• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Systems Manager Patch Manager
Patch Manager, uno strumento in AWS Systems Manager, automatizza il processo di applicazione di patch ai nodi gestiti sia con aggiornamenti relativi alla sicurezza che con altri tipi di aggiornamenti.
**Nota**
Systems Manager fornisce supporto per le *policy di patch* in Quick Setup, uno strumento di AWS Systems Manager. L'utilizzo delle policy di patch è il metodo consigliato per configurare le operazioni di applicazione di patch. Con una singola configurazione delle policy di patch, è possibile definire l'applicazione di patch per tutti gli account in tutte le regioni dell'organizzazione, per regioni e account selezionati o per una singola coppia account-regione. Per ulteriori informazioni, consulta [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md).
È possibile utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni. (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft). È possibile utilizzare Patch Manager per installare Service Pack nei nodi di Windows ed eseguire aggiornamenti di versione secondari sui nodi di Linux. È possibile applicare patch a parchi di istanze Amazon Elastic Compute Cloud (Amazon EC2), dispositivi edge, server on-premises e macchine virtuali (VM), in base al tipo di sistema operativo. Sono incluse le versioni supportate di diversi sistemi operativi, come elencato su [Prerequisiti di Patch Manager](patch-manager-prerequisites.md). È possibile analizzare le istanze per visualizzare solo un report delle patch mancanti, oppure analizzare e installare automaticamente tutte le patch mancanti. Per iniziare a utilizzare Patch Manager, apri la [console di Systems Manager](https://console.aws.amazon.com//systems-manager/patch-manager). Nel pannello di navigazione, scegli **Patch Manager**.
AWS non testa le patch prima di renderle disponibili in. Patch Manager Inoltre, Patch Manager non supporta l'aggiornamento delle versioni principali dei sistemi operativi, ad esempio da Windows Server 2016 a Windows Server 2019, o da Red Hat Enterprise Linux (RHEL) 7.0 a RHEL 8.0.
Per i tipi di sistemi Linux-based operativi che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dall'editore del software per l'avviso di aggiornamento o la singola patch. Patch Manager[non ricava i livelli di gravità da fonti di terze parti, come il [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), o dalle metriche rilasciate dal National Vulnerability Database (NVD).](https://nvd.nist.gov/vuln)
## Quali sono i vantaggi di Patch Manager per la mia organizzazione?
Patch Manager automatizza il processo di applicazione di patch ai nodi gestiti con aggiornamenti relativi alla sicurezza e di altro tipo. Fornisce diversi vantaggi:
+ **Controllo centralizzato dell'applicazione di patch**: tramite le policy di patch, è possibile configurare operazioni di applicazione di patch ricorrenti per tutti gli account in tutte le Regioni dell'organizzazione, in account e Regioni specifici o in una singola coppia account-regione.
+ **Operazioni di applicazione di patch flessibili**: è possibile scegliere di analizzare le istanze per visualizzare solo un report delle patch mancanti oppure analizzare e installare automaticamente tutte le patch mancanti.
+ **Esecuzione di report completi sulla conformità**: dopo le operazioni di analisi, è possibile visualizzare informazioni dettagliate su quali nodi gestiti non sono conformi alle patch e quali patch mancano.
+ **Cross-platform supporto**: Patch Manager supporta più sistemi operativi, tra cui varie distribuzioni Linux, e. macOS Windows Server
+ **Baseline delle patch personalizzate**: è possibile definire ciò che costituisce la conformità delle patch per l'organizzazione tramite baseline delle patch personalizzate che specificano quali patch sono approvate per l'installazione.
+ **Integrazione con altri AWS servizi**: Patch Manager si integra con AWS Organizations, AWS Security Hub CSPM AWS CloudTrail, e AWS Config per una gestione e una sicurezza avanzate.
+ **Aggiornamenti deterministici**: supporto per gli aggiornamenti deterministici tramite repository con versioni per sistemi operativi come Amazon Linux 2023.
