Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Documents de commande SSM pour l’application de correctifs sur les nœuds gérés
Cette rubrique décrit les neuf documents Systems Manager (documents SSM) actuellement disponibles pour vous aider à appliquer les dernières mises à jour de sécurité à vos nœuds gérés.
Nous vous recommandons d'utiliser cinq de ces documents seulement pour vos opérations d'application de correctifs. Conjointement, ces cinq documents SSM vous fournissent une gamme complète d'options de correctifs à l'aide d' AWS Systems Manager. Quatre de ces documents ont été publiés plus tard que les quatre documents SSM existants qu'ils remplacent et représentent les développements ou consolidations de fonctionnalités.
Documents SSM recommandés pour l’application de correctifs
Nous vous recommandons d’utiliser les cinq documents SSM suivants pour vos opérations de correctifs.
-
AWS-ConfigureWindowsUpdate -
AWS-InstallWindowsUpdates -
AWS-RunPatchBaseline -
AWS-RunPatchBaselineAssociation -
AWS-RunPatchBaselineWithHooks
Documents SSM hérités pour l’application de correctifs
Les quatre documents SSM hérités suivants restent disponibles dans certaines Régions AWS , mais ne sont plus mis à jour ni pris en charge. Il n'est pas garanti que ces documents fonctionnent uniquement dans IPv6 les environnements et le support IPv4. Il n’est pas garanti qu’ils fonctionnent dans tous les scénarios et risquent de perdre leur support à l’avenir. Nous vous recommandons de ne pas activer ces documents pour les opérations d’application de correctifs.
-
AWS-ApplyPatchBaseline -
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Pour connaître les étapes à suivre pour configurer les opérations d'application de correctifs dans un environnement uniquement compatible, consultez IPv6. Tutoriel : Appliquer des correctifs à un serveur dans un environnement IPv6 uniquement
Consultez les sections suivantes pour plus d'informations sur l'utilisation de ces documents SSM lors de vos opérations d'application de correctifs.
Rubriques
Documents SSM recommandés pour l'application de correctifs aux nœuds gérés
Documents SSM hérités pour l'application de correctifs aux nœuds gérés
Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaseline
Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineAssociation
Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineWithHooks
Documents SSM recommandés pour l'application de correctifs aux nœuds gérés
L'utilisation des cinq documents SSM suivants est recommandée pour l'application de correctifs aux nœuds gérés.
Documents SSM recommandés
AWS-ConfigureWindowsUpdate
Prend en charge la configuration des fonctions de base de Windows Update et leur utilisation pour installer les mises à jour automatiquement (ou pour désactiver les mises à jour automatiques). Disponible dans toutes les Régions AWS.
Ce document SSM invite Windows Update à télécharger et installer les mises à jour spécifiées et à redémarrer les nœuds gérés, selon les besoins. Utilisez ce document avec State Manager un outil pour vous assurer que Windows Update conserve sa configuration. AWS Systems Manager Vous pouvez également l'exécuter manuellement à l'aide Run Command d'un outil intégré AWS Systems Manager pour modifier la configuration de Windows Update.
Les paramètres disponibles dans ce document prennent en charge la spécification d'une catégorie de mises à jour à installer (ou si les mises à jour automatiques doivent être désactivées), ainsi que la spécification du jour de la semaine et l'heure de la journée pour exécuter les opérations d'application des correctifs. Ce document SSM est particulièrement utile si vous n'avez pas besoin de contrôler strictement les mises à jour Windows et si vous n'avez pas besoin de collecter des informations de conformité.
Remplace les documents SSM existants :
-
Aucun
AWS-InstallWindowsUpdates
Installe les mises à jour sur un nœud géré Windows Server. Disponible dans toutes les Régions AWS.
Ce document SSM fournit des fonctionnalités de correctifs de base pour les cas suivants : lorsque vous souhaitez installer une mise à jour spécifique (à l'aide du paramètre Include Kbs) ou installer des correctifs avec les classifications ou catégories spécifiques, mais si vous n'avez pas besoin des informations de conformité des correctifs.
Remplace les documents SSM existants :
-
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Les trois documents existants réalisent différentes fonctions, mais vous pouvez obtenir les mêmes résultats en utilisant différents paramètres avec le nouveau document SSM AWS-InstallWindowsUpdates. La configuration des paramètres est décrite dans Documents SSM hérités pour l'application de correctifs aux nœuds gérés.
AWS-RunPatchBaseline
Installe des correctifs sur vos nœuds gérés ou analyse les nœuds pour déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS.
AWS-RunPatchBaseline vous permet de contrôler les approbations de correctifs à l'aide du référentiel de correctifs spécifié « par défaut » pour un type de système d'exploitation. informations de conformité des correctifs que vous pouvez consulter à l'aide des outils de conformité Systems Manager. Ces outils vous fournissent des informations sur l'état de conformité de vos nœuds gérés en matière de correctifs, comme les nœuds auxquels il manque des correctifs et la nature de ces correctifs. Lorsque vous utilisez AWS-RunPatchBaseline, les informations de conformité des correctifs sont enregistrées à l'aide de la commande d'API PutInventory. Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies sur les correctifs provenant à la fois du référentiel source par défaut configuré sur un nœud géré et de tout autre référentiel source spécifié par vos soins dans un référentiel de correctifs personnalisé. Pour en savoir plus sur les autres référentiels source, consultez Spécification d'un autre référentiel source de correctifs (Linux). Pour plus d'informations sur les outils de conformité Systems Manager, consultez Conformité d'AWS Systems Manager.
