Verwendung von Tags zur Definition von Patchgruppen Funktionsweise

Patch-Gruppen

Anmerkung

Patch-Gruppen werden nicht in Patch-Vorgängen verwendet, die auf Patch-Richtlinien basieren. Weitere Informationen zur Arbeit mit Patch-Richtlinien finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.

Die Patchgruppenfunktion wird in der Konsole für Konto-Regionen-Paare nicht unterstützt, die vor der Veröffentlichung der Patch-Richtlinienunterstützung am 22. Dezember 2022 noch keine Patchgruppen verwendet haben. Die Patchgruppenfunktion ist weiterhin für Konto-Regionen-Paare verfügbar, die vor diesem Datum mit der Verwendung von Patchgruppen begonnen haben.

Mithilfe einer Patch-Gruppe können Sie verwaltete Knoten einer bestimmten Patch-Baseline in Patch Manager, ein Tool in AWS Systems Manager, zuordnen. Mit Patch-Gruppen können Sie sicherstellen, dass Sie geeignete Patches basierend auf den zugeordneten Patch-Baseline-Regeln für die richtigen Sätze von Knoten bereitstellen. Patch-Gruppen können außerdem dazu beitragen, die Bereitstellung von Patches zu vermeiden, bevor diese angemessen getestet sind. So können Sie Patch-Gruppen beispielsweise für unterschiedliche Umgebungen (Entwicklung, Test und Produktion) erstellen und jede Patch-Gruppe für eine geeignete Patch-Baseline registrieren.

Wenn Sie AWS-RunPatchBaseline oder andere SSM-Befehlsdokumente zum Patching ausführen, können Sie verwaltete Knoten über deren ID oder Tags anvisieren. Basierend auf dem Patch-Gruppenwert, den Sie dem verwalteten Knoten hinzugefügt haben, werten dann SSM Agent und Patch Manager aus, welche Patch-Baseline verwendet werden soll.

Verwendung von Tags zur Definition von Patchgruppen

Sie können eine Patchgruppe erstellen, indem Sie Tags verwenden, die auf Ihre Instances der Amazon Elastic Compute Cloud (Amazon EC2) und Nicht-EC2-Knoten in Ihrer Hybrid- und Multi-Cloud-Umgebung angewendet werden. Beachten Sie die folgenden Details zum Verwenden von Tags für Patchgruppen:

Eine Patchgruppe muss entweder mithilfe des Tag-Schlüssels Patch Group oder PatchGroup definiert werden, die auf Ihre verwalteten Knoten angewendet werden. Bei der Registrierung einer Patchgruppe für eine Patch-Baseline werden alle identischen Werte, die für diese beiden Schlüssel angegeben wurden, als Teil derselben Gruppe interpretiert. Nehmen wir zum Beispiel an, Sie haben fünf Knoten mit dem ersten der folgenden Schlüssel-Wert-Paare und fünf mit dem zweiten getaggt:
- key=PatchGroup,value=DEV
- key=Patch Group,value=DEV
Der Patch Manager-Befehl zum Erstellen einer Baseline fasst diese 10 verwalteten Knoten auf der Grundlage des Werts DEV zu einer einzigen Gruppe zusammen. Das AWS CLI-Äquivalent für den Befehl zum Erstellen einer Patch-Baseline für Patch-Gruppen lautet wie folgt:
```
aws ssm register-patch-baseline-for-patch-group \
    --baseline-id pb-0c10e65780EXAMPLE \
    --patch-group DEV
```
Die Kombination von Werten aus verschiedenen Schlüsseln zu einem einzigen Ziel ist einzigartig für diesen Patch Manager-Befehl zum Erstellen einer neuen Patchgruppe und wird von anderen API-Aktionen nicht unterstützt. Wenn Sie beispielsweise send-command-Aktionen mit PatchGroup- und Patch Group-Schlüsseln und mit denselben Werten ausführen, zielen Sie auf zwei völlig unterschiedliche Gruppen von Knoten ab:
```
aws ssm send-command \
    --document-name AWS-RunPatchBaseline \
    --targets "Key=tag:PatchGroup,Values=DEV"
```
```
aws ssm send-command \
    --document-name AWS-RunPatchBaseline \
    --targets "Key=tag:Patch Group,Values=DEV"
```
Es gibt Beschränkungen für das Tag-basierte Targeting. Jedes Ziele-Array für SendCommand kann maximal fünf Schlüssel-Wert-Paare haben.
Es wird empfohlen, nur eine dieser Konventionen für Tag-Schlüssel zu wählen, entweder PatchGroup (ohne Leerzeichen) oder Patch Group (mit Leerzeichen). Wenn Sie Tags in EC2-Instance-Metadaten zugelassen haben, müssen Sie jedoch PatchGroup verwenden.
Bei dem Schlüssel wird die Groß-/Kleinschreibung berücksichtigt. Sie können einen beliebigen Wert angeben, um die Ressourcen in dieser Gruppe zu identifizieren und darauf auszurichten, z. B. „Webserver“ oder „US-EAST-PROD“, aber der Schlüssel muss Patch Group oder PatchGroup sein.

