本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Patch Manager 組織修補組態
使用的功能 Quick Setup AWS Systems Manager,您可以建立提供支援的修補程式原則Patch Manager。修補程式政策定義了在自動化修補 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和其他受管節點時使用的排程和基準。使用單一修補程式政策組態,您可以定義為組織中多個 AWS 區域 的所有帳戶、僅您選擇的帳戶和區域或者單一帳戶-區域對進行修補。如需有關修補程式政策的詳細資訊,請參閱 使用 Quick Setup 修補政策。
先決條件
若要使用 Quick Setup 定義節點的修補程式政策,則節點必須是受管節點。如需有關管理節點的詳細資訊,請參閱 設定 AWS Systems Manager。
重要
修補程式符合性掃描方法 — Systems Manager 支援多種掃描受管理節點的方法,以確保修補程式 如果一次實作多個方法,則您看到的修補程式合規資訊永遠是最近一次掃描的結果。先前掃描的結果會覆寫。如果掃描方法使用不同的修補基準,且具有不同的核准規則,則修補程式合規資訊可能會意外變更。如需詳細資訊,請參閱 避免意外覆寫修補程式合規資料。
關聯符合性狀態和修補程式原則 — 位於修補Quick Setup程式原則下之受管理節點的修補狀態與該節點的State Manager關聯執行狀態相符。如果關聯執行狀態為Compliant,則也會標示受管理節點的修正狀態Compliant。如果關聯執行狀態為Non-Compliant,則也會標示受管理節點的修正狀態Non-Compliant。
修補程式政策組態支援的區域
下列區域目前支援 Quick Setup 中的修補程式政策組態:
-
美國東部 (俄亥俄) (us-east-2)
-
美國東部 (維吉尼亞北部) (us-east-1)
-
美國西部 (加利佛尼亞北部) (us-west-1)
-
美國西部 (奧勒岡) (us-west-2)
-
亞太區域 (孟買) (ap-south-1)
-
亞太區域 (首爾) (ap-northeast-2)
-
亞太區域 (新加坡) (ap-southeast-1)
-
亞太區域 (雪梨) (ap-southeast-2)
-
亞太區域 (東京) (ap-northeast-1)
-
加拿大 (中部) (ca-central-1)
-
歐洲 (法蘭克福) (eu-central-1)
-
歐洲 (愛爾蘭) (eu-west-1)
-
歐洲 (倫敦) (eu-west-2)
-
歐洲 (巴黎) (eu-west-3)
-
歐洲 (斯德哥爾摩) (eu-north-1)
-
南美洲 (聖保羅) (sa-east-1)
適用於修補程式政策 S3 儲存貯體的許可
建立修補程式政策時,Quick Setup 會建立一個包含名為 baseline_overrides.json 的檔案的 Amazon S3 儲存貯體。此檔案儲存您為修補程式政策指定之修補基準的相關資訊。
此儲存貯體的名稱格式為 aws-quicksetup-patchpolicy-。account-id-quick-setup-configuration-id
例如:aws-quicksetup-patchpolicy-123456789012-abcde
如果您為某個組織建立修補程式政策,則此儲存貯體會建立在該組織的管理帳戶中。
有兩種使用案例,您必須向其他 AWS 資源提供使用 AWS Identity and Access Management (IAM) 政策存取此 S3 儲存貯體的權限:
在這兩種情況下您所需要的許可政策都已呈現在下面的 Quick Setup S3 儲存貯體的政策許可 一節中。
情況 1:將您自己的而不是由 Quick Setup 提供的執行個體設定檔或服務角色連接至受管節點
修補程式政策組態包含將必要的 IAM 政策新增至連接至執行個體的現有執行個體設定檔的選項。
如果您未選擇此選項,但想要 Quick Setup 使用此修補程式政策修補受管的節點,則必須實作下列項目:
-
IAM 受管政策
AmazonSSMManagedInstanceCore必須連接至用於為受管節點提供 Systems Manager 許可的 IAM 執行個體設定檔或 IAM 服務角色。 -
您必須將存取修補程式政策儲存貯體的許可作為內嵌政策新增至 IAM 執行個體設定檔或 IAM 服務角色。您可以向所有
