Patch Manager の前提条件 - AWS Systems Manager
SSM Agent バージョンPython バージョンパッチソースへの接続S3 エンドポイントアクセスパッチをローカルにインストールするためのアクセス許可Patch Manager でサポートされているオペレーティングシステム

AWS Systems Manager Change Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

Patch Manager の前提条件

AWS Systems Manager のツールである Patch Manager を使用する前に、必要な前提条件を満たしていることを確認してください。

SSM Agent バージョン

Patch Manager で管理するマネージドノードで SSM Agent のバージョン 2.0.834.0 以降が稼働しています。

注記

新しいツールが Systems Manager に追加されるか、既存のツールが更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種ツールや機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「SSM Agent への更新の自動化」を参照してください。GitHub の「SSM Agent リリースノート」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

Python バージョン

macOS とほとんどの Linux オペレーティングシステム (OS) では、現在、Patch Manager は Python バージョン 2.6~3.12 をサポートします。AlmaLinux、Debian Server、Ubuntu Server の OS では、サポートされるバージョンの Python 3 (3.0~3.12) が必要です。

パッチソースへの接続

マネージドノードがインターネットに直接接続しておらず、VPC エンドポイントで Amazon Virtual Private Cloud (Amazon VPC) を使用している場合は、ノードがソース パッチ リポジトリ (repos) に確実にアクセスできるようにしておく必要があります。Linux ノードでは、通常、パッチ更新はノードに設定されているリモートリポジトリからダウンロードされます。したがって、パッチを適用するために、ノードはレポジトリに接続できる必要があります。詳細については、「セキュリティに関連するパッチの選択方法」を参照してください。

IPv6 のみの環境で実行されているノードにパッチを適用する場合は、ノードがパッチソースに接続されていることを確認します。パッチ適用の実行からの Run Command 出力をチェックして、アクセスできないリポジトリに関する警告を確認できます。DNF ベースのオペレーティングシステムでは、 /etc/dnf/dnf.confskip_if_unavailable オプションが True に設定されている場合、使用できないリポジトリをパッチ適用中にスキップするように設定できます。DNF ベースのオペレーティングシステムには、Amazon Linux 2023、Red Hat Enterprise Linux 8 以降のバージョン、Oracle Linux 8 以降のバージョン、Rocky Linux、AlmaLinux、および CentOS 8 以降のバージョンが含まれます。Amazon Linux 2023 では、skip_if_unavailable オプションはデフォルトで True に設定されています。

CentOS Stream: EnableNonSecurityフラグを有効にする

CentOS Stream ノードは、更新通知の概念を使用するパッケージマネージャーとして DNF を使用します。更新通知は、特定の問題を修正するパッケージの集合にすぎません。

ただし、CentOS Stream のデフォルトリポジトリは更新通知で設定されません。これは、Patch Manager で CentOS Stream のデフォルトリポジトリのパッケージが検出されないことを意味します。Patch Manager を許可して更新通知に含まれていないパッケージを処理するには、パッチベースラインルールで EnableNonSecurity フラグを有効にする必要があります。

Windows Server: Windows Update カタログまたは Windows Server Update Services (WSUS) に確実に接続できるようにする

Windows Server マネージドノードは、Windows Update カタログまたは Windows Server Update Services (WSUS) に接続できなくてはなりません。ノードがインターネットゲートウェイ、NAT ゲートウェイ、または NAT インスタンスを介して Microsoft Update Catalog に接続されていることを確認します。WSUS を使用している場合は、ノードがお使いの環境内の WSUS サーバーに接続されていることを確認します。詳細については、「問題: マネージドノードに Windows Update カタログまたは WSUS へのアクセスがない」を参照してください。

S3 エンドポイントアクセス

マネージドノードが動作するのがプライベート ネットワークまたは公開ネットワークのいずれであるかにかかわらず、必要な AWS マネージド Amazon Simple Storage Service (Amazon S3) バケットにアクセスできない場合、パッチ適用オペレーションは失敗します。マネージドノードにアクセスする必要がある S3 バケットの詳細については、「SSM Agent と AWS マネージド S3 バケットとの通信」および「Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する」を参照してください。

パッチをローカルにインストールするためのアクセス許可

Windows Server および Linux オペレーティングシステムでは、Patch Manager はそれぞれ Administrator およびルートユーザーアカウントを使用してパッチをインストールします。

しかし、macOS では、Brew と Brew Cask について、Homebrew はルートユーザーアカウントで実行されるコマンドをサポートしていません。その結果、Patch Manager は Homebrew ディレクトリの所有者、または Homebrew ディレクトリの所有者グループに属する有効なユーザーとして、Homebrew コマンドを照会して実行します。したがって、パッチをインストールするには、homebrew ディレクトリの所有者にも /usr/local ディレクトリに対する再帰的な所有者のアクセス許可が必要です。

