建立 的自訂修補程式基準 macOS - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 的自訂修補程式基準 macOS

使用下列程序建立 的自訂修補程式基準 macOS 中的受管節點 Patch Manager, 的功能 AWS Systems Manager。

如需為 建立修補程式基準的相關資訊 Windows Server 受管節點,請參閱 建立 的自訂修補程式基準 Windows Server。如需為 Linux 受管節點建立修補基準的資訊,請參閱 建立 Linux 的自訂修補程式基準

注意

macOS 並非所有 都支援 AWS 區域。如需 Amazon EC2支援的詳細資訊 macOS,請參閱 Amazon 使用者指南 中的 Amazon EC2 Mac 執行個體 EC2

若要建立 的自訂修補程式基準 macOS 受管節點

  1. 在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager.

  3. 選擇修補基準索引標籤,然後選擇建立修補基準

    -或-

    如果您正在存取 Patch Manager 第一次在目前的 中 AWS 區域,選擇從概觀開始 ,選擇修補程式基準標籤,然後選擇建立修補程式基準

  4. Name (名稱) 中,為新的修補基準輸入一個名稱,例如 MymacOSPatchBaseline

  5. (選用) 在 Description (描述) 中,輸入此修補基準的描述。

  6. 針對作業系統 ,選擇 macOS.

  7. 如果您想要開始使用此修補程式基準作為 的預設值 macOS 建立後,請勾選此修補程式基準旁邊的核取方塊,將此修補程式基準設定為 的預設修補程式基準 macOS 執行個體

    注意

    只有在您第一次存取 時,才能使用此選項 Patch Manager 在 2022 年 12 月 22 日修補政策發行之前。

    如需有關設定現有修補基準為預設的更多資訊,請參閱 將現有的修補基準設為預設值 (主控台)

  8. Approval rules for operating-system (作業系統核准規則) 部分中,使用欄位來建立一或多個自動核准規則。

    • 產品:此核准規則適用的作業系統版本,例如 Mojave10.14.1Catalina10.15.1。預設的選取為 All

      注意

      Homebrew 開放原始碼軟體套件管理系統已停止對 的支援 macOS 10.14.x (Mojave) 和 10.15.x (Catalina)。因此,目前這些版本的修補操作不受支援。

    • Classification (分類):您想要在修補程式期間套用套件的套件管理工具。您可以選擇下列項目:

      • softwareupdate

      • Installer (安裝程式)

      • brew

      • brew cask

      預設的選取為 All

    • (選用) 合規報告:您要指派給基準所核准之修補程式的嚴重性等級,例如 CriticalHigh

      注意

      如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 Missing,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。

    • Include non-security updates (包含非安全性更新):除了安裝安全性相關修補程式之外,選取此核取方塊可安裝來源儲存庫中可用的非安全性修補程式。

    如需有關在自訂修補基準中使用核准規則的詳細資訊,請參閱自訂基準

  9. 如果您要明確核准符合核准規則之修補程式以外的任何修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Approved patches (核准的修補程式),輸入您要核准之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准和拒絕修補程式清單的套件名稱格式

    • (選用) 在 Approved patches compliance level (核准的修補程式合規層級)中,將合規層級指派至清單中的修補程式。

    • 如果您指定的任何已核准修補程式與安全性無關,請選取包含非安全性更新核取方塊,讓這些修補程式安裝在您的 macOS 作業系統。

  10. 如果您要明確拒絕任何符合核准規則之修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Rejected patches (拒絕的修補程式) 中,輸入您要拒絕之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准和拒絕修補程式清單的套件名稱格式

    • 針對拒絕的修補程式動作 ,選取 的動作 Patch Manager 以接受被拒絕修補程式清單中的修補程式

      • Allow as dependency (當做相依性允許):只有當套件是其他套件的相依性時,才會安裝 Rejected patches (已拒絕修補程式) 清單中的套件。它被視為符合修補程式基準,其狀態報告為 InstalledOther。若未指定選項,此為預設動作。

      • 封鎖 拒絕修補程式清單中的套件,以及包含它們作為相依性的套件,不會由 安裝 Patch Manager 在任何情況下。如果套件在新增至拒絕修補程式清單之前已安裝,或安裝在 Patch Manager 之後,它會被視為不符合修補程式基準,且其狀態會報告為 InstalledRejected

  11. (選用) 對於 Manage tags (管理標籤),請套用一或多個索引鍵名稱/值對至修補基準。

    標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補基準,以識別其指定的修補程式的嚴重性等級、其適用的套件管理工具,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

  12. 選擇 Create patch baseline (建立修補基準)