conditions préalables requises de l’Patch Manager - AWS Systems Manager
Version de l’SSM AgentVersion PythonConnectivité à la source de correctifsAccès aux points de terminaison S3Autorisations d’installer les correctifs localementSystèmes d'exploitation pris en charge pour Patch Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

conditions préalables requises de l’Patch Manager

Assurez-vous que vous avez rempli les conditions requises avant d'utiliser Patch Manager un outil dans AWS Systems Manager.

Version de l’SSM Agent

La version 2.0.834.0 (ou version ultérieure) de SSM Agent doit être exécutée sur les nœuds gérés que vous souhaitez gérer avec Patch Manager.

Note

Une nouvelle version de SSM Agent est lancée chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées aux outils existants. Le fait de ne pas utiliser la dernière version de l’agent peut empêcher votre nœud géré d’utiliser divers outils et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes du site Web de GitHub pour recevoir des notifications sur les mises à jour de SSM Agent.

Version Python

Pour macOS et la plupart des systèmes d'exploitation Linux (OSs), prend Patch Manager actuellement en charge les versions 2.6 à 3.12 de Python. Les AlmaLinuxDebian Server, et Ubuntu Server OSs nécessitent une version prise en charge de Python 3 (3.0 - 3.12).

Connectivité à la source de correctifs

Si vos nœuds gérés ne sont pas directement connectés à Internet et que vous utilisez une instance d'Amazon Virtual Private Cloud (Amazon VPC) avec un point de terminaison d’un VPC, vous devez vous assurer que les nœuds ont accès aux référentiels de correctifs sources. Sur les nœuds Linux, les correctifs sont généralement téléchargés à partir des référentiels distants configurés sur le nœud. Par conséquent, le nœud doit être en mesure de se connecter aux référentiels afin que les correctifs puissent être appliqués. Pour de plus amples informations, veuillez consulter Sélection des correctifs de sécurité.

Lorsque vous appliquez des correctifs à un nœud qui s'exécute dans un environnement IPv6 réservé, assurez-vous que le nœud est connecté à la source du correctif. Vous pouvez vérifier le Run Command résultat de l'exécution du correctif pour vérifier la présence d'avertissements concernant des référentiels inaccessibles. Pour les systèmes d'exploitation basés sur DNF, il est possible de configurer les référentiels indisponibles pour qu'ils soient ignorés lors de l'application des correctifs si l'skip_if_unavailableoption est définie sur moins. True /etc/dnf/dnf.conf Les systèmes d'exploitation basés sur DNF incluent Amazon Linux 2023, les versions Red Hat Enterprise Linux 8 et ultérieures, les versions Oracle Linux 8 et ultérieures Rocky Linux AlmaLinux, et CentOS 8 et les versions ultérieures. Sur Amazon Linux 2023, l'skip_if_unavailableoption est définie sur True par défaut.

CentOS Stream : activez l’indicateur EnableNonSecurity

Les nœuds CentOS Stream utilisent DNF comme gestionnaire de package, qui utilise le concept d’un avis de mise à jour. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques.

Toutefois, les référentiels CentOS Stream par défaut ne sont pas configurés avec une notice de mise à jour. Cela signifie que Patch Manager ne détecte pas les packages sur les référentiels CentOS Stream par défaut. Pour permettre au Patch Manager de traiter des packages qui ne sont pas contenus dans une notice de mise à jour, vous devez activer l'indicateur EnableNonSecurity dans les règles de référentiel de correctifs.

Windows Server : assurez la connectivité à Windows Update Catalog ou à Windows Server Update Services (WSUS)

Les nœuds gérés Windows Server doivent être en mesure de se connecter au catalogue Windows Update ou à Windows Server Update Services (WSUS). Vérifiez que vos nœuds sont connectés au catalogue Microsoft Update via une passerelle Internet, une instance NAT ou une passerelle NAT. Si vous utilisez WSUS, vérifiez que le nœud est connecté au serveur WSUS de votre environnement. Pour de plus amples informations, veuillez consulter Problème : le nœud géré n'a pas accès au catalogue Windows Update ou à WSUS.

Accès aux points de terminaison S3

Que vos nœuds gérés fonctionnent sur un réseau privé ou public, sans accès aux compartiments Amazon Simple Storage Service (Amazon S3) AWS gérés requis, les opérations de correction échouent. Pour obtenir des informations sur les compartiments S3 auxquels vos nœuds gérés doivent avoir accès, consultez Communications de l'SSM Agent avec des compartiments S3 gérés par AWS et Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.

Autorisations d’installer les correctifs localement

Sur les systèmes d’exploitation Windows Server et Linux, Patch Manager assume les comptes d’utilisateur Administrateur et racine, respectivement, pour installer les correctifs.

Sur macOS, cependant, pour Brew et Brew Cask, Homebrew ne prend pas en charge l’exécution de ses commandes sous le compte d’utilisateur racine. Par conséquent, Patch Manager interroge et exécute les commandes Homebrew en tant que le propriétaire du répertoire Homebrew ou l’utilisateur valide appartenant au groupe de propriétaires du répertoire Homebrew. Par conséquent, pour pouvoir installer des correctifs, le propriétaire du répertoire homebrew doit également disposer des autorisations de propriétaire récursives pour le répertoire /usr/local.

