Patch Manager-Voraussetzungen - AWS Systems Manager
SSM Agent-VersionPython-VersionKonnektivität zur Patch-QuelleS3-Endpunkt-ZugriffBerechtigungen zur lokalen Installation von PatchesUnterstützte Betriebssysteme für Patch Manager

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Patch Manager-Voraussetzungen

Stellen Sie sicher, dass Sie die erforderlichen Voraussetzungen erfüllt habenPatch Manager, bevor Sie ein Tool in verwenden AWS Systems Manager.

SSM Agent-Version

Version 2.0.834.0 oder höher von SSM Agent muss auf dem verwalteten Knoten ausgeführt werden, den Sie mit Patch Manager verwalten möchten.

Anmerkung

Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

Python-Version

Unterstützt Patch Manager derzeit die Python-Versionen 2.6 bis 3.12 für macOS und die meisten Linux-Betriebssysteme (OSs). Die AlmaLinuxDebian Server, und Ubuntu Server OSs erfordern eine unterstützte Version von Python 3 (3.0-3.12).

Konnektivität zur Patch-Quelle

Wenn Ihre verwalteten Knoten keine direkte Verbindung zum Internet haben und Sie eine Amazon Virtual Private Cloud (Amazon VPC) mit einem VPC-Endpunkt verwenden, müssen Sie sicherstellen, dass die Knoten Zugriff auf die Quell-Patch-Verzeichnisse (Repos) haben. Auf Linux-Knoten werden Patch-Updates normalerweise von den auf dem Knoten konfigurierten Remote-Repos heruntergeladen. Daher muss der Knoten eine Verbindung zu den Repos herstellen können, damit die Patches ausgeführt werden können. Weitere Informationen finden Sie unter Wie Sicherheitspatches ausgewählt werden.

Wenn Sie einen Knoten patchen, der in einer IPv6 reinen Umgebung ausgeführt wird, stellen Sie sicher, dass der Knoten mit der Patch-Quelle verbunden ist. Sie können die Run Command Ausgabe der Patching-Ausführung überprüfen, um nach Warnungen zu unzugänglichen Repositorys zu suchen. Für DNF-basierte Betriebssysteme ist es möglich, nicht verfügbare Repositorys so zu konfigurieren, dass sie beim Patchen übersprungen werden, wenn die Option auf unter gesetzt ist. skip_if_unavailable True /etc/dnf/dnf.conf Zu den DNF-basierten Betriebssystemen gehören Amazon Linux 2023, Red Hat Enterprise Linux 8 und spätere Versionen, Oracle Linux 8 und höhere Versionen, Rocky Linux AlmaLinux, und CentOS 8 und spätere Versionen. Unter Amazon Linux 2023 ist die skip_if_unavailable Option True standardmäßig auf eingestellt.

CentOS Stream: Das EnableNonSecurity-Flag aktivieren

CentOS Stream-Knoten verwenden DNF als Paketmanager, das das Konzept eines Update-Hinweises verwendet. Ein Update-Hinweis ist einfach eine Sammlung von Paketen, die bestimmte Probleme beheben.

Standard-Repos von CentOS Stream werden jedoch nicht mit einem Update-Hinweis konfiguriert. Das bedeutet, dass Patch Manager Pakete auf einem Standard-CentOS Stream-Repos nicht erkennt. Um Patch Manager für die Verarbeitung von Paketen, die nicht in einem Update-Hinweis enthalten sind, zu aktivieren, müssen Sie die EnableNonSecurity-Markierung in den Patch-Baseline-Regeln aktivieren.

Windows Server: Stellen Sie die Konnektivität zum Windows Update Catalog oder Windows Server Update Services (WSUS) sicher

Von Windows Server verwaltete Knoten müssen eine Verbindung zum Windows Update Catalog oder Windows Server Update Services (WSUS) herstellen können. Vergewissern Sie sich, dass Ihre Knoten über ein Internet-Gateway, ein NAT-Gateway oder eine NAT-Instance eine Verbindung zum Microsoft Update Catalog hergestellt haben. Wenn Sie WSUS verwenden, stellen Sie sicher, dass der Knoten eine Verbindung zum WSUS-Server in Ihrer Umgebung hat. Weitere Informationen finden Sie unter Problem: Der verwaltete Knoten hat keinen Zugriff auf Windows Update Catalog oder WSUS.

S3-Endpunkt-Zugriff

Unabhängig davon, ob Ihre verwalteten Knoten in einem privaten oder öffentlichen Netzwerk betrieben werden, ohne Zugriff auf die erforderlichen AWS verwalteten Amazon Simple Storage Service (Amazon S3) -Buckets schlagen Patch-Vorgänge fehl. Informationen zu den S3-Buckets, auf die Ihre verwalteten Knoten zugreifen können müssen, finden Sie unter SSM Agent-Kommunikationen mit AWS -verwalteten S3-Buckets und Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager.

Berechtigungen zur lokalen Installation von Patches

Unter den Betriebssystemen Windows Server und Linux setzt Patch Manager zum Installieren von Patches die Benutzerkonten Administrator bzw. Root voraus.

