• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# Patch Manager 先决条件
使用Patch Manager(AWS Systems Manager 中的一项工具)之前,请确保自己已满足必要的先决条件。
**Topics**
+ [SSM Agent 版本](#agent-versions)
+ [Python 版本](#python-version)
+ [其他程序包要求](#additional-package-requirements)
+ [与补丁源的连接](#source-connectivity)
+ [S3 端点访问](#s3-endpoint-access)
+ [在本地安装补丁的权限](#local-installation-permissions)
+ [Patch Manager 支持的操作系统](#supported-os)
## SSM Agent 版本
SSM Agent 版本 2.0.834.0 或更高版本在要用 Patch Manager 管理的托管式节点上运行。
**注意**
如果有新工具添加至 Systems Manager 或者对现有工具进行了更新,则将发布 SSM Agent 的更新版本。无法使用代理的最新版本可能会阻止托管式节点使用 Systems Manager 的各项工具和功能。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关更多信息,请参阅 [自动更新到 SSM Agent](ssm-agent-automatic-updates.md)。要获得有关 SSM Agent 更新的通知,请在 GitHub 上订阅 [SSM Agent 发布说明](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)页面。
## Python 版本
对于 macOS 以及大多数 Linux 操作系统(OS),Patch Manager 目前支持 Python 版本 2.6 - 3.12。AlmaLinux、Debian Server 和 Ubuntu Server 操作系统需要使用受支持版本的 Python 3(3.0 - 3.12)。
## 其他程序包要求
对于基于 DNF 的操作系统,可能需要使用 `zstd`、`xz` 和 `unzip` 实用程序来解压缩存储库信息和补丁文件。基于 DNF 的操作系统包括 Amazon Linux 2023、Red Hat Enterprise Linux 8 及更高版本、Oracle Linux 8 及更高版本、Rocky Linux、AlmaLinux 以及 CentOS 8 及更高版本。如果您看到类似于 `No such file or directory: b'zstd'`、`No such file or directory: b'unxz'` 的错误或由于缺失 `unzip` 而导致修补失败,则需要安装这些实用程序。`zstd`、`xz` 和 `unzip` 可以通过运行以下命令进行安装:
```
dnf install zstd xz unzip
```
## 与补丁源的连接
如果您的托管式节点没有直接连接到互联网,并且您正在通过某个 VPC 端点使用 Amazon Virtual Private Cloud(Amazon VPC),则必须确保这些节点能够访问源补丁存储库(存储库)。在 Linux 节点上,通常是从节点上配置的远程存储库下载补丁更新。因此,节点必须能够连接到远程存储库,才能执行修补。有关更多信息,请参阅 [如何选择安全性补丁](patch-manager-selecting-patches.md)。
在仅支持 IPv6 的环境中运行的节点上进行修补时,请确保该节点与补丁源有连接。您可以检查修补执行的 Run Command 输出,以检查有关无法访问的存储库的警告。对于基于 DNF 的操作系统,如果 `/etc/dnf/dnf.conf` 下的 `skip_if_unavailable` 选项设置为 `True`,则可以配置在修补期间跳过不可用的存储库。基于 DNF 的操作系统包括 Amazon Linux 2023、Red Hat Enterprise Linux 8 及更高版本、Oracle Linux 8 及更高版本、Rocky Linux、AlmaLinux 以及 CentOS 8 及更高版本。在 Amazon Linux 2023 上,`skip_if_unavailable` 选项默认设置为 `True`。
**CentOS Stream:启用 `EnableNonSecurity` 标志**
CentOS Stream 节点将 DNF 用作软件包管理器,其使用更新通知概念。更新通知只是修复特定问题的软件包的集合。
但是,CentOS Stream 默认存储库不配置更新通知。这意味着 Patch Manager 不检测默认 CentOS Stream 存储库上的软件包。要允许 Patch Manager 处理更新通知中未包含的软件包,您必须启用补丁基准规则中的 `EnableNonSecurity` 标记。
**Windows Server:确保连接到 Windows 更新目录或 Windows 服务器更新服务(WSUS)**
Windows Server 托管式节点必须能够连接到 Windows 更新目录或 Windows Server Update Service (WSUS)。确认您的节点通过互联网网关、NAT 网关或 NAT 实例已经连接到 [Microsoft 更新目录](https://www.catalog.update.microsoft.com/home.aspx)。如果您使用的是 WSUS,请确认该节点已连接到环境中的 WSUS 服务器。有关更多信息,请参阅 [问题:托管式节点无法访问 Windows 更新目录或 WSUS](patch-manager-troubleshooting.md#patch-manager-troubleshooting-instance-access)。
