Cenário de exemplo do uso do parâmetro InstallOverrideList em AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation - AWS Systems Manager

Cenário de exemplo do uso do parâmetro InstallOverrideList em AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation

É possível usar o parâmetro InstallOverrideList quando quiser substituir os patches especificados pela lista de referência de patches padrão atual no Patch Manager, um recurso do AWS Systems Manager. Este tópico fornece exemplos que mostram como usar esse parâmetro para obter o seguinte:

  • Aplique diferentes conjuntos de patches a um grupo de nós gerenciados de destino.

  • Aplique esses conjuntos de patches em diferentes frequências.

  • Use a mesma lista de referência de patches para as operações.

Digamos que você quer instalar duas categorias diferentes de patches em nós gerenciados do Amazon Linux 2. Você deseja instalar esses patches em programações diferentes usando janelas de manutenção. Deseja que uma janela de manutenção seja executada todas as semanas e instale todos os patches Security. Deseja que outra janela de manutenção seja executada uma vez por mês e instale todos os patches disponíveis ou categorias de patches que não sejam Security.

No entanto, só é possível definir uma lista de referência de patches por vez como o padrão para um sistema operacional. Esse requisito ajuda a evitar situações em que uma lista de referência de patches aprova um patch enquanto outro o bloqueia, o que pode levar a problemas entre versões conflitantes.

A estratégia a seguir permite que você use o parâmetro InstallOverrideList para aplicar tipos de patches diferentes a um grupo de destino, em diferentes programações, enquanto ainda usa a mesma lista de referência de patches.

  1. Na lista de referência de patches padrão, confirme se apenas as atualizações Security estão especificadas.

  2. Crie uma janela de manutenção que execute o AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation toda semana. Não especifique uma lista de substituição.

  3. Crie uma lista de substituição dos patches de todos os tipos que você deseja aplicar mensalmente e armazene-a em um bucket do Amazon Simple Storage Service (Amazon S3).

  4. Crie uma segunda janela de manutenção que é executada uma vez por mês. No entanto, para a tarefa do Run Command registrada para essa janela de manutenção, especifique o local da lista de substituição.

O resultado: somente patches Security, conforme definido na lista de referência de patches padrão, são instalados toda semana. Todos os patches disponíveis, ou qualquer subconjunto de patches que você definir, são instalados todos os meses.

Para obter mais informações e listas de exemplo, consulte Nome do parâmetro: InstallOverrideList.