ヒント

次のコマンドは、指定されたユーザーにこのアクセス許可を付与します。

sudo chown -R $USER:admin /usr/local

Patch Manager でサポートされているオペレーティングシステム

Patch Manager のツールでは、Systems Manager の他のツールでサポートされているのと同じオペレーティングシステムのバージョンがすべてサポートされるわけではありません。(Systems Manager でサポートされるオペレーティングシステムの詳細なリストについては、「System Manager でサポートされているオペレーティングシステム」を参照してください)。そのため、Patch Manager で使用するマネージドノードで、次の表に示すオペレーティングシステムのいずれかが実行されていることを確認してください。

注記

Patch Manager は、インストール可能なパッチを取得するために、Windows Update カタログや Windows Server Update Services for Windows など、マネージドノードに設定されているパッチリポジトリに依拠します。したがって、サポート終了 (EOL) のオペレーティングシステムバージョンでは、新しい更新プログラムが利用できない場合、Patch Manager は新しい更新プログラムについてレポートできない可能性があります。これは、Linux ディストリビューションのメンテナー、Microsoft、もしくは Apple によって新しい更新プログラムがリリースされていないか、またはマネージドノードに新しい更新プログラムにアクセスするための適切なライセンスがないことが原因である可能性があります。

サポート終了 (EOL) に達した OS バージョンを使用しないことを強くお勧めします。AWS を始めとする OS ベンダーは、通常、EOL に達したバージョンのセキュリティパッチやその他の更新を提供しません。EOL システムを使用し続けると、セキュリティ修正を始めとするアップグレードを適用できないリスクとその他の運用上の問題が大幅に増加します。AWS は、EOL に達した OS バージョンで Systems Manager の機能テストを行いません。

Patch Manager は、マネージドノードで使用可能なパッチに対するコンプライアンスステータスを報告します。したがって、インスタンスが EOL オペレーティングシステムを実行しており、更新プログラムが利用できない場合、Patch Manager はパッチ適用オペレーション用に設定されたパッチベースラインに応じて、ノードが準拠していると報告する可能性があります。

オペレーティングシステム 詳細

Linux

  • AlmaLinux 8.x, 9.x

  • Amazon Linux 2 バージョン2.0 以降のすべてのバージョン

  • Amazon Linux 2023

  • CentOS Stream 9

  • Debian Server 11.x および 12.x

  • Oracle Linux 7.5~8.x、9.x

  • Red Hat Enterprise Linux (RHEL) 7~8.x、9.x、10.x

  • Rocky Linux 8.x、9.x

  • SUSE Linux Enterprise Server 15.3 以降

  • Ubuntu Server 16.04 LTS、18.04 LTS、20.04 LTS、22.04 LTS、24.04 LTS、25.04
macOS

macOS は Amazon EC2 インスタンスでのみサポートされています。

13.0~13.7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

macOSOS アップデート

Patch Manager は 13.1 から 13.2 など macOS のオペレーティングシステム (OS) のアップデートやアップグレードはサポートしていません。macOS の OS バージョンを更新するには、Apple に組み込まれている OS アップグレードメカニズムを使用することをおすすめします。詳細については、Apple デベロッパードキュメンテーションウェブサイトの「Device Management」を参照してください。

HomeBrew サポート

Patch Manager では、オープンソースのソフトウェアパッケージ管理システムである Homebrew を、次のいずれかのデフォルトのインストール場所にインストールする必要があります。

  • /usr/local/bin

  • /opt/homebrew/bin

Homebrew がインストールされていない場合、Patch Manager を使用したパッチ適用オペレーションが正しく機能しません。

リージョンのサポート

すべての AWS リージョン において macOS はサポートされていません。macOS の Amazon EC2 サポートの詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 Mac インスタンス」を参照してください。

macOS エッジデバイス

AWS IoT Greengrass コアデバイスの SSM Agent は、macOS ではサポートされていません。macOS エッジデバイスをパッチするために Patch Manager が使用できません。

Windows

Windows Server 2012〜Windows Server 2025 (R2 バージョンを含む)。

注記

AWS IoT Greengrass コアデバイスの SSM Agent は、Windows 10 ではサポートされていません。Windows 10 エッジデバイスをパッチするために Patch Manager が使用できません。

Windows Server 2012 および 2012 R2 のサポート

Windows Server 2012 および 2012 R2 は、2023 年 10 月 10 日にサポートが終了しました。これらのバージョンで Patch Manager を使用する場合、Microsoft の拡張セキュリティ更新プログラム (ESU) も使用することをお勧めします。詳細については、Microsoft ウェブサイトの「Windows Server 2012 および 2012 R2 のサポート終了」を参照してください。