## A chi è consigliato l'uso di Patch Manager?
Patch Manager è progettato per i seguenti casi d'uso:
+ Amministratori IT che devono mantenere la conformità delle patch in tutto il parco istanze di nodi gestiti;
+ Responsabili delle operazioni che necessitano di visibilità sullo stato di conformità delle patch nell'intera infrastruttura;
+ Architetti del cloud che desiderano implementare soluzioni di applicazione di patch automatizzate su larga scala;
+ DevOps ingegneri che devono integrare l'applicazione delle patch nei propri flussi di lavoro operativi
+ Organizzazioni con implementazioni in più account/multi regioni che necessitano di una gestione centralizzata delle patch
+ Chiunque sia responsabile del mantenimento del livello di sicurezza e dell'integrità operativa dei nodi AWS gestiti, dei dispositivi perimetrali, dei server locali e delle macchine virtuali
## Quali sono le funzionalità principali di Patch Manager?
Patch Manager offre diverse funzionalità chiave:
+ **Politiche di patch**: configura le operazioni di applicazione delle patch in più Account AWS regioni utilizzando un'unica politica tramite l'integrazione con. AWS Organizations
+ **Baseline delle patch personalizzate**: definisci regole per l'approvazione automatica delle patch entro pochi giorni dalla relativa pubblicazione, nonché un elenco delle patch approvate e rifiutate.
+ **Diversi metodi di applicazione di patch**: scegli tra policy di patch, finestre di manutenzione oppure operazioni "Applica patch ora" su richiesta, per soddisfare le tue esigenze specifiche.
+ **Esecuzione di report di conformità**: genera report dettagliati sullo stato di conformità delle patch da inviare a un bucket Amazon S3 in formato CSV.
+ **Cross-platform supporto**: applica patch sia ai sistemi operativi che alle applicazioni su Windows Server varie distribuzioni Linux e. macOS
+ **Flessibilità di pianificazione**: imposta pianificazioni diverse per l'analisi e l'installazione delle patch utilizzando espressioni CRON o della frequenza personalizzate.
+ **Hook del ciclo di vita**: esegui script personalizzati prima e dopo le operazioni di applicazione di patch utilizzando i documenti di Systems Manager.
+ **Attenzione alla sicurezza**: per impostazione predefinita, Patch Manager si concentra sugli aggiornamenti relativi alla sicurezza anziché sull'installazione di tutte le patch disponibili.
+ **Controllo della frequenza**: configura le soglie di concorrenza e di errore nelle operazioni di applicazione di patch per ridurre al minimo l'impatto operativo.
## In cosa consiste la conformità in Patch Manager?
Il benchmark per ciò che costituisce la *conformità delle patch* per i nodi gestiti nelle flotte di Systems Manager non è definito dai AWS fornitori di sistemi operativi (OS) o da terze parti come le società di consulenza sulla sicurezza.
Al contrario, è l'utente che definisce cosa significa conformità delle patch per i nodi gestiti nell'organizzazione o nell'account in una *baseline delle patch*. Una baseline delle patch è una configurazione che specifica le regole per le quali le patch devono essere installate su un nodo gestito. Un nodo gestito è conforme alle patch quando è aggiornato con tutte le patch che soddisfano i criteri di approvazione specificati nella baseline delle patch.
Tieni presente che essere *conforme* a baseline delle patch non significa che un nodo gestito sia necessariamente *sicuro*. Conforme significa che le patch definite dalla baseline delle patch, che siano *disponibili* o *approvate*, sono state installate sul nodo. La sicurezza complessiva di un nodo gestito è determinata da molti fattori che non rientrano nell'ambito di Patch Manager. Per ulteriori informazioni, consulta [Sicurezza in AWS Systems Manager](security.md).
Ogni baseline delle patch è una configurazione per uno specifico tipo di sistema operativo (OS) supportato, ad esempio Red Hat Enterprise Linux (RHEL) macOS o Windows Server. Una baseline delle patch può definire le regole di applicazione di patch per tutte le versioni supportate di un sistema operativo o essere limitata solo a quelle specificate dall'utente, ad esempio RHEL 7.8. e RHEL 9.3.
In una baseline delle patch, è possibile specificare che tutte le patch con specifici classificazioni e livelli di gravità siano approvate per l'installazione. Ad esempio, è possibile includere tutte le patch classificate come `Security`, ma escludere altre classificazioni, come `Bugfix` o `Enhancement`. È inoltre possibile includere tutte le patch con una gravità pari a `Critical` ed escluderne altre, ad esempio `Important` e `Moderate`.
