マネージドノードへのパッチ適用のための SSM コマンドドキュメント - AWS Systems Manager
マネージドノードへのパッチ適用に推奨されている SSM ドキュメントマネージドノードへのパッチ適用のためのレガシー SSM ドキュメントマネージドノードにパッチを適用するための SSM ドキュメントにおける既知の制限

AWS Systems Manager Change Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

マネージドノードへのパッチ適用のための SSM コマンドドキュメント

このトピックでは、マネージドノードが最新のセキュリティアップデートでパッチが適用された状態に維持できるように公開されている 9 種類の Systems Manager ドキュメント (SSM ドキュメント) をご紹介します。

パッチ適用オペレーションで使用が推奨されているのは、これらのうち 5 種類のドキュメントのみです。これらの 5 つの SSM ドキュメントには、 を使用したパッチ適用オプションの詳細が記載されていますAWS Systems Manager これらのうち、4 つのドキュメントは、それらが置き換えられた 4 つのレガシー SSM ドキュメントよりも後にリリースされ、機能の拡張または統合を表しています。

パッチ適用に推奨されている SSM ドキュメント

パッチ適用オペレーションには、以下の 5 種類の SSM ドキュメントの使用をお勧めします。

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

パッチ適用のレガシー SSM ドキュメント

次の 4 つのレガシー SSM ドキュメントは、一部の AWS リージョン で引き続き使用可能ですが、更新またはサポートはされません。これらのドキュメントは IPv6 環境で動作することは保証されず、IPv4 のみをサポートします。すべてのシナリオで動作することは保証されず、将来サポートを失う可能性があります。パッチ適用オペレーションにこれらのドキュメントは使用しないことをお勧めします。

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

IPv6 のみをサポートする環境でパッチ適用オペレーションを設定する手順については、「チュートリアル: IPv6 のみの環境でサーバーにパッチを適用する」を参照してください。

パッチ適用オペレーションでこれらの SSM ドキュメントを使用する方法の詳細については、次のセクションを参照してください。

トピック

マネージドノードのパッチ適用オペレーションで使用が推奨されている SSM ドキュメントは、次の 5 つです。

Windows Update の基本機能の設定、その機能を使用した更新の自動インストール (または自動更新の無効化) をサポートします。すべての AWS リージョン で利用可能。

この SSM ドキュメントを使用すると、Windows Update において、指定の更新をダウンロードおよびインストールし、必要に応じてマネージドノードを再起動するよう求められます。この文書は、Windows Update がその設定を維持できるようにするために、AWS Systems Manager のツールである State Manager と一緒に使用してください。AWS Systems Manager のツールである Run Command を使用して手動で実行し、Windows Update 設定を変更することもできます。

このドキュメントで利用可能なパラメータを使用することで、インストールする更新のカテゴリ (または自動更新を無効にするかどうか) だけでなく、パッチ適用オペレーションを実行する日時と曜日を指定することができます。この SSM ドキュメントは、Windows updates で厳重に管理する必要なく、コンプライアンス情報を収集する必要がない場合に非常に便利です。

レガシーの SSM ドキュメントを置き換える:

  • なし

Windows Server マネージドノードに更新ファイルをインストールします。すべての AWS リージョン で利用できます。

この SSM ドキュメントには、特定の更新をインストール (Include Kbs パラメータを使用) するか、特定の分類やカテゴリのパッチをインストールするが、パッチのコンプライアンス情報が不要な場合の基本パッチ適用機能について記載されています。

レガシーの SSM ドキュメントを置き換える:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

3 つのレガシードキュメントを使用してさまざまな機能を実行することができますが、新しい SSM ドキュメント (AWS-InstallWindowsUpdates) で別のパラメータ設定を使用して、同様の結果を得ることができます。これらのパラメータ設定については、「マネージドノードへのパッチ適用のためのレガシー SSM ドキュメント」を参照してください。

必要なパッチが適用されているかどうかを確認するには、マネージドノードにパッチをインストールするか、ノードをスキャンします。すべての AWS リージョン で利用できます。

AWS-RunPatchBaseline を使用すると、オペレーティングシステムタイプの「デフォルト」として指定されているパッチベースラインを使用して、パッチの承認を制御できます。Systems Manager Compliance ツールを使用して表示できるパッチコンプライアンス情報をレポートします。これらのツールでは、必要なパッチが適用されていないノードや、そのパッチの内容など、マネージドノードのパッチコンプライアンス状態に関する洞察を得ることができます。AWS-RunPatchBaseline を使用すると、PutInventory API コマンドを使用してパッチコンプライアンス情報が記録されます。Linux オペレーティングシステムの場合、マネージドノードに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager Compliance ツールの詳細については、「AWS Systems Manager のコンプライアンス」を参照してください。

レガシードキュメントを置き換える:

  • AWS-ApplyPatchBaseline

レガシー ドキュメント AWS-ApplyPatchBaseline は、Windows Server マネージドノードにのみ適用され、アプリケーションのパッチ適用をサポートしません。新しい AWS-RunPatchBaseline バージョンでは、Windows システムと Linux システムの両方で同じサポートが提供されます。 AWS-RunPatchBaselineドキュメントを使用するには、バージョン 2.0.834.0 以降の SSM Agent が必要です。

AWS-RunPatchBaseline SSM ドキュメントの詳細については、「パッチ適用のための SSM コマンドドキュメント: AWS-RunPatchBaseline」を参照してください。

必要なパッチが適用されているかどうかを確認するには、インスタンスにパッチをインストールするか、インスタンスをスキャンします。すべての商用 AWS リージョン で使用できます。

