Patch ManagerRequisitos previos de - AWS Systems Manager
SSM AgentVersión Versión de PythonConectividad con la fuente de revisionesAcceso al punto de enlace de S3Permisos para instalar revisiones localmenteSistemas operativos admitidos por Patch Manager

AWS Systems Manager Change Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de Change Manager de AWS Systems Manager.

Patch ManagerRequisitos previos de

Asegúrese de que haya cumplido los requisitos previos necesarios antes de usar Patch Manager, una herramienta de AWS Systems Manager.

SSM AgentVersión

La versión 2.0.834.0 o una versión posterior de SSM Agent debe ejecutarse en los nodos administrados que desee administrar con Patch Manager.

nota

Cada vez que se agregan herramientas nuevas a Systems Manager o se actualizan las herramientas existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas herramientas y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. Suscríbase a la página SSM Agent Release Notes en GitHub para recibir notificaciones sobre las actualizaciones de SSM Agent.

Versión de Python

En la actualidad, para macOS y la mayoría de los sistemas operativos (SO) Linux, Patch Manager es compatible con las versiones 2.6 a 3.12 de Python. Los sistemas operativos de AlmaLinux, Debian Server y Ubuntu Server requieren una versión compatible de Python 3 (3.0 a 3.12).

Conectividad con la fuente de revisiones

Si los nodos administrados no disponen de una conexión directa a Internet y utiliza una Amazon Virtual Private Cloud (Amazon VPC) con un punto de conexión de VPC, debe asegurarse de que los nodos tengan acceso a los repositorios (repos) de revisiones de origen. En los nodos de Linux, las actualizaciones de revisiones suelen descargarse de los repositorios remotos configurados en el nodo. Por lo tanto, el nodo debe poder conectarse a los repositorios para que puedan aplicarse las revisiones. Para obtener más información, consulte Cómo se seleccionan los parches de seguridad.

Cuando aplique revisiones a un nodo que se ejecuta en un entorno exclusivo de IPv6, asegúrese de que el nodo tenga conectividad con la fuente de la revisión. Puede comprobar el resultado Run Command de la ejecución de la revisión para comprobar si hay advertencias sobre repositorios inaccesibles. En el caso de los sistemas operativos basados en DNF, es posible configurar los repositorios no disponibles para que se omitan durante la aplicación de revisiones si la opción skip_if_unavailable está establecida en True en /etc/dnf/dnf.conf. Los sistemas operativos basados en DNF incluyen Amazon Linux 2023, Red Hat Enterprise Linux 8 y versiones posteriores, Oracle Linux 8 y versiones posteriores, Rocky Linux, AlmaLinux y CentOS 8 y versiones posteriores. En Amazon Linux 2023, la opción skip_if_unavailable está establecida en True de forma predeterminada.

CentOS Stream: Activa la bandera EnableNonSecurity

Los nodos CentOS Stream utilizan DNF como administrador de paquetes, que utiliza el concepto de aviso de actualización. Un aviso de actualización es simplemente una colección de paquetes que solucionan un problema determinado.

Sin embargo, los repositorios predeterminados de CentOS Stream no se configuran con un aviso de actualización. Esto significa que Patch Manager no detecta paquetes en repositorios de CentOS Stream predeterminados. Para permitir que Patch Manager procese paquetes no incluidos en avisos de actualización, debe activar la marca EnableNonSecurity en las reglas de base de referencia de los parches.

Windows Server: garantiza la conectividad al catálogo de Windows Update o a Windows Server Update Services (WSUS)

Windows ServerLos nodos administrados de deben poder conectarse al catálogo de Windows Update o a Windows Server Update Services (WSUS). Confirme que los nodos cuentan con conectividad al catálogo de Microsoft Update a través de una puerta de enlace de Internet, una puerta de enlace NAT o una instancia NAT. Si utiliza WSUS, confirme que el nodo dispone de conectividad con el servidor WSUS de su entorno. Para obtener más información, consulte Asunto: el nodo administrado no tiene acceso al catálogo de Windows Update ni a WSUS.

Acceso al punto de enlace de S3

Tanto si los nodos administrados operan en una red privada como en una pública, sin tener acceso a los buckets requeridos de Amazon Simple Storage Service (Amazon S3) administrados por AWS, las operaciones de aplicación de revisiones pueden producir errores. Para obtener información acerca de los buckets de S3 a los que deben tener acceso los nodos administrados, consulte SSM Agent Comunicaciones de AWS con buckets de S3 administrados de y Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager.

Permisos para instalar revisiones localmente

En los sistemas operativos Windows Server y Linux, Patch Manager asume las cuentas de administrador y usuario raíz, respectivamente, para instalar las revisiones.

