• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Documents de commande SSM pour l’application de correctifs sur les nœuds gérés
<a name="patch-manager-ssm-documents"></a>

Cette rubrique décrit les neuf documents Systems Manager (documents SSM) actuellement disponibles pour vous aider à appliquer les dernières mises à jour de sécurité à vos nœuds gérés. 

Nous vous recommandons d'utiliser cinq de ces documents seulement pour vos opérations d'application de correctifs. Conjointement, ces cinq documents SSM vous fournissent une gamme complète d'options de correctifs à l'aide d' AWS Systems Manager. Quatre de ces documents ont été publiés plus tard que les quatre documents SSM existants qu'ils remplacent et représentent les développements ou consolidations de fonctionnalités.

**Documents SSM recommandés pour l’application de correctifs**  
Nous vous recommandons d’utiliser les cinq documents SSM suivants pour vos opérations de correctifs.
+ `AWS-ConfigureWindowsUpdate`
+ `AWS-InstallWindowsUpdates`
+ `AWS-RunPatchBaseline`
+ `AWS-RunPatchBaselineAssociation`
+ `AWS-RunPatchBaselineWithHooks`

**Documents SSM hérités pour l’application de correctifs**  
Les quatre documents SSM hérités suivants restent disponibles dans certaines Régions AWS , mais ne sont plus mis à jour ni pris en charge. Il n'est pas garanti que ces documents fonctionnent uniquement dans IPv6 les environnements et le support IPv4. Il n’est pas garanti qu’ils fonctionnent dans tous les scénarios et risquent de perdre leur support à l’avenir. Nous vous recommandons de ne pas activer ces documents pour les opérations d’application de correctifs.
+ `AWS-ApplyPatchBaseline`
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`

Pour connaître les étapes à suivre pour configurer les opérations d'application de correctifs dans un environnement uniquement compatible, consultez IPv6. [Tutoriel : Appliquer des correctifs à un serveur dans un environnement IPv6 uniquement](patch-manager-server-patching-iPv6-tutorial.md)

Consultez les sections suivantes pour plus d'informations sur l'utilisation de ces documents SSM lors de vos opérations d'application de correctifs.

**Topics**
+ [Documents SSM recommandés pour l'application de correctifs aux nœuds gérés](#patch-manager-ssm-documents-recommended)
+ [Documents SSM hérités pour l'application de correctifs aux nœuds gérés](#patch-manager-ssm-documents-legacy)
+ [Limitations connues des documents SSM pour l'application de correctifs aux nœuds gérés](#patch-manager-ssm-documents-known-limitations)
+ [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)
+ [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)
+ [Exemple de scénario d'utilisation du InstallOverrideList paramètre dans `AWS-RunPatchBaseline` ou `AWS-RunPatchBaselineAssociation`](patch-manager-override-lists.md)
+ [Utilisation du BaselineOverride paramètre](patch-manager-baselineoverride-parameter.md)

## Documents SSM recommandés pour l'application de correctifs aux nœuds gérés
<a name="patch-manager-ssm-documents-recommended"></a>

L'utilisation des cinq documents SSM suivants est recommandée pour l'application de correctifs aux nœuds gérés.

**Topics**
+ [`AWS-ConfigureWindowsUpdate`](#patch-manager-ssm-documents-recommended-AWS-ConfigureWindowsUpdate)
+ [`AWS-InstallWindowsUpdates`](#patch-manager-ssm-documents-recommended-AWS-InstallWindowsUpdates)
+ [`AWS-RunPatchBaseline`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaseline)
+ [`AWS-RunPatchBaselineAssociation`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineAssociation)
+ [`AWS-RunPatchBaselineWithHooks`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineWithHooks)

### `AWS-ConfigureWindowsUpdate`
<a name="patch-manager-ssm-documents-recommended-AWS-ConfigureWindowsUpdate"></a>

Prend en charge la configuration des fonctions de base de Windows Update et leur utilisation pour installer les mises à jour automatiquement (ou pour désactiver les mises à jour automatiques). Disponible dans toutes les Régions AWS.

