AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes de correctifs
Note
Les groupes de correctifs ne sont pas utilisés dans les opérations d'application de correctifs basées sur des politiques de correctifs. Pour obtenir des informations sur l'utilisation des politiques de correctifs, consultez la rubrique Configurations de la politique de correctifs dans Quick Setup.
La fonctionnalité de groupes de correctifs n’est pas prise en charge dans la console pour les paires compte-région qui n’utilisaient pas encore de groupes de correctifs avant le lancement de la prise en charge des politiques de correctifs le 22 décembre 2022. La fonctionnalité de groupes de correctifs est toujours disponible dans les paires compte-région qui ont commencé à utiliser les groupes de correctifs avant cette date.
Vous pouvez utiliser un groupe de correctifs pour associer des nœuds gérés à un référentiel de correctifs spécifique dans l’outil Patch Manager d’AWS Systems Manager. Les groupes de correctifs vous permettent de vous assurer que vous déployez les correctifs appropriés, conformément aux règles de référentiel de correctifs associées, pour le groupe de nœuds adéquat. Les groupes de correctifs peuvent également vous aider à éviter le déploiement de correctifs avant qu'ils aient été testés correctement. Par exemple, vous pouvez créer des groupes de correctifs pour différents environnements (par exemple, développement, test ou production) et enregistrer chaque groupe de correctifs dans un référentiel de correctifs appropriée.
Lorsque vous exécutez AWS-RunPatchBaseline ou d’autres documents de commande SSM pour l’application de correctifs, vous pouvez cibler les nœuds gérés à l’aide de leur ID ou de leurs balises. SSM Agent et Patch Manager déterminent alors quel est le référentiel de correctifs à utiliser en fonction de la valeur de groupe de correctifs que vous avez ajoutée au nœud géré.
Utiliser des balises pour définir des groupes de correctifs
Vous pouvez créer un groupe de correctifs en utilisant des balises appliquées à vos instances Amazon Elastic Compute Cloud (Amazon EC2) et aux nœuds non EC2 dans un environnement hybride et multicloud. Notez les détails suivants sur l’utilisation des balises pour les groupes de correctifs :
-
Un groupe de correctifs doit être défini à l’aide de la clé de balise
Patch GroupouPatchGroupappliquée à vos nœuds gérés. Lors de l’enregistrement d’un groupe de correctifs pour un référentiel de correctifs, toutes les valeurs identiques spécifiées pour ces deux clés sont interprétées comme faisant partie du même groupe. Supposons, par exemple, que vous ayez balisé cinq nœuds avec la première des paires clé-valeur suivantes, et cinq avec la seconde :-
key=PatchGroup,value=DEV -
key=Patch Group,value=DEV
La commande Patch Manager de création d’un référentiel combine ces 10 nœuds gérés en un seul groupe en fonction de la valeur
DEV. L’équivalent AWS CLI permettant de créer un référentiel de correctifs pour les groupes de correctifs est la commande suivante :aws ssm register-patch-baseline-for-patch-group \ --baseline-id pb-0c10e65780EXAMPLE \ --patch-group DEVLa combinaison de valeurs provenant de différentes clés en une seule cible est propre à cette commande Patch Manager pour créer un nouveau groupe de correctifs et n’est pas prise en charge par d’autres actions d’API. Par exemple, si vous exécutez des actions send-command avec des clés
PatchGroupetPatch Groupayant les mêmes valeurs, vous ciblez deux ensembles de nœuds complètement différents :aws ssm send-command \ --document-name AWS-RunPatchBaseline \ --targets "Key=tag:PatchGroup,Values=DEV"aws ssm send-command \ --document-name AWS-RunPatchBaseline \ --targets "Key=tag:Patch Group,Values=DEV" -
-
Le ciblage basé sur les balises est soumis à des limites. Chaque tableau de cibles pour
SendCommandpeut contenir un maximum de cinq paires clé-valeur. -
Nous vous recommandons de ne choisir qu’une seule de ces conventions de clés de balise, soit
PatchGroup(sans espace), soitPatch Group(avec espace). Cependant, si vous avez autorisé les balises dans les métadonnées des instances EC2, vous devez utiliserPatchGroup. -
La clé est sensible à la casse. Vous pouvez spécifier n’importe quelle valeur pour vous aider à identifier et à cibler les ressources de ce groupe, par exemple « serveurs web » ou « US-EAST-PROD », cependant la clé doit être
Patch GroupouPatchGroup.
