Prasyarat Patch Manager - AWS Systems Manager
Versi SSM AgentVersi PythonKonektivitas ke sumber patchAkses titik akhir S3Izin untuk menginstal tambalan secara lokalSistem operasi yang didukung untuk Patch Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat Patch Manager

Pastikan Anda telah memenuhi prasyarat yang diperlukan sebelum menggunakanPatch Manager, alat di. AWS Systems Manager

Versi SSM Agent

Versi 2.0.834.0 atau yang lebih baru berjalan pada node SSM Agent terkelola yang ingin Anda kelola. Patch Manager

catatan

Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan halaman Catatan SSM Agent Rilis GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.

Versi Python

Untuk macOS dan sebagian besar sistem operasi Linux (OSs), Patch Manager saat ini mendukung Python versi 2.6 - 3.10. Itu AlmaLinux,Debian Server,Raspberry Pi OS, dan Ubuntu Server OSs memerlukan versi Python 3 yang didukung (3.0 - 3.10).

Konektivitas ke sumber patch

Jika node terkelola Anda tidak memiliki koneksi langsung ke Internet dan Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) dengan titik akhir VPC, Anda harus memastikan bahwa node memiliki akses ke repositori patch sumber (repo). Pada node Linux, pembaruan patch biasanya diunduh dari repo jarak jauh yang dikonfigurasi pada node. Oleh karena itu, node harus dapat terhubung ke repo sehingga penambalan dapat dilakukan. Untuk informasi selengkapnya, lihat Cara pemilihan patch keamanan.

CentOS danCentOS Stream: Aktifkan bendera EnableNonSecurity

CentOS 6 dan 7 node yang dikelola menggunakan Yum sebagai manajer paket. CentOS 8 dan CentOS Stream node menggunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.

Namun, CentOS dan repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS dan CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan EnableNonSecurity bendera dalam aturan dasar tambalan.

Windows Server: Pastikan konektivitas ke Katalog Pembaruan Windows atau Layanan Pembaruan Server Windows (WSUS)

Windows Servernode yang dikelola harus dapat terhubung ke Katalog Pembaruan Windows atau Layanan Pembaruan Server Windows (WSUS). Konfirmasikan bahwa node Anda memiliki konektivitas ke Katalog Pembaruan Microsoft melalui gateway internet, gateway NAT, atau instance NAT. Jika Anda menggunakan WSUS, konfirmasikan bahwa node memiliki konektivitas ke server WSUS di lingkungan Anda. Untuk informasi selengkapnya, lihat Masalah: node terkelola tidak memiliki akses ke Katalog Pembaruan Windows atau WSUS.

Akses titik akhir S3

Baik node terkelola Anda beroperasi di jaringan pribadi atau publik, tanpa akses ke bucket Amazon Simple Storage Service (Amazon S3) AWS terkelola yang diperlukan, operasi penambalan gagal. Untuk informasi tentang bucket S3 node terkelola Anda harus dapat mengakses, lihat SSM Agent komunikasi dengan bucket S3 AWS terkelola dan. Meningkatkan keamanan EC2 instans dengan menggunakan titik akhir VPC untuk Systems Manager

Izin untuk menginstal tambalan secara lokal

Sistem operasi On Windows Server dan Linux, Patch Manager mengasumsikan Administrator dan akun pengguna root, masing-masing, untuk menginstal tambalan.

NamunmacOS, untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya yang berjalan di bawah akun pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew, atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Oleh karena itu, untuk menginstal tambalan, pemilik homebrew direktori juga memerlukan izin pemilik rekursif untuk direktori. /usr/local

Tip

Perintah berikut memberikan izin ini untuk pengguna yang ditentukan:

sudo chown -R $USER:admin /usr/local

Sistem operasi yang didukung untuk Patch Manager

Patch ManagerAlat ini tidak mendukung semua versi sistem operasi yang sama yang didukung oleh alat Systems Manager lainnya. Misalnya, Patch Manager tidak mendukung CentOS 6.3 atau Raspberry Pi OS 8 (Jessie). (Untuk daftar lengkap sistem operasi yang didukung oleh Systems Manager, lihat Sistem operasi yang didukung untuk Systems Manager.) Oleh karena itu, pastikan bahwa node terkelola yang Patch Manager ingin Anda gunakan menjalankan salah satu sistem operasi yang tercantum dalam tabel berikut.

catatan

Patch Managerbergantung pada repositori patch yang dikonfigurasi pada node terkelola, seperti Katalog Pembaruan Windows dan Layanan Pembaruan Server Windows untuk Windows, untuk mengambil tambalan yang tersedia untuk diinstal. Oleh karena itu, untuk versi sistem operasi akhir masa pakai (EOL), jika tidak ada pembaruan baru yang tersedia, Patch Manager mungkin tidak dapat melaporkan pembaruan baru. Ini bisa karena tidak ada pembaruan baru yang dirilis oleh pengelola distribusi Linux, Microsoft, atau Apple, atau karena node yang dikelola tidak memiliki lisensi yang tepat untuk mengakses pembaruan baru.

