Cenário de exemplo do uso do parâmetro InstallOverrideList em AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation - AWS Systems Manager

AWS Systems Manager Change Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte mudança de disponibilidade do AWS Systems Manager Change Manager.

Cenário de exemplo do uso do parâmetro InstallOverrideList em AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation

Você poderá usar o parâmetro InstallOverrideList quando quiser substituir os patches especificados pela lista de referência de patches padrão atual no Patch Manager, uma ferramenta do AWS Systems Manager. Este tópico fornece exemplos que mostram como usar esse parâmetro para obter o seguinte:

  • Aplique diferentes conjuntos de patches a um grupo de nós gerenciados de destino.

  • Aplique esses conjuntos de patches em diferentes frequências.

  • Use a mesma lista de referência de patches para as operações.

Digamos que você quer instalar duas categorias diferentes de patches em nós gerenciados do Amazon Linux 2. Você deseja instalar esses patches em programações diferentes usando janelas de manutenção. Deseja que uma janela de manutenção seja executada todas as semanas e instale todos os patches Security. Deseja que outra janela de manutenção seja executada uma vez por mês e instale todos os patches disponíveis ou categorias de patches que não sejam Security.

No entanto, só é possível definir uma lista de referência de patches por vez como o padrão para um sistema operacional. Esse requisito ajuda a evitar situações em que uma lista de referência de patches aprova um patch enquanto outro o bloqueia, o que pode levar a problemas entre versões conflitantes.

A estratégia a seguir permite que você use o parâmetro InstallOverrideList para aplicar tipos de patches diferentes a um grupo de destino, em diferentes programações, enquanto ainda usa a mesma lista de referência de patches.

  1. Na lista de referência de patches padrão, confirme se apenas as atualizações Security estão especificadas.

  2. Crie uma janela de manutenção que execute o AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation toda semana. Não especifique uma lista de substituição.

  3. Crie uma lista de substituição dos patches de todos os tipos que você deseja aplicar mensalmente e armazene-a em um bucket do Amazon Simple Storage Service (Amazon S3).

  4. Crie uma segunda janela de manutenção que é executada uma vez por mês. No entanto, para a tarefa do Run Command registrada para essa janela de manutenção, especifique o local da lista de substituição.

O resultado: somente patches Security, conforme definido na lista de referência de patches padrão, são instalados toda semana. Todos os patches disponíveis, ou qualquer subconjunto de patches que você definir, são instalados todos os meses.

nota

Ao corrigir um nó que usa somente IPv6, assegure que a URL fornecida possa ser acessada a partir do nó. Se a opção de configuração UseDualStackEndpoint do SSM Agent estiver definida como true, um cliente S3 de dualstack será usado quando uma URL S3 for fornecida. Consulte Tutorial: corrigindo um servidor em um ambiente somente IPv6 para obter mais informações sobre como configurar o atendente para usar dualstack.

Para obter mais informações e listas de exemplo, consulte Nome do parâmetro: InstallOverrideList.