Base del parche SSM | Crear (Amazon Linux) - Referencia avanzada de tipos de cambios de AMS
Detalles del tipo de cambioInformación adicionalParámetros de entrada de ejecuciónEjemplo: Parámetros necesariosEjemplo: todos los parámetros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Base del parche SSM | Crear (Amazon Linux)

Cree una línea base de parches de AWS Systems Manager (SSM) para definir qué parches están aprobados para su instalación en sus instancias del sistema operativo Amazon Linux. Especifique los valores de la etiqueta «Grupo de parches» de la instancia existente para la línea base del parche. La línea base del parche es un recurso de SSM que se puede administrar con la consola de SSM.

Clasificación completa: Implementación | Parcheo | Base de referencia del parche SSM | Crear (Amazon Linux)

Detalles del tipo de cambio

ID de tipo de cambio

ct-2taqdgegqthjr

Versión actual

1.0

Duración prevista de la ejecución

60 minutos

Aprobación de AWS

Obligatorio

Aprobación del cliente

No obligatorio

Modo de ejecución

Automatizado

Información adicional

Crear para Amazon Linux

Captura de pantalla de este tipo de cambio en la consola AMS:

SSM patch baseline creation interface for Amazon Linux with description and version details.

Cómo funciona:

  1. Vaya a la página Crear RFC: en el panel de navegación izquierdo de la consola AMS, haga clic RFCspara abrir la página de RFCs listas y, a continuación, haga clic en Crear RFC.

  2. Elija un tipo de cambio (CT) popular en la vista predeterminada de búsqueda de tipos de cambios o seleccione un CT en la vista Elegir por categoría.

    • Busque por tipo de cambio: puede hacer clic en un CT popular en el área de creación rápida para abrir inmediatamente la página Ejecutar RFC. Tenga en cuenta que no puede elegir una versión antigua de CT con Quick Create.

      Para ordenar CTs, utilice el área Todos los tipos de cambios en la vista de tarjeta o de tabla. En cualquiera de las vistas, seleccione una CT y, a continuación, haga clic en Crear RFC para abrir la página Ejecutar RFC. Si corresponde, aparece la opción Crear con una versión anterior junto al botón Crear RFC.

    • Elegir por categoría: seleccione una categoría, una subcategoría, un elemento y una operación, y se abrirá el cuadro de detalles del CT con la opción Crear con una versión anterior, si corresponde. Haga clic en Crear RFC para abrir la página Ejecutar RFC.

  3. En la página Ejecutar RFC, abra el área del nombre del CT para ver el cuadro de detalles del CT. Se requiere un asunto (lo rellena automáticamente si elige su CT en la vista Buscar tipos de cambios). Abra el área de configuración adicional para añadir información sobre la RFC.

    En el área de configuración de ejecución, utilice las listas desplegables disponibles o introduzca valores para los parámetros necesarios. Para configurar los parámetros de ejecución opcionales, abra el área de configuración adicional.

  4. Cuando haya terminado, haga clic en Ejecutar. Si no hay errores, aparecerá la página de la RFC creada correctamente con los detalles de la RFC enviada y el resultado inicial de la ejecución.

  5. Abra el área de parámetros de ejecución para ver las configuraciones que envió. Actualice la página para actualizar el estado de ejecución de la RFC. Si lo desea, cancele la RFC o cree una copia de la misma con las opciones de la parte superior de la página.

En la consola de AWS, puede ver las líneas base de los parches que creó en Systems Manager -> Patch Manager --> Patch Baselines.

Cómo funciona:

  1. Utilice la función de creación en línea (se emite un create-rfc comando con todos los parámetros de ejecución y RFC incluidos) o la de plantilla (se crean dos archivos JSON, uno para los parámetros de RFC y otro para los parámetros de ejecución) y ejecute el create-rfc comando con los dos archivos como entrada. Ambos métodos se describen aquí.

  2. Envíe el aws amscm submit-rfc --rfc-id ID comando RFC: con el ID de RFC devuelto.

    Supervise el comando RFC:. aws amscm get-rfc --rfc-id ID

Para comprobar la versión del tipo de cambio, utilice este comando:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
nota

Puede utilizar cualquier CreateRfc parámetro con cualquier RFC, forme o no parte del esquema del tipo de cambio. Por ejemplo, para recibir notificaciones cuando cambie el estado de la RFC, añada esta línea --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" a la parte de los parámetros de la RFC de la solicitud (no a los parámetros de ejecución). Para ver una lista de todos los CreateRfc parámetros, consulta la referencia de la API de administración de cambios de AMS.

