As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre documentos do SSM para aplicação de patches em nós gerenciados
Este tópico descreve os sete documentos do Systems Manager (documentos SSM) atualmente disponíveis para ajudar você a manter seus nós gerenciados protegidos com as mais recentes atualizações relacionadas à segurança.
Recomendamos usar apenas cinco desses documentos em suas operações de aplicação de patches. Juntos, esses cinco documentos do SSM fornecem uma variedade completa de opções de aplicação de patches usando o AWS Systems Manager. Quatro desses documentos foram lançados após os quatro documentos do SSM legados para substituí-los e representam expansões ou consolidações de funcionalidade.
Os três documentos recomendados do SSM incluem:
-
AWS-ConfigureWindowsUpdate
-
AWS-InstallWindowsUpdates
-
AWS-RunPatchBaseline
-
AWS-RunPatchBaselineAssociation
-
AWS-RunPatchBaselineWithHooks
Os quatro documentos herdados do SSM que ainda estão disponíveis para uso em algumas Regiões da AWS, mas que podem não ter mais suporte no futuro, incluem:
-
AWS-ApplyPatchBaseline
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Consulte as seções a seguir para obter mais informações sobre como usar esses documentos do SSM em suas operações de aplicação de patches.
Tópicos
- Documentos do SSM recomendados para aplicação de patches em nós gerenciados
- Documentos do SSM para aplicação de patches em nós gerenciados
- Sobre o documento do SSM do AWS-RunPatchBaseline
- Sobre o documento do SSM do AWS-RunPatchBaselineAssociation
- Sobre o documento do SSM do AWS-RunPatchBaselineWithHooks
- Cenário de exemplo do uso do parâmetro InstallOverrideList em AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation
- Usar o parâmetro BaselineOverride
Documentos do SSM recomendados para aplicação de patches em nós gerenciados
Os cinco documentos do SSM a seguir são recomendados para uso nas operações de aplicação de patches em nós gerenciados.
Documentos do SSM recomendados
AWS-ConfigureWindowsUpdate
Oferece suporte à configuração e uso de funções básicas do Windows Update para instalar atualizações automaticamente (ou desativar atualizações automáticas). Disponível em todas as Regiões da AWS
Esse documento do SSM configura o Windows Update para baixar e instalar as atualizações especificadas e reiniciar os nós gerenciados conforme necessário. Use esse documento com o State Manager, um recurso do AWS Systems Manager, para garantir que o Windows Update mantenha sua configuração. Você também pode executá-lo manualmente usando o Run Command, um recurso do AWS Systems Manager, para alterar a configuração do Windows Update.
Os parâmetros disponíveis neste documento oferecem suporte à especificação de uma categoria de atualizações a serem instaladas (ou se as atualizações automáticas devem ser desativadas), bem como especificar o dia da semana e a hora do dia para executar operações de aplicação de patches. Esse documento do SSM é mais útil se você não precisa de controles rigorosos sobre as atualizações do Windows e não precisa coletar informações de conformidade.
Substitui estes documentos do SSM legados:
-
Nenhum
AWS-InstallWindowsUpdates
Instala atualizações em um nó gerenciado do Windows Server. Disponível em todas as Regiões da AWS
Esse documento do SSM fornece a funcionalidade básica de aplicação de patches nos casos em que você deseja instalar uma atualização específica (usando o parâmetro Include Kbs
) ou deseja instalar patches com classificações ou categorias específicas, mas não precisa de informações de conformidade do patch.
Substitui estes documentos do SSM legados:
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Os três documentos legados executam funções diferentes, mas você pode alcançar os mesmos resultados usando diferentes configurações de parâmetro com o documento do SSM mais recente AWS-InstallWindowsUpdates
. Essas configurações de parâmetro são descritas em Documentos do SSM para aplicação de patches em nós gerenciados.
AWS-RunPatchBaseline
Instala patches em nós gerenciados ou verifica os nós para determinar se qualquer patch qualificado está ausente. Disponível em todas as Regiões da AWS
O AWS-RunPatchBaseline
permite controlar aprovações de patches usando a linha de base do patch especificada como “padrão” para um tipo de sistema operacional. Ele relata informações de conformidade de patch que você pode exibir usando as ferramentas de conformidade do Systems Manager. Essas ferramentas fornecem informações sobre o estado de conformidade de patch dos nós gerenciados, como quais nós têm patches ausentes e quais são esses patches. Quando você usaAWS-RunPatchBaseline
, as informações de conformidade de patch são registradas usando oPutInventory
Comando da API. Para sistemas operacionais Linux, as informações de conformidade são fornecidas para patches do repositório de origem padrão configurado em um nó gerenciado e de qualquer repositório de origem alternativo especificado em uma lista personalizada de referência de patches. Para obter mais informações sobre repositórios de origem alternativos, consulte Como especificar um repositório de origem de patches alternativo (Linux). Para obter mais informações sobre as ferramentas de conformidade do Systems Manager, consulte Conformidade com o AWS Systems Manager.
Substitui estes documentos legados:
-
AWS-ApplyPatchBaseline
O documento legado AWS-ApplyPatchBaseline
se aplica apenas a nós gerenciados do Windows Server e não é compatível com a aplicação de patches em aplicações. O AWS-RunPatchBaseline
mais recente fornece o mesmo suporte para sistemas Windows e Linux. A versão 2.0.834.0 ou posterior do SSM Agent é necessária para usar o documento AWS-RunPatchBaseline
.
