Prerequisiti di Patch Manager - AWS Systems Manager
Versione SSM AgentVersione di PythonConnettività all'origine della patchAccesso agli endpoint S3Autorizzazioni per installare le patch localmenteSistemi operativi supportati per Patch Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti di Patch Manager

Assicuratevi di aver soddisfatto i prerequisiti richiesti prima di utilizzare Patch Manager uno strumento in. AWS Systems Manager

Versione SSM Agent

La Versione 2.0.834.0 o successiva SSM Agent è in esecuzione sui nodi gestiti che si desidera gestire con Patch Manager.

Nota

Una versione aggiornata di SSM Agent viene rilasciata ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o vengono apportati aggiornamenti agli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automatizzazione degli aggiornamenti a SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent.

Versione di Python

Per macOS la maggior parte dei sistemi operativi Linux (OSs), Patch Manager attualmente supporta le versioni di Python 2.6 - 3.10. I AlmaLinux, Debian ServerRaspberry Pi OS, e Ubuntu Server OSs richiedono una versione supportata di Python 3 (3.0 - 3.10).

Connettività all'origine della patch

Se i nodi gestiti non dispongono di una connessione diretta a Internet e si utilizza un Amazon Virtual Private Cloud (Amazon VPC) con un endpoint VPC, è necessario assicurarsi che i nodi abbiano accesso ai repository delle patch di origine (repository). Nei nodi Linux, gli aggiornamenti delle patch vengono solitamente scaricati dai repository remoti configurati nel nodo. Pertanto, il nodo deve essere in grado di connettersi al repository, in modo che possa essere eseguita l'applicazione di patch. Per ulteriori informazioni, consulta Come vengono selezionate le patch di sicurezza.

CentOS e CentOS Stream: abilitano il flag EnableNonSecurity

I nodi gestiti 6 e 7 usano Yum come gestore di pacchetti. I nodi gestiti CentOS 8 e CentOS Stream utilizzano DNF come gestore di pacchetti. Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici.

Tuttavia, i repo predefiniti di CentOS e CentOS Stream non sono configurati con un avviso di aggiornamento. Ciò significa che Patch Manager non è in grado di rilevare i pacchetti in un repo CentOS e CentOS Stream predefinito. Per abilitare Patch Manager all'elaborazione di pacchetti non sono contenuti in un avviso di aggiornamento, dovrai abilitare il flag EnableNonSecurity nelle regole di base di patch.

Windows Server: garantisce la connettività al catalogo di Windows Update o a Windows Server Update Services (WSUS)

I nodi gestiti Windows Server devono essere in grado di connettersi al catalogo di Windows Update o a Windows Server Update Services (WSUS). Verificare che i nodi dispongano della connettività al Catalogo Microsoft Update tramite un gateway Internet, un gateway NAT o un'istanza NAT. Se si utilizza WSUS, verificare che il nodo disponga della connettività al server WSUS nell'ambiente in uso. Per ulteriori informazioni, consulta Problema: il nodo gestito non ha accesso a Windows Update Catalog o WSUS.

Accesso agli endpoint S3

Indipendentemente dal fatto che i nodi gestiti operino in una rete privata o pubblica, senza accesso ai bucket Amazon Simple Storage Service (Amazon S3) AWS gestiti richiesti, le operazioni di patching falliscono. Per informazioni sui bucket S3 a cui i nodi gestiti devono essere in grado di accedere, consulta SSM Agent comunicazioni con AWS bucket S3 gestiti e Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

Autorizzazioni per installare le patch localmente

Sui sistemi operativi Linux e Windows Server, Patch Manager utilizza, rispettivamente, l'account amministratore e l'account utente root per installare le patch.

Ad ogni modo, su macOS, per Brew e Brew Cask, Homebrew non supporta i comandi eseguiti con l'account dell'utente root. Di conseguenza, Patch Manager esegue query e i comandi Homebrew come proprietario della directory Homebrew, oppure come utente valido appartenente al gruppo proprietario della directory Homebrew. Pertanto, per installare le patch, il proprietario della directory homebrew necessita anche delle autorizzazioni ricorsive del proprietario per la directory /usr/local.

Suggerimento

Il comando seguente fornisce questa autorizzazione per l'utente specificato:

sudo chown -R $USER:admin /usr/local

Sistemi operativi supportati per Patch Manager

Lo Patch Manager strumento non supporta tutte le stesse versioni dei sistemi operativi supportate da altri strumenti di Systems Manager. Ad esempio: Patch Manager non supporta CentOS 6.3 o Raspberry Pi OS 8 (Jessie). (Per l'elenco completo dei sistemi operativi supportati da Systems Manager, consulta Sistemi operativi supportati per Systems Manager). Pertanto, assicurati che nei nodi gestiti che desideri utilizzare con Patch Manager sia in esecuzione uno dei sistemi operativi indicati nella seguente tabella.

