AWS Systems Manager Patch Manager - AWS Systems Manager

AWS Systems Manager Patch Manager

AWS Systems Manager の一機能であるパッチマネージャーは、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。 パッチマネージャーを使用して、Windows インスタンスにサービスパックをインストールし、Linux インスタンスでマイナーバージョンのアップグレードを実行できます。オペレーティングシステムのタイプ別に、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたはオンプレミスサーバー、および仮想マシン (VM) にパッチを適用できます。これには、Amazon Linux、Amazon Linux 2、CentOS、Debian Server、macOS、Oracle Linux、Red Hat Enterprise Linux (RHEL)、SUSE Linux Enterprise Server (SLES)、Ubuntu Server、Windows Server のサポート対象バージョンが含まれます。インスタンスをスキャンし、見つからないパッチのレポートのみを表示できます。または、すべての見つからないパッチをスキャンして自動的にインストールできます。

重要

AWS では、パッチマネージャーでパッチが使用可能になるまでは、Windows Server や Linux でパッチをテストしません。また、パッチマネージャーは Windows Server 2016 から Windows Server 2019、または SUSE Linux Enterprise Server (SLES) 12.0 から SLES 15.0 など、オペレーティングシステムのメジャーバージョンへのアップグレードをサポートしていません。

Patch Manager のパッチベースラインには、リリースから数日以内にパッチを自動承認するためのルールと、承認済みパッチおよび拒否済みパッチのリストが含まれています。パッチ適用を Systems Manager メンテナンスウィンドウタスクとして実行するようスケジュールすることで、パッチを定期的にインストールできます。また、パッチは、Amazon EC2 タグを使用して個別のインスタンスまたは大規模なグループのインスタンスにインストールできます。(タグは、企業内のリソースを識別およびソートするのに役立ちます)。 作成または更新するときに、タグをパッチベースライン自体に追加できます。

パッチマネージャーには、インスタンスをスキャンし、スケジュールに従ってコンプライアンスをレポートする、スケジュールに従って利用可能なパッチをインストールする、および必要に応じてオンデマンドでインスタンスにパッチを適用するか、インスタンスをスキャンするオプションが用意されています。任意の Amazon Simple Storage Service (Amazon S3) バケットに送信されるパッチコンプライアンスレポートを生成することもできます。1 回限りのレポートを生成することも、定期的なスケジュールでレポートを生成することもできます。単一インスタンスの場合、レポートにはインスタンスのすべてのパッチの詳細が含まれます。すべてのインスタンスに関するレポートでは、欠けているパッチの数についての概要のみが提供されます。

パッチマネージャーは AWS Identity and Access Management (IAM)、AWS CloudTrail、および Amazon EventBridge と統合され、イベント通知や使用状況の監査機能を含む、安全なパッチ適用エクスペリエンスを提供します。

CloudTrail を使用して Systems Manager のアクションをモニタリングする方法については、「AWS CloudTrail による AWS Systems Manager API 呼び出しのログ記録」を参照してください。

EventBridge を使用して Systems Manager イベントをモニタリングする方法については、「Amazon EventBridge を使用して Systems Manager イベントをモニタリングする」を参照してください。