Patch Manager-Voraussetzungen - AWS Systems Manager
SSM Agent-VersionPython-VersionKonnektivität zur Patch-QuelleS3-Endpunkt-ZugriffBerechtigungen zur lokalen Installation von PatchesUnterstützte Betriebssysteme für Patch Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Patch Manager-Voraussetzungen

Stellen Sie sicher, dass Sie die erforderlichen Voraussetzungen erfüllt habenPatch Manager, bevor Sie ein Tool in verwenden AWS Systems Manager.

SSM Agent-Version

Version 2.0.834.0 oder höher von SSM Agent muss auf dem verwalteten Knoten ausgeführt werden, den Sie mit Patch Manager verwalten möchten.

Anmerkung

Eine aktualisierte Version von SSM Agent wird veröffentlicht, wenn neue Tools zu Systems Manager hinzugefügt oder vorhandene Tools aktualisiert werden. Wenn Sie nicht die neueste Version des Agenten verwenden, kann Ihr verwalteter Knoten verschiedene Systems Manager Manager-Tools und -Funktionen nicht verwenden. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

Python-Version

Unterstützt Patch Manager derzeit die Python-Versionen 2.6 bis 3.10 für macOS und die meisten Linux-Betriebssysteme (OSs). Die AlmaLinux, Debian ServerRaspberry Pi OS, und Ubuntu Server OSs erfordern eine unterstützte Version von Python 3 (3.0-3.10).

Konnektivität zur Patch-Quelle

Wenn Ihre verwalteten Knoten keine direkte Verbindung zum Internet haben und Sie eine Amazon Virtual Private Cloud (Amazon VPC) mit einem VPC-Endpunkt verwenden, müssen Sie sicherstellen, dass die Knoten Zugriff auf die Quell-Patch-Verzeichnisse (Repos) haben. Auf Linux-Knoten werden Patch-Updates normalerweise von den auf dem Knoten konfigurierten Remote-Repos heruntergeladen. Daher muss der Knoten eine Verbindung zu den Repos herstellen können, damit die Patches ausgeführt werden können. Weitere Informationen finden Sie unter Wie Sicherheitspatches ausgewählt werden.

CentOS und CentOS Stream: Aktivieren Sie die Flag EnableNonSecurity

Von CentOS 6 und 7 verwaltete Knoten verwenden Yum als Paketmanager. CentOS-8- und CentOS Stream-Knoten verwenden DNF als Paketmanager. Beide Paketmanager verwenden das Konzept eines Update-Hinweises als einen aktualisierten Hinweis. Ein Update-Hinweis ist einfach eine Sammlung von Paketen, die bestimmte Probleme beheben.

CentOS und CentOS Stream Standard-Repos werden jedoch nicht mit einem Update-Hinweis konfiguriert. Das bedeutet, dass Patch Manager Pakete auf einem Standard-CentOS- und CentOS Stream-Repos nicht erkennt. Um Patch Manager für die Verarbeitung von Paketen, die nicht in einem Update-Hinweis enthalten sind, zu aktivieren, müssen Sie die EnableNonSecurity-Markierung in den Patch-Baseline-Regeln aktivieren.

Windows Server: Stellen Sie die Konnektivität zum Windows Update Catalog oder Windows Server Update Services (WSUS) sicher

Von Windows Server verwaltete Knoten müssen eine Verbindung zum Windows Update Catalog oder Windows Server Update Services (WSUS) herstellen können. Vergewissern Sie sich, dass Ihre Knoten über ein Internet-Gateway, ein NAT-Gateway oder eine NAT-Instance eine Verbindung zum Microsoft Update Catalog hergestellt haben. Wenn Sie WSUS verwenden, stellen Sie sicher, dass der Knoten eine Verbindung zum WSUS-Server in Ihrer Umgebung hat. Weitere Informationen finden Sie unter Problem: Der verwaltete Knoten hat keinen Zugriff auf Windows Update Catalog oder WSUS.

S3-Endpunkt-Zugriff

Unabhängig davon, ob Ihre verwalteten Knoten in einem privaten oder öffentlichen Netzwerk betrieben werden, ohne Zugriff auf die erforderlichen AWS verwalteten Amazon Simple Storage Service (Amazon S3) -Buckets schlagen Patch-Vorgänge fehl. Informationen zu den S3-Buckets, auf die Ihre verwalteten Knoten zugreifen können müssen, finden Sie unter SSM Agent Kommunikation mit AWS verwalteten S3-Buckets und Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager.

Berechtigungen zur lokalen Installation von Patches

Unter den Betriebssystemen Windows Server und Linux setzt Patch Manager zum Installieren von Patches die Benutzerkonten Administrator bzw. Root voraus.

Unter macOS unterstützt Homebrew für Brew und Brew Cask jedoch nicht die Ausführung seiner Befehle unter dem Root-Benutzerkonto. Darum fragt Patch Manager entweder als Eigentümer des Homebrew-Verzeichnisses oder als gültiger Benutzer,der zur Eigentümergruppe des Homebrew-Verzeichnisses gehört, Homebrew–Befehle ab und führt sie aus. Um Patches installieren zu können, benötigt der Besitzer des homebrew-Verzeichnisses daher auch rekursive Eigentümerberechtigungen für das /usr/local-Verzeichnis.