AWS-RunPatchBaselineAssociation はいくつかの重要な点で AWS-RunPatchBaseline とは異なります。

  • AWS-RunPatchBaselineAssociation は、主に AWS Systems Manager のツールである Quick Setup を使用して作成された State Manager 関連付けでの使用を目的としています。具体的には、Quick Setup ホスト管理設定タイプを使用する場合、[Scan instances for missing patches daily] (不足しているパッチがないか毎日インスタンスをスキャンする) オプションを選択すると、システムはオペレーションに AWS-RunPatchBaselineAssociation を使用します。

    ただし、ほとんどの場合、独自のパッチ適用オペレーションを設定する場合は、AWS-RunPatchBaseline の代わりに、AWS-RunPatchBaselineWithHooks または AWS-RunPatchBaselineAssociation を選択する必要があります。

    詳細については、以下のトピックを参照してください。

  • AWS-RunPatchBaselineAssociation は、実行時にターゲットのセットで使用するパッチベースラインを識別するためのタグの使用をサポートしています。

  • AWS-RunPatchBaselineAssociation を使用するパッチ適用オペレーションの場合、パッチコンプライアンスデータは特定の State Manager の関連付けに基づいてコンパイルされます。AWS-RunPatchBaselineAssociation 実行時に収集されたパッチコンプライアンスデータは、PutComplianceItems コマンドではなく、PutInventory API コマンドを使用して記録されます。これにより、この特定の関連付けに関連付けられていないコンプライアンスデータが上書きされるのを防ぐことができます。

    Linux オペレーティングシステムの場合、インスタンスに設定されたデフォルトのソースリポジトリと、カスタムのパッチベースラインで指定した代替のソースリポジトリの両方から、パッチに関するコンプライアンス情報が提供されます。代替ソースリポジトリの詳細については、「代替パッチソースリポジトリを指定する方法 (Linux)」を参照してください。Systems Manager Compliance ツールの詳細については、「AWS Systems Manager のコンプライアンス」を参照してください。

レガシードキュメントを置き換える:

  • なし

AWS-RunPatchBaselineAssociation SSM ドキュメントの詳細については、「パッチ適用のための SSM コマンドドキュメント: AWS-RunPatchBaselineAssociation」を参照してください。

マネージドノードにパッチをインストールするか、ノードをスキャンして、修飾されたパッチが欠けているかどうかを判断します。オプションのフックを使用すると、パッチ適用サイクル中の 3 つのポイントで SSM ドキュメントを実行できます。すべての商用 AWS リージョン で使用できます。macOS ではサポートされていません。

AWS-RunPatchBaselineWithHooks は その AWS-RunPatchBaseline オペレーションで Install とは異なります。

AWS-RunPatchBaselineWithHooks では、マネージドノードノードのパッチ適用中に指定されたポイントで実行されるライフサイクルフックがサポートされます。パッチのインストールにはマネージドノードの再起動が必要になる場合があるため、パッチ適用オペレーションは 2 つのイベントに分割され、合計 3 つのフックでカスタム機能をサポートします。最初のフックは Install with NoReboot オペレーションの前です。2 番目のフックは Install with NoReboot オペレーションの後です。3 番目のフックは、ノードの再起動後に使用できます。

レガシードキュメントを置き換える:

  • なし

AWS-RunPatchBaselineWithHooks SSM ドキュメントの詳細については、「パッチ適用のための SSM コマンドドキュメント: AWS-RunPatchBaselineWithHooks」を参照してください。

マネージドノードへのパッチ適用のためのレガシー SSM ドキュメント

次の 4 つの SSM ドキュメントは、一部の AWS リージョン では引き続き使用できます。ただし、更新されておらず、今後サポートされなくなる可能性があるため、使用はお勧めしません。代わりに、「マネージドノードへのパッチ適用に推奨されている SSM ドキュメント」に記載されているドキュメントを使用します。

AWS-ApplyPatchBaseline

Windows Server マネージドノードのみをサポートしますが、代わりの AWS-RunPatchBaseline にあるアプリケーションのパッチ適用のサポートは含みません。2017年8月以降にローンチされた AWS リージョン では使用できません。

注記

この SSM ドキュメントに置き換わる AWS-RunPatchBaseline を使用するには、2.0.834.0 以降のバージョンの SSM Agent が必要です。AWS-UpdateSSMAgent ドキュメントを使用して、マネージドノードを最新バージョンのエージェントに更新することができます。

AWS-FindWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017年4月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017 年 4 月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

AWS-InstallWindowsUpdates に置き換えられ、すべて同じアクションを実行できます。2017 年 4 月以降にローンチされた AWS リージョン では使用できません。

このレガシー SSM ドキュメントから同様の結果を得るには、推奨されている置換ドキュメント (AWS-InstallWindowsUpdates) で次のパラメータ設定を使用します。

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = KB の記事のカンマ区切りリスト

マネージドノードにパッチを適用するための SSM ドキュメントにおける既知の制限

外部再起動による中断

パッチのインストール中にノード上のシステムによって再起動が実行された場合 (例えば、ファームウェアや SecureBoot などの機能に更新プログラムを適用するため)、パッチが正常にインストールされても、パッチ適用ドキュメントの実行が中断されて失敗としてマークされる場合があります。SSM Agent が外部再起動全体でドキュメントの実行状態を維持および再開できないために発生します。

実行が失敗した後にパッチ適用のインストールステータスを確認するには、Scan パッチ適用オペレーションを実行し、Patch Manager でパッチコンプライアンスデータを確認して現在のコンプライアンス状態を評価します。