Configuração de aplicação de patches da organização do Patch Manager
Com o Quick Setup, um recurso do AWS Systems Manager, é possível criar políticas de patch baseadas no Patch Manager. Uma política de patch define a programação e a lista de referência a serem usadas ao aplicar patches automaticamente nas suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e em outros nós gerenciados. Usando uma única configuração de política de patch, é possível definir a aplicação de patches para todas as contas em várias Regiões da AWS da sua organização, somente para as contas e regiões que você escolher ou para um único par de conta-região. Para obter mais informações sobre políticas de patch, consulte Usar políticas de patch da Quick Setup.
Pré-requisito
Para definir uma política de patch para um nó usando o Quick Setup, o nó deve ser um nó gerenciado. Para obter mais informações sobre o gerenciamento de seus nós, consulte Configurar o AWS Systems Manager.
Importante
Métodos de verificação da conformidade de patches: o Systems Manager oferece suporte a vários métodos de verificação de nós gerenciados para conformidade de patches. Se você implementar mais de um desses métodos ao mesmo tempo, as informações de conformidade de patch que você vir serão sempre o resultado da verificação mais recente. Os resultados de verificações anteriores serão sobrescritos. Se os métodos de verificação usarem listas de referência de patches diferentes, com regras de aprovação diferentes, as informações de conformidade do patch poderão mudar inesperadamente. Para ter mais informações, consulte Prevenção de substituições não intencionais de dados de conformidade de patches.
Status de conformidade da associação e políticas de patch: o status de patch de um nó gerenciado que está sob uma política de patch de Quick Setup corresponde ao status de execução da associação do State Manager para esse nó. Se o status de execução da associação for Compliant, o status de patch do nó gerenciado também será marcado como Compliant. Se o status de execução da associação for Non-Compliant, o status de patch do nó gerenciado também será marcado como Non-Compliant.
Regiões com suporte para configurações de políticas de patch
No momento, as configurações de política de patch do Quick Setup são compatíveis nas seguintes regiões:
-
Leste dos EUA (Ohio) (us-east-2)
-
Leste dos EUA (Norte da Virgínia) (us-east-1)
-
Oeste dos EUA (Norte da Califórnia) (us-west-1)
-
Oeste dos EUA (Oregon) (us-west-2)
-
Ásia-Pacífico (Mumbai) (ap-south-1)
-
Ásia-Pacífico (Seul) (ap-northeast-2)
-
Ásia-Pacífico (Singapura) (ap-southeast-1)
-
Ásia-Pacífico (Sydney) (ap-southeast-2)
-
Ásia Pacific (Tóquio) (ap-northeast-1)
-
Canadá (Central) (ca-central-1)
-
Europa (Frankfurt) (eu-central-1)
-
Europa (Irlanda) (eu-west-1)
-
Europa (Londres) (eu-west-2)
-
Europa (Paris) (eu-west-3)
-
UE (Estocolmo) (eu-north-1)
-
América do Sul (São Paulo) (sa-east-1)
Permissões para o bucket do S3 da política de patch
Quando você cria uma política de patch, a Quick Setup cria um bucket do Amazon S3 que contém um arquivo chamado baseline_overrides.json. Esse arquivo armazena informações sobre as listas de referência de patches que você especificou para a política de patch.
O nome do bucket do S3 está no formato aws-quicksetup-patchpolicy-. account-id-quick-setup-configuration-id
Por exemplo: aws-quicksetup-patchpolicy-123456789012-abcde
Se você estiver criando uma política de patch para uma organização, o bucket será criado na conta de gerenciamento da organização.
Há dois casos de uso em que é necessário fornecer permissão a outros recursos da AWS para acessar esse bucket do S3 usando políticas do AWS Identity and Access Management (IAM):
A política de permissões necessária em ambos os casos está localizada na seção abaixo, Permissões de política para buckets do S3 da Quick Setup.
Caso 1: use seu próprio perfil de instância ou perfil de serviço com seus nós gerenciados em vez de um fornecido pela Quick Setup
As configurações de políticas de patch incluem a opção Adicionar as políticas do IAM necessárias aos perfis de instância existentes anexados às suas instâncias.
Se você não escolher essa opção, mas quiser que a Quick Setup aplique patches em seus nós gerenciados usando essa política de patch, é necessário garantir que o seguinte seja implementado:
-
A política gerenciada do IAM
AmazonSSMManagedInstanceCoredeve ser anexada ao perfil de instância do IAM ou ao perfil de serviço do IAM que é usado para fornecer permissões do Systems Manager aos nós gerenciados. -
É necessário adicionar permissões para acessar seu bucket de política de patch como uma política em linha no perfil de instância do IAM ou perfil de serviço do IAM. Você pode fornecer acesso curinga a todos os buckets
aws-quicksetup-patchpolicyou somente ao bucket específico criado para sua organização ou conta, conforme mostrado nos exemplos de código anteriores. -
É necessário marcar seu perfil de instância do IAM ou perfil de serviço do IAM com o par de chave-valor a seguir.
