Sobre documentos do SSM para aplicação de patches em nós gerenciados

Este tópico descreve os sete documentos do Systems Manager (documentos SSM) atualmente disponíveis para ajudar você a manter seus nós gerenciados protegidos com as mais recentes atualizações relacionadas à segurança.

Recomendamos usar apenas cinco desses documentos em suas operações de aplicação de patches. Juntos, esses cinco documentos do SSM fornecem uma variedade completa de opções de aplicação de patches usando o AWS Systems Manager. Quatro desses documentos foram lançados após os quatro documentos do SSM legados para substituí-los e representam expansões ou consolidações de funcionalidade.

Os três documentos recomendados do SSM incluem:

• AWS-ConfigureWindowsUpdate

• AWS-InstallWindowsUpdates

• AWS-RunPatchBaseline

• AWS-RunPatchBaselineAssociation

• AWS-RunPatchBaselineWithHooks

Os quatro documentos herdados do SSM que ainda estão disponíveis para uso em algumas Regiões da AWS, mas que podem não ter mais suporte no futuro, incluem:

• AWS-ApplyPatchBaseline

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

Consulte as seções a seguir para obter mais informações sobre como usar esses documentos do SSM em suas operações de aplicação de patches.

Tópicos

• Documentos do SSM recomendados para aplicação de patches em nós gerenciados
• Documentos do SSM para aplicação de patches em nós gerenciados
• Sobre o documento do SSM do AWS-RunPatchBaseline
• Sobre o documento do SSM do AWS-RunPatchBaselineAssociation
• Sobre o documento do SSM do AWS-RunPatchBaselineWithHooks
• Cenário de exemplo do uso do parâmetro InstallOverrideList em AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation
• Usar o parâmetro BaselineOverride

Documentos do SSM recomendados para aplicação de patches em nós gerenciados

Os cinco documentos do SSM a seguir são recomendados para uso nas operações de aplicação de patches em nós gerenciados.

AWS-ConfigureWindowsUpdate

Oferece suporte à configuração e uso de funções básicas do Windows Update para instalar atualizações automaticamente (ou desativar atualizações automáticas). Disponível em todas as Regiões da AWS

Esse documento do SSM configura o Windows Update para baixar e instalar as atualizações especificadas e reiniciar os nós gerenciados conforme necessário. Use esse documento com o State Manager, um recurso do AWS Systems Manager, para garantir que o Windows Update mantenha sua configuração. Você também pode executá-lo manualmente usando o Run Command, um recurso do AWS Systems Manager, para alterar a configuração do Windows Update.

Os parâmetros disponíveis neste documento oferecem suporte à especificação de uma categoria de atualizações a serem instaladas (ou se as atualizações automáticas devem ser desativadas), bem como especificar o dia da semana e a hora do dia para executar operações de aplicação de patches. Esse documento do SSM é mais útil se você não precisa de controles rigorosos sobre as atualizações do Windows e não precisa coletar informações de conformidade.

Substitui estes documentos do SSM legados:

• Nenhum

AWS-InstallWindowsUpdates

Instala atualizações em um nó gerenciado do Windows Server. Disponível em todas as Regiões da AWS

Esse documento do SSM fornece a funcionalidade básica de aplicação de patches nos casos em que você deseja instalar uma atualização específica (usando o parâmetro Include Kbs) ou deseja instalar patches com classificações ou categorias específicas, mas não precisa de informações de conformidade do patch.

Substitui estes documentos do SSM legados:

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

Os três documentos legados executam funções diferentes, mas você pode alcançar os mesmos resultados usando diferentes configurações de parâmetro com o documento do SSM mais recente AWS-InstallWindowsUpdates. Essas configurações de parâmetro são descritas em Documentos do SSM para aplicação de patches em nós gerenciados.

AWS-RunPatchBaseline

Instala patches em nós gerenciados ou verifica os nós para determinar se qualquer patch qualificado está ausente. Disponível em todas as Regiões da AWS

O AWS-RunPatchBaseline permite controlar aprovações de patches usando a linha de base do patch especificada como “padrão” para um tipo de sistema operacional. Ele relata informações de conformidade de patch que você pode exibir usando as ferramentas de conformidade do Systems Manager. Essas ferramentas fornecem informações sobre o estado de conformidade de patch dos nós gerenciados, como quais nós têm patches ausentes e quais são esses patches. Quando você usaAWS-RunPatchBaseline, as informações de conformidade de patch são registradas usando oPutInventoryComando da API. Para sistemas operacionais Linux, as informações de conformidade são fornecidas para patches do repositório de origem padrão configurado em um nó gerenciado e de qualquer repositório de origem alternativo especificado em uma lista personalizada de referência de patches. Para obter mais informações sobre repositórios de origem alternativos, consulte Como especificar um repositório de origem de patches alternativo (Linux). Para obter mais informações sobre as ferramentas de conformidade do Systems Manager, consulte Conformidade com o AWS Systems Manager.

Substitui estes documentos legados:

• AWS-ApplyPatchBaseline

O documento legado AWS-ApplyPatchBaseline se aplica apenas a nós gerenciados do Windows Server e não é compatível com a aplicação de patches em aplicações. O AWS-RunPatchBaseline mais recente fornece o mesmo suporte para sistemas Windows e Linux. A versão 2.0.834.0 ou posterior do SSM Agent é necessária para usar o documento AWS-RunPatchBaseline.

Para obter mais informações sobre o documento do SSM, AWS-RunPatchBaseline, consulte Sobre o documento do SSM do AWS-RunPatchBaseline.

AWS-RunPatchBaselineAssociation

Instala patches nas suas instâncias ou verifica as instâncias para determinar se qualquer patch qualificado está ausente. Disponível em todas as Regiões da AWS comerciais.

