• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 适用于修补托管式节点的 SSM 命令文档
本主题介绍了目前可用的九个 Systems Manager 文档(SSM 文档),有助于您保持为托管式节点提供最新的安全性相关更新补丁。
我们建议在修补操作中仅使用这些文档中的五个。结合使用这五个 SSM 文档,您即可获得使用 AWS Systems Manager 进行修补的全部选项。其中有四个文档是在四个早期 SSM 文档之后发布的,替换了这四个早期文档,对功能进行了扩展和整合。
**适用于修补的推荐 SSM 文档**
我们建议在修补操作中使用以下五个 SSM 文档。
+ `AWS-ConfigureWindowsUpdate`
+ `AWS-InstallWindowsUpdates`
+ `AWS-RunPatchBaseline`
+ `AWS-RunPatchBaselineAssociation`
+ `AWS-RunPatchBaselineWithHooks`
**适用于修补的旧版 SSM 文档**
以下四个旧版 SSM 文档在某些 AWS 区域中仍然可用,但不再更新或支持。无法保证这些文档在 IPv6 环境中有效,仅支持 IPv4。无法保证这些文档在所有情况下都有效,并且将来可能不再支持。我们建议您不要使用这些文档进行修补操作。
+ `AWS-ApplyPatchBaseline`
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`
有关在仅支持 IPv6 的环境中设置修补操作的步骤,请参阅[教程:在仅支持 IPv6 的环境中修补服务器](patch-manager-server-patching-iPv6-tutorial.md)。
请参考以下各节,了解有关如何在修补操作中使用这些 SSM 文档的更多信息。
**Topics**
+ [用于修补托管式节点的推荐 SSM 文档](#patch-manager-ssm-documents-recommended)
+ [适用于修补托管式节点的旧 SSM 文档](#patch-manager-ssm-documents-legacy)
+ [适用于修补托管式节点的 SSM 文档的已知限制](#patch-manager-ssm-documents-known-limitations)
+ [用于修补的 SSM 命令文档:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)
+ [用于修补的 SSM 命令文档:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ [用于修补的 SSM 命令文档:`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)
+ [在 `AWS-RunPatchBaseline` 或 `AWS-RunPatchBaselineAssociation` 中使用 InstallOverrideList 参数的示例场景](patch-manager-override-lists.md)
+ [使用基准覆盖参数](patch-manager-baselineoverride-parameter.md)
## 用于修补托管式节点的推荐 SSM 文档
建议在进行托管式节点的修补操作时使用以下五个 SSM 文档。
**Topics**
+ [`AWS-ConfigureWindowsUpdate`](#patch-manager-ssm-documents-recommended-AWS-ConfigureWindowsUpdate)
+ [`AWS-InstallWindowsUpdates`](#patch-manager-ssm-documents-recommended-AWS-InstallWindowsUpdates)
+ [`AWS-RunPatchBaseline`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaseline)
+ [`AWS-RunPatchBaselineAssociation`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineAssociation)
+ [`AWS-RunPatchBaselineWithHooks`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineWithHooks)
### `AWS-ConfigureWindowsUpdate`
支持配置基本的 Windows 更新功能,并使用它们来自动安装更新 (或关闭自动更新)。在所有 AWS 区域 中可用。
此 SSM 文档可提示 Windows 更新下载并安装指定的更新,并根据需要重启托管式节点。将此文档与State Manager(AWS Systems Manager 中的一项工具)结合使用,确保 Windows Update 保持其配置。您也可以使用 Run Command(AWS Systems Manager 中的一项工具)手动运行该文档来更改 Windows Update 配置。
本文档中的可用参数支持指定要安装的更新类别 (或是否关闭自动更新),还支持指定在星期几的什么时间运行修补操作。如果您不需要对 Windows 更新进行严格控制,也不需要收集合规性信息,则此 SSM 文档最为有用。
**替换早期 SSM 文档:**
+ *无*
### `AWS-InstallWindowsUpdates`
在 Windows Server 托管式节点上安装更新。在所有 AWS 区域 中可用。