Ce document SSM invite Windows Update à télécharger et installer les mises à jour spécifiées et à redémarrer les nœuds gérés, selon les besoins. Utilisez ce document avec State Manager un outil pour vous assurer que Windows Update conserve sa configuration. AWS Systems Manager Vous pouvez également l'exécuter manuellement à l'aide Run Command d'un outil intégré AWS Systems Manager pour modifier la configuration de Windows Update. 

Les paramètres disponibles dans ce document prennent en charge la spécification d'une catégorie de mises à jour à installer (ou si les mises à jour automatiques doivent être désactivées), ainsi que la spécification du jour de la semaine et l'heure de la journée pour exécuter les opérations d'application des correctifs. Ce document SSM est particulièrement utile si vous n'avez pas besoin de contrôler strictement les mises à jour Windows et si vous n'avez pas besoin de collecter des informations de conformité. 

**Remplace les documents SSM existants :**
+ *Aucun*

### `AWS-InstallWindowsUpdates`
<a name="patch-manager-ssm-documents-recommended-AWS-InstallWindowsUpdates"></a>

Installe les mises à jour sur un nœud géré Windows Server. Disponible dans toutes les Régions AWS.

Ce document SSM fournit des fonctionnalités de correctifs de base pour les cas suivants : lorsque vous souhaitez installer une mise à jour spécifique (à l'aide du paramètre `Include Kbs`) ou installer des correctifs avec les classifications ou catégories spécifiques, mais si vous n'avez pas besoin des informations de conformité des correctifs. 

**Remplace les documents SSM existants :**
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`

Les trois documents existants réalisent différentes fonctions, mais vous pouvez obtenir les mêmes résultats en utilisant différents paramètres avec le nouveau document SSM `AWS-InstallWindowsUpdates`. La configuration des paramètres est décrite dans [Documents SSM hérités pour l'application de correctifs aux nœuds gérés](#patch-manager-ssm-documents-legacy).

### `AWS-RunPatchBaseline`
<a name="patch-manager-ssm-documents-recommended-AWS-RunPatchBaseline"></a>

Installe des correctifs sur vos nœuds gérés ou analyse les nœuds pour déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS.

`AWS-RunPatchBaseline` vous permet de contrôler les approbations de correctifs à l'aide du référentiel de correctifs spécifié « par défaut » pour un type de système d'exploitation. informations de conformité des correctifs que vous pouvez consulter à l'aide des outils de conformité Systems Manager. Ces outils vous fournissent des informations sur l'état de conformité de vos nœuds gérés en matière de correctifs, comme les nœuds auxquels il manque des correctifs et la nature de ces correctifs. Lorsque vous utilisez `AWS-RunPatchBaseline`, les informations de conformité des correctifs sont enregistrées à l'aide de la commande d'API `PutInventory`. Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies sur les correctifs provenant à la fois du référentiel source par défaut configuré sur un nœud géré et de tout autre référentiel source spécifié par vos soins dans un référentiel de correctifs personnalisé. Pour en savoir plus sur les autres référentiels source, consultez [Spécification d'un autre référentiel source de correctifs (Linux)](patch-manager-alternative-source-repository.md). Pour plus d'informations sur les outils de conformité Systems Manager, consultez [Conformité d'AWS Systems Manager](systems-manager-compliance.md).

 **Remplace les documents existants :**
+ `AWS-ApplyPatchBaseline`

Le document hérité `AWS-ApplyPatchBaseline` s'applique uniquement aux nœuds gérés Windows Server et ne prévoit pas de prise en charge des correctifs d'application. Le nouveau document `AWS-RunPatchBaseline` fournit le même support pour les systèmes Windows et Linux. La version 2.0.834.0 ou une version ultérieure de SSM Agent pour pouvoir utiliser le document `AWS-RunPatchBaseline`. 