O AWS-RunPatchBaselineAssociation difere do AWS-RunPatchBaseline de algumas maneiras importantes:

• O AWS-RunPatchBaselineAssociation deve ser usado principalmente com associações do State Manager criadas usando o Quick Setup, um recurso do AWS Systems Manager. Especificamente, quando você usar o tipo de configuração do Host Management do Quick Setup, se você escolher a opção Scan instances for missing patches daily (Verificar patches ausentes nas instâncias diariamente), o sistema usará AWS-RunPatchBaselineAssociation para a operação.

  Na maioria dos casos, no entanto, ao configurar suas próprias operações de patch, você deve escolher AWS-RunPatchBaseline ou AWS-RunPatchBaselineWithHooks, ao invés do AWS-RunPatchBaselineAssociation.

  Para obter mais informações, consulte os tópicos a seguir:

  • AWS Systems Manager Quick Setup

  • Sobre o documento do SSM do AWS-RunPatchBaselineAssociation

• O AWS-RunPatchBaselineAssociation suporta o uso de tags para identificar qual linha de base de patch usar com um conjunto de destinos, quando ele for executado.

• Para operações de patch que usam o AWS-RunPatchBaselineAssociation, os dados de conformidade de patches são compilados em termos de uma associação do State Manager. Os dados de conformidade de patches coletados quando AWS-RunPatchBaselineAssociation é executado são gravados usando a API PutComplianceItems em vez do comando PutInventory. Isso impede que os dados de conformidade que não estão associados a essa associação específica sejam substituídos.

  Para sistemas operacionais Linux, as informações de conformidade são fornecidas para patches do repositório de origem padrão configurado em uma instância e de qualquer repositório de origem alternativo especificado em uma linha de base de patch personalizada. Para obter mais informações sobre repositórios de origem alternativos, consulte Como especificar um repositório de origem de patches alternativo (Linux). Para obter mais informações sobre as ferramentas de conformidade do Systems Manager, consulte Conformidade com o AWS Systems Manager.

Substitui estes documentos legados:

• Nenhum

Para obter mais informações sobre o documento do SSM, AWS-RunPatchBaselineAssociation, consulte Sobre o documento do SSM do AWS-RunPatchBaselineAssociation.

AWS-RunPatchBaselineWithHooks

Instala patches em seus nós gerenciados ou verifica os nós para determinar se qualquer patch qualificado está ausente, com ganchos opcionais que você pode usar para executar documentos SSM em três pontos durante o ciclo de aplicação de patches. Disponível em todas as Regiões da AWS comerciais.

O AWS-RunPatchBaselineWithHooks difere do AWS-RunPatchBaseline na operação Install.

O AWS-RunPatchBaselineWithHooks suporta ganchos de ciclo de vida executados em pontos designados durante a aplicação de patches em nós gerenciados. Como as instalações de patches às vezes exigem nós gerenciados para reinicializar, a operação de aplicação patches é dividida em dois eventos, para um total de três ganchos que suportam funcionalidade personalizada. O primeiro gancho é antes doInstall with NoRebootoperação. O segundo gancho é após oInstall with NoRebootoperação. O terceiro gancho está disponível após a reinicialização do nó.

Substitui estes documentos legados:

• Nenhum

Para obter mais informações sobre o documento do SSM, AWS-RunPatchBaselineWithHooks, consulte Sobre o documento do SSM do AWS-RunPatchBaselineWithHooks.

Documentos do SSM para aplicação de patches em nós gerenciados

Os quatro documentos do SSM a seguir ainda estão disponíveis para uso nas operações de aplicação de patches em algumas Regiões da AWS. No entanto, eles podem não ter mais suporte no futuro, então não recomendamos o uso. Em vez disso, use os documentos descritos em Documentos do SSM recomendados para aplicação de patches em nós gerenciados.

Documentos do SSM legados

• AWS-ApplyPatchBaseline
• AWS-FindWindowsUpdates
• AWS-InstallMissingWindowsUpdates
• AWS-InstallSpecificWindowsUpdates

AWS-ApplyPatchBaseline

Oferece suporte apenas aos nós gerenciados do Windows Server, mas não inclui suporte para a aplicação de patches em aplicações, como ocorre em seu substituto, o AWS-RunPatchBaseline. Não disponível em Regiões da AWS lançadas após agosto de 2017.

nota

O substituto deste documento do SSM, AWS-RunPatchBaseline, requer a versão 2.0.834.0 ou posterior do SSM Agent. Você pode usar o documento AWS-UpdateSSMAgent para atualizar os nós gerenciados para a versão mais recente do agente.

AWS-FindWindowsUpdates

Substituído por AWS-InstallWindowsUpdates, que pode realizar as mesmas ações. Não disponível em Regiões da AWS lançadas após abril de 2017.

Para obter o mesmo resultado que teria com esse documento do SSM legado, use a seguinte configuração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates:

• Action = Scan

• Allow Reboot = False

AWS-InstallMissingWindowsUpdates

Substituído por AWS-InstallWindowsUpdates, que pode realizar as mesmas ações. Não disponível em nenhuma Regiões da AWS lançada após abril de 2017.

Para obter o mesmo resultado que teria com esse documento do SSM legado, use a seguinte configuração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates:

• Action = Install

• Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

Substituído por AWS-InstallWindowsUpdates, que pode realizar as mesmas ações. Não disponível em nenhuma Regiões da AWS lançada após abril de 2017.

Para obter o mesmo resultado que teria com esse documento do SSM legado, use a seguinte configuração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates:

• Action = Install

• Allow Reboot = True

• Include Kbs = lista de artigos da base de dados de conhecimento separados por vírgula