Après avoir créé un groupe de correctifs et attribué des balises aux nœuds gérés, vous pouvez enregistrer le groupe de correctifs auprès d'un référentiel de correctifs. L'enregistrement du groupe de correctifs auprès d'un référentiel de correctifs garantit que les nœuds du groupe de correctifs utiliseront les règles définies dans le référentiel de correctifs associé.
Pour de plus amples informations sur la création d'un groupe de correctifs et son association à un référentiel de correctifs, consultez Création et gestion de groupes de correctifs et Ajout d'un groupe de correctifs à un référentiel de correctifs.
Pour voir un exemple de création d'un référentiel de correctifs et de groupes de correctifs à l'aide de l'AWS Command Line Interface (AWS CLI), consultez Tutoriel : appliquer un correctif à un environnement de serveur à l'aide du AWS CLI. Pour de plus amples informations sur les balises Amazon EC2, veuillez consulter Baliser vos ressources Amazon EC2 dans le Guide de l’utilisateur Amazon EC2.
Fonctionnement
Lorsque le système applique un référentiel de correctifs à un nœud géré, SSM Agent vérifie si une valeur de groupe de correctifs est définie pour le nœud. Si le nœud est attribué à un groupe de correctifs, Patch Manager vérifie alors quel référentiel de correctifs est enregistré pour ce groupe. S'il existe un référentiel de correctifs pour ce groupe, Patch Manager demande à l'SSM Agent de l'utiliser. Si un nœud n'est attribué à aucun groupe de correctifs, Patch Manager demande automatiquement à SSM Agent d'utiliser le référentiel de correctifs par défaut.
Important
Un nœud géré ne peut appartenir qu'à un seul groupe de correctifs.
Un groupe de correctifs peut être enregistré avec un seule référentiel de correctifs pour chaque type de système d'exploitation.
Vous ne pouvez pas appliquer la Patch Group balise (avec un espace) à une instance Amazon EC2 si l'option Autoriser les balises dans les métadonnées d'instance est activée sur celle-ci. L'autorisation des identifications dans les métadonnées d'instance empêche les noms de clés d'identification de contenir des espaces. Si vous avez autorisé les balises dans les métadonnées des instances EC2, vous devez utiliser la clé de la balise PatchGroup (sans espace).
Diagramme 1 : Exemple général de flux de processus d'opérations d'application de correctifs
L’illustration suivante présente un exemple général des processus exécutés par Systems Manager lors de l’envoi à votre flotte de serveurs d’une tâche Run Command d’application de correctifs à l’aide du Patch Manager. Ces processus déterminent les référentiels de correctifs à utiliser dans les opérations de correctifs. (Un processus similaire est utilisé lorsqu’une fenêtre de maintenance est configurée pour envoyer une commande d’application de correctifs à l’aide du Patch Manager.)
Le processus complet est expliqué sous l’illustration.
