SSM-Befehlsdokumente zum Patchen verwalteter Knoten - AWS Systems Manager
Empfohlene SSM-Dokumente für das Patchen von verwalteten KnotenLegacy-SSM-Dokumente für das Patchen von verwalteten KnotenBekannte Einschränkungen der SSM-Dokumente für das Patchen verwalteter Knoten

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SSM-Befehlsdokumente zum Patchen verwalteter Knoten

In diesem Thema werden die neun derzeit verfügbaren Systems-Manager-Dokumente (SSM-Dokumente) beschrieben, die Ihnen dabei helfen, Ihre verwalteten Knoten mit den neuesten sicherheitsrelevanten Updates zu patchen.

Wir empfehlen Ihnen, nur fünf dieser Dokumente für Ihre Patches zu verwenden. Zusammen bieten Ihnen diese fünf SSM-Dokumente eine breite Palette an Patch-Optionen mit AWS Systems Manager. Vier dieser Dokumente wurden später veröffentlicht als die vier alten SSM-Dokumente, die sie ersetzen und Erweiterungen oder Konsolidierungen der Funktion darstellen.

Empfohlene SSM-Dokumente zum Patchen

Wir empfehlen, bei Ihren Patchvorgängen die folgenden fünf SSM-Dokumente zu verwenden.

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

Ältere SSM-Dokumente zum Patchen

Die folgenden vier älteren SSM-Dokumente sind in einigen AWS-Regionen weiterhin verfügbar, werden jedoch nicht mehr aktualisiert oder unterstützt. Es kann nicht garantiert werden, dass diese Dokumente nur in IPv6 Umgebungen und im Support funktionieren. IPv4 Es kann nicht garantiert werden, dass sie in allen Szenarien funktionieren, und sie könnten in Zukunft den Support verlieren. Es wird empfohlen, diese Dokumente nicht für Patch-Vorgänge zu verwenden.

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

Anweisungen zum Einrichten von Patching-Vorgängen in einer Umgebung, die nur Support bietet, finden Sie unter IPv6. Tutorial: Einen Server in einer IPv6 einzigen Umgebung patchen

In den folgenden Abschnitten finden Sie weitere Informationen zur Verwendung dieser SSM-Dokumente bei Ihren Patching-Vorgängen.

Themen

Die folgenden fünf SSM-Dokumente werden für die Verwendung bei Ihren Patching-Operationen für Ihre verwalteten Knoten empfohlen.

Unterstützt die Konfiguration grundlegender Funktionen für Windows Update und deren Verwendung zum automatischen Installieren von Updates (oder zum Deaktivieren automatischer Updates). In allen AWS-Regionen verfügbar.

Mit diesem SSM-Dokument wird Windows Update aufgefordert, die angegebenen Updates herunterzuladen und zu installieren und die verwalteten Knoten bei Bedarf neu zu starten. Verwenden Sie dieses Dokument zusammen mit einem Tool inState Manager, um sicherzustellen AWS Systems Manager, dass Windows Update seine Konfiguration beibehält. Sie können es auch manuell ausführenRun Command, indem Sie ein Tool in verwenden AWS Systems Manager, um die Windows Update-Konfiguration zu ändern.

Die in diesem Dokument verfügbaren Parameter unterstützen die Angabe einer Kategorie von Updates, die installiert werden sollen (oder ob automatische Updates deaktiviert werden sollen), sowie die Angabe des Wochentages und der Tageszeit für die Ausführung von Patch-Vorgängen. Dieses SSM-Dokument ist besonders dann von Vorteil, wenn Sie keine strenge Kontrolle über Windows Updates benötigen und keine Compliance-Informationen sammeln müssen.

Replaces legacy SSM documents:

  • Keine

Installiert Updates auf einem von Windows Server verwalteten Knoten. In allen AWS-Regionen verfügbar.

Dieses SSM-Dokument bietet grundlegende Patch-Funktion für den Fall, dass Sie entweder ein bestimmtes Update (mit Hilfe des Include Kbs-Parameters) installieren möchten oder Patches mit bestimmten Klassifizierungen oder Kategorien installieren möchten, aber keine Informationen zur Patch-Compliance benötigen.

Replaces legacy SSM documents:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

Die drei alten Dokumente erfüllen zwar unterschiedliche Funktionen, aber Sie können die gleichen Ergebnisse erzielen, indem Sie unterschiedliche Parametereinstellungen mit dem neueren SSM-Dokument AWS-InstallWindowsUpdates verwenden. Diese Parametereinstellungen werden in Legacy-SSM-Dokumente für das Patchen von verwalteten Knoten beschrieben.

Installiert Patches auf Ihren verwalteten Knoten oder scannt Knoten, um festzustellen, ob qualifizierte Patches fehlen. In allen AWS-Regionen verfügbar.

