隨需修補受管節點 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

隨需修補受管節點

使用 Patch Manager 中的 Patch now (立即修補) 選項 (AWS Systems Manager 功能),您可以從 Systems Manager 主控台執行隨需修補操作。這表示您不需要建立排程,即可更新受管節點的合規狀態或在不合規節點上安裝修補程式。您也不需要在 Patch Manager 和 Maintenance Windows 之間切換 Systems Manager 主控台 (AWS Systems Manager 功能),以設定或修改排定的修補時段。

Patch now (立即修補) 在您必須儘快在受管節點上套用零時差更新或安裝其他重要修補程式時,特別實用。

注意

每次支援單個 AWS 帳戶-AWS 區域 對的隨需修補。其無法用於以修補程式政策為基礎的修補操作。建議您使用修補程式政策來維持所有受管節點的合規性。如需有關使用修補程式政策的詳細資訊,請參閱 使用 Quick Setup 修補政策

「立即修補」的運作方式

若要執行 Patch now (立即修補),您只需指定兩個必要設定:

  • 是否只掃描缺少的修補程式,或掃描安裝受管節點上的修補程式

  • 要在哪些受管節點上執行操作

Patch now (立即修補) 操作執行時,它會決定要使用哪個修補基準,以與為其他修補操作所選取的相同方式使用。如果受管節點與修補程式群組相關聯,則會使用為該群組指定的修補基準。如果受管節點未與修補程式群組關聯,則操作會使用目前設定為受管節點之操作系統類型預設值的修補基準。這可以是預先定義基準,也可以是您已設定為預設值的自訂基準。如需修補基準選取項目的詳細資訊,請參閱 關於修補程式群組

您可以為 Patch now (立即修補) 指定的選項包括在修補後選擇何時或是否重新啟動受管節點、指定 Amazon Simple Storage Service (Amazon S3) 儲存貯體來存放修補操作的日誌資料,以及在修補期間將 Systems Manager 文件 (SSM 文件) 作為生命週期掛鉤執行。

「立即修補」的並行和錯誤閾值

對於 Patch now (立即修補) 操作,並行和錯誤閾值選項由 Patch Manager 處理。您不需要指定要一次修補的受管節點數目,也不需要指定操作失敗之前允許的錯誤數目。當您進行隨需修補時,Patch Manager 會套用下表所述的並行和錯誤閾值設定。

重要

以下閾值僅適用於 Scan and install 操作。對於 Scan 操作,Patch Manager 會嘗試並行掃描最多 1,000 個節點,並繼續掃描,直至遇到最多 1,000 個錯誤。

並行:安裝操作
Patch now (立即修補) 操作中受管節點的總數 一次掃描或修補的受管節點數目
低於 25 個 1
25-100 5%
101 到 1,000 個 8%
1,000 個以上 10%
錯誤閾值:安裝操作
Patch now (立即修補) 操作中受管節點的總數 操作失敗前允許的錯誤數目
低於 25 個 1
25-100 5
101 到 1,000 個 10
1,000 個以上 10

使用「立即修補」生命週期掛鉤

Patch now (立即修補) 為您提供在 Install 修補操作期間能夠將 SSM Command 文件作為生命週期掛鉤執行的功能。您可以將這些掛鉤用於任務,例如在修補之前關閉應用程式,或在修補後或重新開機後對應用程式執行運作狀態檢查。

如需有關生命週期關聯的詳細資訊,請參閱 關於 AWS-RunPatchBaselineWithHooks SSM 文件

除了每個掛鉤的使用範例,下表還為三個 Patch now (立即修補) 重新開機選項中的每個選項列出可用的生命週期掛鉤。

生命週期掛鉤和使用範例
重新開機選項 掛鉤:安裝前 掛鉤:安裝後 掛鉤:結束時 掛鉤:排定的重新開機後
Reboot if needed (必要時重新開機)

開始修補之前,請先執行 SSM 文件。

使用範例:在修補程序開始之前,安全地關閉應用程式。

在修補操作結束時和受管節點重新開機之前,執行 SSM 文件。

使用範例:執行操作,例如在潛在重新開機前安裝第三方應用程式。

修補操作完成並且執行個體重新開機後,執行 SSM 文件。

使用範例:確定應用程式在修補後如預期般執行。

不適用
Do not reboot my instances (請勿重新開機執行個體) 同上。

在修補操作結束時,執行 SSM 文件。

使用範例:確定應用程式在修補後如預期般執行。

不適用

不適用

Schedule a reboot time (排程重新開機時間) 同上。 Do not reboot my instances (請勿重新開機執行個體) 相同。 不適用