Nota

Patch Manager si basa sui repository di patch configurati su un nodo gestito, come Windows Update Catalog e Windows Server Update Services per Windows, in modo da recuperare le patch disponibili da installare. Pertanto, per le versioni del sistema operativo EOL (end of life), nel caso non siano disponibili nuovi aggiornamenti, Patch Manager potrebbe non essere in grado di segnalare i nuovi aggiornamenti. Ciò è dovuto al fatto che non vengono rilasciati nuovi aggiornamenti dal manutentore della distribuzione Linux, Microsoft o Apple, o perché il nodo gestito non dispone della licenza appropriata per accedervi.

Patch Manager riporta lo stato di conformità rispetto alle patch disponibili sul nodo gestito. Pertanto, quando un'istanza esegue un sistema operativo EOL e non sono disponibili aggiornamenti, Patch Manager potrebbe segnalare il nodo come conforme, a seconda delle baseline delle patch configurate per la relativa operazione di applicazione.

Sistema operativo Informazioni

Linux

  • AlmaLinux 8 x, 9 x

  • Amazon Linux 2012.03 - 2018.03

  • Amazon Linux 2 versione 2.0 e tutte le versioni successive

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5–7.9, 8.x

  • CentOS Stream 8, 9

  • Debian Server 8.x, 9.x, 10.x, 11.x, and 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Raspberry Pi OS (in precedenza Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux(6RHEL) 6,5—8 x, 9 x, 10. x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server (SLES) 12.0 and versioni 12.x successive; 15.x

  • Ubuntu Server14,04 LTS, 16,04 LTS, 18,04 LTS, 20,04 LTS, 20,10 STR, 22,04 LTS, 23,04, 23,10, 24,04, 24,10 e 25,04
macOS

macOSè supportato solo per EC2 le istanze Amazon.

11.3.1; 11.4-11.7 (Big Sur)

12,0—12,7 (Monterey)

13,0—13,7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

Aggiornamenti al sistema operativo macOS

Patch Manager non supporta gli aggiornamenti per il sistema operativo (OS) o per macOS, ad esempio dal 12.x al 13.x, oppure dal 13.1 a 13.2. Per eseguire gli aggiornamenti della versione del sistema operativo su macOS, consigliamo di utilizzare i meccanismi di aggiornamento del sistema operativo integrati di Apple. Per ulteriori informazioni, consulta Device Management sul sito Web della documentazione Apple Developer.

Supporto Homebrew

Patch Managerrichiede l'installazione di Homebrew, il sistema di gestione dei pacchetti software open source, in una delle seguenti posizioni di installazione predefinite:

  • /usr/local/bin

  • /opt/homebrew/bin

Le operazioni di patching che utilizzano Patch Manager non funzionano correttamente quando Homebrew non è installato.

Homebrew ha interrotto il supporto per macOS 10.14.x (Mojave) e 10.15.x (Catalina). Di conseguenza, le operazioni di patching utilizzate non sono supportate per queste versioni. Patch Manager

Supporto delle Regioni

macOSnon è supportata in tutti Regioni AWS. Per ulteriori informazioni sul EC2 supporto Amazon permacOS, consulta le istanze Amazon EC2 Mac nella Amazon EC2 User Guide.

Dispositivi edge macOS

SSM Agentper i dispositivi AWS IoT Greengrass principali non è supportato su. macOS Non è possibile utilizzare Patch Manager per applicare patch macOS Dispositivi Edge.

Windows

Da Windows Server 2008 a Windows Server 2025, incluse le versioni R2.

Nota

SSM Agentper i dispositivi AWS IoT Greengrass principali non è supportato in Windows 10. Non è possibile utilizzare Patch Manager per applicare patch ai dispositivi edge Windows 10.

Supporto Windows Server 2008

A partire dal 14 gennaio 2020, Windows Server 2008 non è più supportato per gli aggiornamenti delle funzionalità o della sicurezza da Microsoft. Le Amazon Machine Images (AMIs) (AMI) legacy per Windows Server 2008 e 2008 R2 includono ancora la versione 2 di SSM Agent preinstallata, ma Systems Manager non supporta più ufficialmente le versioni 2008 e non aggiorna più l'agente per tali versioni di Windows Server. Inoltre, SSM Agent versione 3 potrebbe non essere compatibile con tutte le operazioni su Windows Server 2008 e 2008 R2. La versione finale ufficialmente supportata di SSM Agent per Windows Server 2008 è la 2.3.1644.0.

Supporto Windows Server 2012 e 2012 R2

Windows Server 2012 e 2012 R2 hanno raggiunto la fine del supporto il 10 ottobre 2023. Per l'utilizzo Patch Manager con queste versioni, si consiglia di utilizzare anche Extended Security Updates (ESUs) di Microsoft. Per ulteriori informazioni, consulta Raggiungimento della fine del supporto di Windows Server 2012 e 2012 R2 sul sito Web di Microsoft.