Key: QSConfigId-quick-setup-configuration-id, Value:quick-setup-configuration-idquick-setup-configuration-idrepresenta o valor do parâmetro aplicado à pilha do AWS CloudFormation que é usada ao criar a configuração da política de patch. Para recuperar o ID, faça o seguinte:Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation
. -
Selecione o nome da pilha usada para criar a política de patch. O nome está em um formato como
StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE. -
Selecione a guia Parâmetros.
-
Na lista Parâmetros, na coluna Chave, localize a chave QSConfigurationId. Na coluna Valor da respectiva linha, localize o ID de configuração, como
abcde.Neste exemplo, para que a etiqueta seja aplicada ao perfil de instância ou perfil de serviço, a chave é
QSConfigId-abcde, e o valor éabcde.
Para obter informações sobre como adicionar etiquetas a um perfil do IAM, consulte Etiquetar perfis do IAM e Gerenciar tags em perfis de instância (AWS CLI ou AWS API ) no Guia do usuário do IAM.
Caso 2: use endpoints da VPC para se conectar ao Systems Manager
Se você usa endpoints da VPC para se conectar ao Systems Manager, sua política de endpoint da VPC para o S3 deve permitir acesso ao bucket do S3 de sua política de patch da Quick Setup.
Para obter informações sobre a adição de permissões a uma política de endpoint da VPC para o S3, consulte Controlar o acesso a partir de endpoints da VPC com políticas de bucket no Guia do usuário do Amazon S3.
Permissões de política para buckets do S3 da Quick Setup
Você pode fornecer acesso curinga a todos os buckets aws-quicksetup-patchpolicy ou somente ao bucket específico criado para sua organização ou conta. Para fornecer as permissões necessárias nos dois casos descritos abaixo, use qualquer um dos formatos.
IDs aleatórios da lista de referência de patches em operações de política de patches
As operações de aplicações de patch para políticas de patch utilizam o parâmetro BaselineOverride no documento do SSM Command AWS-RunPatchBaseline.
Ao usar AWS-RunPatchBaseline para aplicar patches fora de uma política de patch, você pode usar BaselineOverride para especificar uma lista de referência de patches a ser usada durante a operação que são diferentes dos padrões especificados. Você cria essa lista em um arquivo chamado baseline_overrides.json e a adiciona manualmente a um bucket do Amazon S3 de sua propriedade, conforme explicado em Usar o parâmetro BaselineOverride.
No entanto, para operações de aplicações de patch com base em políticas de patch, o Systems Manager cria um bucket do S3 automaticamente e adiciona um arquivo baseline_overrides.json a ele. Então, toda vez que a Quick Setup executa uma operação de aplicação de patches (usando o recurso Run Command), o sistema gera um ID aleatório para cada lista de referência de patches. Esse ID é diferente para cada operação de aplicação de patches da política de patch, e a lista de referência de patches que ela representa não está armazenada nem acessível a você em sua conta.
Como resultado, você não verá o ID da lista de referência de patches selecionada em sua configuração nos logs de patches. Isso se aplica tanto às listas de referência de patches gerenciadas pela AWS como às listas de referência de patches personalizadas que você possa ter selecionado. Em vez disso, o ID da lista de referência relatado no log é aquele que foi gerado para a operação de aplicação de patches específica.
Além disso, se você tentar visualizar no Patch Manager detalhes sobre uma lista de referência de patches que foi gerada com um ID aleatório, o sistema informará que a lista de referência de patches não existe. Esse comportamento é esperado e pode ser ignorado.
Criação de uma política de patch
Pré-requisitos
A região de origem da Quick Setup já deve estar especificada antes de você concluir as tarefas a seguir. Para ter mais informações, consulte Configure a Região da AWS principal.
Para criar uma política de patch, execute as tarefas a seguir no console do Systems Manager.
Para criar uma política de patch com o Quick Setup
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. Se estiver configurando a aplicação de patches para uma organização, certifique-se de estar conectado à conta de gerenciamento da organização. Você não pode configurar a política usando a conta de administrador delegado ou uma conta de membro.
No painel de navegação, escolha Quick Setup.
- ou -
Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone de menu (
) para abrir o painel de navegação e escolha Quick Setup no painel de navegação.-
No cartão do Patch Manager, escolha Create (Criar).
dica
Se você já tem uma ou mais configurações na conta, primeiro escolha a guia Biblioteca ou o botão Criar na seção Configurações para ver os cartões.