Tipp

Der folgende Befehl stellt diese Berechtigung für den angegebenen Benutzer bereit:

sudo chown -R $USER:admin /usr/local

Unterstützte Betriebssysteme für Patch Manager

Das Patch Manager Tool unterstützt nicht dieselben Betriebssystemversionen, die von anderen Systems Manager Manager-Tools unterstützt werden. Beispielsweise unterstützt Patch Manager nicht CentOS 6.3 oder Raspberry Pi OS 8 (Jessie). (Eine vollständige Liste der von Systems Manager unterstützten Betriebssysteme finden Sie unter Unterstützte Betriebssysteme für Systems Manager.) Stellen Sie daher sicher, dass die verwalteten Knoten, die Sie mit Patch Manager verwenden möchten, eines der Betriebssysteme ausführen, die in der folgenden Tabelle aufgeführt sind.

Anmerkung

Patch Manager stützt sich auf die Patch-Repositorys, die auf einem verwalteten Knoten konfiguriert sind, z. B. Windows Update Catalog und Windows Server Update Services für Windows, um verfügbare Patches für die Installation abzurufen. Daher können Betriebssystemversionen, die am Ende ihres Lebenszyklus (EOL) sind, ist Patch Manager möglicherweise nicht in der Lage, über die neuen Updates zu berichten, wenn keine neuen Updates verfügbar sind. Dies kann daran liegen, dass vom Linux-Distributionsbetreuer, Microsoft oder Apple keine neuen Updates veröffentlicht wurden oder dass der verwaltete Knoten nicht über die richtige Lizenz für den Zugriff auf die neuen Updates verfügt.

Patch Manager meldet den Konformitätsstatus anhand der verfügbaren Patches auf dem verwalteten Knoten. Wenn auf einer Instance ein EOL-Betriebssystem ausgeführt wird und keine Updates verfügbar sind, wird Patch Manager den Knoten daher möglicherweise als konform melden, je nachdem, welche Patch-Baselines für den Patchvorgang konfiguriert wurden.

Betriebssystem Details

Linux

  • AlmaLinux 8. x, 9. x

  • Amazon Linux 2012.03–2018.03

  • Amazon Linux 2 Version 2.0 und alle späteren Versionen

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5–7.9, 8.x

  • CentOS Stream 8, 9

  • Debian Server 8.x, 9.x, 10.x, 11.x und 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Raspberry Pi OS (früher Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux (RHEL) 6.5–8.x, 9.x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server (SLES) 12.0 und neuere 12.x-Versionen; 15.x

  • Ubuntu Server 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 20.10 STR, 22.04 LTS, 23.04, 23.10, 24.04 und 24.10
macOS

macOSwird nur für EC2 Amazon-Instances unterstützt.

11.3.1, 11.4–11.7 (Big Sur)

12,0—12,7 (Monterey)

13,0—13,7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

macOS Updates

Patch Manager unterstützt keine Betriebssystem (BS)-Updates oder -Upgrades für macOS, z. B. von 12.x auf 13.x oder 13.1 auf 13.2. Für die Aktualisierung der Betriebssystemversion von macOS empfehlen wir, die in Apple integrierten Mechanismen zu verwenden. Weitere Informationen finden Sie auf der Website mit Entwicklerdokumentation von Apple unter Device Management.

Unterstützung für Homebrew

Patch Managererfordert, dass Homebrew, das Open-Source-Softwarepaketverwaltungssystem, an einem der folgenden Standardinstallationspfade installiert ist:

  • /usr/local/bin

  • /opt/homebrew/bin

Patch-Operationen, die Homebrew verwenden, Patch Manager funktionieren nicht richtig, wenn Homebrew nicht installiert ist.

Homebrew hat die Unterstützung für macOS 10.14.x (Mojave) und 10.15.x (Catalina) eingestellt. Aus diesem Grund werden Patch-Operationen mit für diese Versionen nicht unterstützt. Patch Manager

Regionsunterstützung

macOSwird nicht in allen AWS-Regionen unterstützt. Weitere Informationen zum EC2 Amazon-Support für macOS finden Sie unter Amazon EC2 Mac-Instances im EC2 Amazon-Benutzerhandbuch.

macOS-Edge-Geräte

SSM Agentfür AWS IoT Greengrass Core-Geräte wird auf nicht unterstütztmacOS. Sie können Patch Manager nicht verwenden, um macOS-Edge-Geräte zu patchen.

Windows

Windows Server 2008 bis Windows Server 2025, einschließlich R2-Versionen.

Anmerkung

SSM Agentfür AWS IoT Greengrass Kerngeräte wird unter Windows 10 nicht unterstützt. Sie können Patch Manager nicht verwenden, um Windows-10-Edge-Geräte zu patchen.

Windows Server-Unterstützung für 2008

Ab 14. Januar 2020 wird Windows Server 2008 für Feature- oder Sicherheitsupdates von Microsoft nicht mehr unterstützt. Legacy Amazon Machine Images (AMIs) für Windows Server 2008 und 2008 R2 enthalten immer noch die Version 2 vom vorinstallierten SSM Agent, aber Systems Manager unterstützt offiziell nicht mehr die 2008-Versionen und aktualisiert den Agenten für diese Versionen von Windows Server. Darüber hinaus ist SSM Agent Version 3 möglicherweise nicht mit allen Operationen auf Windows Server 2008 und 2008 R2 kompatibel. Die endgültige offiziell unterstützte Version von SSM Agent für Windows Server 2008 Versionen ist 2.3.1644.0.

Windows Server 2012 und 2012 R2

Windows Server 2012 und 2012 R2 haben am 10. Oktober 2023 das Ende der Unterstützung erreicht. Für die Verwendung Patch Manager mit diesen Versionen empfehlen wir, auch Extended Security Updates (ESUs) von Microsoft zu verwenden. Weitere Informationen finden Sie auf der Microsoft-Website unter Windows Server 2012 und 2012 R2 erreichen das Ende des Supports.