Unter macOS unterstützt Homebrew für Brew und Brew Cask jedoch nicht die Ausführung seiner Befehle unter dem Root-Benutzerkonto. Darum fragt Patch Manager entweder als Eigentümer des Homebrew-Verzeichnisses oder als gültiger Benutzer,der zur Eigentümergruppe des Homebrew-Verzeichnisses gehört, Homebrew–Befehle ab und führt sie aus. Um Patches installieren zu können, benötigt der Besitzer des homebrew-Verzeichnisses daher auch rekursive Eigentümerberechtigungen für das /usr/local-Verzeichnis.

Tipp

Der folgende Befehl stellt diese Berechtigung für den angegebenen Benutzer bereit:

sudo chown -R $USER:admin /usr/local

Unterstützte Betriebssysteme für Patch Manager

Das Patch Manager-Tool unterstützt nicht dieselben Betriebssystemversionen, die von anderen Systems-Manager-Tools unterstützt werden. (Eine vollständige Liste der von Systems Manager unterstützten Betriebssysteme finden Sie unter Unterstützte Betriebssysteme für Systems Manager.) Stellen Sie daher sicher, dass die verwalteten Knoten, die Sie mit Patch Manager verwenden möchten, eines der Betriebssysteme ausführen, die in der folgenden Tabelle aufgeführt sind.

Anmerkung

Patch Manager stützt sich auf die Patch-Repositorys, die auf einem verwalteten Knoten konfiguriert sind, z. B. Windows Update Catalog und Windows Server Update Services für Windows, um verfügbare Patches für die Installation abzurufen. Daher können Betriebssystemversionen, die am Ende ihres Lebenszyklus (EOL) sind, ist Patch Manager möglicherweise nicht in der Lage, über die neuen Updates zu berichten, wenn keine neuen Updates verfügbar sind. Dies kann daran liegen, dass vom Linux-Distributionsbetreuer, Microsoft oder Apple keine neuen Updates veröffentlicht wurden oder dass der verwaltete Knoten nicht über die richtige Lizenz für den Zugriff auf die neuen Updates verfügt.

Wir empfehlen dringend, die Verwendung von Betriebssystemversionen zu vermeiden, die End-of-Life (EOL) erreicht haben. Betriebssystemanbieter, darunter auch, bieten AWS in der Regel keine Sicherheitspatches oder andere Updates für Versionen an, die EOL erreicht haben. Die weitere Verwendung eines EOL-Systems erhöht das Risiko, dass Upgrades, einschließlich Sicherheitsupdates, und andere Betriebsprobleme nicht durchgeführt werden können, erheblich. AWS testet die Systems Manager Manager-Funktionalität nicht auf Betriebssystemversionen, die EOL erreicht haben.

Patch Manager meldet den Konformitätsstatus anhand der verfügbaren Patches auf dem verwalteten Knoten. Wenn auf einer Instance ein EOL-Betriebssystem ausgeführt wird und keine Updates verfügbar sind, wird Patch Manager den Knoten daher möglicherweise als konform melden, je nachdem, welche Patch-Baselines für den Patchvorgang konfiguriert wurden.

Betriebssystem Details

Linux

  • AlmaLinux 8 x, 9 x

  • Amazon Linux 2 Version 2.0 und alle späteren Versionen

  • Amazon Linux 2023

  • CentOS Stream 9

  • Debian Server 11.x und 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Red Hat Enterprise Linux (RHEL) 7.x–8.x, 9.x, 10x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server 15.3 und höher

  • Ubuntu Server16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS und 25,04
macOS

macOSwird nur für EC2 Amazon-Instances unterstützt.

13.0–13.7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

macOS Updates

Patch Manager unterstützt keine Updates oder Upgrades für macOS, z. B. von 13.1 auf 13.2. Für die Aktualisierung der Betriebssystemversion von macOS empfehlen wir, die in Apple integrierten Mechanismen zu verwenden. Weitere Informationen finden Sie auf der Website mit Entwicklerdokumentation von Apple unter Device Management.

Unterstützung für Homebrew

Patch Manager erfordert, dass Homebrew, das Open-Source-Softwarepaketverwaltungssystem, an einem der folgenden Standardinstallationsverzeichnisse installiert ist:

  • /usr/local/bin

  • /opt/homebrew/bin

Patch-Vorgänge, die Patch Manager verwenden, funktionieren nicht richtig, wenn Homebrew nicht installiert ist.

Regionsunterstützung

macOSwird nicht in allen unterstützt AWS-Regionen. Weitere Informationen zum EC2 Amazon-Support für macOS finden Sie unter Amazon EC2 Mac-Instances im EC2 Amazon-Benutzerhandbuch.

macOS-Edge-Geräte

SSM Agentfür AWS IoT Greengrass Core-Geräte wird auf nicht unterstütztmacOS. Sie können Patch Manager nicht verwenden, um macOS-Edge-Geräte zu patchen.

Windows

Windows Server 2012 bis Windows Server 2025, einschließlich R2-Versionen.

Anmerkung

SSM Agentfür AWS IoT Greengrass Kerngeräte wird unter Windows 10 nicht unterstützt. Sie können Patch Manager nicht verwenden, um Windows-10-Edge-Geräte zu patchen.

Windows Server 2012 und 2012 R2

Windows Server 2012 und 2012 R2 haben am 10. Oktober 2023 das Ende der Unterstützung erreicht. Für die Verwendung Patch Manager mit diesen Versionen empfehlen wir, auch Extended Security Updates (ESUs) von Microsoft zu verwenden. Weitere Informationen finden Sie auf der Microsoft-Website unter Windows Server 2012 und 2012 R2 erreichen das Ende des Supports.