Para obter mais informações sobre o documento do SSM, AWS-RunPatchBaseline
, consulte Sobre o documento do SSM do AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Instala patches nas suas instâncias ou verifica as instâncias para determinar se qualquer patch qualificado está ausente. Disponível em todas as Regiões da AWS comerciais.
O AWS-RunPatchBaselineAssociation
difere do AWS-RunPatchBaseline
de algumas maneiras importantes:
-
O
AWS-RunPatchBaselineAssociation
deve ser usado principalmente com associações do State Manager criadas usando o Quick Setup, um recurso do AWS Systems Manager. Especificamente, quando você usar o tipo de configuração do Host Management do Quick Setup, se você escolher a opção Scan instances for missing patches daily (Verificar patches ausentes nas instâncias diariamente), o sistema usaráAWS-RunPatchBaselineAssociation
para a operação.Na maioria dos casos, no entanto, ao configurar suas próprias operações de patch, você deve escolher AWS-RunPatchBaseline ou AWS-RunPatchBaselineWithHooks, ao invés do
AWS-RunPatchBaselineAssociation
.Para obter mais informações, consulte os tópicos a seguir:
-
O
AWS-RunPatchBaselineAssociation
suporta o uso de tags para identificar qual linha de base de patch usar com um conjunto de destinos, quando ele for executado. -
Para operações de patch que usam o
AWS-RunPatchBaselineAssociation
, os dados de conformidade de patches são compilados em termos de uma associação do State Manager. Os dados de conformidade de patches coletados quandoAWS-RunPatchBaselineAssociation
é executado são gravados usando a APIPutComplianceItems
em vez do comandoPutInventory
. Isso impede que os dados de conformidade que não estão associados a essa associação específica sejam substituídos.Para sistemas operacionais Linux, as informações de conformidade são fornecidas para patches do repositório de origem padrão configurado em uma instância e de qualquer repositório de origem alternativo especificado em uma linha de base de patch personalizada. Para obter mais informações sobre repositórios de origem alternativos, consulte Como especificar um repositório de origem de patches alternativo (Linux). Para obter mais informações sobre as ferramentas de conformidade do Systems Manager, consulte Conformidade com o AWS Systems Manager.
Substitui estes documentos legados:
-
Nenhum
Para obter mais informações sobre o documento do SSM, AWS-RunPatchBaselineAssociation
, consulte Sobre o documento do SSM do AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Instala patches em seus nós gerenciados ou verifica os nós para determinar se qualquer patch qualificado está ausente, com ganchos opcionais que você pode usar para executar documentos SSM em três pontos durante o ciclo de aplicação de patches. Disponível em todas as Regiões da AWS comerciais.
O AWS-RunPatchBaselineWithHooks
difere do AWS-RunPatchBaseline
na operação Install
.
O AWS-RunPatchBaselineWithHooks
suporta ganchos de ciclo de vida executados em pontos designados durante a aplicação de patches em nós gerenciados. Como as instalações de patches às vezes exigem nós gerenciados para reinicializar, a operação de aplicação patches é dividida em dois eventos, para um total de três ganchos que suportam funcionalidade personalizada. O primeiro gancho é antes doInstall with NoReboot
operação. O segundo gancho é após oInstall with NoReboot
operação. O terceiro gancho está disponível após a reinicialização do nó.
Substitui estes documentos legados:
-
Nenhum
Para obter mais informações sobre o documento do SSM, AWS-RunPatchBaselineWithHooks
, consulte Sobre o documento do SSM do AWS-RunPatchBaselineWithHooks.
Documentos do SSM para aplicação de patches em nós gerenciados
Os quatro documentos do SSM a seguir ainda estão disponíveis para uso nas operações de aplicação de patches em algumas Regiões da AWS. No entanto, eles podem não ter mais suporte no futuro, então não recomendamos o uso. Em vez disso, use os documentos descritos em Documentos do SSM recomendados para aplicação de patches em nós gerenciados.
Documentos do SSM legados
AWS-ApplyPatchBaseline
Oferece suporte apenas aos nós gerenciados do Windows Server, mas não inclui suporte para a aplicação de patches em aplicações, como ocorre em seu substituto, o AWS-RunPatchBaseline
. Não disponível em Regiões da AWS lançadas após agosto de 2017.
nota
O substituto deste documento do SSM, AWS-RunPatchBaseline
, requer a versão 2.0.834.0 ou posterior do SSM Agent. Você pode usar o documento AWS-UpdateSSMAgent
para atualizar os nós gerenciados para a versão mais recente do agente.
AWS-FindWindowsUpdates
Substituído por AWS-InstallWindowsUpdates
, que pode realizar as mesmas ações. Não disponível em Regiões da AWS lançadas após abril de 2017.
Para obter o mesmo resultado que teria com esse documento do SSM legado, use a seguinte configuração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates
:
-
Action
=Scan
-
Allow Reboot
=False
AWS-InstallMissingWindowsUpdates
Substituído por AWS-InstallWindowsUpdates
, que pode realizar as mesmas ações. Não disponível em nenhuma Regiões da AWS lançada após abril de 2017.
Para obter o mesmo resultado que teria com esse documento do SSM legado, use a seguinte configuração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
AWS-InstallSpecificWindowsUpdates
Substituído por AWS-InstallWindowsUpdates
, que pode realizar as mesmas ações. Não disponível em nenhuma Regiões da AWS lançada após abril de 2017.
Para obter o mesmo resultado que teria com esse documento do SSM legado, use a seguinte configuração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
-
Include Kbs
=lista de artigos da base de dados de conhecimento separados por vírgula