Mit AWS-RunPatchBaseline können Sie Patch-Genehmigungen mithilfe der Patch-Baseline steuern, die als „Standard“ für einen Betriebssystemtyp angegeben ist. Stellt Informationen zur Patch-Compliance dar, die Sie mit den Systems Manager-Compliance-Tools einsehen können. Mit diesen Tools erhalten Sie Erkenntnisse in den Zustand der Patch-Compliance Ihrer verwalteten Knoten, z. B. bei welchen Knoten Patches fehlen und was diese Patches sind. Wenn Sie AWS-RunPatchBaseline verwenden, werden Patch-Compliance-Informationen mit dem API-Befehl PutInventory aufgezeichnet. Für Linux-Betriebssysteme werden Compliance-Informationen für Patches sowohl über das in einem verwalteten Knoten konfigurierte Standard-Quell-Repository bereitgestellt, als auch von einem beliebigen alternativen Quell-Repository aus, das Sie in einer benutzerdefinierten Patch-Baseline angeben. Weitere Informationen über alternative Quell-Repositorys finden Sie unter So geben Sie ein alternatives Patch-Quell-Repository an (Linux). Weitere Informationen zu den Systems Manager-Compliance-Tools finden Sie unter AWS Systems Manager-Compliance.

Ersetzt alte Dokumente:

  • AWS-ApplyPatchBaseline

Das Legacy-Dokument AWS-ApplyPatchBaseline gilt nur für von Windows Server verwaltete Knoten und bietet keinen Support für Anwendungs-Patches. Das neue Dokument AWS-RunPatchBaseline bietet die gleiche Unterstützung für sowohl Windows- als auch Linux-Systeme. Version 2.0.834.0 oder höher von SSM Agent ist erforderlich, um das Dokument AWS-RunPatchBaseline zu verwenden.

Weitere Informationen über das SSM-Dokument AWS-RunPatchBaseline finden Sie unter SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaseline.

Installiert Patches auf Ihren Instances oder scannt Instances, um festzustellen, ob qualifizierte Patches fehlen. In allen kommerziellen AWS-Regionen verfügbar.

AWS-RunPatchBaselineAssociation unterscheidet sich in verschiedenen wichtigen Punkten von AWS-RunPatchBaseline:

  • AWS-RunPatchBaselineAssociation ist hauptsächlich für die Verwendung mit State Manager-Zuordnungen vorgesehen, die mithilfe von Quick Setup, einem Tool in AWS Systems Manager, erstellt wurden. Insbesondere, wenn Sie den Quick Setup-Host-Management-Konfigurationstyp verwenden und die Option Scan instances for missing patches daily (Instances täglich auf fehlende Patches scannen) auswählen, verwendet das System AWS-RunPatchBaselineAssociation für diese Operation.

    In den meisten Fällen sollten Sie jedoch beim Einrichten eigener Patching-Vorgänge AWS-RunPatchBaseline oder AWS-RunPatchBaselineWithHooks anstelle von AWS-RunPatchBaselineAssociation auswählen.

    Weitere Informationen finden Sie unter den folgenden Themen:

  • AWS-RunPatchBaselineAssociation unterstützt die Verwendung von Tags, um zu identifizieren, welche Patch-Baseline bei der Ausführung mit einer Reihe von Zielen verwendet werden soll.

  • Für Patching-Vorgänge, die AWS-RunPatchBaselineAssociation verwenden, werden Patch-Compliance-Daten in Bezug auf eine bestimmte State Manager-Zuordnung gesammelt. Die Patch-Compliance-Daten, die gesammelt werden, wenn AWS-RunPatchBaselineAssociation ausgeführt wird, werden mit dem API-Befehl PutComplianceItems anstelle des Befehls PutInventory aufgezeichnet. Dies verhindert, dass Compliance-Daten, die nicht mit dieser bestimmten Zuordnung verknüpft sind, überschrieben werden.

    Für Linux-Betriebssysteme werden Compliance-Informationen für Patches sowohl über das in einer Instance konfigurierte Standard-Quell-Repository bereitgestellt, als auch von einem beliebigen alternativen Quell-Repository aus, das Sie in einer benutzerdefinierten Patch-Baseline angeben. Weitere Informationen über alternative Quell-Repositorys finden Sie unter So geben Sie ein alternatives Patch-Quell-Repository an (Linux). Weitere Informationen zu den Systems Manager-Compliance-Tools finden Sie unter AWS Systems Manager-Compliance.

Ersetzt alte Dokumente:

  • Keine

Weitere Informationen über das SSM-Dokument AWS-RunPatchBaselineAssociation finden Sie unter SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaselineAssociation.