Remplace les documents existants :
-
AWS-ApplyPatchBaseline
Le document hérité AWS-ApplyPatchBaseline s'applique uniquement aux nœuds gérés Windows Server et ne prévoit pas de prise en charge des correctifs d'application. Le nouveau document AWS-RunPatchBaseline fournit le même support pour les systèmes Windows et Linux. La version 2.0.834.0 ou une version ultérieure de SSM Agent pour pouvoir utiliser le document AWS-RunPatchBaseline.
Pour plus d'informations sur le document SSM AWS-RunPatchBaseline, consultez Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Installe les correctifs sur les instances ou analyse les instances afin de déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS commerciales.
Des différences importantes distinguent AWS-RunPatchBaselineAssociation de AWS-RunPatchBaseline :
-
AWS-RunPatchBaselineAssociationest principalement destinée à une utilisation avec les associations State Manager créées avec Quick Setup, un outil d’ AWS Systems Manager. Précisément, lorsque vous utilisez le type de configuration de gestion des hôtes Quick Setup, si vous sélectionnez l'option Scan instances for missing patches daily (Analyser quotidiennement les instances pour les correctifs manquants), le système utiliseAWS-RunPatchBaselineAssociationpour l'opération.Dans la plupart des cas, cependant, lors de la configuration de vos propres opérations d'application de correctifs, sélectionnez AWS-RunPatchBaseline ou AWS-RunPatchBaselineWithHooks de préférence à
AWS-RunPatchBaselineAssociation.Pour plus d'informations, consultez les rubriques suivantes :
-
AWS-RunPatchBaselineAssociationprend en charge l'utilisation de balises pour identifier le référentiel de correctifs à utiliser avec un ensemble de cibles lors de son exécution. -
Pour les opérations d'application de correctifs qui utilisent
AWS-RunPatchBaselineAssociation, les données sur la conformité des correctifs sont compilées en fonction d'une association State Manager particulière. Les données sur la conformité des correctifs collectées lorsqueAWS-RunPatchBaselineAssociations'exécute sont enregistrées avec la commande d'APIPutComplianceItemsplutôt qu'avecPutInventory. De cette façon, les données de conformité qui ne sont pas associées à cette association particulière ne sont pas écrasées.Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies pour les correctifs à la fois par le référentiel source par défaut configuré sur une instance et par les autres référentiels source que vous spécifiez dans un référentiel de correctifs personnalisée. Pour en savoir plus sur les autres référentiels source, consultez Spécification d'un autre référentiel source de correctifs (Linux). Pour plus d'informations sur les outils de conformité Systems Manager, consultez Conformité d'AWS Systems Manager.
Remplace les documents existants :
-
Aucun
Pour plus d'informations sur le document SSM AWS-RunPatchBaselineAssociation, consultez Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Installe les correctifs sur vos nœuds gérés, ou analyse les nœuds afin de déterminer s'il manque des correctifs qualifiés, avec des hooks facultatifs que vous pouvez utiliser pour exécuter des documents SSM à trois stades du cycle d'application des correctifs. Disponible dans toutes les Régions AWS commerciales. Non pris en charge sur macOS.
AWS-RunPatchBaselineWithHooks diffère de AWS-RunPatchBaseline par son opération Install.
AWS-RunPatchBaselineWithHooks prend en charge les hooks de cycle de vie qui s'exécutent aux stades désignés lors de l'application de correctifs sur des nœuds gérés. Comme l'installation des correctifs exige parfois le redémarrage des nœuds gérés, l'opération d'application des correctifs se décompose en deux événements, pour un total de trois hooks qui prennent en charge la fonctionnalité personnalisée. Le premier hook précède l'opération Install with NoReboot. Le deuxième hook suit l'opération Install with NoReboot. Le troisième hook est disponible après le redémarrage du nœud.
Remplace les documents existants :
-
Aucun
Pour plus d'informations sur le document SSM AWS-RunPatchBaselineWithHooks, consultez Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineWithHooks.
Documents SSM hérités pour l'application de correctifs aux nœuds gérés
Les quatre documents SSM suivants sont encore disponibles dans certaines Régions AWS. Cependant, ils ne sont plus mis à jour et pourraient ne plus être pris en charge à l’avenir, c’est pourquoi nous ne recommandons pas leur utilisation. Utilisez plutôt les documents décrits dans Documents SSM recommandés pour l'application de correctifs aux nœuds gérés.
Documents SSM existants
AWS-ApplyPatchBaseline
Prend uniquement en charge les nœuds gérés Windows Server, mais n'inclut pas la prise en charge des correctifs d'application figurant dans le référentiel de remplacement, AWS-RunPatchBaseline. Non disponible en cas de Régions AWS lancement après août 2017.
Note
Le document de remplacement de ce document SSM, AWS-RunPatchBaseline nécessite une version 2.0.834.0 ou une version ultérieure de SSM Agent. Vous pouvez utiliser le document AWS-UpdateSSMAgent pour procéder à la mise à jour des nœuds gérés vers la dernière version de l'agent.
AWS-FindWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates, qui peut effectuer toutes les mêmes actions. Non disponible en cas de Régions AWS lancement après avril 2017.
Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, AWS-InstallWindowsUpdates :
-
Action=Scan -
Allow Reboot=False
AWS-InstallMissingWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.
Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, AWS-InstallWindowsUpdates :
-
Action=Install -
Allow Reboot=True
AWS-InstallSpecificWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.
Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, AWS-InstallWindowsUpdates :
-
Action=Install -
Allow Reboot=True -
Include Kbs=comma-separated list of KB articles