Puoi anche definire le patch in modo esplicito in una baseline delle patch aggiungendo i relativi ID agli elenchi di patch specifiche da approvare o rifiutare, ad esempio `KB2736693` per Windows Server o `dbus.x86_64:1:1.12.28-1.amzn2023.0.1` per Amazon Linux 2023 (AL2023). Facoltativamente, puoi specificare un certo numero di giorni di attesa per l'applicazione delle patch dopo che una patch diventa disponibile. Per Linux e macOS, è possibile specificare un elenco esterno di patch per la conformità (un elenco "Installa sovrascrivi") anziché quelle definite dalle regole della baseline delle patch.
Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella baseline delle patch. È possibile impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione `Scan`) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione `Scan and install`).
**Nota**
I dati sulla conformità delle patch rappresentano un'istantanea temporale dell'ultima operazione di patching riuscita. Ogni rapporto di conformità contiene un orario di acquisizione che identifica quando è stato calcolato lo stato di conformità. Quando esamini i dati di conformità, considera il tempo di acquisizione per determinare se l'operazione è stata eseguita come previsto.
Patch Manager fornisce baseline delle patch predefinite che è possibile utilizzare per le operazioni di applicazione di patch; tuttavia, queste configurazioni predefinite vengono fornite come esempi e non come best practice consigliate. Ti consigliamo di creare baseline delle patch personalizzate per le tue patch, così potrai esercitare un maggiore controllo su ciò che costituisce la conformità delle patch per il tuo parco istanze.
Per ulteriori informazioni sulle baseline delle patch, consulta i seguenti argomenti:
+ [Baseline delle patch predefinite e personalizzate](patch-manager-predefined-and-custom-patch-baselines.md)
+ [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md)
+ [Visualizzazione delle linee di base delle patch AWS predefinite](patch-manager-view-predefined-patch-baselines.md)
+ [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md)
+ [Utilizzo dei report sulla conformità delle patch](patch-manager-compliance-reports.md)
## Componenti principali
Prima di iniziare a utilizzare lo strumento Patch Manager, è necessario acquisire familiarità con alcuni componenti e funzionalità principali delle operazioni di applicazione di patch dello strumento.
**Baseline delle patch**
Patch Manager utilizza *baseline delle patch* che includono regole per l'approvazione automatica di patch entro pochi giorni dalla relativa pubblicazione, oltre a un elenco delle patch approvate e rifiutate. Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella baseline delle patch. È possibile impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione `Scan`) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione `Scan and install`).
**Metodi operativi di applicazione di patch**
Patch Manager offre attualmente quattro metodi per eseguire operazioni `Scan` e `Scan and install`:
+ **(Consigliato) Una politica di patch configurata inQuick Setup: in** base all'integrazione con AWS Organizations, una singola policy di patch può definire i piani di applicazione delle patch e le linee di base delle patch per un'intera organizzazione, Regioni AWS compresi i diversi Account AWS account in cui operano. Una policy di patch è inoltre destinata solo ad alcune unità organizzative (UO) in un'organizzazione. È possibile utilizzare un'unica policy di patch per eseguire l'analisi e l'installazione in base a pianificazioni diverse. Per ulteriori informazioni, consultare [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md) e [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md).
+ **Un'opzione di gestione degli host configurata in Quick Setup** — Le configurazioni di Host Management sono supportate anche dall'integrazione con AWS Organizations, che consente di eseguire un'operazione di patching per un massimo di un'intera organizzazione. Tuttavia, questa opzione si limita alla ricerca delle patch mancanti utilizzando l'attuale baseline delle patch predefinita e fornendo esiti nei report di conformità. Questo metodo operativo non è in grado di installare patch. Per ulteriori informazioni, consulta [Configura la gestione host Amazon EC2 tramite Quick Setup](quick-setup-host-management.md).
+ **Una finestra di manutenzione per eseguire un'attività di `Scan` o `Install` di patch** è una finestra di manutenzione configurabile nello strumento di Systems Manager chiamato Maintenance Windows. Questa configurazione serve a eseguire diversi tipi di attività secondo una pianificazione definita dall'utente. Un'attività di tipo Run Command viene utilizzata per eseguire processi `Scan` o `Scan and install` in un set di nodi gestiti di tua scelta. Ogni attività della finestra di manutenzione può indirizzare i nodi gestiti in una sola coppia Account AWS.Regione AWS Per ulteriori informazioni, consulta [Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console](maintenance-window-tutorial-patching.md).