aws-quicksetup-patchpolicy儲存貯體或僅向針對您的組織或帳戶建立的特定儲存貯體提供萬用字元存取權,如先前的程式碼範例所示。 -
您必須使用以下鍵值對標記 IAM 執行個體設定檔或 IAM 服務角色。
Key: QSConfigId-quick-setup-configuration-id, Value:quick-setup-configuration-idquick-setup-configuration-id代表套用至 AWS CloudFormation 堆疊 (用於建立修補程式原則組態) 的參數值。若要擷取此 ID,請執行以下操作:請在以下位置開啟 AWS CloudFormation 主控台。
https://console.aws.amazon.com/cloudformation -
選取用來建立修補程式政策的堆疊名稱。名稱的格式為
StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE。 -
選擇參數索引標籤。
-
在「參數」清單的「關鍵字」欄中,找到關鍵的 QS ConfigurationId。在同一列的值欄中,找到組態 ID,例如
abcde。在此範例中,對於要套用至執行個體設定檔或服務角色的標籤,其鍵為
QSConfigId-abcde,且值為abcde。
如需將標籤新增至 IAM 角色的相關資訊,請參閱 IAM 使用者指南中的標記 IAM 角色和在執行個體設定檔 (AWS CLI 或 AWS API) 上管理標籤。
情況 2:使用 VPC 端點連線至 Systems Manager
如果您使用 VPC 端點連線至 Systems Manager,則您的 S3 VPC 端點政策必須允許存取 Quick Setup 修補程式政策 S3 儲存貯體。
如需將許可新增至 S3 VPC 端點政策的相關資訊,請參閱《Amazon S3 使用者指南》中的使用儲存貯體政策控制來自 VPC 端點的存取一節。
Quick Setup S3 儲存貯體的政策許可
您可以向所有 aws-quicksetup-patchpolicy 儲存貯體或僅向針對您的組織或帳戶建立的特定儲存貯體提供萬用字元存取權。若要為下述兩種情況提供必要的許可,請使用其中一種格式。
修補程式政策作業中的隨機修補基準 ID
修補程式政策的修補作業會使用 AWS-RunPatchBaseline SSM 命令文件中的 BaselineOverride 參數。
當您使用 AWS-RunPatchBaseline 進行修補程式政策以外的修補時,您可以使用 BaselineOverride 來指定作業期間要使用的與指定的預設值不同的修補基準清單。您可以在名為 baseline_overrides.json 的檔案中建立此清單,然後手動將其新增至您擁有的一個 Amazon S3 儲存貯體,如 使用 BaselineOverride 參數 中所述。
然而,對於以修補程式政策為基礎的修補作業,Systems Manager 會自動建立 S3 儲存貯體並在其中新增 baseline_overrides.json 檔案。然後,每次 Quick Setup 執行修補作業 (使用 Run Command) 功能時,系統都會為每個修補基準產生一個隨機 ID。每個修補程式政策修補作業的這個 ID 都不同,而且您無法在您的帳戶中儲存或存取它所代表的修補基準。
因此,您不會在修補日誌中看到組態中選取的修補基準的 ID。這適用於 AWS 受管理的修補程式基準和您可能已選取的自訂修補程式基準。日誌中報告的基準 ID 是針對該特定修補作業產生的基準 ID。
此外,如果您嘗試在 Patch Manager 中檢視有關使用隨機 ID 產生之修補基準的詳細資訊,則系統會報告該修補基準不存在。這是預期會出現的行為,可以忽略。
建立修補程式政策
必要條件
在進行下列任務之前,您必須先指定 Quick Setup 的主要區域。如需相關資訊,請參閱 設定主要 AWS 區域。
若要建立修補程式政策,請在 Systems Manager 主控台執行下列任務。
使用 Quick Setup 建立修補程式政策
請在以下位置開啟 AWS Systems Manager 主控台。
https://console.aws.amazon.com/systems-manager/ 如果您要設定為組織進行修補,請確保您已登入到組織的管理帳戶。您無法使用委派管理員帳戶或成員帳戶來設定政策。
在導覽窗格中,選擇 Quick Setup。
-或-
如果 AWS Systems Manager 首頁先開啟,請選擇功能表圖示 (
) 以開啟導覽窗格,然後Quick Setup在導覽窗格中選擇。-
