• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Cara pemilihan patch keamanan
<a name="patch-manager-selecting-patches"></a>

Fokus utamaPatch Manager, alat di AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.

Secara default, Patch Manager tidak mengganti paket yang telah ditandai sebagai usang dalam repositori paket dengan paket pengganti yang berbeda nama kecuali penggantian ini diperlukan oleh instalasi pembaruan paket lain. Sebagai gantinya, untuk perintah yang memperbarui paket, Patch Manager hanya melaporkan dan menginstal pembaruan yang hilang untuk paket yang diinstal tetapi sudah usang. Ini karena mengganti paket usang biasanya memerlukan penghapusan paket yang ada dan menginstal penggantinya. Mengganti paket usang dapat menyebabkan perubahan yang melanggar atau fungsionalitas tambahan yang tidak Anda inginkan.

Perilaku ini konsisten dengan `update-minimal` perintah YUM dan DNF, yang berfokus pada pembaruan keamanan daripada peningkatan fitur. Untuk informasi selengkapnya, lihat [Cara menginstal patch](patch-manager-installing-patches.md).

**catatan**  
Saat Anda menggunakan `ApproveUntilDate` parameter atau `ApproveAfterDays` parameter dalam aturan dasar patch, Patch Manager evaluasi tanggal rilis patch menggunakan Coordinated Universal Time (UTC).   
Misalnya, untuk`ApproveUntilDate`, jika Anda menentukan tanggal seperti`2025-11-16`, tambalan yang dirilis antara `2025-11-16T00:00:00Z` dan `2025-11-16T23:59:59Z` akan disetujui.   
Ketahuilah bahwa tanggal rilis tambalan yang ditampilkan oleh pengelola paket asli pada node terkelola Anda mungkin menunjukkan waktu yang berbeda berdasarkan zona waktu lokal sistem Anda, tetapi Patch Manager selalu menggunakan waktu tanggal UTC untuk perhitungan persetujuan. Ini memastikan konsistensi dengan tanggal rilis patch yang dipublikasikan di situs web penasihat keamanan resmi.

Untuk jenis sistem Linux-based operasi yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), atau dari metrik yang dirilis oleh [National](https://nvd.nist.gov/vuln) Vulnerability Database (NVD).

**catatan**  
Pada semua Linux-based sistem yang didukung olehPatch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).

Pilih dari tab berikut untuk mempelajari cara Patch Manager memilih patch keamanan untuk sistem operasi Anda.

------
#### [ Amazon Linux 2 and Amazon Linux 2023 ]

Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 2 daripada di Amazon Linux 2023.

Di Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:

**Di Amazon Linux 2**
+ **ID repo**: `amzn2-core/2/{{architecture}}`

  **Nama repo**: `Amazon Linux 2 core repository`
+ **ID repo**: `amzn2extra-docker/2/{{architecture}}`

  **Nama repo**: `Amazon Extras repo for docker`

**catatan**  
{{architecture}}bisa x86\_64 atau (untuk prosesor Graviton) aarch64.

Saat Anda membuat instans Amazon Linux 2023 (AL2023), instans berisi pembaruan yang tersedia dalam versi AL2023 dan spesifik yang Anda pilih. AMI Instans AL2023 Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan pada waktu peluncuran. Sebagai gantinya, dengan *peningkatan deterministik melalui fitur repositori berversi* yang didukung untuk AL2023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat [Peningkatan deterministik melalui repositori berversi](https://docs.aws.amazon.com/linux/al2023/ug/deterministic-upgrades.html) di Panduan Pengguna *Amazon* Linux 2023. 

Pada AL2023, repositori yang telah dikonfigurasi sebelumnya adalah sebagai berikut:
+ **ID repo**: `amazonlinux`

  **Nama repo**: repositori Amazon Linux 2023

Di Amazon Linux 2023 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan *versi pembaruan paket yang terkunci*. Ketika new Amazon Machine Images (AMIs) untuk AL2023 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.

**Manajer Package**  
Node terkelola Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2023 menggunakan DNF sebagai manajer paket. 

