Pré-requisitos da Patch Manager - AWS Systems Manager
Versão do SSM AgentVersão do PythonConectividade com a origem do patchAcesso do endpoint do S3Permissões para instalar patches localmenteSistemas operacionais compatíveis com o Patch Manager

Pré-requisitos da Patch Manager

Certifique-se de ter atendido aos pré-requisitos necessários antes de usar o Patch Manager, uma ferramenta do AWS Systems Manager.

Versão do SSM Agent

A versão 2.0.834.0 ou posterior do SSM Agent deve estar em execução nos nós gerenciados que você quiser gerenciar com o Patch Manager.

nota

Uma versão atualizada do SSM Agent é lançada sempre que novas ferramentas são adicionadas ao Systems Manager ou sempre que atualizações são feitas nas ferramentas existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use várias ferramentas do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent.

Versão do Python

Para o macOS e a maioria dos sistemas operacionais (SOs) Linux, o Patch Manager é atualmente compatível com o Python versões 2.6-3.10. O SOs AlmaLinux, Debian Server e Ubuntu Server exigem uma versão compatível do Python 3 (3.0-3.10).

Conectividade com a origem do patch

Se os nós gerenciados não tiverem uma conexão direta com a Internet e você estiver usando uma Amazon Virtual Private Cloud (Amazon VPC) com um endpoint da VPC, verifique se os nós têm acesso aos repositórios de patch de origem (repositórios). Em nós do Linux, as atualizações de patches normalmente são baixadas dos repositórios remotos configurados em seu nó. Portanto, o nó deve conseguir se conectar aos repositórios para que a aplicação do patch seja realizada. Para obter mais informações, consulte Como os patches de segurança são selecionados.

Windows Server: garanta a conectividade ao Windows Update Catalog ou ao Windows Server Update Services (WSUS)

Os nós gerenciados do Windows Server devem se conectar ao Windows Update Catalog ou ao Windows Server Update Services (WSUS). Confirme se os nós têm conectividade com o Catálogo de atualizações da Microsoft por meio de um gateway da Internet, um gateway de NAT ou uma instância NAT. Se você estiver usando o WSUS, confirme se o nó tem conectividade com o servidor WSUS em seu ambiente. Para obter mais informações, consulte Problema: o nó gerenciado não tem acesso ao Catálogo do Windows Update ou ao WSUS.

Acesso do endpoint do S3

Se os nós gerenciados operam em uma rede privada ou pública, sem acesso aos buckets do Amazon Simple Storage Service (Amazon S3) gerenciados pela AWS, as operações de aplicação de patches falham. Para obter informações sobre os buckets do S3 que os nós gerenciados devem poder acessar, consulte Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS e Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager.

Permissões para instalar patches localmente

Nos sistemas operacionais Windows Server e Linux, o Patch Manager assume as contas de administrador e usuário-raiz, respectivamente, para instalar os patches.

No entanto, para Brew e Brew Cask no macOS, o Homebrew não oferece suporte à execução de seus comandos sob o usuário-raiz. Como resultado, o Patch Manager consulta e executa comandos Homebrew como o proprietário do diretório Homebrew ou como um usuário válido pertencente ao grupo de proprietários do diretório Homebrew. Portanto, para instalar os patches, o proprietário do diretório homebrew também precisa de permissões recursivas para o diretório /usr/local.

dica

O comando a seguir fornece essa permissão para o usuário especificado:

sudo chown -R $USER:admin /usr/local

Sistemas operacionais compatíveis com o Patch Manager

A ferramenta Patch Manager pode não ser compatível com todas as versões de sistemas operacionais que são compatíveis com outras ferramentas do Systems Manager. (Para obter a lista completa de sistemas operacionais compatíveis com o Systems Manager, consulte Sistemas operacionais compatíveis com o Systems Manager.) Portanto, verifique se os nós gerenciados utilizados com o Patch Manager estão executando um dos sistemas operacionais listados na tabela a seguir.

nota

O Patch Manager depende dos repositórios de patches configurados em um nó gerenciado, como o Catálogo do Windows Update e o Windows Server Update Services para Windows, para recuperar os patches disponíveis para instalação. Portanto, para versões de sistema operacional de fim de vida útil (EOL), se nenhuma nova atualização estiver disponível, o Patch Manager talvez não consiga relatar as novas atualizações. Isso pode ocorrer porque nenhuma nova atualização foi lançada pelo mantenedor da distribuição Linux, pela Microsoft ou pela Apple, ou porque o nó gerenciado não tem a licença adequada para acessar as novas atualizações.

O Patch Manager relata o status de conformidade em relação aos patches disponíveis no nó gerenciado. Portanto, se uma instância estiver executando um sistema operacional em EOL e nenhuma atualização estiver disponível, o Patch Manager poderá relatar o nó como Em conformidade, dependendo das linhas de referência do patch configuradas para a operação de patch.

Sistema operacional Detalhes

Linux

  • AlmaLinux 8.x, 9.x

  • Amazon Linux 2 versão 2.0 e todas as versões posteriores

  • Amazon Linux 2023

  • Debian Server 11.x e 12.x

  • Oracle Linux 7.5 – 8.x, 9.x

  • Red Hat Enterprise Linux (RHEL) 7.x–8.x, 9.x, 10.x

  • Rocky Linux 8.x, 9.x

  • Ubuntu Server 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS e 25.04
macOS

O macOS é compatível somente com instâncias do Amazon EC2.

13.0 – 13.7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

macOS atualizações do sistema operacional

Patch Manager não oferece suporte a atualizações ou upgrades do sistema operacional (SO) macOS, como de 13.1 para 13.2. Para realizar atualizações de versão do sistema operacional macOS, recomendamos usar os mecanismos integrados de atualização do sistema operacional da Apple. Para obter mais informações, consulte Gerenciamento de dispositivos no site da Apple Developer Documentation.

Suporte do Homebrew

O Patch Manager requer que o Homebrew, o sistema de gerenciamento de pacotes de software de código aberto, seja instalado em um dos seguintes locais de instalação padrão:

  • /usr/local/bin

  • /opt/homebrew/bin

As operações de aplicação de patches usando o Patch Manager não funcionam corretamente quando o Homebrew não está instalado.

Suporte de região

Não há suporte para macOS em todas as Regiões da AWS. Para obter mais informações sobre o suporte a instâncias do EC2 para macOS, consulte Instâncias Mac do Amazon EC2 no Guia do usuário do Amazon EC2.

macOS dispositivos de borda

O SSM Agent para dispositivos principais do AWS IoT Greengrass não é compatível com o macOS. Você não pode usar o Patch Manager para aplicar patches aos dispositivos de borda do macOS.

Windows

Windows Server 2012 a Windows Server 2025, incluindo versões R2.

nota

O SSM Agent para dispositivos principais do AWS IoT Greengrass não é compatível com o Windows 10. Você não pode usar o Patch Manager para aplicar patches aos dispositivos de borda do Windows 10.

Suporte ao Windows Server 2012 e 2012 R2

O Windows Server 2012 e 2012 R2 atingiram o fim do suporte em 10 de outubro de 2023. Para usar o Patch Manager com essas versões, recomendamos também usar as Extended Security Updates (ESUs) da Microsoft. Para obter mais informações, consulte Fim do suporte ao Windows Server 2012 e 2012 R2 no site da Microsoft.