在 Patch Manager (修補程式管理員) 卡上,選擇 Create (建立)。
提示
如果您的帳戶中已有一或多個組態,請先選擇程式庫索引標籤或組態區段中的建立按鈕,以檢視卡。
-
對於 Configuration name (組態名稱),請輸入名稱以協助識別修補程式政策。
-
在 Scanning and installation (掃描和安裝) 區段的 Patch operation (修補程式操作) 下,選擇修補程式政策是要 Scan (掃描) 指定的目標,還是在指定目標上 Scan and install (掃描並安裝) 修補程式。
-
在 Scanning schedule (掃描排程) 下,選擇 Use recommended defaults (使用建議的預設值) 或 Custom scan schedule (自訂掃描排程)。預設的掃描排程每天會在凌晨 1 點 (UTC) 掃描您的目標。
-
如果您選擇 Custom scan schedule (自訂掃描排程),則請選取 Scanning frequency (掃描頻率)。
-
如果您選擇 Daily (每日),則請輸入您要掃描目標的時間 (UTC)。
-
如果您選擇 Custom CRON Expression (自訂 CRON 運算式),則請將排程輸入為 CRON expression (CRON 運算式)。如需有關格式化 Systems Manager 的 CRON 運算式的詳細資訊,請參閱 參考:Systems Manager 的 Cron 和 Rate 運算式。
此外,請選取 Wait to scan targets until first CRON interval (等待掃描目標,直到第一個 CRON 間隔為止)。依預設,Patch Manager 會在節點變為目標時立即進行掃描。
-
-
如果您選擇 Scan and install (掃描並安裝),則請選擇將修補程式安裝到指定目標時要使用的 Installation schedule (安裝排程)。如果您選擇 Use recommended defaults (使用建議的預設值),則 Patch Manager 每週會在星期日凌晨 2 點 (UTC) 安裝修補程式。
-
如果您選擇 Custom install schedule (自訂安裝排程),請選取 Installation Frequency (安裝頻率)。
-
如果您選擇 Daily (每日),請輸入您要在目標上安裝更新的時間 (UTC)。
-
如果您選擇 Custom CRON expression (自訂 CRON 運算式),請將排程輸入為 CRON expression (CRON 運算式)。如需有關格式化 Systems Manager 的 CRON 運算式的詳細資訊,請參閱 參考:Systems Manager 的 Cron 和 Rate 運算式。
此外,請清除 Wait to install updates until first CRON interval (等待安裝更新,直到第一個 CRON 間隔),以便在節點變為目標時立即在節點上安裝更新。依預設,Patch Manager 會等到第一個 CRON 間隔才能安裝更新。
-
請選擇 Reboot if needed (必要時重新啟動),在安裝修補程式之後重新啟動節點 建議在安裝後重新啟動,但可能會導致可用性問題。
-
-
在 Patch baseline (修補基準) 中,選擇掃描和更新目標時要使用的修補基準。
依預設,Patch Manager 會使用預先定義的修補基準。如需詳細資訊,請參閱 關於預先定義基準。
如果您選擇自訂修補程式基準,請針對您不想使用預先定義的修補程式基準的作業系統變更選取的 AWS 修補程式基準。
無論您使用 AWS 預先定義的修補基準還是自訂修補基準,在 Quick Setup 中可用的修補基準都是您所選主要區域的修補基準。
注意
如果您使用 VPC 端點連線至 Systems Manager,請確保您的 S3 VPC 端點政策允許存取該 S3 儲存貯體。如需詳細資訊,請參閱 適用於修補程式政策 S3 儲存貯體的許可。
重要
如果您在 Quick Setup 中使用修補程式政策組態,則您對自訂修補基準所做的更新會每小時與 Quick Setup 同步一次。
如果刪除修補程式政策中參照的自訂修補基準,則修補程式政策的 Quick Setup Configuration details (組態詳細資訊) 頁面上會顯示橫幅。此橫幅會通知您修補程式政策參照修補基準不再存在,而後續的修補操作將會失敗。在此情況下,請返回到 Quick Setup Configurations (組態) 頁面,選取 Patch Manager 組態,然後選擇 Actions (動作)、Edit configuration (編輯組態)。刪除的修補基準名稱會反白顯示,您必須為受影響的作業系統選取新的修補基準。
