AWS Systems Manager Patch Manager - AWS Systems Manager

AWS Systems Manager Patch Manager

AWS Systems Manager の一機能である Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドノードにパッチを適用するプロセスを自動化します。Patch Manager を使用すると、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。Patch Manager を使用して、Windows ノードにサービスパックをインストールしたり、Linux ノードでマイナーバージョンのアップグレードを実行したりすることができます。オペレーティングシステムのタイプ別に、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのフリート、エッジデバイス、またはオンプレミスサーバー、および仮想マシン (VM) にパッチを適用できます。これには、サポートされているバージョンの Amazon Linux、Amazon Linux 2、CentOS、Debian Server、macOS、Oracle Linux、Raspberry Pi OS (旧称 Raspbian)、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise Server (SLES)、Ubuntu Server、および Windows Server が含まれています。インスタンスをスキャンし、見つからないパッチのレポートのみを表示できます。または、すべての見つからないパッチをスキャンして自動的にインストールできます。Patch Manager の使用を開始するには、Systems Manager コンソールを開きます。ナビゲーションペインで、[Patch Manager] を選択します。

重要

AWS では、Patch Manager で公開する前にパッチをテストしません。また、Patch Managerでは、Windows Server 2016~Windows Server 2019、SUSE Linux Enterprise Server (SLES) 12.0~SLES 15.0 などのオペレーティングシステムのメジャーバージョンのアップグレードはサポートされていません。

パッチの重要度を報告する Linux ベースタイプのオペレーティングシステムの場合、Patch Manager は更新通知または個々のパッチのために、ソフトウェア発行者によって報告された重要度レベルを使用します。Patch Manager では、CVSS (共通脆弱性評価システム) のような サードパーティのソースからの、または NVD (National Vulnerability Database) がリリースしたメトリクスからの重要度レベルは取得しません。

Patch Manager は、承認済みパッチおよび拒否済みパッチのリストに加え、リリースから数日以内にパッチを自動承認するためのルールを含むパッチベースラインを使用します。パッチ適用を Systems Manager メンテナンスウィンドウタスクとして実行するようスケジュールすることで、パッチを定期的にインストールできます。また、パッチは、タグを使用して個別にまたは、マネージドノードのラージ グループにインストールできます。(タグは、企業内のリソースを識別およびソートするのに役立ちます)。作成または更新するときに、タグをパッチベースライン自体に追加できます。

Patch Manager には、スケジュールに従ってマネージドノードをスキャンしてコンプライアンスをレポートしたり、スケジュールに従って利用可能なパッチをインストールしたり、必要に応じてターゲット オンデマンドへのパッチの適用やスキャンを行ったりするオプションが用意されています。任意の Amazon Simple Storage Service (Amazon S3) バケットに送信されるパッチコンプライアンスレポートを生成することもできます。1 回限りのレポートを生成することも、定期的なスケジュールでレポートを生成することもできます。単一マネージドノードの場合、レポートにはノードのすべてのパッチの詳細が含まれます。すべてのマネージドノードに関するレポートでは、欠けているパッチの数についての概要のみが提供されます。

Patch Manager は、AWS Identity and Access Management (IAM)、AWS CloudTrail、Amazon EventBridge と連携して、イベント通知や使用状況の監査機能を含む安全なパッチ適用体験を提供します。

CloudTrail を使用して Systems Manager のアクションをモニタリングする方法については、「AWS Systems Manager による AWS CloudTrail API 呼び出しのログ記録」を参照してください。

EventBridge を使用して Systems Manager イベントをモニタリングする方法については、「Amazon EventBridge を使用して Systems Manager イベントをモニタリングする」を参照してください。