Creazione di una baseline delle patch personalizzata per macOS

Creazione di una patch di base personalizzata per i nodi gestiti macOS

1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel pannello di navigazione, scegli Patch Manager.

3. Scegli la scheda Patch di base e quindi Crea patch di base.

   oppure

   Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli Inizia da una panoramica, scegli la scheda Patch di base e quindi Crea una base di patch.

4. Nel campo Nome inserisci il nome della nuova patch di base, ad esempio MymacOSPatchBaseline.

5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa baseline delle patch.

6. Per Sistema operativo, seleziona macOS.

7. Se desideri cominciare a utilizzare subito la baseline delle patch appena creata come impostazione predefinita per macOS, seleziona la casella vicino a Rendi predefinita questa patch di base per le istanze di macOS.

   Nota

   Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle policy di patch del 22 dicembre 2022.

   Per informazioni sull'impostazione di una patch di base esistente come predefinita, consulta Impostare una base di patch esistente come predefinita.

8. Nella sezione Regole di approvazione per sistema operativo utilizza i campi per creare una o più regole di approvazione automatica.

   • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio Mojave10.14.1 o Catalina10.15.1. L'opzione predefinita è All.

     Nota

     Il sistema di gestione dei pacchetti software open source Homebrew ha interrotto il supporto per macOS 10.14.x (Mojave) e 10.15.x (Catalina). Di conseguenza, le operazioni di patching utilizzando non Patch Manager sono supportate per queste versioni.

   • Classificazione: il gestore di pacchetti o i gestori di pacchetti a cui si desidera applicare i pacchetti durante il processo di applicazione di patch. È possibile scegliere tra le seguenti opzioni:

     • softwareupdate

     • Installer (Programma di installazione)

     • Brew

     • Brew cask

     L'opzione predefinita è All.

   • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla linea di base, ad esempio Critical o High.

     Nota

     Quando si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

   Per ulteriori informazioni sulle operazioni con le regole di approvazione in una patch di base personalizzata, consulta Baseline personalizzate.

9. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

   • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

     Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

   • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

10. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • In Operazione patch rifiutate, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco Patch rifiutate.

      • Consenti come dipendenza: un pacchetto dell'elenco Patch rifiutate viene installato solo se è incluso automaticamente in un altro pacchetto. È considerato conforme alla linea di base della patch e il suo stato è riportato come. InstalledOther Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.

      • Blocca: i pacchetti dell'elenco Patch rifiutate e quelli che le includono come dipendenze non verranno installati da Patch Manager in alcun caso. Se un pacchetto è stato installato prima di essere stato aggiunto all'elenco Patch rifiutate, oppure è stato successivamente installato fuori da Patch Manager, viene considerato non conforme alla baseline delle patch e il relativo stato è InstalledRejected.

11. (Facoltativo) In Gestisci tag, applica una o più coppie valore-nome di chiave di tag alla patch di base.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una base di patch per identificare il livello di gravità delle patch che specifica, il gestore di pacchetti a cui si applica e il tipo di ambiente. In questo caso è possibile specificare tag simili alle coppie valore-nome di chiave seguenti:

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

12. Scegli Crea una base di patch.