事前定義されたパッチベースラインおよびカスタムパッチベースラインについて - AWS Systems Manager

事前定義されたパッチベースラインおよびカスタムパッチベースラインについて

AWS Systems Manager の一機能である Patch Manager には、Patch Manager のサポート対象のオペレーティングシステムごとに定義済みのパッチベースラインがあります。これらのベースラインは、現在設定されているとおりに使用することも (カスタマイズすることはできません)、独自のカスタムパッチベースラインを作成することもできます。カスタムパッチベースラインを使用すると、環境に対してどのパッチを承認または拒否するかをより詳細に制御できます。また、定義済みのベースラインでは、これらのベースラインを使用してインストールされるすべてのパッチに、コンプライアンスレベル Unspecified が割り当てられます。コンプライアンス値を割り当てるには、定義済みのベースラインのコピーを作成し、パッチに割り当てるコンプライアンス値を指定できます。詳細については、「カスタムベースラインについて」および「カスタムパッチベースラインの操作 (コンソール)」を参照してください。

事前定義されたパッチベースラインについて

次の表に、Patch Manager に用意されている事前定義されたパッチベースラインを示します。

Patch Manager でサポートされている各オペレーティングシステムのバージョンについては、「Patch Manager の前提条件」を参照してください。

名前 サポートされるオペレーティングシステム 詳細

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを自動承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチはリリースから 7 日後に自動承認されます。¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。パッチはリリースから 7 日後に自動承認されます。また、分類が "Bugfix" のすべてのパッチをリリースから 7 日後に承認します。

AWS-CentOSDefaultPatchBaseline CentOS および CentOS Stream すべての更新は、更新 (セキュリティ以外の更新を含む) が使用可能になってから 7 日後に承認されます。
AWS-DebianDefaultPatchBaseline Debian Server 優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。リポジトリに信頼できるリリース日がないため、承認前の待機期間はありません。
AWS-MacOSDefaultPatchBaseline macOS 「セキュリティ」に分類されるすべてのオペレーティングシステムパッチを承認します。また、現在の更新を含むすべてのパッケージを承認します。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 分類が「セキュリティ」で、重要度レベルが「重要」または「中」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチをリリースから 7 日後に承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS 優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。リポジトリに信頼できるリリース日がないため、承認前の待機期間はありません。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

分類が「セキュリティ」で、重要度レベルが「非常事態」または「重要」のすべてのオペレーティングシステムパッチを承認します。また、分類が「Bugfix」(バグ修正) のすべてのパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 分類が「セキュリティ」で、重要度が「非常事態」または「重要度」のすべてのオペレーティングシステムパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

優先度が「Required」、「Important」、「Standard」、「Optional」、「Extra」のすべてのオペレーティングシステムのセキュリティに関連するパッチを即時に承認します。リポジトリに信頼できるリリース日がないため、承認前の待機期間はありません。

AWS-DefaultPatchBaseline

Windows Server

分類が「CriticalUpdates」または「SecurityUpdates」で、MSRC 重要度が「非常事態」または「重要」のすべての Windows Server オペレーティングシステムパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

分類が「CriticalUpdates」または「SecurityUpdates」で、MSRC 重要度が「非常事態」または「重要」のすべての Windows Server オペレーティングシステムパッチを承認します。パッチは、リリースまたは更新されてから 7 日後に自動承認されます。¹

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Windows Server オペレーティングシステムの場合は、分類が「CriticalUpdates」または「SecurityUpdates」で、MSRC 重要度が「非常事態」または「重要」のすべてのパッチを承認します。Microsoft がリリースしたアプリケーションについては、すべてのパッチを承認します。OS とアプリケーションのパッチの両方を、リリースまたは更新から 7 日後に自動承認します。

¹ Amazon Linux と Amazon Linux 2 の場合、パッチが自動承認されるまでの 7 日間の待機時間は、Release Date 値ではなく、updateinfo.xmlUpdated Date 値から計算されます。さまざまな要因が Updated Date 値に影響を与える可能性があります。他のオペレーティングシステムでは、リリース日と更新日の処理が異なります。自動承認の遅延による予期しない結果を避けるのに役立つ情報については、「パッケージのリリース日と更新日の計算方法」を参照してください。