Wenn Sie eine Patch-Gruppe erstellt und verwaltete Knoten mit Tags markiert haben, können Sie die Patch-Gruppe für eine Patch-Baseline anmelden. Indem Sie die Patch-Gruppe für eine Patch-Baseline registrieren, stellen Sie sicher, dass die Knoten innerhalb der Patch-Gruppe die in der zugehörigen Patch-Baseline definierten Regeln befolgen.

Weitere Informationen zum Erstellen von Patch-Gruppen und Zuordnen von Patch-Gruppen zu einer Patch-Baseline finden Sie unter Erstellen und Verwalten von Patch-Gruppen und Einer Patch-Baseline eine Patch-Gruppe hinzufügen.

Ein Beispiel für das Erstellen einer Patch-Baseline und von Patch-Gruppen über die AWS Command Line Interface (AWS CLI) finden Sie unter Tutorial: Patchen Sie eine Serverumgebung mit dem AWS CLI. Weitere Informationen über Amazon-EC2-Tags finden Sie unter Ihre Amazon-EC2-Ressourcen markieren im Amazon-EC2-Benutzerhandbuch.

Funktionsweise

Wenn das System eine Patch-Baseline auf einen verwalteten Knoten anwendet, überprüft SSM Agent, ob für den Knoten ein Patch-Gruppenwert definiert wurde. Wenn der Knoten einer Patch-Gruppe zugewiesen wurde, ermittelt Patch Manager anschließend, welche Patch-Baseline für diese Gruppe registriert wurde. Wenn für die Gruppe eine Patch-Baseline gefunden wird, weist Patch Manager SSM Agent an, die zugehörige Patch-Baseline zu verwenden. Wenn ein Knoten nicht für eine Patch-Gruppe konfiguriert wurde, weist Patch Manager SSM Agent automatisch an, die aktuell konfigurierte Standard-Patch-Baseline zu verwenden.

Wichtig

Ein verwalteter Knoten kann sich nur in einer Patch-Gruppe befinden.

Eine Patch-Gruppe kann nur für eine Patch-Baseline für jeden Betriebssystemtyp registriert werden.

Sie können das Patch Group-Tag (mit einem Leerzeichen) nicht auf eine Amazon-EC2-Instance anwenden, wenn die Option Allow tags in instance metadata (Tags in Instance-Metadaten zulassen) auf der Instance aktiviert ist. Durch das Zulassen von Tags in Instance-Metadaten wird verhindert, dass Tag-Schlüsselnamen Leerzeichen enthalten. Wenn Sie Tags in EC2-Instance-Metadaten zugelassen haben, müssen Sie den Tag-Schlüssel PatchGroup (ohne Leerzeichen) verwenden.

Abbildung 1: Allgemeines Beispiel für den Prozessablauf beim Patch-Vorgang

In der folgenden Abbildung sehen Sie ein allgemeines Beispiel der Prozesse, die Systems Manager beim Senden einer Run Command-Aufgabe an Ihre Serverflotte sendet, um mit Patch Manager Patches einzuspielen. Diese Prozesse bestimmen, welche Patch-Baselines für Patch-Vorgänge verwendet werden sollen. (Ein ähnlicher Prozess wird verwendet, wenn ein Wartungsfenster konfiguriert wurde, um einen Befehl zum Patchen mithilfe von Patch Manager zu senden.)

Der vollständige Vorgang wird unter der Abbildung erklärt.

Patch Manager-Workflow zum Bestimmen, welche Patch-Baselines beim Ausführen von Patchvorgängen verwendet werden sollen.

In diesem Beispiel haben wir drei Gruppen von EC2-Instances für Windows Server mit den folgenden Tags:

EC2-Instances-Gruppe Tags

EC2-Instances-Gruppe	Tags
Gruppe 1	`key=OS,value=Windows` `key=PatchGroup,value=DEV`
Gruppe 2	`key=OS,value=Windows`
Gruppe 3	`key=OS,value=Windows` `key=PatchGroup,value=QA`

Gruppe 1

key=OS,value=Windows

key=PatchGroup,value=DEV

Gruppe 2

key=OS,value=Windows

Gruppe 3

key=OS,value=Windows

key=PatchGroup,value=QA

In diesem Beispiel haben wir außerdem diese beiden Windows Server-Patch-Baselines:

