからないとレポートされる場合は、Compliance Level がコンプライアンス違反の重大度です。

自動承認の遅延または期限日を変化させて複数のパッチベースラインを使用すると、異なるインスタンスに対して異なるレートでパッチをデプロイできます。たとえば、開発環境と実稼働環境に対して異なるパッチベースライン、自動承認の遅延、期限日を作成できます。これにより、パッチを開発環境でテストしてから実稼働環境にデプロイできます。

パッチベースラインを作成する場合は、以下の点に注意してください。

  • Patch Manager はサポートされるオペレーティングシステムそれぞれに 1 つの事前定義されたパッチベースラインを提供します。対応するオペレーティングシステムの種類ごとに、独自のパッチベースラインを作成して、デフォルトとして指定してする場合を除き、これらの事前定義されたパッチベースラインが、オペレーティングシステムの種類ごとの、デフォルトのパッチベースラインとして使用されます。

    注記

    Windows Server では、3 つの事前に定義されたパッチベースラインが提供されます。パッチベースラインの AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS は、Windows オペレーティングシステム自体のオペレーティングシステム更新プログラムのみをサポートしています。AWS-DefaultPatchBaseline は、別のパッチベースラインを指定しない限り、Windows Server インスタンスのデフォルトのパッチベースラインとして使用されます。これら 2 つのパッチベースラインの構成設定は同じです。2 つのうち新しい方である AWS-WindowsPredefinedPatchBaseline-OS は、Windows Server 用の 3 つ目の事前定義されたパッチベースラインと区別するために作成されました。そのパッチベースライン AWS-WindowsPredefinedPatchBaseline-OS-Applications を使用して、Windows Server オペレーティングシステムおよびサポートされている Microsoft アプリケーションの両方にパッチを適用できます。

  • オンプレミスのサーバーおよび仮想マシン (VM) の場合、Patch Manager では独自にデフォルトとして指定したパッチベースラインが使用されます。独自のデフォルトパッチベースラインがない場合は、事前定義済みのパッチベースラインが対応するオペレーティングシステムに使用されます。

  • 同じパッチベースラインで承認および拒否の両方の対象に指定されているパッチがある場合、そのパッチは拒否されます。

  • 1 つのインスタンスに定義できるパッチベースラインは 1 つに限ります。

  • パッチベースラインの承認されたパッチと拒否されたパッチのリストに追加できるパッケージ名の形式は、パッチするオペレーティングシステムにより異なります。

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

パッチベースラインの作成については、「カスタムパッチベースラインの操作 (コンソール)」および「チュートリアル: サーバー環境にパッチを適用する (AWS CLI)」を参照してください。