使用 AWS-RunPatchBaseline 或 AWS-RunPatchBaselineAssociation 中 InstallOverrideList 參數的範例案例 - AWS Systems Manager

使用 AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation 中 InstallOverrideList 參數的範例案例

當您想要覆寫目前 Patch Manager (AWS Systems Manager 的一項功能) 的預設修補基準指定的修補程式時,可以使用 InstallOverrideList 參數。本主題提供示範如何使用此參數來達成下列目標的範例:

  • 將不同的修補程式集套用至目標執行個體群組。

  • 依不同的頻率套用這些修補程式集。

  • 兩項操作都使用相同的修補程式基準。

假設您要在 Amazon Linux 2 執行個體上安裝兩種不同類別的修補程式。您想要使用維護時段,依不同的排程上安裝這些修補程式。您希望每週執行一個維護時段,並安裝所有 Security 修補程式。您希望另一個維護時段每月執行一次,並安裝所有可用的修補程式或 Security 以外的修補程式類別。

不過,一次只能將一個修補程式基準定義為作業系統的預設值。此要求有助於避免某個修補程式基準核准修補程式,而另一個修補程式封鎖該修補程式,這可能在衝突的版本之間導致問題。

下列策略可讓您使用 InstallOverrideList 參數,依不同的排程將不同類型的修補程式套用至目標群組,同時繼續使用相同的修補基準。

  1. 在預設修補程式基準中,確定僅指定 Security 更新。

  2. 建立維護時段,在每週執行 AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation。請勿指定覆寫清單。

  3. 建立您要每月套用之所有修補程式類型的覆寫清單,並將其存放在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。

  4. 建立第二個維護時段,在每月執行一次。不過,針對您為此維護時段註冊的 Run Command 任務,請指定覆寫清單的位置。

結果:每週只會安裝預設修補程式基準中定義的 Security 修補程式。每月都會安裝所有可用的修補程式,或您定義的任何修補程式子集。