-
Em Configuration name (Nome da configuração), insira um nome para ajudar a identificar a política de patch.
-
Na seção Scanning and installation (Verificação e instalação), em Patch operation (Operação de patch), escolha se a política de patch fará Scan (Verificação) nos destinos especificados ou se fará Scan and install (Verificação e instalação) de patches em destinos especificados.
-
Em Scanning schedule (Programação de verificação), escolha Use recommended defaults (Usar padrões recomendados) ou Custom scan schedule (Programação de verificação personalizada). A programação de verificação padrão examinará seus destinos diariamente à 1h UTC.
-
Se você escolher Custom scan schedule (Programação de verificação personalizada), selecione a Scanning frequency (Frequência da verificação).
-
Se você escolher Daily (Diariamente), insira a hora, em UTC, em que deseja verificar seus destinos.
-
Se você escolher Custom CRON expression (Expressão do CRON personalizada), insira a programação como uma CRON expression (Expressão do CRON). Para obter mais informações sobre a formatação das expressões do CRON para o Systems Manager, consulte Referência: Expressões cron e rate para o Systems Manager.
Além disso, selecione Wait to scan targets until first CRON interval (Aguardar para verificar os destinos até o primeiro intervalo do CRON). Por padrão, o Patch Manager varre imediatamente os nós à medida que eles se tornam destinos.
-
-
Se você escolher Scan and install (Verificar e instalar), escolha a Installation schedule (Programação de instalação) a ser usada ao instalar patches nos destinos especificados. Se você escolher Use recommended defaults (Usar padrões recomendados), o Patch Manager instalará os patches semanais às 2:00 UTC de domingo.
-
Se você escolher Custom install schedule (Programação de instalação personalizada), selecione a Installation frequency (Frequência da instalação).
-
Se você escolher Daily (Diariamente), insira a hora, em UTC, em que deseja instalar as atualizações nos seus destinos.
-
Se você escolher Custom CRON expression (Expressão do CRON personalizada), insira a programação como uma CRON expression (Expressão do CRON). Para obter mais informações sobre a formatação das expressões do CRON para o Systems Manager, consulte Referência: Expressões cron e rate para o Systems Manager.
Além disso, desmarque Wait to install updates until first CRON interval (Esperar para instalar as atualizações até o primeiro intervalo do CRON) para instalar imediatamente as atualizações nos nós quando eles se tornarem destinos. Por padrão, o Patch Manager aguarda até o primeiro intervalo do CRON para instalar as atualizações.
-
Escolha Reboot if needed (Reinicializar, se necessário), para reinicializar os nós após a instalação dos patches. A reinicialização após a instalação é recomendada, mas pode causar problemas de disponibilidade.
-
-
Na seção lista de referência de patches, escolha as lista de referência de patches a serem usadas ao verificar e atualizar seus destinos.
Por padrão, o Patch Manager usa as listas de referência de patches predefinidas. Para ter mais informações, consulte Sobre linhas de base predefinidas.
Se você escolher Custom patch baseline (Lista de referência de patches personalizada), altere a lista de referência de patches para sistemas operacionais predefinida da AWS que você não deseja usar.
As listas de referência de patches disponíveis no Quick Setup, independentemente de você usar listas de referência de patches predefinidas da AWS ou listas de referência de patches personalizadas, são aquelas da região de origem que você selecionou.
nota
Se você usa endpoints da VPC para se conectar ao Systems Manager, verifique se a política de endpoint da VPC para o S3 permite acesso ao bucket do S3. Para ter mais informações, consulte Permissões para o bucket do S3 da política de patch.
Importante
Se você estiver usando uma configuração de política de patch em Quick Setup, as atualizações feitas nas listas de referência de patches personalizadas serão sincronizadas com Quick Setup uma vez por hora.
Se uma lista de referência de patches personalizada que foi referenciada em uma política de patch for excluída, um banner será exibido na página Configuration details (Detalhes da configuração) do Quick Setup da sua política de patch. O banner informa que a política de patch faz referência a uma lista de referência de patches que não existe mais e que as operações de aplicação de patches subsequentes falharão. Nesse caso, retorne à página Configurations (Configurações) do Quick Setup, selecione a configuração Patch Manager e escolha Actions (Ações), Edit configuration (Editar configuração). O nome da lista de referência de patches excluída será destacado, e você deverá selecionar uma nova lista de referência de patches para o sistema operacional afetado.
