Usar políticas de patch da Quick Setup - AWS Systems Manager
Principais características das políticas de patchOutras diferenças com as políticas de patchesRegiões da AWS com suporte para políticas de patch

Usar políticas de patch da Quick Setup

Com início em 22 de dezembro de 2022, o Patch Manager oferece um método novo e recomendado para configurar a aplicação de patches para sua organização e Contas da AWS por meio do uso de políticas de patch.

Uma política de patch é uma configuração que você configura usando o Quick Setup, um recurso do AWS Systems Manager. As políticas de patch fornecem um controle mais amplo e centralizado sobre suas operações de aplicação de patch do que o disponível com os métodos anteriores de configuração de patches. As políticas de patch podem ser usadas com todos os sistemas operacionais com suporte pelo Patch Manager, incluindo versões do Linux, macOS, e Windows Server com suporte. Para obter informações sobre a criação de uma política de patch, consulte Configuração de aplicação de patches da organização do Patch Manager.

Principais características das políticas de patch

Em vez de usar outros métodos para corrigir seus nós, use uma política de patch para aproveitar esses recursos principais:

  • Configuração única: a configuração de operações de aplicação de patches usando uma janela de manutenção ou uma associação do State Manager pode exigir várias tarefas em diferentes partes do console do Systems Manager. Usando uma política de patch, todas as suas operações de aplicação de patch podem ser configuradas em um único assistente.

  • Suporte para várias contas/várias regiões: usando uma janela de manutenção, uma associação do State Manager ou o recurso Patch Now do Patch Manager, você está limitado a visar nós gerenciados em um único par Conta da AWS-Região da AWS. Se você usa várias contas e várias regiões, suas tarefas de configuração e manutenção podem exigir muito tempo, pois você precisa executar tarefas de configuração em cada par conta-região. No entanto, se você usar o AWS Organizations, poderá configurar uma política de patch que se aplique a todos os seus nós gerenciados em todas as Regiões da AWS, em todas as suas Contas da AWS. Ou, se você preferir, uma política de patch pode ser aplicada somente a algumas unidades organizacionais (UOs) nas contas e regiões que você escolher. Uma política de patch também pode ser aplicada a uma única conta local, se você preferir.

  • Suporte de instalação no nível organizacional: a opção de configuração existente do Host Management em Quick Setup fornece suporte a uma verificação diária de seus nós gerenciados para verificar a conformidade dos patches. No entanto, essa verificação é feita em um horário predeterminado e resulta somente em informações de conformidade dos patches. Nenhuma instalação de patch é executada. Com uma política de patch, é possível especificar diferentes programações de verificação e instalação. Você também pode escolher a frequência e a hora dessas operações usando expressões personalizadas do CRON ou Rate. Por exemplo, é possível verificar todos os dias se há patches faltando, para fornecer informações de conformidade atualizadas regularmente. Porém, sua programação de instalação pode ser de apenas uma vez por semana, para evitar períodos de inatividade indesejados.

  • Seleção simplificada da lista de referência de patches: as políticas de patch ainda incorporam listas de referência de patches, e não há alterações na forma como as lista de referência de patches são configuradas. No entanto, ao criar ou atualizar uma política de patch, é possível selecionar a lista de referência gerenciada da AWS ou a personalizada que desejar usar para cada tipo de sistema operacional (SO) em uma única lista. Não é necessário especificar a lista de referência padrão para cada tipo de sistema operacional em tarefas separadas.

nota

Quando as operações de aplicação de patch baseadas em uma política de patch são executadas, elas usam o documento SSM da AWS-RunPatchBaseline. Para ter mais informações, consulte Sobre o documento do SSM do AWS-RunPatchBaseline.

Informações relacionadas

Implante centralmente as operações de aplicação de patches em toda a sua organização da AWS usando o Quick Setup do Systems Manager (blog de operações e migrações para a nuvem da AWS)

Outras diferenças com as políticas de patches

Aqui estão algumas outras diferenças a serem observadas ao usar as políticas de patch em vez de os métodos anteriores de configuração de patches:

  • Não são necessários grupos de patches: em operações de aplicação de patches anteriores, você podia marcar vários nós para pertencerem a um grupo de patches e, em seguida, especificar a lista de referência de patches a ser usada para esse grupo de patches. Se nenhum grupo de patches tivesse sido definido, o Patch Manager aplicaria patch nas instâncias com a lista de referência de patches padrão atual do tipo de sistema operacional. Usando políticas de patch, não é mais necessário configurar e manter grupos de patches.

  • Página “Configure patching” (Configurar a aplicação de patches) removida: antes do lançamento das políticas de patch, você podia especificar padrões para quais nós aplicar patches, uma programação de patches e uma operação de aplicação de patches em uma página Configure patching (Configurar a aplicação de patches). Esta página foi removida do Patch Manager. Essas opções agora estão especificadas nas políticas de patch.

  • Sem suporte para “Patch Now”: a capacidade de aplicar patches em nós sob demanda ainda está limitada a um único par Conta da AWS-Região da AWS por vez. Para ter mais informações, consulte Aplicação de patches em nós gerenciados sob demanda.

  • Políticas de patch e informações de conformidade: quando seus nós gerenciados são varridos quanto à conformidade de acordo com uma configuração de política de aplicação de patches, os dados de conformidade são disponibilizados para você. É possível visualizar e trabalhar com os dados da mesma forma que com outros métodos de verificação de conformidade. Embora você possa configurar uma política de patch para uma organização inteira ou várias unidades organizacionais, as informações de conformidade são relatadas individualmente para cada par Conta da AWS-Região da AWS. Para ter mais informações, consulte Trabalhando com relatórios de conformidade de patch.

  • Status de conformidade da associação e políticas de patch: o status de patch de um nó gerenciado que está sob uma política de patch de Quick Setup corresponde ao status de execução da associação do State Manager para esse nó. Se o status de execução da associação for Compliant, o status de patch do nó gerenciado também será marcado como Compliant. Se o status de execução da associação for Non-Compliant, o status de patch do nó gerenciado também será marcado como Non-Compliant.

Regiões da AWS com suporte para políticas de patch

No momento, as configurações de política de patch do Quick Setup são compatíveis nas seguintes regiões:

  • Leste dos EUA (Ohio) (us-east-2)

  • Leste dos EUA (Norte da Virgínia) (us-east-1)

  • Oeste dos EUA (Norte da Califórnia) (us-west-1)

  • Oeste dos EUA (Oregon) (us-west-2)

  • Ásia-Pacífico (Mumbai) (ap-south-1)

  • Ásia-Pacífico (Seul) (ap-northeast-2)

  • Ásia-Pacífico (Singapura) (ap-southeast-1)

  • Ásia-Pacífico (Sydney) (ap-southeast-2)

  • Ásia Pacific (Tóquio) (ap-northeast-1)

  • Canadá (Central) (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Irlanda) (eu-west-1)

  • Europa (Londres) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • UE (Estocolmo) (eu-north-1)

  • América do Sul (São Paulo) (sa-east-1)