關於修補受管節點的 SSM 文件

此主題描述九個目前可用的 Systems Manager 文件 (SSM 文件)，協助您確保受管節點以最新的安全相關更新進行修補。

我們建議在您的修補操作中僅使用其中五個文件。這五個 SSM 文件可共同在您使用 AWS Systems Manager 時提供完整的修補選項。其中四個文件的發佈晚於四個舊有 SSM 文件，它們取代並代表功能的擴充或合併。

這五個建議的 SSM 文件包括：

• AWS-ConfigureWindowsUpdate

• AWS-InstallWindowsUpdates

• AWS-RunPatchBaseline

• AWS-RunPatchBaselineAssociation

• AWS-RunPatchBaselineWithHooks

四種舊有 SSM 文件仍可供部分 AWS 區域 使用，但未來可能不再受到支援，包括：

• AWS-ApplyPatchBaseline

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

如需有關在修補操作中使用這些 SSM 文件的詳細資訊，請參閱以下部分。

主題

• 建議用於修補受管節點的 SSM 文件
• 用於修補受管節點的舊版 SSM 文件
• 關於 AWS-RunPatchBaseline SSM 文件
• 關於 AWS-RunPatchBaselineAssociation SSM 文件
• 關於 AWS-RunPatchBaselineWithHooks SSM 文件
• 使用 AWS-RunPatchBaseline 或 AWS-RunPatchBaselineAssociation 中 InstallOverrideList 參數的範例案例
• 使用 BaselineOverride 參數

建議用於修補受管節點的 SSM 文件

建議在您的受管節點修補操作中，使用以下五個 SSM 文件。

AWS-ConfigureWindowsUpdate

支援設定基本 Windows Update 功能以及使用它們自動安裝更新 (或關閉自動更新)。在全部 AWS 區域 中提供。

此 SSM 文件提示 Windows Update 下載並安裝指定的更新，然後視需要重新啟動受管節點。使用此文件與 State Manager (AWS Systems Manager 的一項功能) 以確保 Windows Update 維護其組態。您也可以使用 Run Command (AWS Systems Manager 的一項功能) 手動執行以變更 Windows Update 組態。

此文件中可用的參數支援指定要安裝的更新類別 (或是否停用自動更新)，以及指定要在星期幾的什麼時間執行修補操作。如果您不需要嚴格控制 Windows 更新，也不需要收集合規資訊，那麼此 SSM 文件是最有用的。

取代舊有 SSM 文件：

• 無

AWS-InstallWindowsUpdates

在 Windows Server 受管節點上安裝更新。在全部 AWS 區域 中提供。

在您希望安裝特定更新 (使用 Include Kbs 參數)，或希望安裝特定分類或類別的更新，但不需要修補程式合規資訊時，此 SSM 文件可提供基本修補功能。

取代舊有 SSM 文件：

• AWS-FindWindowsUpdates

• AWS-InstallMissingWindowsUpdates

• AWS-InstallSpecificWindowsUpdates

三個舊有文件執行不同的功能，但您可以使用更新的 SSM 文件 AWS-InstallWindowsUpdates 與不同的參數設定達到相同的結果。這些參數設定如用於修補受管節點的舊版 SSM 文件中所述。

AWS-RunPatchBaseline

在您的受管節點上安裝修補程式，或掃描節點以判斷是否有遺漏任何合格的修補程式。在全部 AWS 區域 中提供。

AWS-RunPatchBaseline 允許您使用指定為作業系統類型之「預設」的修補基準來控制修補程式核准。報告修補程式合規資訊，您可以使用 Systems Manager 合規工具檢視。這些工具提供您受管節點修補程式合規狀態的洞見分析，例如哪些節點遺漏修補程式，以及遺漏的是哪些修補程式。當您使用 AWS-RunPatchBaseline 時，修補程式合規資訊會使用 PutInventory API 命令進行記錄。對於 Linux 作業系統，提供給修補程式的合規資訊來自受管節點上設定的預設來源儲存庫，以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊，請參閱 如何指定替代修補程式來源儲存庫 (Linux)。如需有關 Systems Manager 合規工具的詳細資訊，請參閱 AWS Systems Manager合規。

取代舊有文件：

• AWS-ApplyPatchBaseline

舊版文件 AWS-ApplyPatchBaseline 僅適用於 Windows Server 受管節點，不支援應用程式修補。較新的 AWS-RunPatchBaseline 為 Windows 和 Linux 系統提供相同的支援。SSM Agent 的 2.0.834.0 版或更新版本，才能使用 AWS-RunPatchBaseline 文件。

如需 AWS-RunPatchBaseline SSM 文件的詳細資訊，請參閱 關於 AWS-RunPatchBaseline SSM 文件。

AWS-RunPatchBaselineAssociation

在您的執行個體上安裝修補程式，或掃描執行個體以判斷是否有遺漏任何合格的修補程式。已在所有商業 AWS 區域 提供。

AWS-RunPatchBaselineAssociation 在以下幾個重要方面不同於 AWS-RunPatchBaseline：

• AWS-RunPatchBaselineAssociation 主要適用於使用 Quick Setup (AWS Systems Manager 功能) 建立的 State Manager 關聯。尤其是，當您使用 Quick Setup 主機管理組態類型時，如果您選擇 Scan instances for missing patches daily (每天掃描執行個體查看是否遺漏修補程式)，則系統會使用 AWS-RunPatchBaselineAssociation 進行操作。