-
(Opcional) Na seção Patching log storage (Armazenamento de logs de patches), selecione Write output to S3 bucket (Gravar saída no bucket do S3) para armazenar os logs da operação de aplicação de patches um bucket do Amazon S3.
nota
Se você estiver configurando uma política de patch para uma organização, a conta de gerenciamento da sua organização deverá ter pelo menos permissões somente de leitura para esse bucket. Todas as unidades organizacionais incluídas na política devem ter acesso de gravação ao bucket. Para obter informações sobre como conceder acesso a diferentes contas, consulte o Exemplo 2: Concessão de permissões de bucket entre contas pelo proprietário do bucket no Guia do usuário do Amazon Simple Storage Service.
-
Escolha Procurar no S3 para selecionar o bucket no qual você deseja armazenar a saída de log dos patches. A conta de gerenciamento deve ter acesso de leitura para esse bucket. Todas as contas e destinos não gerenciais configurados na seção Targets (Destinos) devem ter acesso de gravação ao bucket S3 fornecido para os logs.
-
Na seção Targets (Destinos), escolha uma das opções a seguir para identificar as contas e regiões dessa operação de política de patch.
nota
Se você estiver trabalhando em uma única conta, as opções para trabalhar com organizações e unidades organizacionais (UOs) não estão disponíveis. É possível escolher se deseja aplicar essa configuração a todas as Regiões da AWS em sua conta ou somente às regiões que você escolher.
-
Entire organization (Organização inteira): todas as contas e regiões da sua organização.
-
Custom (Personalizado): somente as UOs e regiões que você especificar.
-
Na seção Target OUs (UOs de destino), selecione as UOs nas quais você deseja configurar a política de patch.
-
Na seção Target Regions (Regiões de destino), selecione as regiões nas quais você deseja aplicar a política de patch.
-
-
Current account (Conta atual): somente as regiões especificadas na conta em que você está conectado atualmente são visadas. Escolha uma das seguintes opções:
-
Current Region (Região atual): somente os nós gerenciados na região selecionada no console são visados.
-
Choose Regions (Escolher regiões): escolha as regiões individuais nas quais aplicar a política de patch.
-
-
-
Em Choose how you want to target instances (Escolher como deseja visar as instâncias), escolha uma das opções a seguir para identificar os nós nos quais aplicar os patches:
-
All managed nodes (Todos os nós gerenciados): todos os nós gerenciados nas UOs e regiões selecionadas.
-
Specify the resource group (Especificar o grupo de recursos): escolha o nome de um grupo de recursos na lista para visar seus recursos associados.
nota
Atualmente, há suporte para a seleção de grupos de recursos somente em configurações de conta única. Para aplicar patches em recursos em várias contas, escolha uma opção de visar diferente.
-
Specify a node tag (Especificar uma tag de nó): somente os nós marcados com o par de valores-chave que você especificar terão patches aplicados em todas as contas e regiões visadas.
-
Manual: escolhe nós gerenciados de todas as contas e regiões especificadas manualmente em uma lista.
nota
No momento, há suporte apenas para instâncias do Amazon EC2 com essa opção.
-
-
Na seção Rate control (Controle de taxa), faça o seguinte:
-
Em Concurrency (Concorrência), insira um número ou uma porcentagem de nós nos quais executar a política de patch ao mesmo tempo.
-
Em Error threshold (Limite de erro), insira o número ou a porcentagem de nós que podem apresentar um erro antes que a política de patch falhe.
-
-
(Opcional) Marque a caixa de seleção Adicionar políticas do IAM necessárias aos perfis de instância existentes anexados às suas instâncias.
Essa seleção aplica as políticas do IAM criadas por essa configuração da Quick Setup aos nós que já têm um perfil de instância ou um perfil de serviço anexado (instâncias do EC2) ou um perfil de serviço anexados (nós ativados para ambientes híbridos). Recomendamos essa seleção quando seus nós gerenciados já tiverem um perfil de instância ou um perfil de serviço anexado, mas ele não contiver todas as permissões necessárias para trabalhar com o Systems Manager.
Sua seleção aqui é aplicada aos nós gerenciados criados posteriormente nas contas e regiões às quais essa configuração de política de patch se aplica.
Importante
Se você não marcou essa opção, mas quiser que a Quick Setup aplique patches em seus nós gerenciados usando essa política de patch, é necessário fazer o seguinte:
Adicione permissões ao perfil de instância do IAM ou perfil de serviço do IAM para acessar o bucket do S3 criado para sua política de patch
Marque seu perfil de instância do IAM ou perfil de serviço do IAM com um par de chave-valor específico.
Para ter mais informações, consulte Caso 1: use seu próprio perfil de instância ou perfil de serviço com seus nós gerenciados em vez de um fornecido pela Quick Setup.
-
Escolha Criar.
Para revisar o status da aplicação de patches após a criação da política de patch, é possível acessar a configuração na página Quick Setup
.