Kedua manajer paket menggunakan konsep *pemberitahuan pembaruan* sebagai file bernama`updateinfo.xml`. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan olehPatch Manager. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait.

**catatan**  
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.  
Untuk informasi selengkapnya tentang opsi **Sertakan pembaruan non-keamanan**, lihat [Cara menginstal patch](patch-manager-installing-patches.md) dan[Cara kerja aturan dasar patch pada sistem Linux-based](patch-manager-linux-rules.md).

------
#### [  CentOS Aliran ]

PadaCentOS Stream, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Daftar berikut memberikan contoh untuk CentOS 9.2 () fiktif: Amazon Machine Image AMI
+ **ID repo**: `example-centos-9.2-base`

  **Nama repo**: `Example CentOS-9.2 - Base`
+ **ID repo**: `example-centos-9.2-extras` 

  **Nama repo**: `Example CentOS-9.2 - Extras`
+ **ID repo**: `example-centos-9.2-updates`

  **Nama repo**: `Example CentOS-9.2 - Updates`
+ **ID repo**: `example-centos-9.x-examplerepo`

  **Nama repo**: `Example CentOS-9.x – Example Repo Packages`

**catatan**  
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

CentOS Streamnode menggunakan DNF sebagai manajer paket. Manajer paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. 

Namun, repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan `EnableNonSecurity` bendera dalam aturan dasar tambalan.

**catatan**  
CentOS Streampemberitahuan pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.

------
#### [ Debian Server ]

Pada Debian Server, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi pada instans. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara `sudo apt-get update`. 

Paket kemudian di-filter dari repo `debian-security {{codename}}`. Ini berarti bahwa pada setiap versiDebian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:
+  Debian Server11: `debian-security bullseye`
+ Debian Server12: `debian-security bookworm`

------
#### [ Oracle Linux ]

PadaOracle Linux, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.

**Oracle Linux7**:
+ **ID repo**: `ol7_UEKR5/x86_64`

  **Nama repo**: `Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)`
+ **ID repo**: `ol7_latest/x86_64`

  **Nama repo**: `Oracle Linux 7Server Latest (x86_64)` 

**Oracle Linux8**:
+ **ID repo**: `ol8_baseos_latest` 

  **Nama repo**: `Oracle Linux 8 BaseOS Latest (x86_64)`
+ **ID repo**: `ol8_appstream`

  **Nama repo**: `Oracle Linux 8 Application Stream (x86_64)` 
+ **ID repo**: `ol8_UEKR6`

  **Nama repo**: `Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)`

**Oracle Linux9**:
+ **ID repo**: `ol9_baseos_latest` 

  **Nama repo**: `Oracle Linux 9 BaseOS Latest (x86_64)`
+ **ID repo**: `ol9_appstream`

  **Nama repo**: `Oracle Linux 9 Application Stream Packages(x86_64)` 
+ **ID repo**: `ol9_UEKR7`

  **Nama repo**: `Oracle Linux UEK Release 7 (x86_64)`

**catatan**  
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Oracle Linuxnode terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama. `updateinfo.xml` Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

**catatan**  
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

------
#### [ AlmaLinux, RHEL, and Linux Rocky  ]

Pada AlmaLinux,Red Hat Enterprise Linux, dan Rocky Linux layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

**catatan**  
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

Red Hat Enterprise Linux7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan node Rocky Linux terkelola menggunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama `updateinfo.xml`. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

**catatan**  
Di AlmaLinux dan Rocky Linux, repositori mungkin tidak menyimpan versi paket yang lebih lama setelah versi yang lebih baru dari nama paket yang sama dirilis. Jika pemberitahuan pembaruan mereferensikan versi yang tidak lagi tersedia di repositori, Patch Manager evaluasi penginstalan versi yang lebih baru menggunakan metadata penasihat yang diterbitkan untuk versi yang tidak lagi tersedia. Ini memastikan bahwa patch yang tertunda diterapkan ketika versi yang tidak tersedia tidak lagi ada di repositori.  
Hal ini dapat Patch Manager menyebabkan menginstal versi paket yang lebih baru bahkan jika penasihat terkait dirilis setelah dikonfigurasi `ApproveUntilDate` atau. `ApproveAfterDays`