Patch Managermelaporkan status kepatuhan terhadap tambalan yang tersedia pada node terkelola. Oleh karena itu, jika sebuah instance menjalankan sistem operasi EOL, dan tidak ada pembaruan yang tersedia, Patch Manager mungkin melaporkan node sebagai Compliant, tergantung pada baseline patch yang dikonfigurasi untuk operasi patching.

Sistem operasi Detail

Linux

  • AlmaLinux 8 .x, 9 .x

  • Amazon Linux 2012.03—2018.03

  • Amazon Linux 2 versi 2.0 dan semua versi yang lebih baru

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5—7.9, 8 .x

  • CentOS Stream8, 9

  • Debian Server8 .x, 9.x, 10.x, 11.x, dan 12.x

  • Oracle Linux7,5—8 .x, 9 .x

  • Raspberry Pi OS(sebelumnya Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux(RHEL) 6,5—8 .x, 9 .x, 10. x

  • Rocky Linux8 .x, 9 .x

  • SUSE Linux Enterprise Server(SLES) 12.0 dan versi 12 .x yang lebih baru; 15.x

  • Ubuntu Server14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 20.10 STR, 22.04 LTS, 23.04, 23.10, 24.04, 24.10, dan 25.04
macOS

macOShanya didukung untuk EC2 instans Amazon.

11.3.1; 11.4—11.7 (Big Sur)

12.0—12.7 (Monterey)

13.0—13.7 (Ventura)

14.x (Sonoma)

15. x (Sequoia)

macOSPembaruan OS

Patch Managertidak mendukung pembaruan atau peningkatan sistem operasi (OS) untukmacOS, seperti dari 12.x ke 13.x atau 13.1 hingga 13.2. Untuk melakukan pembaruan versi OSmacOS, kami sarankan untuk menggunakan mekanisme peningkatan OS bawaan Apple. Untuk informasi selengkapnya, lihat Manajemen Perangkat di situs web Dokumentasi Pengembang Apple.

Dukungan Homebrew

Patch Managermemerlukan Homebrew, sistem manajemen paket perangkat lunak sumber terbuka, untuk diinstal di salah satu lokasi penginstalan default berikut:

  • /usr/local/bin

  • /opt/homebrew/bin

Operasi penambalan menggunakan Patch Manager gagal berfungsi dengan benar saat Homebrew tidak diinstal.

Homebrew telah menghentikan dukungan untuk macOS 10.14.x (Mojave) dan 10.15.x (Catalina). Akibatnya, operasi patching menggunakan tidak Patch Manager didukung untuk versi ini.

Dukungan Wilayah

macOStidak didukung sama sekali Wilayah AWS. Untuk informasi selengkapnya tentang EC2 dukungan AmazonmacOS, lihat instans Amazon EC2 Mac di Panduan EC2 Pengguna Amazon.

macOSperangkat tepi

SSM Agentuntuk perangkat AWS IoT Greengrass inti tidak didukung padamacOS. Anda tidak dapat menggunakan Patch Manager untuk menambal perangkat macOS tepi.

Windows

Windows Server2008 hingga Windows Server 2025, termasuk versi R2.

catatan

SSM Agentuntuk perangkat AWS IoT Greengrass inti tidak didukung pada Windows 10. Anda tidak dapat menggunakan Patch Manager untuk menambal perangkat Windows 10 edge.

Windows ServerDukungan 2008

Per 14 Januari 2020, Windows Server 2008 tidak lagi didukung untuk pembaruan fitur atau keamanan dari Microsoft. Legacy Amazon Machine Images (AMIs) untuk Windows Server 2008 dan 2008 R2 masih menyertakan versi 2 dari SSM Agent prainstal, tetapi Systems Manager tidak lagi secara resmi mendukung versi 2008 dan tidak lagi memperbarui agen untuk versi ini. Windows Server Selain itu, SSM Agent versi 3 mungkin tidak kompatibel dengan semua operasi pada Windows Server 2008 dan 2008 R2. Versi final yang didukung secara resmi SSM Agent untuk versi Windows Server 2008 adalah 2.3.1644.0.

Windows ServerDukungan 2012 dan 2012 R2

Windows Server2012 dan 2012 R2 mencapai akhir dukungan pada 10 Oktober 2023. Untuk menggunakan Patch Manager versi ini, kami sarankan juga menggunakan Pembaruan Keamanan Diperpanjang (ESUs) dari Microsoft. Untuk informasi selengkapnya, lihat Windows Server2012 dan 2012 R2 mencapai akhir dukungan di situs web Microsoft.