Prerequisiti di Patch Manager - AWS Systems Manager
Versione SSM AgentVersione di PythonConnettività all'origine della patchAccesso agli endpoint S3Autorizzazioni per installare le patch localmenteSistemi operativi supportati per Patch Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti di Patch Manager

Assicurati di aver soddisfatto i prerequisiti richiesti prima di utilizzare Patch Manager uno strumento in AWS Systems Manager.

Versione SSM Agent

La Versione 2.0.834.0 o successiva SSM Agent è in esecuzione sui nodi gestiti che si desidera gestire con Patch Manager.

Nota

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consulta Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent.

Versione di Python

Per macOS la maggior parte dei sistemi operativi Linux (OSs), Patch Manager attualmente supporta le versioni di Python 2.6 - 3.12. I AlmaLinuxDebian Server, e Ubuntu Server OSs richiedono una versione supportata di Python 3 (3.0 - 3.12).

Connettività all'origine della patch

Se i nodi gestiti non dispongono di una connessione diretta a Internet e si utilizza un Amazon Virtual Private Cloud (Amazon VPC) con un endpoint VPC, è necessario assicurarsi che i nodi abbiano accesso ai repository delle patch di origine (repository). Nei nodi Linux, gli aggiornamenti delle patch vengono solitamente scaricati dai repository remoti configurati nel nodo. Pertanto, il nodo deve essere in grado di connettersi al repository, in modo che possa essere eseguita l'applicazione di patch. Per ulteriori informazioni, consulta Come vengono selezionate le patch di sicurezza.

Quando applichi una patch a un nodo in esecuzione in un IPv6 unico ambiente, assicurati che il nodo sia connesso alla fonte della patch. È possibile controllare l'Run Commandoutput dell'esecuzione della patch per verificare la presenza di avvisi relativi a repository inaccessibili. Per i sistemi operativi basati su DNF, è possibile configurare i repository non disponibili da ignorare durante l'applicazione delle patch se l'opzione è impostata su under. skip_if_unavailable True /etc/dnf/dnf.conf I sistemi operativi basati su DNF includono Amazon Linux 2023, Red Hat Enterprise Linux 8 e versioni successive, Oracle Linux 8 e versioni successive e CentOS 8 e versioni successive. Rocky Linux AlmaLinux Su Amazon Linux 2023, l'skip_if_unavailableopzione è impostata come True predefinita.

CentOS Stream: Abilita la EnableNonSecurity bandiera

CentOS Streamnodes si avvale del principio di DNF come programma di gestione dei pacchetti, che si avvale del principio dell'avviso di aggiornamento. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici.

Tuttavia, i repo predefiniti di CentOS non sono configurati con un avviso di aggiornamento. Ciò significa che Patch Manager non è in grado di rilevare i pacchetti in un repo CentOS e CentOS Stream predefinito. Per abilitare Patch Manager all'elaborazione di pacchetti non sono contenuti in un avviso di aggiornamento, dovrai abilitare il flag EnableNonSecurity nelle regole di base di patch.

Windows Server: garantisce la connettività al catalogo di Windows Update o a Windows Server Update Services (WSUS)

I nodi gestiti Windows Server devono essere in grado di connettersi al catalogo di Windows Update o a Windows Server Update Services (WSUS). Verificare che i nodi dispongano della connettività al Catalogo Microsoft Update tramite un gateway Internet, un gateway NAT o un'istanza NAT. Se si utilizza WSUS, verificare che il nodo disponga della connettività al server WSUS nell'ambiente in uso. Per ulteriori informazioni, consulta Problema: il nodo gestito non ha accesso a Windows Update Catalog o WSUS.

Accesso agli endpoint S3

Indipendentemente dal fatto che i nodi gestiti operino in una rete privata o pubblica, senza accesso ai bucket Amazon Simple Storage Service (Amazon S3) AWS gestiti richiesti, le operazioni di patching falliscono. Per informazioni sui bucket S3 a cui i nodi gestiti devono essere in grado di accedere, consulta Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS e Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

Autorizzazioni per installare le patch localmente

Sui sistemi operativi Linux e Windows Server, Patch Manager utilizza, rispettivamente, l'account amministratore e l'account utente root per installare le patch.

Ad ogni modo, su macOS, per Brew e Brew Cask, Homebrew non supporta i comandi eseguiti con l'account dell'utente root. Di conseguenza, Patch Manager esegue query e i comandi Homebrew come proprietario della directory Homebrew, oppure come utente valido appartenente al gruppo proprietario della directory Homebrew. Pertanto, per installare le patch, il proprietario della directory homebrew necessita anche delle autorizzazioni ricorsive del proprietario per la directory /usr/local.

