事前定義されたパッチベースラインおよびカスタムパッチベースラインについて - AWS Systems Manager
事前定義されたパッチベースラインについてカスタムベースラインについて

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

事前定義されたパッチベースラインおよびカスタムパッチベースラインについて

Patch Managerの一機能である は AWS Systems Manager、 でサポートされているオペレーティングシステムごとに事前定義されたパッチベースラインを提供しますPatch Manager。これらのベースラインは、現在設定されているとおりに使用することも (カスタマイズすることはできません)、独自のカスタムパッチベースラインを作成することもできます。カスタムパッチベースラインを使用すると、環境に対してどのパッチを承認または拒否するかをより詳細に制御できます。また、定義済みのベースラインでは、これらのベースラインを使用してインストールされるすべてのパッチに、コンプライアンスレベル Unspecified が割り当てられます。コンプライアンス値を割り当てるには、定義済みのベースラインのコピーを作成し、パッチに割り当てるコンプライアンス値を指定できます。詳細については、「カスタムベースラインについて」および「カスタムパッチベースラインの操作」を参照してください。

注記

このトピックの情報は、パッチ適用オペレーションに使用している設定方法やタイプに関係なく適用されます。

  • Quick Setup で設定されているパッチポリシー

  • Quick Setup で設定されているホスト管理オプション

  • パッチ Scan または Install のタスクを実行するためのメンテナンスウィンドウ

  • オンデマンドの [今すぐパッチ適用] オペレーション

事前定義されたパッチベースラインについて

次の表に、Patch Manager に用意されている事前定義されたパッチベースラインを示します。

Patch Manager でサポートされている各オペレーティングシステムのバージョンについては、「Patch Manager の前提条件」を参照してください。

名前 サポートされるオペレーティングシステム 詳細

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux 1

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを自動承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹
AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチはリリースから 7 日後に自動承認されます。¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が "Bugfix" のすべてのパッチをリリースから 7 日後に承認します。
AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が "Bugfix" のすべてのパッチをリリースから 7 日後に承認します。
AWS-CentOSDefaultPatchBaseline CentOS および CentOS Stream すべての更新は、更新 (セキュリティ以外の更新を含む) が使用可能になってから 7 日後に承認されます。
AWS-DebianDefaultPatchBaseline Debian Server 優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。リポジトリに信頼できるリリース日がないため、承認前の待機期間はありません。
AWS-MacOSDefaultPatchBaseline macOS 「セキュリティ」に分類されるすべてのオペレーティングシステムパッチを承認します。また、現在の更新を含むすべてのパッケージを承認します。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 分類が「セキュリティ」で、重要度レベルが「重要」または「中」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチをリリースから 7 日後に承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS 優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。リポジトリに信頼できるリリース日がないため、承認前の待機期間はありません。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹
AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 分類が「セキュリティ」で、重要度が「非常事態」または「重要度」のすべてのオペレーティングシステムパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。リポジトリに信頼できるリリース日がないため、承認前の待機期間はありません。
AWS-DefaultPatchBaseline

Windows Server

CriticalUpdates「」または「」に分類されSecurityUpdates、MSRC 重要度が「重要」または「重要」のすべてのWindows Serverオペレーティングシステムパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。²
AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

CriticalUpdates「」または「」に分類されSecurityUpdates、MSRC 重要度が「重要」または「重要」のすべてのWindows Serverオペレーティングシステムパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。²
AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Windows Server オペレーティングシステムの場合、SecurityUpdatesMSRC の重要度が「重要CriticalUpdates」または「重要」のすべてのパッチを承認します。Microsoft がリリースしたアプリケーションについては、すべてのパッチを承認します。OS とアプリケーションのパッチのどちらも、リリースまたは更新から 7 日後に自動承認されます。²

1 Amazon Linux 1 および Amazon Linux 2 の場合、パッチが自動承認されるまでの 7 日間の待機時間はupdateinfo.xmlUpdated Date値ではなく Release Dateの値から計算されます。さまざまな要因が Updated Date 値に影響を与える可能性があります。他のオペレーティングシステムでは、リリース日と更新日の処理が異なります。自動承認の遅延による予期しない結果を避けるのに役立つ情報については、「パッケージのリリース日と更新日の計算方法」を参照してください。

² Windows Server の場合、デフォルトのベースラインには 7 日間の自動承認遅延が含まれています。リリース後 7 日以内にパッチをインストールするには、カスタムベースラインを作成する必要があります。

カスタムベースラインについて

独自のパッチベースラインを作成する場合は、以下のカテゴリを使用して自動承認するパッチを選択できます。

  • オペレーティングシステム: Windows Server、Amazon Linux、Ubuntu Server など。

  • 製品名 (オペレーティングシステム): RHEL 6.5、Amazon Linux 2014.09、Windows Server 2012、Windows Server 2012 R2 など。