Patch-Baseline-ID	Standard	Zugehörige Patch-Gruppe
`pb-0123456789abcdef0`	Ja	`Default`
`pb-9876543210abcdef0`	Nein	`DEV`

Der allgemeine Ablauf zum Scannen bzw. Installieren von Patches mit Run Command, einem Tool in AWS Systems Manager, und Patch Manager sieht wie folgt aus:

Einen Patchbefehl senden: Verwenden Sie die Systems Manager-Konsole, das SDK, die AWS Command Line Interface (AWS CLI) oder AWS Tools for Windows PowerShell zum Senden einer Run Command-Aufgabe mithilfe des Dokuments AWS-RunPatchBaseline. Die Abbildung zeigt eine Run Command-Aufgabe zum Patchen verwalteter Instances mit dem Tag key=OS,value=Windows als Ziel.
Patch-Baseline bestimmen: SSM Agent überprüft die auf die EC2-Instance angewendeten Patch-Gruppen-Tags und sendet eine Anfrage an Patch Manager für die entsprechende Patch-Baseline.
- Passender Patch-Gruppenwert einer Patch-Baseline zugeordnet:
  1. SSM Agent, das auf EC2-Instance in Gruppe 1 installiert ist, empfängt den in Schritt 1 gesendeten Befehl, mit dem Patchvorgang zu beginnen. SSM Agent überprüft, ob die EC2-Instances über den Patch-Gruppen-Tag-Wert DEV verfügen und sendet eine Anfrage an Patch Manager für die zugehörige Patch-Baseline.
  2. Patch Manager überprüft, ob der Patch-Baseline pb-9876543210abcdef0 die Patch-Gruppe DEV zugeordnet ist, und sendet eine Benachrichtigung an SSM Agent.
  3. SSM Agent ruft basierend auf den in Patch Manager konfigurierten Genehmigungsregeln und Ausnahmen einen Snapshot der Patch-Baseline von pb-9876543210abcdef0 ab und fährt mit dem nächsten Schritt fort.
- Instance verfügt nicht über ein Patch-Gruppen-Tag:
  1. SSM Agent, das auf EC2-Instance in Gruppe 2 installiert ist, empfängt den in Schritt 1 gesendeten Befehl, mit dem Patchvorgang zu beginnen. SSM Agent überprüft, ob die EC2-Instances nicht über das Patch-Gruppen-Tag Patch Group oder PatchGroup verfügen. SSM Agent sendet daraufhin eine Anfrage an Patch Manager für die Standard-Windows-Patch-Baseline.
  2. Patch Manager überprüft, ob die Standard-Patch-Baseline für Windows Server pb-0123456789abcdef0 ist, und benachrichtigt SSM Agent.
  3. SSM Agent ruft basierend auf den in der Standard-Patch-Baseline Patch Manager konfigurierten Genehmigungsregeln und Ausnahmen einen Snapshot der Patch-Baseline von pb-0123456789abcdef0 ab und fährt mit dem nächsten Schritt fort.
- Es gibt keinen passenden, einer Patch-Baseline zugeordneten Patch-Gruppenwert:
  1. SSM Agent, das auf EC2-Instance in Gruppe 3 installiert ist, empfängt den in Schritt 1 gesendeten Befehl, mit dem Patchvorgang zu beginnen. SSM Agent überprüft, ob die EC2-Instances über den Patch-Gruppen-Tag-Wert QA verfügen und sendet eine Anfrage an Patch Manager für die zugehörige Patch-Baseline.
  2. Patch Manager findet keine Patch-Baseline mit der zugeordneten Patch-Gruppe QA.
  3. Patch Manager benachrichtigt SSM Agent, die Standard-Patch-Baseline für Windows, pb-0123456789abcdef0, zu verwenden.
  4. SSM Agent ruft basierend auf den in der Standard-Patch-Baseline Patch Manager konfigurierten Genehmigungsregeln und Ausnahmen einen Snapshot der Patch-Baseline von pb-0123456789abcdef0 ab und fährt mit dem nächsten Schritt fort.
Auf Patches scannen oder Patches installieren: Nachdem die anzuwendende Patch-Baseline bestimmt wurde, beginnt SSM Agent basierend auf dem in Schritt 1 festgelegten Vorgangswert entweder damit, nach Patches zu scannen oder diese zu installieren. Nach welchen Patches gescannt bzw. welche Patches installiert werden, wird durch die Genehmigungsregeln und Patch-Ausnahmen bestimmt, die im von Patch Manager bereitgestellten Patch-Baseline-Snapshot definiert sind.

Weitere Informationen

Statuswerte der Patch-Compliance

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen

Informationen zum Patchen von Anwendungen, die von Microsoft unter Windows Server veröffentlicht wurden