RHEL7  
ID repo berikut dikaitkan dengan RHUI 2. RHUI 3 diluncurkan pada bulan Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk ID repositori Yum. Bergantung pada tempat RHEL-7 AMI Anda membuat node terkelola, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat [ID Repositori untuk RHEL 7 di AWS Telah Berubah di Portal](https://access.redhat.com/articles/4599971) *Pelanggan Red Hat*.
+ **ID repo**: `rhui-REGION-client-config-server-7/x86_64`

  **Nama repo**: `Red Hat Update Infrastructure 2.0 Client Configuration Server 7`
+ **ID repo**: `rhui-REGION-rhel-server-releases/7Server/x86_64`

  **Nama repo**: `Red Hat Enterprise Linux Server 7 (RPMs)`
+ **ID repo**: `rhui-REGION-rhel-server-rh-common/7Server/x86_64`

  **Nama repo**: `Red Hat Enterprise Linux Server 7 RH Common (RPMs)`

AlmaLinux, 8 RHEL 8, dan Rocky Linux 8  
+ **ID repo**: `rhel-8-appstream-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)`
+ **ID repo**: `rhel-8-baseos-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)`
+ **ID repo**: `rhui-client-config-server-8`

  **Nama repo**: `Red Hat Update Infrastructure 3 Client Configuration Server 8`

AlmaLinux 9, RHEL 9, dan Rocky Linux 9  
+ **ID repo**: `rhel-9-appstream-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)`
+ **ID repo**: `rhel-9-baseos-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)`
+ **ID repo**: `rhui-client-config-server-9`

  **Nama repo**: `Red Hat Enterprise Linux 9 Client Configuration`

------
#### [ SLES ]

Pada node terkelola SUSE Linux Enterprise Server (SLES), pustaka ZYPP mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:
+ Daftar repositori: `etc/zypp/repos.d/*`
+ Informasi paket: `/var/cache/zypp/raw/*`

SLESnode terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. Patch hanyalah kumpulan paket yang memperbaiki masalah tertentu. Patch Managermenangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberi klasifikasi atau tingkat keparahan, Patch Manager berikan paket atribut tambalan yang menjadi miliknya.

------
#### [ Ubuntu Server ]

PadaUbuntu Server, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara `sudo apt-get update`. 

Paket kemudian disaring dari `{{codename}}-security` repo, di mana nama kode unik untuk versi rilis, seperti `trusty` untuk 14. Ubuntu Server Patch Managerhanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini: 
+ Ubuntu Server16.04 LTS: `xenial-security`
+ Ubuntu Server18.04 LTS: `bionic-security`
+ Ubuntu Server20.04 LTS: `focal-security`
+ Ubuntu Server22,04 LTS () `jammy-security`
+ Ubuntu Server24.04 LTS () `noble-security`
+ Ubuntu Server25.04 () `plucky-security`

------
#### [ Windows Server ]

Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang diterbitkan Microsoft ke Microsoft Update dan secara otomatis tersedia untuk Windows Server Update Services (WSUS).

**catatan**  
Patch Managerhanya membuat patch yang tersedia untuk versi sistem Windows Server operasi yang didukung untukPatch Manager. Misalnya, tidak Patch Manager dapat digunakan untuk menambal Windows RT.

Patch Managerterus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi tambalan dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika `KB4012214` menggantikan`KB3135456`, hanya `KB4012214` tersedia sebagai pembaruan diPatch Manager.

Demikian pula, Patch Manager dapat menginstal hanya patch yang tersedia pada node terkelola selama waktu operasi patching. Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan `ApproveUntilDate` parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalam `ApproveUntilDate` parameter *sebelum* tanggal tambalan terbaru, maka skenario berikut terjadi:
+ Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan. Patch Manager
+ Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan `ApproveUntilDate` parameter. 

Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan `ApproveAfterDays` parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu. `ApproveAfterDays` Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Objek Kebijakan Grup Windows (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.

**catatan**  
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui `01/01/1970` disediakan secara default.

------