## S3 端点访问
无论托管式节点是在私有网络还是公有网络中运行,如果无法访问所需的 AWS 托管式 Amazon Simple Storage Service(Amazon S3)存储桶,则修补操作会失败。有关托管式节点必须能够访问的 S3 存储桶的信息,请参阅 [SSM Agent 与 AWS 托管 S3 存储桶进行通信](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) 和 [使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性](setup-create-vpc.md)。
## 在本地安装补丁的权限
在 Windows Server 和 Linux 操作系统上,Patch Manager分别假定使用管理员和根用户账户来安装补丁。
然而,在 macOS 上,对于 Brew 和 Brew Cask,Homebrew 不支持在根用户账户下运行其命令。因此,Patch Manager 以 Homebrew 目录的所有者或属于 Homebrew 目录的所有者组的有效用户身份查询并运行 Homebrew 命令。因此,为了安装补丁,`homebrew` 目录的所有者还需要 `/usr/local` 目录的递归所有者权限。
**提示**
以下命令可为指定的用户提供此权限:
```
sudo chown -R $USER:admin /usr/local
```
## Patch Manager 支持的操作系统
Patch Manager 工具可能不支持其他 Systems Manager 工具支持的所有相同的操作系统版本。(有关 Systems Manager 所支持的操作系统的完整列表,请参阅 [Systems Manager 支持的操作系统](operating-systems-and-machine-types.md#prereqs-operating-systems)。) 因此,请确保要使用 Patch Manager 的托管式节点在下表所列操作系统之一中运行。
**注意**
Patch Manager 依靠在托管式节点上配置的补丁存储库(例如 Windows 的 Windows 更新目录和 Windows Server Update Services)来检索要安装的可用补丁。因此,对于生命周期终止(EOL)操作系统版本,如果没有新的更新可用,则 Patch Manager 可能无法报告新的更新。这可能是因为 Linux 发行版维护者、Microsoft 或 Apple 没有发布任何新更新,或者因为托管式节点没有访问新更新的适当许可。
强烈建议避免使用生命周期 (EOL) 已终止的操作系统版本。包括 AWS 在内的操作系统供应商通常不为生命周期已终止的版本提供安全补丁或其他更新。继续使用生命周期终止的操作系统会大大增加无法应用升级(包括安全修复)以及其他操作问题的风险。AWS 不会在生命周期已终止的操作系统版本上测试 Systems Manager 功能。
Patch Manager 报告托管式节点上可用补丁的合规性状态。因此,如果实例运行的是 EOL 操作系统,但没有可用的更新,则 Patch Manager 可能会将该节点报告为“合规”,具体取决于为修补操作配置的补丁基准。
| 操作系统 | Details |
| --- | --- |
| Linux | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-prerequisites.html) |
| macOS | *macOS 仅支持 Amazon EC2 实例。* 13.0–13.7(Ventura) 14*.x* (Sonoma) 15*.x* (Sequoia) macOS 操作系统更新 Patch Manager 不支持 macOS 操作系统(OS)更新或升级,例如从 13.1 到 13.2。要在 macOS 上执行操作系统版本更新,我们建议使用 Apple 的内置操作系统升级机制。有关更多信息,请参阅 Apple Developer 文档网站上的 [Device Management](https://developer.apple.com/documentation/devicemanagement)。 Homebrew 支持 Patch Manager 要求将开源软件包管理系统 Homebrew 安装在以下任一默认安装位置: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-prerequisites.html) 如果未安装 Homebrew,则使用 Patch Manager 执行的修补操作将无法正常运行。 区域支持 并非所有 AWS 区域 都支持 macOS。有关对适用于 macOS 的 Amazon EC2 支持的一般信息,请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 Mac 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)。 macOS 边缘设备 macOS 不支持适用于 AWS IoT Greengrass 核心设备的 SSM Agent。您不能使用 Patch Manager 修补 macOS 边缘设备。 |
| Windows | Windows Server 2012 至 Windows Server 2025,包括 R2 版本。 Windows 10 不支持适用于 AWS IoT Greengrass 核心设备的 SSM Agent。您不能使用 Patch Manager 修补 Windows 10 边缘设备。 Windows Server 2012 和 2012 R2 支持 Windows Server 2012 和 2012 R2 支持已于 2023 年 10 月 10 日结束。要将 Patch Manager 与这些版本一起使用,还建议使用 Microsoft 的扩展安全更新(ESU)。有关更多信息,请参阅 Microsoft 网站上的 [Windows Server 2012 和 2012 R2 即将终止支持](https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support)。 |