  • 製品名 ( で Microsoft がリリースしたアプリケーションWindows Serverのみ): Word 2016、 BizTalk Server など。

  • 分類: 重要な更新プログラム、セキュリティ更新プログラムなど。

  • 重要度: 非常事態、重要など。

作成する承認ルールごとに、自動承認の遅延を指定するか、パッチ承認の期限日を指定するかを選択できます。

注記

Ubuntu Server の更新プログラムパッケージのリリース日は確定できないため、このオペティングシステムでは自動承認オプションがサポートされていません。

自動承認の遅延とは、パッチがリリースまたは最後に更新されてから自動承認されて適用されるまでの待機日数です。例えば、CriticalUpdates 分類を使用してルールを作成し、自動承認の遅延として 7 日間を設定した場合、7 月 7 日にリリースされた新しい重要なパッチは 7 月 14 日に自動的に承認されます。

注記

Linux リポジトリがパッケージのリリース日情報を提供しない場合、Systems Manager はパッケージのビルド時間を Amazon Linux 1、Amazon Linux 2、、RHELおよび CentOS の自動承認遅延として使用します。システムがパッケージのビルド時間を検出できない場合、Systems Manager は自動承認の遅延を値ゼロとして扱います。

自動承認の期限日を指定すると、Patch Manager はその日付以前にリリースまたは最後に更新されたすべてのパッチを自動的に適用します。例えば、期限日として 2023 年 7 月 7 日を指定すると、2023 年 7 月 8 日以降にリリースまたは最終更新されたパッチは自動的にインストールされません。

注記

カスタムのパッチベースラインを作成する場合、そのパッチベースラインによって承認されたパッチのコンプライアンスの重要度レベル (Critical または High など) を指定できます。承認された任意のパッチのパッチ状態が Missing と報告された場合、パッチベースラインで報告される全体的なコンプライアンスの重要度は、指定した重要度レベルになります。

パッチベースラインを作成する場合は、以下の点に注意してください。

  • Patch Manager には、サポートされているオペレーティングシステムごとに 1 つの事前定義されたパッチベースラインがあります。対応するオペレーティングシステムの種類ごとに、独自のパッチベースラインを作成して、デフォルトとして指定してする場合を除き、これらの事前定義されたパッチベースラインが、オペレーティングシステムの種類ごとの、デフォルトのパッチベースラインとして使用されます。

    注記

    Windows Server では、3 つの事前に定義されたパッチベースラインが提供されます。パッチベースラインの AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS は、Windows オペレーティングシステム自体のオペレーティングシステム更新プログラムのみをサポートしています。AWS-DefaultPatchBaseline は、別のパッチベースラインを指定しない限り、Windows Server マネージドノードのデフォルトのパッチベースラインとして使用されます。これら 2 つのパッチベースラインの構成設定は同じです。2 つのうち新しい方である AWS-WindowsPredefinedPatchBaseline-OS は、Windows Server 用の 3 つ目の事前定義されたパッチベースラインと区別するために作成されました。そのパッチベースライン AWS-WindowsPredefinedPatchBaseline-OS-Applications を使用して、Windows Server オペレーティングシステムおよびサポートされている Microsoft アプリケーションの両方にパッチを適用できます。

  • オンプレミスのサーバーおよび仮想マシン (VM) の場合、Patch Manager では独自にデフォルトとして指定したパッチベースラインが使用されます。独自のデフォルトパッチベースラインがない場合は、事前定義済みのパッチベースラインが対応するオペレーティングシステムに使用されます。

  • 同じパッチベースラインで承認および拒否の両方の対象に指定されているパッチがある場合、そのパッチは拒否されます。

  • 1 つのマネージドノードに定義できるパッチベースラインは 1 つに限ります。

  • パッチベースラインの承認されたパッチと拒否されたパッチのリストに追加できるパッケージ名の形式は、パッチするオペレーティングシステムにより異なります。

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

  • Quick Setup でパッチポリシー設定を使用している場合、カスタムパッチベースラインに加えた更新は 1 時間に 1 回 Quick Setup と同期されます。

    パッチポリシーで参照されていたカスタムパッチベースラインを削除すると、Quick Setup のそのパッチポリシーについての [Configuration details] (設定の詳細) ページにバナーが表示されます。バナーには、パッチポリシーが既に存在しないパッチベースラインを参照していること、およびそれ以降のパッチ適用オペレーションができないことが示されます。この場合は、Quick Setup の [Configurations] (設定) ページに戻り、Patch Manager 設定を選択し、[Actions] (アクション)、[Edit configuration] (設定を編集) を選択します。削除されたパッチベースライン名が強調表示されます。影響を受けるオペレーティングシステム用の新しいパッチベースラインを選択する必要があります。

パッチベースラインの作成については、「カスタムパッチベースラインの操作」および「チュートリアル: サーバー環境にパッチを適用する (AWS CLI)」を参照してください。