AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di patch
Nota
I gruppi di patch non vengono utilizzati nelle operazioni di applicazione di patch basate su policy di patch. Per informazioni sull'utilizzo delle policy di patch, consulta Configurazioni delle policy di patch in Quick Setup.
La funzionalità dei gruppi di patch non è supportata nella console per le coppie account-Regione, che non utilizzavano già i gruppi di patch prima del rilascio del supporto per le policy di patch il 22 dicembre 2022. La funzionalità dei gruppi di patch è ancora disponibile nelle coppie account-Regione, che hanno iniziato a utilizzare i gruppi di patch prima di questa data.
È possibile utilizzare un gruppo di patch per associare i nodi gestiti a una patch di base specifica, Patch Manager, uno strumento di AWS Systems Manager. I gruppi di patch garantiscono che vengano distribuite le patch appropriate, in base alle regole delle basi di patch associate, al set di nodi corretto. Inoltre aiutano a non distribuire le patch non adeguatamente verificate. Ad esempio, è possibile creare gruppi di patch per ambienti diversi (di sviluppo, di test e di produzione) e registrare ciascun gruppo con una base di patch appropriata.
Quando si esegue AWS-RunPatchBaseline, è possibile specificare come target i nodi gestiti utilizzando il relativo ID nodo o i tag. SSM Agent e Patch Manager quindi valutano quale patch di base utilizzare in base al valore del gruppo di patch aggiunto al nodo gestito.
Utilizzo dei tag per definire i gruppi di patch
Crea un gruppo di patch utilizzando tag applicati sia alle tue istanze Amazon Elastic Compute Cloud (Amazon EC2) sia ai nodi non EC2 in un ambiente ibrido e multi-cloud. Notare i seguenti dettagli relativi all'utilizzo dei tag per i gruppi di patch:
-
Un gruppo di patch deve essere definito utilizzando la chiave tag
Patch GroupoPatchGroupapplicato ai nodi gestiti. Quando si registra un gruppo di patch per una patch baseline, tutti i valori identici specificati per queste due chiavi vengono interpretati come parte dello stesso gruppo. Ad esempio, supponiamo di aver taggato cinque nodi con la prima delle seguenti coppie chiave-valore e cinque con la seconda:-
key=PatchGroup,value=DEV -
key=Patch Group,value=DEV
Il Patch Manager comando per creare una linea di base combina questi 10 nodi gestiti in un unico gruppo in base al valore.
DEVL'AWS CLIequivalente del comando per creare una linea di base di patch per i gruppi di patch è il seguente:aws ssm register-patch-baseline-for-patch-group \ --baseline-id pb-0c10e65780EXAMPLE \ --patch-group DEVLa combinazione di valori di chiavi diverse in un'unica destinazione è esclusiva di questo Patch Manager comando per la creazione di un nuovo gruppo di patch e non è supportata da altre azioni API. Ad esempio, se esegui send-commandazioni utilizzando
Patch GroupchiaviPatchGroupe con gli stessi valori, hai come target due set di nodi completamente diversi:aws ssm send-command \ --document-name AWS-RunPatchBaseline \ --targets "Key=tag:PatchGroup,Values=DEV"aws ssm send-command \ --document-name AWS-RunPatchBaseline \ --targets "Key=tag:Patch Group,Values=DEV" -
-
Esistono dei limiti al targeting basato su tag. Ogni array di obiettivi per
SendCommandpuò contenere un massimo di cinque coppie chiave-valore. -
Ti consigliamo di scegliere solo una di queste convenzioni relative alle chiavi dei tag,
PatchGroup(senza spazio) oPatch Group(con uno spazio). Se sono presenti tag consentiti nei metadati dell'istanza EC2, è necessario utilizzarePatchGroup(senza spazio). -
La chiave prevede la distinzione fra lettere maiuscole e minuscole. È possibile specificare un qualsiasi valore per identificare e indirizzare le risorse in quel gruppo, ad esempio "server web" o "US-EAST-PROD", ma la chiave deve essere o .
Dopo avere creato un gruppo di patch e i nodi gestiti dei tag, è possibile registrare il gruppo di patch in una patch di base. La registrazione del gruppo di patch con una patch di base garantisce che i nodi all'interno del gruppo di patch utilizzino le regole definite nella base di patch associata.
Per ulteriori informazioni su come creare un gruppo di patch e associarlo a una base di patch, consulta Creazione e gestione di gruppi di patch e Aggiungere un gruppo di patch a una base di patch.
Per visualizzare un esempio di creazione di una base di patch e di gruppi di patch con AWS Command Line Interface (AWS CLI), consulta Tutorial: applicare una patch a un ambiente server utilizzando il AWS CLI. Per ulteriori informazioni sui tag Amazon EC2, consulta la sezione relativa al Tagging delle risorse Amazon EC2 nella Guida per l'utente di Amazon EC2.
Come funziona
Quando il sistema esegue l'attività di applicazione di una patch di base a un nodo gestito, SSM Agent verifica che per il nodo sia definito un valore del gruppo di patch. Se il nodo è assegnato a un gruppo di patch, Patch Manager verifica quale patch di base è stata registrata per il gruppo. Se per il gruppo viene rilevata una base di patch, Patch Manager comunica a SSM Agent di utilizzare la base di patch associata. Se un nodo non è configurato per un gruppo di patch, Patch Manager comunica automaticamente a SSM Agent di utilizzare la patch di base di default attualmente configurata.