Pour plus d'informations sur le document SSM `AWS-RunPatchBaseline`, consultez [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

### `AWS-RunPatchBaselineAssociation`
<a name="patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineAssociation"></a>

Installe les correctifs sur les instances ou analyse les instances afin de déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS commerciales. 

Des différences importantes distinguent `AWS-RunPatchBaselineAssociation` de `AWS-RunPatchBaseline` :
+ `AWS-RunPatchBaselineAssociation` est principalement destinée à une utilisation avec les associations State Manager créées avec Quick Setup, un outil d’ AWS Systems Manager. Précisément, lorsque vous utilisez le type de configuration de gestion des hôtes Quick Setup, si vous sélectionnez l'option **Scan instances for missing patches daily** (Analyser quotidiennement les instances pour les correctifs manquants), le système utilise `AWS-RunPatchBaselineAssociation` pour l'opération.

  Dans la plupart des cas, cependant, lors de la configuration de vos propres opérations d'application de correctifs, sélectionnez [`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) ou [`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md) de préférence à `AWS-RunPatchBaselineAssociation`. 

  Pour plus d'informations, consultez les rubriques suivantes :
  + [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)
  + [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ `AWS-RunPatchBaselineAssociation` prend en charge l'utilisation de balises pour identifier le référentiel de correctifs à utiliser avec un ensemble de cibles lors de son exécution. 
+ Pour les opérations d'application de correctifs qui utilisent `AWS-RunPatchBaselineAssociation`, les données sur la conformité des correctifs sont compilées en fonction d'une association State Manager particulière. Les données sur la conformité des correctifs collectées lorsque `AWS-RunPatchBaselineAssociation`s'exécute sont enregistrées avec la commande d'API `PutComplianceItems` plutôt qu'avec `PutInventory`. De cette façon, les données de conformité qui ne sont pas associées à cette association particulière ne sont pas écrasées.

  Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies pour les correctifs à la fois par le référentiel source par défaut configuré sur une instance et par les autres référentiels source que vous spécifiez dans un référentiel de correctifs personnalisée. Pour en savoir plus sur les autres référentiels source, consultez [Spécification d'un autre référentiel source de correctifs (Linux)](patch-manager-alternative-source-repository.md). Pour plus d'informations sur les outils de conformité Systems Manager, consultez [Conformité d'AWS Systems Manager](systems-manager-compliance.md).

 **Remplace les documents existants :**
+ **Aucun**

Pour plus d'informations sur le document SSM `AWS-RunPatchBaselineAssociation`, consultez [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md).

### `AWS-RunPatchBaselineWithHooks`
<a name="patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineWithHooks"></a>

Installe les correctifs sur vos nœuds gérés, ou analyse les nœuds afin de déterminer s'il manque des correctifs qualifiés, avec des hooks facultatifs que vous pouvez utiliser pour exécuter des documents SSM à trois stades du cycle d'application des correctifs. Disponible dans toutes les Régions AWS commerciales. Non pris en charge sur macOS.

`AWS-RunPatchBaselineWithHooks` diffère de `AWS-RunPatchBaseline` par son opération `Install`.

`AWS-RunPatchBaselineWithHooks` prend en charge les hooks de cycle de vie qui s'exécutent aux stades désignés lors de l'application de correctifs sur des nœuds gérés. Comme l'installation des correctifs exige parfois le redémarrage des nœuds gérés, l'opération d'application des correctifs se décompose en deux événements, pour un total de trois hooks qui prennent en charge la fonctionnalité personnalisée. Le premier hook précède l'opération `Install with NoReboot`. Le deuxième hook suit l'opération `Install with NoReboot`. Le troisième hook est disponible après le redémarrage du nœud.

 **Remplace les documents existants :**
+ **Aucun**

Pour plus d'informations sur le document SSM `AWS-RunPatchBaselineWithHooks`, consultez [Document de commande SSM pour l’application de correctifs : `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).