+ **Un'operazione **Patch now** (Applica subito una patch) on demand in Patch Manager**. L'opzione **Patch now** (Applica subito una patch) consente di ignorare le impostazioni di pianificazione quando è necessario applicare patch ai nodi gestiti il più rapidamente possibile. Con **Patch now** (Applica subito una patch), è possibile specificare se eseguire l'operazione `Scan` o `Scan and install` e scegliere i nodi gestiti sui cui eseguirla. È possibile inoltre scegliere di eseguire i documenti Systems Manager (documenti SSM) come hook del ciclo di vita durante l'applicazione di patch. Ogni operazione **Patch ora** può indirizzare i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta [Patching dei nodi gestiti on demand](patch-manager-patch-now-on-demand.md).
**Creazione di report di conformità**
Dopo un'operazione `Scan`, è possibile utilizzare la console di Systems Manager per visualizzare le informazioni relative ai nodi gestiti che non sono conformi alle patch e alle patch mancanti per ciascun nodo. È possibile anche generare report di conformità alle patch in formato .csv inviati a un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare report una tantum o generare report in base a una pianificazione regolare. Per un singolo nodo, i report includono dettagli di tutte le patch per il nodo. Per un report su tutti i nodi gestiti, viene fornito solo un riepilogo del numero di patch mancanti. Dopo aver generato un report, puoi utilizzare uno strumento come Amazon Quick per importare e analizzare i dati. Per ulteriori informazioni, consulta [Utilizzo dei report sulla conformità delle patch](patch-manager-compliance-reports.md).
**Nota**
Un elemento di conformità generato tramite l'uso di una policy di patch ha un tipo di esecuzione `PatchPolicy`. Un elemento di conformità non generato in un'operazione di policy di patch presenta un tipo di esecuzione `Command`.
**Integrazioni**
Patch Managersi integra con le seguenti altre: Servizi AWS
+ **AWS Identity and Access Management (IAM)**: utilizza IAM per controllare quali utenti, gruppi e ruoli hanno accesso alle Patch Manager operazioni. Per ulteriori informazioni, consulta [Funzionamento di AWS Systems Manager con IAM](security_iam_service-with-iam.md) e [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md).
+ **AWS CloudTrail**— CloudTrail Da utilizzare per registrare una cronologia verificabile degli eventi delle operazioni di patch avviate da utenti, ruoli o gruppi. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ **AWS Security Hub CSPM**— I dati sulla conformità delle patch Patch Manager possono essere inviati a. AWS Security Hub CSPM Security Hub CSPM offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione di patch del parco istanze. Per ulteriori informazioni, consulta [Integrazione con Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md).
+ **AWS Config**— Configura la registrazione AWS Config per visualizzare i dati di gestione delle istanze Amazon EC2 nella Patch Manager dashboard. Per ulteriori informazioni, consulta [Visualizzazione dei riepiloghi del pannello di controllo delle patch](patch-manager-view-dashboard-summaries.md).
**Topics**
+ [Quali sono i vantaggi di Patch Manager per la mia organizzazione?](#how-can-patch-manager-benefit-my-organization)
+ [A chi è consigliato l'uso di Patch Manager?](#who-should-use-patch-manager)
+ [Quali sono le funzionalità principali di Patch Manager?](#what-are-the-main-features-of-patch-manager)
+ [In cosa consiste la conformità in Patch Manager?](#patch-manager-definition-of-compliance)
+ [Componenti principali](#primary-components)
+ [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md)
+ [Prerequisiti di Patch Manager](patch-manager-prerequisites.md)
+ [Come Patch Manager funzionano le operazioni](patch-manager-patching-operations.md)
+ [Documenti sul comando SSM per l'applicazione di patch a nodi gestiti](patch-manager-ssm-documents.md)
+ [Baseline delle patch](patch-manager-patch-baselines.md)
+ [Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2](patch-manager-kernel-live-patching.md)
+ [Utilizzo delle risorse di Patch Manager e della conformità tramite la console](patch-manager-console.md)
+ [Lavorare con le risorse di Patch Manager utilizzando AWS CLI](patch-manager-cli-commands.md)
+ [tutorial AWS Systems Manager Patch Manager](patch-manager-tutorials.md)
+ [Risoluzione dei problemi relativi a Patch Manager](patch-manager-troubleshooting.md)