Sin embargo, en macOS, para Brew y Brew Cask, Homebrew no admite que sus comandos se ejecuten con la cuenta del usuario raíz. Como resultado, Patch Manager consulta y ejecuta los comandos de Homebrew como propietario del directorio de Homebrew o como usuario válido perteneciente al grupo de propietarios de ese directorio. Por lo tanto, para instalar las revisiones, el propietario del directorio homebrew también necesita permisos de propietario recursivos para el directorio /usr/local.

sugerencia

El siguiente comando proporciona este permiso al usuario especificado:

sudo chown -R $USER:admin /usr/local

Sistemas operativos admitidos por Patch Manager

Es posible que la herramienta Patch Manager no sea compatible con las mismas versiones de sistemas operativos que sí lo son con las demás herramientas de Systems Manager. (Para ver una lista completa de los sistemas operativos admitidos por Systems Manager, consulte ). Sistemas operativos compatibles con Systems Manager.) Por lo tanto, asegúrese de que los nodos administrados que desea utilizar con Patch Manager ejecutan uno de los sistemas operativos que se muestran en la siguiente tabla.

nota

Patch Manager utiliza los repositorios de revisiones que estén configurados en un nodo administrado, como el Catálogo de Windows Update y Windows Server Update Services para Windows, para recuperar las revisiones disponibles que se deben instalar. Por lo tanto, para versiones del sistema operativo en el final de su vida útil (EOL), si no hay nuevas actualizaciones disponibles, es posible que Patch Manager no pueda informar sobre las nuevas actualizaciones. Esto puede deberse a que el responsable de la distribución de Linux, Microsoft o Apple no han publicado nuevas actualizaciones, o a que el nodo administrado no dispone de la licencia adecuada para acceder a las nuevas actualizaciones.

Le recomendamos encarecidamente que evite utilizar versiones del sistema operativo que hayan llegado al final de su vida útil (EOL). Los proveedores de sistemas operativos, incluso AWS, no suelen proporcionar revisiones de seguridad ni otras actualizaciones para las versiones que han llegado al final de su vida útil. Seguir utilizando un sistema EOL aumenta considerablemente el riesgo de no poder aplicar las actualizaciones, incluidas las correcciones de seguridad, y otros problemas operativos. AWS no prueba la funcionalidad de Systems Manager en las versiones del sistema operativo que han alcanzado el final de su vida.

Patch Manager informa del estado de conformidad respecto de las revisiones disponibles en el nodo administrado. Por lo tanto, si en una instancia se está ejecutando un sistema operativo EOL y no hay actualizaciones disponibles, es posible que Patch Manager indique que el nodo es conforme, dependiendo de las líneas de base de revisiones configuradas para la operación de revisión.

Sistema operativo Detalles

Linux

  • AlmaLinux 8.x, 9.x

  • Amazon Linux 2 versión 2.0 y todas las versiones posteriores

  • Amazon Linux 2023

  • CentOS Stream 9

  • Debian Server 11.x y 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Red Hat Enterprise Linux (RHEL) 7.x–8.x, 9.x, 10.x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server 15.3 y posteriores

  • Ubuntu Server 16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS y 25,04
macOS

macOS solo es compatible con las instancias de Amazon EC.

13.0-13.7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

Actualizaciones del sistema operativo macOS

Patch Manager no es compatible con actualizaciones ni mejoras del sistema operativo (SO) para macOS, tales como pasar de la versión 13.1 a la 13.2. Para realizar actualizaciones de la versión del SO macOS, se recomienda utilizar los mecanismos de actualización del SO integrados de Apple. Para obtener más información, consulte Device Management en el sitio web Apple Developer Documentation.

Compatibilidad con Homebrew

Patch Manager requiere que Homebrew, el sistema de administración de paquetes de software de código abierto, esté instalado en cualquiera de las siguientes ubicaciones de instalación predeterminadas:

  • /usr/local/bin

  • /opt/homebrew/bin

Las operaciones de revisión que utilizan Patch Manager no funcionan correctamente cuando Homebrew no está instalado.

Compatibilidad de regiones

macOS no se admite en todas las Regiones de AWS. Para obtener más información sobre la compatibilidad de Amazon EC2 con macOS, consulte Instancias de Mac de Amazon EC2 en la Guía del usuario de Amazon EC2.

Dispositivos periféricos de macOS

No se admite SSM Agent para los dispositivos de núcleo de AWS IoT Greengrass en macOS. No se puede utilizar Patch Manager para aplicar revisiones a dispositivos de borde de macOS.

Windows

De Windows Server 2012 a Windows Server 2025, incluidas las versiones R2.

nota

No se admite SSM Agent para los dispositivos de núcleo AWS IoT Greengrass en Windows 10. No se puede utilizar Patch Manager para aplicar revisiones a dispositivos de borde de Windows 10.

Windows Server 2012 y soporte de R2 de 2012

La compatibilidad con Windows Server 2012 y 2012 R2 finalizó el 10 de octubre de 2023. Para utilizar Patch Manager con estas versiones, se recomienda utilizar también las actualizaciones de seguridad ampliada (ESU) de Microsoft. Para obtener más información, consulte Finaliza el soporte para Windows Server 2012 y 2012 R2 en el sitio web de Microsoft.