Cet exemple illustre trois groupes d'instances EC2 pour Windows Server avec les balises suivantes appliquées :
| Groupe d'instances EC2 | Balises |
|---|---|
|
Groupe 1 |
|
|
Groupe 2 |
|
|
Groupe 3 |
|
Dans cet exemple, nous avons également ces deux référentiels de correctifs Windows Server :
| ID de référence de correctif | Par défaut | Groupe de correctifs associé |
|---|---|---|
|
|
Oui |
|
|
|
Non |
|
La procédure générale d’analyse ou d’installation des correctifs à l’aide de Run Command, un des outils d’AWS Systems Manager et de Patch Manager se présente comme suit :
-
Envoi d'une commande de correctif : utilisez la console Systems Manager, le kit SDK, l'AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell pour envoyer une tâche Run Command à l'aide du document
AWS-RunPatchBaseline. Le diagramme illustre une tâche Run Command d'application de correctifs aux instances gérées en ciblant la balisekey=OS,value=Windows. -
Détermination du référentiel de correctifs : SSM Agent vérifie les balises de groupe de correctifs appliquées à l'instance EC2 et interroge Patch Manager concernant le référentiel de correctifs correspondante.
-
Mise en correspondance de la valeur du groupe de correctifs associée avec le référentiel de correctifs:
-
L'SSM Agent, qui est installé sur les instances EC2 dans un groupe, reçoit la commande émise à l'étape 1 lui indiquant de lancer une opération d'application de correctifs. L'SSM Agent vérifie que la valeur-balise de groupe de correctifs appliquée aux instances EC2 est
DEVet interroge Patch Manager concernant le référentiel de correctifs associée. -
Patch Manager vérifie que le référentiel de correctifs
pb-9876543210abcdef0est associée au groupe de correctifsDEVet informe l'SSM Agent. -
L'SSM Agent récupère un instantané de référentiel de correctifs depuis Patch Manager en fonction des règles d'approbation et des exceptions configurées dans
pb-9876543210abcdef0, puis passe à l'étape suivante.
-
-
Aucune balise de groupe de correctifs n'est ajoutée à l'instance :
-
SSM Agent, qui est installé sur les instances EC2 du groupe deux, reçoit la commande émise à l'étape 1 pour commencer une opération de correction. SSM Agent valide que les instances EC2 n'ont pas de balise
Patch GroupouPatchGroupappliquée et, par conséquent, SSM Agent demande Patch Manager la ligne de base de correction Windows par défaut. -
Patch Manager vérifie que le référentiel de correctifs Windows Server par défaut est
pb-0123456789abcdef0et en avertit l'SSM Agent. -
L'SSM Agent récupère un instantané de référentiel de correctifs depuis Patch Manager en fonction des règles d'approbation et des exceptions configurées dans le référentiel de correctifs par défaut
pb-0123456789abcdef0, puis passe à l'étape suivante.
-
-
Aucune valeur de groupe de correctifs correspondante n'est associée à un référentiel de correctifs:
-
L'SSM Agent, qui est installé sur les instances EC2 du groupe trois, reçoit la commande émise à l'étape 1 lui indiquant de lancer une opération d'application de correctifs. L'SSM Agent vérifie que la valeur-balise de groupe de correctifs appliquée aux instances EC2 est
QAet interroge Patch Manager concernant le référentiel de correctifs associée. -
Patch Manager ne trouve aucun référentiel de correctifs associée au groupe
QA. -
Patch Manager demande à l'SSM Agent d'utiliser le référentiel de correctifs Windows par défaut
pb-0123456789abcdef0. -
L'SSM Agent récupère un instantané de référentiel de correctifs depuis Patch Manager en fonction des règles d'approbation et des exceptions configurées dans le référentiel de correctifs par défaut
pb-0123456789abcdef0, puis passe à l'étape suivante.
-
-
-
Recherche ou installation des correctifs : Après avoir déterminé le référentiel de correctifs appropriée à utiliser, l'SSM Agent commence à rechercher ou à installer les correctifs en fonction de la valeur d'opération spécifiée à l'étape 1. Les correctifs qui sont recherchés ou installés sont déterminés par les règles d'approbation et les exceptions de correctifs définies dans l'instantané de référentiel de correctifs fourni par Patch Manager.
- Plus d'informations