在排定的重新開機完成後,立即執行 SSM 文件。

使用範例:確定應用程式在重新開機後如預期般執行。

執行「立即修補」

使用下列處理程序,隨需修補受管節點。

執行「立即修補」
  1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Patch Manager

  3. AWS Systems Manager Patch Manager 頁面或 Patch baselines (修補基準) 頁面,視開啟哪個頁面而定,選擇 Patch now (立即修補)。

  4. 對於 Patching operation (修補操作),選擇下列其中一項:

    • Scan (掃描):Patch Manager 會發現受管節點中缺少哪些修補程式,但不會進行安裝。您可以在 Compliance (合規) 儀表板或其他用於檢視修補程式合規的工具中檢視結果。

    • Scan and install (掃描和安裝):Patch Manager 會發現受管節點中缺少哪些修補程式,但不會進行安裝。

  5. 只有在上一個步驟中選擇 Scan and install (掃描和安裝) 時,才使用該步驟。針對 Regions option (區域選項),選擇以下其中一個選項:

    • Reboot if needed (依需要重新啟動):安裝完成後,Patch Manager 僅在需要完成修補程式安裝時,才會重新啟動受管節點。

    • Don't reboot my instances (請勿重新啟動執行個體):安裝完成後,Patch Manager 不會重新啟動受管節點。您可以在選擇或管理 Patch Manager 以外的重新開機時,自動重新開機節點。

    • Schedule a reboot time (排程重新開機時間):指定 Patch Manager 的日期、時間和 UTC 時區重新開機您的受管節點。在您執行 Patch now (立即修補) 操作時,排定的重新開機會列為具有 AWS-PatchRebootAssociation 名稱之 State Manager 中的關聯。

  6. Instances to patch (要修補的執行個體),選擇以下其中一項:

    • Patch all instances (修補全部執行個體):Patch Manager 會在當前 AWS 區域 中對您 AWS 帳戶 的所有受管節點執行指定的操作。

    • Patch only the target instances I specify (只修補我指定的目標執行個體):您可以在下一個步驟中指定要鎖定的受管節點。

  7. 僅當您在上一個步驟中選擇 Patch only the target instances I specify (只修補我指定的目標執行個體) 時,使用該步驟。在 Target selection (目標選擇範圍) 區段中,指定標籤、手動選取節點或指定資源群組,以識別您要執行這項操作的節點。

    注意

    如果您預期看到的受管節點未列出,請參閱 疑難排解受管節點的可用性 以取得疑難排解秘訣。

    如果您選擇鎖定資源群組,請注意基於 AWS CloudFormation 堆疊的資源群組仍然必須使用預設 aws:cloudformation:stack-id 標籤進行標記。如果已經移除,Patch Manager 可能無法判斷哪些受管節點屬於資源群組。

  8. (選用) 對於 Patching log storage (修補日誌儲存),如果您要從此修補操作建立並儲存日誌,請選取 S3 儲存貯體來存放日誌。

    注意

    授予能力以將資料寫入至 S3 儲存貯體的 S3 許可,會是指派給執行個體之執行個體設定檔 (適用於 EC2 執行個體) 或 IAM 服務角色 (啟用混合模式的機器) 的許可,而不是執行此任務之 IAM 使用者的許可。如需詳細資訊,請參閱設定適用於 Systems Manager 的執行個體許可或者建立適用於混合環境的 IAM 服務角色。此外,若指定的 S3 儲存貯體位於不同的 AWS 帳戶 內,請確保與受管節點相關聯的執行個體設定檔或 IAM 服務角色是否具有寫入該儲存貯體的必要許可。

  9. (選用) 如果您要在修補操作的特定時間點執行 SSM 文件作為生命週期掛鉤,則請執行下列動作:

    • 選擇 Use lifecycle hooks (使用生命週期掛鉤)。

    • 針對每個可用的掛鉤,選取要在操作之指定時間點執行的 SSM 文件:

      • 安裝前

      • 安裝後

      • 結束時

      • 排定的重新開機後

      注意

      預設文件 AWS-Noop 不會執行任何操作。

  10. 選擇 Patch now (立即修補)。

    Association execution summary (關聯執行摘要) 頁面隨即開啟。(修補程式現在使用 State Manager (AWS Systems Manager 功能) 中的關聯進行其操作。) 在 Operation summary (操作摘要) 區域中,您可以監控指定受管節點上的掃描或修補狀態。