Suggerimento

Il comando seguente fornisce questa autorizzazione per l'utente specificato:

sudo chown -R $USER:admin /usr/local

Sistemi operativi supportati per Patch Manager

Lo strumento Patch Manager non supporta tutte le stesse versioni dei sistemi operativi supportate da altri strumenti di Systems Manager. (Per l'elenco completo dei sistemi operativi supportati da Systems Manager, consulta Sistemi operativi supportati per Systems Manager). Pertanto, assicurati che nei nodi gestiti che desideri utilizzare con Patch Manager sia in esecuzione uno dei sistemi operativi indicati nella seguente tabella.

Nota

Patch Manager si basa sui repository di patch configurati su un nodo gestito, come Windows Update Catalog e Windows Server Update Services per Windows, in modo da recuperare le patch disponibili da installare. Pertanto, per le versioni del sistema operativo EOL (end of life), nel caso non siano disponibili nuovi aggiornamenti, Patch Manager potrebbe non essere in grado di segnalare i nuovi aggiornamenti. Ciò è dovuto al fatto che non vengono rilasciati nuovi aggiornamenti dal manutentore della distribuzione Linux, Microsoft o Apple, o perché il nodo gestito non dispone della licenza appropriata per accedervi.

Ti consigliamo vivamente di evitare l'uso di versioni del sistema operativo che hanno raggiunto End-of-Life (EOL). I fornitori di sistemi operativi, tra cui AWS in genere, non forniscono patch di sicurezza o altri aggiornamenti per le versioni che hanno raggiunto l'EOL. Continuare a utilizzare un sistema EOL aumenta notevolmente il rischio di non essere in grado di applicare gli aggiornamenti, comprese le correzioni di sicurezza e altri problemi operativi. AWS non verifica la funzionalità di Systems Manager su versioni del sistema operativo che hanno raggiunto la fine del ciclo di vita.

Patch Manager riporta lo stato di conformità rispetto alle patch disponibili sul nodo gestito. Pertanto, quando un'istanza esegue un sistema operativo EOL e non sono disponibili aggiornamenti, Patch Manager potrebbe segnalare il nodo come conforme, a seconda delle baseline delle patch configurate per la relativa operazione di applicazione.

Sistema operativo Informazioni

Linux

  • AlmaLinux 8 x, 9 x.

  • Amazon Linux 2 versione 2.0 e tutte le versioni successive

  • Amazon Linux 2023

  • CentOS Stream 9

  • 11.x e 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • 9.x, 10.x, 11.x, 12.x

  • Rocky Linux 8.x, 9.x

  • 1.23 e versioni successive

  • Ubuntu Server16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS e 25.04
macOS

macOSè supportato solo per EC2 le istanze Amazon.

13.0-13.5 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

Aggiornamenti al sistema operativo macOS

Patch Manager non supporta gli aggiornamenti o gli upgrade del sistema operativo (OS) per macOS, ad esempio da 12.x a 13.x o da 13.1 a 13.2. Per eseguire gli aggiornamenti della versione del sistema operativo su macOS, consigliamo di utilizzare i meccanismi di aggiornamento del sistema operativo integrati di Apple. Per ulteriori informazioni, consulta Device Management sul sito Web della documentazione Apple Developer.

Supporto Homebrew

Patch Managerrichiede l'installazione di Homebrew, il sistema di gestione dei pacchetti software open source, in una delle seguenti posizioni di installazione predefinite:

  • /usr/local/bin

  • /opt/homebrew/bin

Le operazioni di patching che utilizzano Patch Manager non funzionano correttamente quando Homebrew non è installato.

Supporto delle Regioni

macOSnon è supportato in tutto Regioni AWS. Per ulteriori informazioni sul EC2 supporto Amazon permacOS, consulta le istanze Amazon EC2 Mac nella Amazon EC2 User Guide.

Dispositivi edge macOS

SSM Agentper i dispositivi AWS IoT Greengrass principali non è supportato su. macOS Non è possibile utilizzare Patch Manager per applicare patch macOS Dispositivi Edge.

Windows

Da Windows Server 2008 a Windows Server 2025, incluse le versioni R2.

Nota

SSM Agentper i dispositivi AWS IoT Greengrass principali non è supportato in Windows 10. Non è possibile utilizzare Patch Manager per applicare patch ai dispositivi edge Windows 10.

Supporto Windows Server 2012 e 2012 R2

Windows Server 2012 e 2012 R2 hanno raggiunto la fine del supporto il 10 ottobre 2023. Per l'utilizzo Patch Manager con queste versioni, si consiglia di utilizzare anche Extended Security Updates (ESUs) di Microsoft. Per ulteriori informazioni, consulta Raggiungimento della fine del supporto di Windows Server 2012 e 2012 R2 sul sito Web di Microsoft.