如果您希望安装指定更新 (使用 `Include Kbs` 参数),或希望安装特定类别或分类的补丁,但不需要补丁合规性信息,则此 SSM 文档可提供基本修补功能。
**替换早期 SSM 文档:**
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`
这三个早期文档执行不同的功能,但您可以使用较新的 SSM 文档 `AWS-InstallWindowsUpdates` 的不同参数设置得到同样的结果。这些参数设置在 [适用于修补托管式节点的旧 SSM 文档](#patch-manager-ssm-documents-legacy) 中进行了介绍。
### `AWS-RunPatchBaseline`
在托管式节点上安装补丁或扫描节点,以确定是否缺少任何符合条件的补丁。在所有 AWS 区域 中可用。
`AWS-RunPatchBaseline` 允许您使用指定为操作系统类型的“默认”补丁基准来控制补丁批准。报告补丁合规性信息,您可以使用 Systems Manager 合规性工具进行查看。您可使用这些工具深入了解托管式节点的补丁合规性状态,例如哪些节点缺少补丁以及缺少哪些补丁。当您使用 `AWS-RunPatchBaseline` 时,将使用 `PutInventory` API 命令记录补丁合规性信息。对于 Linux 操作系统,为来自托管式节点上配置的默认源存储库和来自在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。有关备用源存储库的更多信息,请参阅 [如何指定备用补丁源存储库 (Linux)](patch-manager-alternative-source-repository.md)。有关 Systems Manager 合规性工具的更多信息,请参阅 [AWS Systems Manager Compliance](systems-manager-compliance.md)。
**替换早期文档:**
+ `AWS-ApplyPatchBaseline`
旧文档 `AWS-ApplyPatchBaseline` 仅适用于 Windows Server 托管式节点,不提供应用程序修补支持。较新的 `AWS-RunPatchBaseline` 对 Windows 和 Linux 系统提供了同等支持。要使用 `AWS-RunPatchBaseline` 文档,需要版本 2.0.834.0 或 SSM Agent 的更高版本。
有关如何使用 `AWS-RunPatchBaseline` SSM 文档的更多信息,请参阅 [用于修补的 SSM 命令文档:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)。
### `AWS-RunPatchBaselineAssociation`
在实例上安装补丁,或扫描实例以确定是否缺少任何符合条件的补丁。在所有商业 AWS 区域 中提供。
`AWS-RunPatchBaselineAssociation` 与 `AWS-RunPatchBaseline` 的不同表现在几个重要方面:
+ `AWS-RunPatchBaselineAssociation` 主要用于使用Quick Setup(AWS Systems Manager 中的一项工具)创建的State Manager关联。具体来说,当使用 Quick Setup 主机管理配置类型时,如果选择**每天扫描实例以查找缺少的补丁**选项,系统将使用 `AWS-RunPatchBaselineAssociation` 进行操作。
但是,在大多数情况下,在设置您自己的修补操作时,应选择 [`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) 或者 [`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md),而非 `AWS-RunPatchBaselineAssociation`。
有关更多信息,请参阅以下主题:
+ [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)
+ [用于修补的 SSM 命令文档:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ `AWS-RunPatchBaselineAssociation` 支持使用标签来标识在运行时使用哪个补丁基准来用于一组目标。
+ 对于使用 `AWS-RunPatchBaselineAssociation` 的修补操作,将按照特定的 State Manager 关联来编译补丁合规性数据。在运行 `AWS-RunPatchBaselineAssociation` 时收集的补丁合规性数据,使用 `PutComplianceItems` API 命令而不是 `PutInventory` 命令来记录。这样可以防止覆盖与此特定关联无关的合规性数据。
对于 Linux 操作系统,为来自实例上配置的默认源存储库和来自您在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。有关备用源存储库的更多信息,请参阅 [如何指定备用补丁源存储库 (Linux)](patch-manager-alternative-source-repository.md)。有关 Systems Manager 合规性工具的更多信息,请参阅 [AWS Systems Manager Compliance](systems-manager-compliance.md)。
**替换早期文档:**
+ **无**