-
(選用) 在 Patching log storage (修補日誌存放區) 區段中,選取 Write output to S3 bucket (將輸出寫入 S3 儲存貯體) 以將修補程式操作日誌存放在 Amazon S3 儲存貯體中。
注意
如果您要為組織設定修補程式政策,則組織的管理帳戶必須至少擁有此儲存貯體的唯讀許可。政策中包含的所有組織單位都必須擁有該儲存貯體的寫入存取權。如需有關授予儲存貯體存取權給不同帳戶的資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的範例 2:儲存貯體擁有者授予跨帳戶儲存貯體許可。
-
選擇瀏覽 S3 以選取要儲存修補程式日誌輸出的儲存貯體。管理帳戶必須擁有此儲存貯體的讀取存取權。在 Targets (目標) 區段中設定的所有非管理帳戶和目標都必須擁有對所提供的 S3 儲存貯體的寫入存取權以進行記錄。
-
在 Targets (目標) 區段中,選擇下列其中一個選項,以識別此修補程式政策操作的帳戶和區域。
注意
如果您使用單一帳戶,則無法使用組織和組織單位 (OU) 的選項。您可以選擇是要將此組態套用至帳戶中的所有 AWS 區域 ,還是僅套用至您選擇的區域。
-
Entire organization (整個組織) – 組織中的所有帳戶和區域。
-
Custom (自訂) – 僅您指定的 OU 與區域。
-
在 Target OUs (目標 OU) 區段中,選取您要設定修補程式政策的 OU。
-
在 Target Regions (目標區域) 區段中,選取您要套用修補程式政策的區域。
-
-
Current account (目前帳戶) – 只有您在目前登入的帳戶中指定的區域才會成為目標。選擇下列其中一項:
-
Current Region (目前區域) – 只有在主控台中選取的區域中的受管節點才能成為目標。
-
Choose Regions (選擇區域) – 選擇要套用修補程式政策的個別區域。
-
-
-
對於 Choose how you want to target instances (選擇將執行個體設為目標的方式),選擇下列其中一個選項:
-
All managed nodes (所有受管節點) – 所選 OU 與區域中的所有受管節點。
-
Specify the resource group (指定資源群組) – 從清單中選擇資源群組的名稱,將其關聯資源設為目標。
注意
目前,只有單一帳號組態支援選取資源群組。若要修補多個帳戶中的資源,請選擇不同的鎖定目標選項。
-
Specify a node tag (指定節點標籤) – 僅在您將其設為目標的所有帳戶和區域中修補標記有您指定之金鑰值對的節點。
-
Manual (手動) – 從清單中手動選擇所有指定帳號和區域中的受管節點。
注意
此選項目前僅支援 Amazon EC2 執行個體。
-
-
在 Rate control (速率控制) 區段中,執行下列操作:
-
針對 Concurrency (並行),輸入要同時執行修補程式政策的節點數目或百分比。
-
針對 Error threshold (錯誤閾值),輸入修補程式政策失敗之前可能會發生錯誤的節點數目或百分比。
-
-
(選用) 選取將必要的 IAM 政策新增至連接至執行個體的現有執行個體設定檔核取方塊。
此選項會將此 Quick Setup 組態建立的 IAM 政策套用至已連接執行個體設定檔 (EC2 執行個體) 或服務角色的節點 (啟用混合模式節點)。當您的受管節點已連接執行個體設定檔或服務角色時,建議選取此選項,但其不包含使用 Systems Manager 所需的所有許可。
您在此選取的項目會套用至稍後在帳戶和區域 (其會套用此修補程式政策組態) 中建立的受管節點。
重要
如果您未選取此核取方塊,但想要 Quick Setup 使用此修補程式政策修補受管節點,則必須執行下列動作:
將存取為修補程式政策建立之 S3 儲存貯體的許可新增至 IAM 執行個體設定檔或 IAM 服務角色
使用特定的鍵值對標記您的 IAM 執行個體設定檔或 IAM 服務角色。
如需相關資訊,請參閱 情況 1:將您自己的而不是由 Quick Setup 提供的執行個體設定檔或服務角色連接至受管節點。
-
選擇建立。
若要在建立修補程式政策之後檢閱修補狀態,您可以從 Quick Setup
頁面存取組態。