Installiert Patches auf Ihren verwalteten Knoten oder scannt Knoten, um festzustellen, ob qualifizierte Patches fehlen. Mit optionalen Hooks können Sie SSM-Dokumente an drei Punkten während des Patch-Zyklus ausführen. In allen kommerziellen AWS-Regionen verfügbar. Wird nicht unterstützt auf macOS.

AWS-RunPatchBaselineWithHooks unterscheidet sich von AWS-RunPatchBaseline in seiner Install-Operation.

AWS-RunPatchBaselineWithHooks unterstützt Lebenszyklus-Hooks, die während dem Patching von verwalteten Knoten an festgelegten Punkten ausgeführt werden. Da Patch-Installationen manchmal den Neustart von verwalteten Knoten erfordern, ist die Patch-Operation in zwei Ereignisse unterteilt, wobei insgesamt drei Hooks enthalten sind, die benutzerdefinierte Funktion unterstützen. Der erste Hook ist vor der Install with NoReboot-Operation. Der zweite Hook ist nach der Install with NoReboot-Operation. Der dritte Hook ist nach dem Neustart des Knoten verfügbar.

Ersetzt alte Dokumente:

  • Keine

Weitere Informationen über das SSM-Dokument AWS-RunPatchBaselineWithHooks finden Sie unter SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaselineWithHooks.

Legacy-SSM-Dokumente für das Patchen von verwalteten Knoten

Die folgenden vier SSM-Dokumente sind in einigen AWS-Regionen noch verfügbar. Sie werden jedoch nicht mehr aktualisiert und möglicherweise in Zukunft nicht mehr unterstützt. Daher empfehlen wir ihre Verwendung nicht. Stattdessen verwenden Sie bitte die unter Empfohlene SSM-Dokumente für das Patchen von verwalteten Knoten beschriebenen Dokumente.

AWS-ApplyPatchBaseline

Unterstützt nur von Windows Server verwaltete Knoten, enthält jedoch, anders als der Nachfolger AWS-RunPatchBaseline, keinen Support für Anwendungs-Patches. Nicht verfügbar in Versionen, die nach August 2017 AWS-Regionen veröffentlicht wurden.

Anmerkung

Um dieses SSM-Dokument, AWS-RunPatchBaseline, zu ersetzen, wird die Version 2.0.834.0 oder eine neuere Version von SSM Agent benötigt. Sie können das Dokument AWS-UpdateSSMAgent verwenden, um Ihre verwalteten Knoten auf die neueste Version des Agenten zu aktualisieren.

AWS-FindWindowsUpdates

Ersetzt durch AWS-InstallWindowsUpdates, die alle die gleichen Aktionen ausführen können. Nicht verfügbar bei AWS-Regionen Markteinführungen nach April 2017.

Um das gleiche Ergebnis wie bei diesem alten SSM-Dokument zu erzielen, verwenden Sie die folgende Parameterkonfiguration mit dem empfohlenen Ersatzdokument, AWS-InstallWindowsUpdates:

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

Ersetzt durch AWS-InstallWindowsUpdates, die alle die gleichen Aktionen ausführen können. Nicht verfügbar bei Produkten, die nach April 2017 auf den AWS-Regionen Markt gebracht wurden.

Um das gleiche Ergebnis wie bei diesem alten SSM-Dokument zu erzielen, verwenden Sie die folgende Parameterkonfiguration mit dem empfohlenen Ersatzdokument, AWS-InstallWindowsUpdates:

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

Ersetzt durch AWS-InstallWindowsUpdates, die alle die gleichen Aktionen ausführen können. Nicht verfügbar bei Produkten, die nach April 2017 auf den AWS-Regionen Markt gebracht wurden.

Um das gleiche Ergebnis wie bei diesem alten SSM-Dokument zu erzielen, verwenden Sie die folgende Parameterkonfiguration mit dem empfohlenen Ersatzdokument, AWS-InstallWindowsUpdates:

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = comma-separated list of KB articles

Bekannte Einschränkungen der SSM-Dokumente für das Patchen verwalteter Knoten

Unterbrechungen des externen Neustarts

Wenn das System auf dem Knoten während der Patch-Installation einen Neustart initiiert (z. B. um Firmware-Updates oder andere Funktionen anzuwenden SecureBoot), kann die Ausführung des Patch-Dokuments unterbrochen und als fehlgeschlagen markiert werden, obwohl Patches erfolgreich installiert wurden. Dies ist darauf zurückzuführen, dass der SSM-Agent den Status der Dokumentausführung bei externen Neustarts nicht beibehalten und wieder aufnehmen kann.

Um den Status der Patch-Installation nach einer fehlgeschlagenen Ausführung zu überprüfen, führen Sie einen Scan Patch-Vorgang aus und überprüfen Sie anschließend die Patch-Kompatibilitätsdaten in Patch Manager, um den aktuellen Kompatibilitätsstatus zu beurteilen.