Importante
Un nodo gestito può trovarsi solo in un singolo gruppo di patch.
Un gruppo di patch può essere registrato con una sola base di patch per ciascun tipo di sistema operativo.
Per applicare il tag Patch Group (con uno spazio) a un'istanza di Amazon EC2, l’opzione Consenti i tag nei metadati dell'istanza non deve essere abilitata sull'istanza. Consenti i tag nei metadati di istanza impedisce ai nomi delle chiavi dei tag di contenere spazi. Se hai tag consentiti nei metadati dell'istanza EC2, è necessario utilizzare la chiave di tag PatchGroup (senza spazio).
Diagramma 1: esempio generale del flusso di elaborazione delle operazioni di applicazione di patch
L'immagine seguente mostra un esempio generale dei processi eseguiti da Systems Manager quando invia un'attività Run Command al parco di server per applicare le patch utilizzando Patch Manager. Questi processi determinano quali patch di base utilizzare nelle operazioni di patch. (Un processo analogo viene utilizzato quando una finestra di manutenzione viene configurata per l'invio di un comando di applicazione patch utilizzando Patch Manager.)
L'intero processo è spiegato sotto l'illustrazione.
In questo esempio abbiamo tre gruppi di istanze EC2 di Windows Server con i seguenti tag applicati:
| Gruppo di istanze EC2 | Tag |
|---|---|
|
Gruppo 1 |
|
|
Gruppo 2 |
|
|
Gruppo 3 |
|
Per questo esempio abbiamo anche le due basi di patch Windows Server seguenti:
| ID della base di confronto delle patch | Predefinita | Gruppo di patch associate |
|---|---|---|
|
|
Sì |
|
|
|
No |
|
Il processo generale per la scansione o l'installazione di patch con Run Command, uno strumento di AWS Systems Manager, e Patch Manager è il seguente:
-
Inviare un comando per l'applicazione di patch: utilizzare la console Systems Manager, SKD, AWS Command Line Interface, (AWS CLI) o AWS Tools for Windows PowerShell per inviare un'attività Run Command utilizzando il documento
AWS-RunPatchBaseline. Il diagramma mostra un'attività Run Command per l'applicazione di patch alle istanze gestite specificando come target il tagkey=OS,value=Windows. -
Determinazione della base di patch: SSM Agent verifica i tag del gruppo di patch applicati all'istanza di EC2 e interroga Patch Manager per la base di patch corrispondente.
-
Valore del gruppo di patch corrispondente associato alla base di patch:
-
SSM Agent, installato nelle istanze EC2 nel gruppo 1, riceve il comando eseguito nella Fase 1 di avviare un'operazione di applicazione di patch. SSM Agent verifica che alle istanze EC2 sia applicato il valore di tag del gruppo di patch
DEVe interroga Patch Manager per ottenere una base di patch associata. -
Patch Manager verifica che alla base di patch
pb-9876543210abcdef0sia associato il gruppo di patchDEVe invia una notifica a SSM Agent. -
SSM Agent recupera uno snapshot della base di patch da Patch Manager in base alle regole di approvazione e alle eccezioni configurate in
pb-9876543210abcdef0e procede con la fase successiva.
-
-
Nessun tag del gruppo di patch aggiunto all'istanza:
-
SSM Agent, installato nelle istanze EC2 nel gruppo 2, riceve il comando eseguito nella Fase 1 di avviare un'operazione di applicazione di patch. SSM Agent verifica che alle istanze EC2 non sia applicato il tag
Patch GroupePatchGroup, di conseguenza, SSM Agent interroga Patch Manager per ottenere la patch di base Windows predefinita. -
Patch Manager verifica che la base di patch predefinita Windows Server sia
pb-0123456789abcdef0e notifica SSM Agent. -
SSM Agent recupera uno snapshot della base di patch da Patch Manager in base alle regole di approvazione e alle eccezioni configurate nella base di patch predefinita
pb-0123456789abcdef0e procede con la fase successiva.
-
-
Nessun valore del gruppo di patch corrispondente associato a una base di patch:
-
SSM Agent, installato nelle istanze EC2 nel gruppo 3, riceve il comando eseguito nella Fase 1 di avviare un'operazione di applicazione di patch. SSM Agent verifica che alle istanze EC2 sia applicato il valore di tag
QAdel gruppo di patch e interroga Patch Manager per ottenere una base di patch associata. -
Patch Manager non trova una base di patch a cui sia associato il gruppo di patch
QA. -
Patch Manager comunica a SSM Agent di utilizzare la base di patch predefinita di Windows
pb-0123456789abcdef0. -
SSM Agent recupera uno snapshot della base di patch da Patch Manager in base alle regole di approvazione e alle eccezioni configurate nella base di patch predefinita
pb-0123456789abcdef0e procede con la fase successiva.
-
-
-
Scansione o installazione di patch: dopo aver stabilito la base di patch appropriata da utilizzare, SSM Agent inizia a eseguire la scansione o l'installazione delle patch in base al valore dell'operazione specificato nella Fase 1. Per stabilire quali patch devono essere sottoposte a scansione o installate, vengono seguite le regole di approvazione e le eccezioni delle patch definite nella snapshot della base di patch fornita da Patch Manager.
- Ulteriori informazioni