有关如何使用 `AWS-RunPatchBaselineAssociation` SSM 文档的更多信息,请参阅 [用于修补的 SSM 命令文档:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)。
### `AWS-RunPatchBaselineWithHooks`
在托管式节点上安装补丁或扫描节点,以确定是否缺少任何符合条件的补丁,您可以使用可选钩子在修补周期内在三个点运行 SSM 文档。在所有商业 AWS 区域 中提供。在 macOS 上不受支持。
在其 `Install` 操作中,`AWS-RunPatchBaselineWithHooks` 不同于 `AWS-RunPatchBaseline`。
`AWS-RunPatchBaselineWithHooks` 支持托管式节点修补期间在指定点运行的生命周期钩子。由于补丁安装有时需要重启托管式节点,修补操作分为两个事件,共有三个支持自定义功能的钩子。第一个钩子先于 `Install with NoReboot` 操作。第二个钩子后于 `Install with NoReboot` 操作。节点重启后,即可使用第三个钩子。
**替换早期文档:**
+ **无**
有关如何使用 `AWS-RunPatchBaselineWithHooks` SSM 文档的更多信息,请参阅 [用于修补的 SSM 命令文档:`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)。
## 适用于修补托管式节点的旧 SSM 文档
以下四个 SSM 文档仍可在某些 AWS 区域 中使用。不过,这些版本已不再更新,将来可能不再受支持,因此不建议使用。请使用 [用于修补托管式节点的推荐 SSM 文档](#patch-manager-ssm-documents-recommended) 中介绍的文档。
**Topics**
+ [`AWS-ApplyPatchBaseline`](#patch-manager-ssm-documents-legacy-AWS-ApplyPatchBaseline)
+ [`AWS-FindWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-AWS-FindWindowsUpdates)
+ [`AWS-InstallMissingWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallMissingWindowsUpdates)
+ [`AWS-InstallSpecificWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallSpecificWindowsUpdates)
### `AWS-ApplyPatchBaseline`
仅支持 Windows Server 托管式节点,但不包括对在其替换文档 `AWS-RunPatchBaseline` 中找到的修补应用程序的支持。在 2017 年 8 月之后推出的 AWS 区域 中不提供。
**注意**
此 SSM 文档 `AWS-RunPatchBaseline` 的替换文档需要版本 2.0.834.0 或 SSM Agent 的更高版本。可以使用 `AWS-UpdateSSMAgent` 文档将托管式节点更新为代理的最新版本。
### `AWS-FindWindowsUpdates`
已被 `AWS-InstallWindowsUpdates` 取代,可执行所有相同的操作。在 2017 年 4 月之后推出的 AWS 区域 中不提供。
要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 `AWS-InstallWindowsUpdates` 的以下参数配置:
+ `Action` = `Scan`
+ `Allow Reboot` = `False`
### `AWS-InstallMissingWindowsUpdates`
已被 `AWS-InstallWindowsUpdates` 取代,可执行所有相同的操作。在 2017 年 4 月之后推出的所有 AWS 区域 中均不提供。
要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 `AWS-InstallWindowsUpdates` 的以下参数配置:
+ `Action` = `Install`
+ `Allow Reboot` = `True`
### `AWS-InstallSpecificWindowsUpdates`
已被 `AWS-InstallWindowsUpdates` 取代,可执行所有相同的操作。在 2017 年 4 月之后推出的所有 AWS 区域 中均不提供。
要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 `AWS-InstallWindowsUpdates` 的以下参数配置:
+ `Action` = `Install`
+ `Allow Reboot` = `True`
+ `Include Kbs` = *KB 文章的逗号分隔列表*
## 适用于修补托管式节点的 SSM 文档的已知限制
### 外部重启中断
如果在安装补丁期间,节点上的系统启动了重启(例如,将更新应用于固件或诸如 SecuReboot 之类的功能),则即使成功安装了补丁,修补文档的执行也可能会中断并标记为失败。出现这种情况是因为 SSM Agent 无法在外部重启后保持和恢复文档执行状态。
要在执行失败后验证补丁安装状态,请运行 `Scan` 修补操作,然后在补丁管理器中检查补丁合规性数据,进而评测当前的合规性状态。