CREACIÓN EN LÍNEA:

Ejecute el comando create RFC con los parámetros de ejecución incluidos en línea (comillas de escape al proporcionar los parámetros de ejecución en línea) y, a continuación, envíe el ID de RFC devuelto. Por ejemplo, puedes reemplazar el contenido por algo como esto:

Amazon Linux:

aws amscm create-rfc --title Patch-Baseline-Create-AL-RFC --change-type-id ct-2taqdgegqthjr --change-type-version 1.0 --execution-parameters '{"ApprovalRules": [{"ApproveAfterDays": 7, "Classification": ["Security"], "Severity": ["All"]}], "OperatingSystem": "Amazon Linux", "Name": "TestBaselineAmazonLinux", "PatchGroupTagValues": ["MyAmazonLinuxPatchGroup"]}'

CREACIÓN DE PLANTILLA:

  1. Genera los parámetros de ejecución del esquema JSON para este tipo de cambio en un archivo JSON; en este ejemplo se llama Create ALPatch BaselineParams .json:

    aws amscm get-change-type-version --change-type-id "ct-2taqdgegqthjr" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateALPatchBaselineParams.json

  2. Modifique y guarde el ALPatch BaselineParams archivo Create. Asegúrese de modificar estos parámetros para adaptarlos a sus necesidades específicas.

    En este ejemplo, se aprueba la instalación de todas las actualizaciones de seguridad críticas cinco días después de su publicación. Los parches relacionados con el identificador de vulnerabilidad CVE-2017-5754 se aprueban inmediatamente aunque no sean de gravedad crítica. Por último, example-pkg-0.710.10-2.7.abcd.x86_64 no se instalará aunque cumpla con una regla de aprobación.

    {
"ApprovalRules":[{
    "ApproveAfterDays": 5,
    "Severity": [
        "Critical"
        ],
    "Classification": [
        "Security"
        ]
    }],
"ApprovedPatches":["CVE-2017-5754"],
"Description": "Patch Baseline",
"Name": "PatchBaseline-Unit-test",
"OperatingSystem": "Amazon Linux",
"PatchGroupTagValues": [
    "test1"
    ],
"RejectedPatches":["example-pkg-0.710.10-2.7.abcd.x86_64"],
"Tags": [
    {
    "Key":"patchGroupAL",
    "Value":"test1"
    }
]

  3. Envía la plantilla RFC a un archivo de tu carpeta actual; en este ejemplo se llama Create .json: ALPatch BaselineRfc

    aws amscm create-rfc --generate-cli-skeleton > CreateALPatchBaselineRfc.json

  4. Modifique y guarde el archivo Create ALPatch BaselineRfc .json. Por ejemplo, puedes reemplazar el contenido por algo como esto:

    {
"ChangeTypeVersion":    "1.0",	
"ChangeTypeId":         "ct-2taqdgegqthjr",
"Title":                "Patch-Baseline-Create-AL-RFC"
}

  5. Cree el RFC, especificando el archivo de creación y el ALPatch BaselineRfc archivo de creación ALPatchBaselineParams :

    aws amscm create-rfc --cli-input-json file://CreateALPatchBaselineRfc.json --execution-parameters file://CreateALPatchBaselineParams.json

    Recibirá el ID del nuevo RFC en la respuesta y podrá utilizarlo para enviar y supervisar el RFC. Hasta que la envíe, la RFC permanece en estado de edición y no se inicia.

  6. Para ver la línea base del parche SSM, consulte el resultado de la ejecución: utilice el stack_id para ver la línea base del parche en la consola de Systems Manager.

nota

Existen cinco tipos de cambios para crear una línea base de parches de SSM para los distintos sistemas operativos.

importante

Al menos uno de ApprovalRules o ApprovedPatches es obligatorio.

Si crea una línea base de parche, debe tener al menos un parche and/or aprobado por regla de aprobación definido. Una regla de aprobación le permite especificar qué parches de clasificación (por ejemplo SecurityUpdates) y de gravedad (por ejemplo, críticos) se instalarán. En sus reglas de aprobación, puede definir cuántos días después del lanzamiento de un parche se puede instalar. Los parches especificados en la lista de parches aprobados se instalarán independientemente de si cumplen o no una regla de aprobación. Por último, los elementos de la lista de parches rechazados excluirán la instalación de dichos parches, incluso si coinciden con un parche and/or aprobado por una regla de aprobación. Para obtener más información, consulte Acerca de las líneas base de parches predefinidas y personalizadas.

Para crear una ventana de parches de SSM, consulte Crear una ventana de parches de SSM.

Parámetros de entrada de ejecución

Para obtener información detallada sobre los parámetros de entrada de la ejecución, consulteEsquema de cambio: escriba ct-2taqdgegqthjr.

Ejemplo: Parámetros necesarios

Example not available.

Ejemplo: todos los parámetros

Example not available.