カスタムベースラインについて

独自のパッチベースラインを作成する場合は、以下のカテゴリを使用して自動承認するパッチを選択できます。

  • オペレーティングシステム: Windows、Amazon Linux、Ubuntu Server など。

  • 製品名 (オペレーティングシステム): RHEL 6.5、Amazon Linux 2014.09、Windows Server 2012、Windows Server 2012 R2 など。

  • 製品名 (Windows Server の Microsoft アプリケーションのみ): Word 2016、BizTalk Server など。

  • 分類: 重要な更新プログラム、セキュリティ更新プログラムなど。

  • 重要度: 非常事態、重要など。

作成する承認ルールごとに、自動承認の遅延を指定するか、パッチ承認の期限日を指定するかを選択できます。

注記

Ubuntu Server の更新プログラムパッケージのリリース日は確定できないため、このオペティングシステムでは自動承認オプションがサポートされていません。

自動承認の遅延とは、パッチがリリースまたは最後に更新されてから自動承認されて適用されるまでの待機日数です。たとえば、CriticalUpdates 分類を使用してルールを作成し、自動承認の遅延として 7 日間を設定した場合、7 月 7 日にリリースされた新しい重要なパッチは 7 月 14 日に自動的に承認されます。

注記

Linux リポジトリがパッケージのリリース日情報を提供しない場合、Systems Manager は、パッケージのビルド時間を Amazon Linux、Amazon Linux 2、RHEL、および CentOS の自動承認の遅延として使用します。システムがパッケージのビルド時間を検出できない場合、Systems Manager は自動承認の遅延を値ゼロとして扱います。

自動承認の期限日を指定すると、Patch Manager はその日付以前にリリースまたは最後に更新されたすべてのパッチを自動的に適用します。たとえば、期限日として 2020 年 7 月 7 日を指定すると、2020 年 7 月 8 日以降にリリースまたは最後に更新されたパッチは自動的にインストールされません。

コンプライアンスの重要度レベルを指定することもできます。承認済みパッチが見つからないとレポートされる場合は、Compliance Level がコンプライアンス違反の重大度です。

パッチベースラインを作成する場合は、以下の点に注意してください。

  • Patch Manager には、サポートされているオペレーティングシステムごとに 1 つの事前定義されたパッチベースラインがあります。対応するオペレーティングシステムの種類ごとに、独自のパッチベースラインを作成して、デフォルトとして指定してする場合を除き、これらの事前定義されたパッチベースラインが、オペレーティングシステムの種類ごとの、デフォルトのパッチベースラインとして使用されます。

    注記

    Windows Server では、3 つの事前に定義されたパッチベースラインが提供されます。パッチベースラインの AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS は、Windows オペレーティングシステム自体のオペレーティングシステム更新プログラムのみをサポートしています。AWS-DefaultPatchBaseline は、別のパッチベースラインを指定しない限り、Windows Server マネージドノードのデフォルトのパッチベースラインとして使用されます。これら 2 つのパッチベースラインの構成設定は同じです。2 つのうち新しい方である AWS-WindowsPredefinedPatchBaseline-OS は、Windows Server 用の 3 つ目の事前定義されたパッチベースラインと区別するために作成されました。そのパッチベースライン AWS-WindowsPredefinedPatchBaseline-OS-Applications を使用して、Windows Server オペレーティングシステムおよびサポートされている Microsoft アプリケーションの両方にパッチを適用できます。

  • オンプレミスのサーバーおよび仮想マシン (VM) の場合、Patch Manager では独自にデフォルトとして指定したパッチベースラインが使用されます。独自のデフォルトパッチベースラインがない場合は、事前定義済みのパッチベースラインが対応するオペレーティングシステムに使用されます。

  • 同じパッチベースラインで承認および拒否の両方の対象に指定されているパッチがある場合、そのパッチは拒否されます。

  • 1 つのマネージドノードに定義できるパッチベースラインは 1 つに限ります。

  • パッチベースラインの承認されたパッチと拒否されたパッチのリストに追加できるパッケージ名の形式は、パッチするオペレーティングシステムにより異なります。

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

パッチベースラインの作成については、「カスタムパッチベースラインの操作 (コンソール)」および「チュートリアル: サーバー環境にパッチを適用する (AWS CLI)」を参照してください。