AMS 標準パッチ適用で実行できるアクション - AMS Advanced ユーザーガイド
パッチ適用対象の変更/オプトアウトパッチ適用の準備パッチ設定の表示

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS 標準パッチ適用で実行できるアクション

新しい AMIsテストに加えて、インフラストラクチャのパッチ適用を管理するために実行できるアクションがいくつかあります。

  • パッチウィンドウが許容するよりも更新のテストに時間がかかった場合は、サービスリクエストを送信して、準備が整ったときにキャンセルされた更新を AMS に適用するようにリクエストできます (元のサービス通知の詳細をベースとして使用します)。

  • 更新のリスト、該当するインスタンス、および必要に応じてその他の詳細を提供するサービスリクエストを送信することで、次の自動更新ウィンドウの前に重要な更新 (IU) またはその他の更新 (OU) を適用するようにリクエストできます。この CT は自動化されていないため、スケジュールと実行に時間がかかります。適切な時間、サービスレベル目標 (SLOs) を確認します。詳細については、「AMS サービスレベル目標 (SLOs)」を参照してください。

さらに、既存のパッチが適用された AMS AMIs を使用してカスタム AMIs を作成できます。詳細については、「AMI | Create」を参照してください。

注記

AMS AMI リリースプロセスはすべての AMS のお客様のために一定の頻度で実行されるため、次のメンテナンスウィンドウの前に重要な更新やその他の更新に基づいて新しい AMS AMI をリクエストすることはできません。

パッチ適用対象の変更/オプトアウト

AMS が設定されたパッチ適用では、パッチ適用サービス通知への応答またはサービスリクエストで、パッチ適用されるリソースを変更できます。以下の操作を行うことができます。

  • スタックごと、およびオペレーティングシステムごとに、修復から除外する必要があるパッチのリストを定義します。

  • 特定のパッチまたはすべてのパッチから除外する必要があるリソースのリストを定義します。

  • すべてのパッチ適用から常に除外する必要があるリソースのリストを定義します。

  • 特定の日と特定の時間にパッチを適用する必要があるリソースのリストを定義します (メンテナンスウィンドウを定義していない場合は適切)。

1 つ以上のパッチを除外するには、サービスリクエストを送信するか、次に示すテンプレートを使用してパッチ適用サービス通知に応答します。RFC を送信しないでください。除外するパッチ名とその理由をリクエストに含めます。次のように、この情報をサービスリクエストに含めます。

  • 名前: パッチの名前。Windows パッチの場合、これは などの KB 名ですKB3145384。Linux パッチの場合、これは などのパッケージ名ですopenssh-6.6.1p1-25.61.amzn1.x86_64

  • 理由: パッチを除外する理由を示すコメント。

  • 有効期限: 除外の有効期限が切れる日時。

除外されたパッチが既にインストールされている場合は、削除されます。

リクエストは、これらのパッチを除外するとセキュリティ上の重大なリスクが生じる場合に、オペレーターが説明します。除外されたパッチの有効期限もネゴシエートされます。合意された有効期限が切れると、除外は期限切れになり、パッチはそれ以降のパッチ適用にインストールされます。

除外リストのパッチは、必要に応じてスキャン結果で返されます。

注記

Windows とは異なり、Linux パッチはバージョン固有です。除外されたパッチの新しいバージョンは自動的に除外されないため、この区別は重要です。その場合、Linux パッチの新しいバージョンを除外するように AMS に通知するのはお客様の責任です。

パッチサービス通知返信テンプレート

インスタンスでパッチを適用するには、指定された形式を使用してパッチ適用サービス通知に返信する必要があります。AMS でメンテナンスウィンドウをまだ設定していない場合は、これを行う必要があります。

サービス通知に返信するときは、指定された形式を使用します。

メンテナンスウィンドウが設定されていない場合は、次のようにパッチを適用するタイミングをお知らせください。

UTC                 StartTime       StackId                     InstanceId (Optional)
2019-04-01          15:00           stack-123456789012          i-1234566789
2019-04-01          15:00           stack-123456789013          i-1234566784
2019-04-01          15:00           stack-123456789014          i-1234566783
2019-04-01          15:00           stack-123456789015          i-1234566782

メンテナンスウィンドウが設定されていて、特定のリソースを特定のパッチから除外する場合は、次の形式を使用します。

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                PATCH
stack-123456789013          i-1234566784                PATCH
stack-123456789014          i-1234566783                PATCH
stack-123456789015          i-1234566782                PATCH

メンテナンスウィンドウが設定されていて、特定のリソースを常にすべてのパッチ適用から除外する場合は、次の形式を使用します。

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                ALL
stack-123456789015          i-1234566782                ALL

パッチ適用の準備

自動パッチ適用のために環境を準備するには、以下をお勧めします。

  • パッチを適用するすべてのインスタンスの完全なインベントリがあることを確認してください。

  • Continuity of Business 戦略の一環として、リソースが定期的にバックアップされていることを確認します。追加のバックアップはパッチシーケンスの一部として作成され、設定されたパッチオーケストレーターの保持ポリシーに従って自動的に削除されます (デフォルトは 60 日)。

  • 関連するすべてのライセンスが最新であることを確認します。

  • スタックメンテナンスウィンドウを変更してパッチをずらし、テストスタックが本稼働スタックの前にパッチされるようにします。これにより、パッチ適用によるエラーはテストスタックで検出され、本稼働スタックにパッチを適用する前に特定できます。

パッチ設定の表示

現在のパッチ適用設定を確認するには、以下を実行します。

  • クエリを使用して AMS にサービスリクエストを送信します。

  • パッチサービス通知を待ちます。パッチ適用通知では、適用するすべてのパッチとパッチ適用するインスタンスが通知され、パッチウィンドウも提案されます。

サービスリクエストを送信して、以下を変更できます。

  • スキャン間隔: このスタックのインスタンスで実行されるコンプライアンススキャン間の分単位の時間。

    デフォルトは 240 (4 時間) です。

  • NotificationWindow: スケジュールされた変更 (パッチ) のどれだけ前 (分単位) に通知を送信するか。 
デフォルトは 10080 (7 日間) です。