SSM 补丁基准 | 创建 (CentOS) - AMS 高级更改类型参考
更改类型详情附加信息执行输入参数示例:必填参数示例:所有参数

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SSM 补丁基准 | 创建 (CentOS)

创建 AWS Systems Manager (SSM) 补丁基准,以定义哪些补丁已获准安装在您的 CentOS 实例上。为补丁基准指定现有实例 “补丁组” 标签值。补丁基准是一种 SSM 资源,您可以通过 SSM 控制台对其进行管理。

完整分类:部署 | 修补 | SSM 补丁基准 | 创建 (CentOS)

更改类型详情

更改类型 ID

ct-2nyeguspp2g1L

当前版本

1.0

预期执行时长

60 分钟

AWS 批准

必需

客户批准

可选

执行模式

自动

附加信息

为 CentOS 创作

AMS 控制台中此更改类型的屏幕截图:

Form for creating an SSM patch baseline for CentOS, showing description and version fields.

它是如何运作的:

  1. 导航到 “创建 RFC” 页面:在 AMS 控制台的左侧导航窗格中,单击RFCs打开 RFCs 列表页面,然后单击 “创建 R FC”。

  2. 在默认的 “浏览更改类型” 视图中选择常用更改类型 (CT),或者在 “按类别选择” 视图中选择 CT。

    • 按更改类型浏览:您可以单击 “快速创建” 区域中的常用 CT,立即打开 “运行 RFC” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。

      要进行排序 CTs,请使用卡片视图或表格视图中的所有更改类型区域。在任一视图中,选择一个 CT,然后单击 “创建 RFC” 打开 “运行 RFC” 页面。如果适用,“创建 RFC” 按钮旁边会出现 “使用旧版本创建” 选项。

    • 按类别选择:选择类别、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用旧版本创建” 选项(如果适用)。单击 “创建 RFC” 打开 “运行 RFC” 页面。

  3. 在 “运行 RFC” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写主题(如果您在 “浏览更改类型” 视图中选择 CT,则会为您填写此主题)。打开 “其他配置” 区域以添加有关 RFC 的信息。

    执行配置区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开其他配置区域。

  4. 完成后,单击 “运行”。如果没有错误,则会显示成功创建的 RFC 页面,其中包含已提交的 RFC 详细信息和初始运行输出。

  5. 打开运行参数区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。

在 AWS 控制台中,您可以在 Systems Manager--> 补丁管理器--> 补丁基准中查看您创建的补丁基准。

它是如何运作的:

  1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的create-rfc命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出create-rfc命令。这里描述了这两种方法。

  2. 提交带有返回的 RFC ID 的 RFC: aws amscm submit-rfc --rfc-id ID 命令。

    监控 RFC: aws amscm get-rfc --rfc-id ID 命令。

要检查更改类型版本,请使用以下命令:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意

您可以将任何CreateRfc参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"有关所有 CreateRfc 参数的列表,请参阅《AMS 变更管理 API 参考》。

内联创建

使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容:

Cent OS:

aws amscm create-rfc --title Patch-Baseline-Create-Centos-RFC --change-type-id ct-2nyeguspp2g1l --change-type-version 1.0 --execution-parameters '{"ApprovalRules": [{"ApproveAfterDays": 7, "Classification": ["All"], "Severity": ["All"]}], "OperatingSystem": "CentOS", "Name": "TestBaselineCentOS", "PatchGroupTagValues": ["MyCentOSPatchGroup"]}'

模板创建

  1. 将此更改类型的执行参数 JSON 架构输出到 JSON 文件;此示例将其命名为 CreateCentosPatchBaselineParams .json:

    aws amscm get-change-type-version --change-type-id "ct-2taqdgegqthjr" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateCentosPatchBaselineParams.json

  2. 修改并保存该 CreateCentosPatchBaselineParams 文件。参见以下示例;请务必修改这些参数以满足您的特定需求。

    在此示例中,所有更新都将在发布五天后获准安装。将不会安装软件包 e xample-pkg-0.710.10-2. 7.abcd.x86_64。

    {
"ApprovalRules":[{
    "ApproveAfterDays": 5,
    "Severity": [
        "All"
        ],
    "Classification": [
        "All"
        ]
    }],
"Description": "Patch Baseline",
"Name": "PatchBaseline-Unit-test",
"OperatingSystem": "CentOS",
"PatchGroupTagValues": [
    "test1"
    ],
"RejectedPatches":["example-pkg-0.710.10-2.7.abcd.x86_64"],
"Tags": [
    {
    "Key":"patchGroupCent",
    "Value":"test1"
    }
]

  3. 将 RFC 模板输出到当前文件夹中的一个文件中;此示例将其命名为 CreateCentosPatchBaselineRfc .json:

    aws amscm create-rfc --generate-cli-skeleton > CreateCentosPatchBaselineRfc.json

  4. 修改并保存 CreateCentosPatchBaselineRfc .json 文件。例如,你可以用这样的东西替换内容:

    {
"ChangeTypeVersion":    "1.0",	
"ChangeTypeId":         "ct-2nyeguspp2g1l",
"Title":                "Patch-Baseline-Create-Centos-RFC"
}

  5. 创建 RFC,指定 CreateCentosPatchBaselineRfc 文件和 CreateCentosPatchBaselineParams 文件:

    aws amscm create-rfc --cli-input-json file://CreateCentosPatchBaselineRfc.json --execution-parameters file://CreateCentosPatchBaselineParams.json

    您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。

  6. 要查看 SSM 补丁基准,请查看执行输出:使用 stack_id 在 Systems Manager 控制台中查看补丁基准。

注意

为各种操作系统创建 SSM 补丁基准有五种更改类型。

注意

由于 CentOS 的默认存储库不提供更新通知元数据,因此所有更新都被归类为非安全更新,没有分类或严重性信息。因此,你必须为任何 CentOS 补丁基准指定 “分类:全部” 和 “严重性:全部”。如果您不允许在 CentOS 基准中进行非安全更新,则不会从默认存储库中安装任何类型的更新。有关更多详细信息,请参阅如何选择安全补丁

重要

至少需要 ApprovalRulesApprovedPatches 之一。

如果您创建补丁基准,则必须至少定义一个批准规则 and/or 批准的补丁。批准规则允许您指定将安装哪些分类(例如 SecurityUpdates)和严重性(例如,关键)补丁。在批准规则中,您可以定义补丁发布后多少天可以安装该补丁。无论批准的补丁列表中指定的补丁是否与批准规则匹配,都将安装该补丁。最后,已拒绝的补丁列表中的项目会将这些补丁排除在安装范围之外,即使它们与批准规则 and/or 批准的补丁相匹配。有关更多信息,请参阅关于预定义和自定义补丁基准

要创建 SSM 补丁窗口,请参阅创建 SSM 补丁窗口。

执行输入参数

有关执行输入参数的详细信息,请参见变更架构类型 ct-2nyeguspp2g1l

示例:必填参数

Example not available.

示例:所有参数

Example not available.