AWS Systems Manager Patch Manager

Patch Manager (AWS Systems Manager 的功能) 透過安全相關更新和其他類型的更新來自動化修補受管節點的程序。

重要

自 2022 年 12 月 22 日起，Systems Manager 會支援修補程式政策，這是設定修補操作的新方法，也是建議使用的方法。使用單一修補程式政策組態，您可以為組織中所有區域的所有帳戶、僅您選擇的帳戶和區域或者單一帳戶-區域對定義修補程式。如需更多詳細資訊，請參閱 使用 Quick Setup 修補政策。

您可以使用 Patch Manager 以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上，應用程式支援僅限於由 Microsoft 發佈的應用程式更新。) 您可以使用 Patch Manager 在 Windows 節點上安裝 Service Pack，並在 Linux 節點上執行次要版本升級。您可以依據作業系統類型，修補 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、邊緣裝置或內部部署伺服器與虛擬機器 (VM)。這包括數個作業系統的支援版本，如 Patch Manager 先決條件 中所列。您可以掃描執行個體，僅查看遺漏的修補程式報告，或者掃描並自動安裝所有遺漏的修補程式。若要開始使用 Patch Manager，請開啟 Systems Manager 主控台。在導覽窗格中，選擇 Patch Manager。

注意

AWS 在 Patch Manager 中提供修補程式之前，不會測試修補程式。此外，Patch Manager 不支援將主要版本的作業系統升級，例如將 Windows Server 2016 升級至 Windows Server 2019，或 SUSE Linux Enterprise Server (SLES) 12.0 升級至 SLES 15.0。

對於報告修補程式嚴重性級別的 Linux 作業系統類型，Patch Manager 使用軟體發佈者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別，例如通用漏洞評分系統 (CVSS)，或者美國國家漏洞資料庫 (NVD) 發佈的指標。

修補基準

Patch Manager 會使用修補基準，其中包含在修補程式發行後的數日內自動核准修補程式等規則，以及已核准和拒絕的修補程式可選清單。執行修補操作時，Patch Manager 會將當前套用至受管節點的修補程式與應當根據修補基準中設定之規則來進行套用的修補程式進行比較。您可以選擇讓 Patch Manager 僅顯示遺失修補程式的報告 (Scan 操作)，亦可選擇讓 Patch Manager 自動安裝所找到的受管節點中遺失的全部修補程式 (Scan and install 操作)。

修補操作方法

Patch Manager 目前提供了四種執行 Scan 和 Scan and install 操作的方法：

• (建議) 在 Quick Setup 中設定的修補程式政策 – 根據與 AWS Organizations 的整合，單一修補程式政策可以定義整個組織的修補排程和修補基準，包括多個 AWS 帳戶 和這些帳戶操作所處的全部 AWS 區域。修補程式政策也可以只針對組織中的某些組織單位 (OU)。您可以使用單一修補程式政策依照不同的排程進行掃描和安裝。如需詳細資訊，請參閱Patch Manager 組織修補組態及使用 Quick Setup 修補政策。

• 在 Quick Setup 中設定的主機管理選項 – 透過與 AWS Organizations 整合也可支援主機管理組態，從而甚至可以為整個組織執行修補操作。不過，此選項僅限於使用目前預設修補基準掃描遺失的修補程式，並在合規報告中提供結果。此操作方法無法安裝修補程式。如需更多詳細資訊，請參閱 Amazon EC2 主機管理。

• 用來執行修補程式 Scan 或 Install 任務的維護時段 – 在稱為 Maintenance Windows 的 Systems Manager 功能中設定的維護時段，可以設定為依照您定義的排程執行不同類型的任務。Run Command 類型的任務可用來在您選擇的一組受管節點上執行 Scan 或 Scan and install 任務。每個維護時段任務只能以單一 AWS 帳戶-AWS 區域 對中的受管節點為目標。如需更多詳細資訊，請參閱 演練：建立維護時段以進行修補 (主控台)。

• Patch Manager 中的隨需 Patch now (立即修補) 操作 – Patch now (立即修補) 選項可讓您在需要盡快修補受管節點時略過排程設定。使用 Patch now (立即修補)，可指定是否執行 Scan 或 Scan and install 操作，以及要在哪些受管節點上執行操作。您也可以選擇在修補操作期間將 Systems Manager 文件 (SSM 文件) 作為 lifecycle hook 執行。每個 Patch now (立即修補) 操作只能以單一 AWS 帳戶-AWS 區域 對中的受管節點為目標。如需更多詳細資訊，請參閱 隨需修補受管節點。

合規報告

Scan 操作完成後，您可以使用 Systems Manager 主控台來檢視哪些受管節點不符合修補程式規範，以及每個節點遺失了哪些修補程式。您也可以產生可傳送至所選 Amazon Simple Storage Service (Amazon S3) 儲存貯體的修補程式合規報告，格式為 .csv。您可以產生一次性報告，或定期產生報告。對於單一受管節點，報告包含節點之所有修補程式的詳細資訊。對於所有受管節點的報告，只會提供缺少修補程式數量的摘要。產生報告後，您可以使用 Amazon QuickSight 等工具來匯入和分析資料。如需更多詳細資訊，請參閱 使用修補程式合規報告。

注意

透過使用修補程式政策產生之合規項的執行類型為 PatchPolicy。不是在修補程式政策操作中產生的合規項的執行類型為 Command。

整合

Patch Manager 可與下列其他 AWS 服務 整合：

• AWS Identity and Access Management (IAM) – 使用 IAM 控制哪些使用者、群組和角色可以存取 Patch Manager 操作。如需詳細資訊，請參閱AWS Systems Manager 搭配 IAM 的運作方式和設定 Systems Manager 的執行個體許可。

• AWS CloudTrail – 使用 CloudTrail 記錄由使用者、角色或群組啟動之修補操作事件的可稽核歷史記錄。如需更多詳細資訊，請參閱 使用記錄 AWS Systems Manager API 呼叫 AWS CloudTrail。

• AWS Security Hub – Patch Manager 的修補程式合規資料可傳送至 AWS Security Hub。Security Hub 可為您提供高優先級安全性警示和合規性狀態的全方位檢視。它還會監控您的機群的修補狀態。如需更多詳細資訊，請參閱 將 AWS Security Hub​ 與 Patch Manager​ 整合。

• AWS Config – 在 AWS Config 中設定記錄，以便在 Patch Manager 儀表板中檢視 Amazon EC2 執行個體管理資料。如需更多詳細資訊，請參閱 檢視修補程式儀表板摘要。

主題

• 使用 Quick Setup 修補政策
• Patch Manager 先決條件
• Patch Manager 操作的運作方式
• 關於修補受管節點的 SSM 文件
• 關於修補基準
• 在 Amazon Linux 2 受管節點上使用 Kernel Live Patching
• 處理 Patch Manager (主控台)
• 使用 Patch Manager (AWS CLI)
• AWS Systems ManagerPatch Manager 教學課程
• Patch Manager 疑難排解