## Documents SSM hérités pour l'application de correctifs aux nœuds gérés
<a name="patch-manager-ssm-documents-legacy"></a>

Les quatre documents SSM suivants sont encore disponibles dans certaines Régions AWS. Cependant, ils ne sont plus mis à jour et pourraient ne plus être pris en charge à l’avenir, c’est pourquoi nous ne recommandons pas leur utilisation. Utilisez plutôt les documents décrits dans [Documents SSM recommandés pour l'application de correctifs aux nœuds gérés](#patch-manager-ssm-documents-recommended).

**Topics**
+ [`AWS-ApplyPatchBaseline`](#patch-manager-ssm-documents-legacy-AWS-ApplyPatchBaseline)
+ [`AWS-FindWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-AWS-FindWindowsUpdates)
+ [`AWS-InstallMissingWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallMissingWindowsUpdates)
+ [`AWS-InstallSpecificWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallSpecificWindowsUpdates)

### `AWS-ApplyPatchBaseline`
<a name="patch-manager-ssm-documents-legacy-AWS-ApplyPatchBaseline"></a>

Prend uniquement en charge les nœuds gérés Windows Server, mais n'inclut pas la prise en charge des correctifs d'application figurant dans le référentiel de remplacement, `AWS-RunPatchBaseline`. Non disponible en cas de Régions AWS lancement après août 2017.

**Note**  
Le document de remplacement de ce document SSM, `AWS-RunPatchBaseline` nécessite une version 2.0.834.0 ou une version ultérieure de SSM Agent. Vous pouvez utiliser le document `AWS-UpdateSSMAgent` pour procéder à la mise à jour des nœuds gérés vers la dernière version de l'agent. 

### `AWS-FindWindowsUpdates`
<a name="patch-manager-ssm-documents-legacy-AWS-AWS-FindWindowsUpdates"></a>

Remplacé par `AWS-InstallWindowsUpdates`, qui peut effectuer toutes les mêmes actions. Non disponible en cas de Régions AWS lancement après avril 2017.

Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, `AWS-InstallWindowsUpdates` :
+ `Action` = `Scan`
+ `Allow Reboot` = `False`

### `AWS-InstallMissingWindowsUpdates`
<a name="patch-manager-ssm-documents-legacy-AWS-InstallMissingWindowsUpdates"></a>

Remplacé par `AWS-InstallWindowsUpdates`, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.

Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, `AWS-InstallWindowsUpdates` :
+ `Action` = `Install`
+ `Allow Reboot` = `True`

### `AWS-InstallSpecificWindowsUpdates`
<a name="patch-manager-ssm-documents-legacy-AWS-InstallSpecificWindowsUpdates"></a>

Remplacé par `AWS-InstallWindowsUpdates`, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.

Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, `AWS-InstallWindowsUpdates` :
+ `Action` = `Install`
+ `Allow Reboot` = `True`
+ `Include Kbs` = *comma-separated list of KB articles*

## Limitations connues des documents SSM pour l'application de correctifs aux nœuds gérés
<a name="patch-manager-ssm-documents-known-limitations"></a>

### Interruptions de redémarrage externes
<a name="patch-manager-ssm-documents-known-limitations-external-reboot"></a>

Si un redémarrage est lancé par le système sur le nœud pendant l'installation du correctif (par exemple, pour appliquer des mises à jour au microprogramme ou à des fonctionnalités similaires SecureBoot), l'exécution du document de correction peut être interrompue et marquée comme ayant échoué même si les correctifs ont été correctement installés. Cela se produit parce que l'agent SSM ne peut pas conserver et reprendre l'état d'exécution du document lors de redémarrages externes.

Pour vérifier l'état de l'installation des correctifs après un échec d'exécution, exécutez une `Scan` opération de correction, puis vérifiez les données de conformité des correctifs dans le Gestionnaire de correctifs afin d'évaluer l'état de conformité actuel.