Astuce

La commande suivante fournit cette autorisation à l’utilisateur spécifié :

sudo chown -R $USER:admin /usr/local

Systèmes d'exploitation pris en charge pour Patch Manager

L’outil Patch Manager peut ne pas prendre pas en charge les mêmes versions des systèmes d’exploitation que les autres outils de Systems Manager. (Pour obtenir la liste complète des systèmes d'exploitation pris en charge par Systems Manager, consultez Systèmes d'exploitation pris en charge pour Systems Manager.) Par conséquent, assurez-vous que les nœuds gérés que vous souhaitez utiliser avec Patch Manager exécutent l'un des systèmes d'exploitation répertoriés dans le tableau suivant.

Note

Patch Manager s’appuie sur les référentiels de correctifs configurés sur un nœud géré, tels que Windows Update Catalog et Windows Server Update Services for Windows, pour récupérer les correctifs disponibles à installer. Par conséquent, pour les versions de systèmes d’exploitation en fin de vie (EOL), si aucune nouvelle mise à jour n’est disponible, Patch Manager peut ne pas être en mesure de signaler les nouvelles mises à jour. Cela peut être dû au fait qu’aucune nouvelle mise à jour n’est publiée par le gestionnaire de la distribution Linux, Microsoft ou Apple, ou au fait que le nœud géré ne dispose pas de la licence appropriée pour accéder aux nouvelles mises à jour.

Nous vous recommandons vivement d'éviter d'utiliser des versions de système d'exploitation ayant atteint End-of-Life (EOL). Les fournisseurs de systèmes d'exploitation, y compris, ne fournissent AWS généralement pas de correctifs de sécurité ou d'autres mises à jour pour les versions qui ont atteint la fin de vie. Le fait de continuer à utiliser un système EOL augmente considérablement le risque de ne pas être en mesure d'appliquer les mises à niveau, y compris les correctifs de sécurité, et d'autres problèmes opérationnels. AWS ne teste pas les fonctionnalités de Systems Manager sur les versions du système d'exploitation ayant atteint la fin de vie.

Patch Manager rapporte le statut de conformité par rapport aux correctifs disponibles sur le nœud géré. Par conséquent, si une instance exécute un système d’exploitation EOL et qu’aucune mise à jour n’est disponible, Patch Manager peut indiquer que le nœud est conforme, en fonction des référentiels de correctifs configurés pour l’opération de correctifs.

Système d’exploitation Détails

Linux

  • AlmaLinux 8 x, 9 x

  • Amazon Linux 2 version 2.0 et toutes les versions ultérieures

  • Amazon Linux 2023

  • CentOS Stream 9

  • Debian Server 11.x et 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Red Hat Enterprise Linux (RHEL) 7.x–8.x, 9.x, 10.x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server15.3 et versions ultérieures

  • Ubuntu Server16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS et 25,04
macOS

macOSest pris en charge uniquement pour EC2 les instances Amazon.

13,0—13,7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

mises à jour du système d'exploitation macOS

Patch Manager ne prend pas en charge les mises à jour ou les mises à niveau du système d’exploitation (SE) pour macOS, par exemple, de la version 13.1 à la version 13.2. Pour effectuer des mises à jour de la version du système d'exploitation sur macOS, nous vous recommandons d'utiliser les mécanismes intégrés de mise à niveau du système d'exploitation d'Apple. Pour plus d'informations, consultez Gestion des appareils (français non garanti) sur le site web de la documentation du développeur Apple.

Prise en charge de Homebrew

Patch Manager nécessite que Homebrew, le système de gestion de packages logiciels open source, soit installé à l’un des emplacements d’installation par défaut suivants :

  • /usr/local/bin

  • /opt/homebrew/bin

Les opérations d’application de correctifs utilisant Patch Manager ne fonctionnent pas correctement lorsque Homebrew n’est pas installé.

Prise en charge de la région

macOSn'est pas pris en charge dans tous les cas Régions AWS. Pour plus d'informations sur le EC2 support Amazon pour les instances EC2 Mac macOS, consultez le guide de l' EC2 utilisateur Amazon pour les instances Mac.

Des appareils macOS Edge

SSM Agentpour les appareils AWS IoT Greengrass principaux n'est pas pris en charge surmacOS. Vous ne pouvez pas utiliser Patch Manager pour appliquer des correctifs aux appareils de périphérie macOS.

Windows

Windows Server2012 à Windows Server 2025, y compris les versions R2.

Note

SSM Agentpour les appareils AWS IoT Greengrass principaux n'est pas pris en charge sous Windows 10. Vous ne pouvez pas utiliser Patch Manager pour appliquer des correctifs aux appareils de périphérie Windows 10.

Prise en charge de Windows Server 2012 et 2012 R2

Windows Server 2012 et 2012 R2 ont atteint la fin du support le 10 octobre 2023. Pour utiliser Patch Manager ces versions, nous vous recommandons également d'utiliser les mises à jour de sécurité étendues (ESUs) de Microsoft. Pour plus d’informations, consultez Windows Server 2012 et 2012 R2 atteignant la fin du support sur le site Web de Microsoft.