  不過，在大多數情況下，當設定自己的修補操作時，您應該選擇 AWS-RunPatchBaseline 或 AWS-RunPatchBaselineWithHooks，而不是 AWS-RunPatchBaselineAssociation。

  如需詳細資訊，請參閱下列主題：

  • AWS Systems Manager Quick Setup

  • 關於 AWS-RunPatchBaselineAssociation SSM 文件

• AWS-RunPatchBaselineAssociation 支援使用標籤來識別執行一組目標時要與哪個修補基準搭配使用。

• 對於使用 AWS-RunPatchBaselineAssociation 的修補操作，修補程式合規資料會根據特定 State Manager 關聯進行編譯。AWS-RunPatchBaselineAssociation 執行時收集的修補程式合規資料會使用 PutComplianceItems API 命令，而不是 PutInventory 命令進行記錄。這樣可以防止覆寫不與此特定關聯相關聯的合規資料。

  對於 Linux 作業系統，提供給修補程式的合規資訊來自執行個體上設定的預設來源儲存庫，以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊，請參閱 如何指定替代修補程式來源儲存庫 (Linux)。如需有關 Systems Manager 合規工具的詳細資訊，請參閱 AWS Systems Manager合規。

取代舊有文件：

• 無

如需 AWS-RunPatchBaselineAssociation SSM 文件的詳細資訊，請參閱 關於 AWS-RunPatchBaselineAssociation SSM 文件 。

AWS-RunPatchBaselineWithHooks

使用可在修補週期期間的三個點執行 SSM 文件的選用掛鉤，在您的受管節點上安裝修補程式，或掃描節點，以判斷是否遺漏任何合格的修補程式。已在所有商業 AWS 區域 提供。

AWS-RunPatchBaselineWithHooks 不同於其 Install 操作中的 AWS-RunPatchBaseline。

AWS-RunPatchBaselineWithHooks 支援在受管節點修補期間在指定點執行的生命週期掛鉤。由於修補程式安裝有時需要受管節點重新啟動，因此修補操作會分為兩個事件，總共有三個支援自訂功能的掛鉤。第一個掛鉤是在 Install with NoReboot 操作之前。第二個掛鉤是在 Install with NoReboot 操作之後。節點重新啟動後，第三個掛鉤可用。

取代舊有文件：

• 無

如需 AWS-RunPatchBaselineWithHooks SSM 文件的詳細資訊，請參閱 關於 AWS-RunPatchBaselineWithHooks SSM 文件。

用於修補受管節點的舊版 SSM 文件

以下四個 SSM 文件仍可用於某些 AWS 區域 的修補操作。但是，這些可能在未來不再受到支援，因此不建議使用。反之，請使用建議用於修補受管節點的 SSM 文件中所述的文件。

舊有 SSM 文件

• AWS-ApplyPatchBaseline
• AWS-FindWindowsUpdates
• AWS-InstallMissingWindowsUpdates
• AWS-InstallSpecificWindowsUpdates

AWS-ApplyPatchBaseline

僅支援 Windows Server 受管節點，但不支援修補其替換項 AWS-RunPatchBaseline 中找到的應用程式。2017 年 8 月之後推出的 AWS 區域 將不再提供。

注意

此 SSM 文件的替代文件 AWS-RunPatchBaseline，需要 SSM Agent 的 2.0.834.0 版本或更新版。您可以使用 AWS-UpdateSSMAgent 文件將您的受管節點更新為最新版本的代理程式。

AWS-FindWindowsUpdates

由 AWS-InstallWindowsUpdates 取代，可執行所有相同的動作。2017 年 4 月之後推出的 AWS 區域 將不再提供。

為了達到與此舊有 SSM 文件相同的結果，請使用下列參數組態與建議的替代文件 AWS-InstallWindowsUpdates：

• Action = Scan

• Allow Reboot = False

AWS-InstallMissingWindowsUpdates

由 AWS-InstallWindowsUpdates 取代，可執行所有相同的動作。2017 年 4 月之後推出的所有 AWS 區域 將不再提供。

為了達到與此舊有 SSM 文件相同的結果，請使用下列參數組態與建議的替代文件 AWS-InstallWindowsUpdates：

• Action = Install

• Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

由 AWS-InstallWindowsUpdates 取代，可執行所有相同的動作。2017 年 4 月之後推出的所有 AWS 區域 將不再提供。

為了達到與此舊有 SSM 文件相同的結果，請使用下列參數組態與建議的替代文件 AWS-InstallWindowsUpdates：

• Action = Install

• Allow Reboot = True

• Include Kbs = 逗號分隔的 KB 文章清單