• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用自訂修補基準
Patch Manager中的工具 AWS Systems Manager包含 支援的每個作業系統的預先定義修補程式基準Patch Manager。您可以使用這些修補基準 (您無法自訂它們),或建立自己的修補基準。
下列程序說明如何建立、更新並刪除自己的自訂修補基準。若要進一步了解修補基準,請參閱[預先定義和自訂的修補基準](patch-manager-predefined-and-custom-patch-baselines.md)。
**Topics**
+ [建立適用於 Linux 的自訂修補基準](patch-manager-create-a-patch-baseline-for-linux.md)
+ [建立 macOS 的自訂修補基準](patch-manager-create-a-patch-baseline-for-macos.md)
+ [建立 Windows Server 的自訂修補基準](patch-manager-create-a-patch-baseline-for-windows.md)
+ [更新或刪除自訂修補基準](patch-manager-update-or-delete-a-patch-baseline.md)
# 建立適用於 Linux 的自訂修補基準
請使用下列程序在 Patch Manager ( AWS Systems Manager中的工具) 中建立 Linux 受管節點的自訂修補基準。
如需為 macOS 受管節點建立修補基準的資訊,請參閱 [建立 macOS 的自訂修補基準](patch-manager-create-a-patch-baseline-for-macos.md)。如需為 Windows 受管節點建立修補基準的資訊,請參閱 [建立 Windows Server 的自訂修補基準](patch-manager-create-a-patch-baseline-for-windows.md)。
**為 Linux 受管節點建立自訂修補基準**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Patch Manager**。
1. 選擇**修補基準**索引標籤,然後選擇**建立修補基準**。
-或-
如果您是第一次在目前的 AWS 區域存取 Patch Manager,請選擇**從概觀開始**,然後選擇**修補基準**索引標籤,接著再選擇**建立修補基準**。
1. 在 **Name (名稱)** 中,為新的修補基準輸入一個名稱,例如 `MyRHELPatchBaseline`。
1. (選用) 在 **Description (描述)** 中,輸入此修補基準的描述。
1. 在 **Operating system (作業系統)** 選擇作業系統,例如 `Red Hat Enterprise Linux`。
1. 如果要在建立所選作業系統時,立即開始將此修補基準做為所選作業系統的預設設定,請核取 **Set this patch baseline as the default patch baseline for *operating system name* instances** (將此修補基準設定為「作業系統名稱」執行個體的預設修補基準) 旁的方塊。
**注意**
唯有當您在 2022 年 12 月 22 日[修補程式政策](patch-manager-policies.md)發行前第一次存取 Patch Manager,才能使用此選項。
如需有關設定現有修補基準為預設的更多資訊,請參閱 [將現有的修補基準設為預設值 (主控台)](patch-manager-default-patch-baseline.md)。
1. 在 **Approval rules for operating-system (作業系統核准規則)** 部分中,使用欄位來建立一或多個自動核准規則。
+ **產品**:此核准規則適用的作業系統版本,例如 `RedhatEnterpriseLinux7.4`。預設的選取為 `All`。
+ **Classification (分類)**:此核准規則適用的修補程式類型,例如 `Security` 或 `Enhancement`。預設的選取為 `All`。
**提示**
您可以設定修補基準,以控制是否安裝 Linux 的次要版本升級,例如 RHEL 7.8。Patch Manager 可以自動安裝次要版本升級,前提是適當的存放庫中有可用的更新。
對於 Linux 作業系統,次要版本升級分類並不一致。即使在相同的核心版本中,它們可能被歸類為錯誤修正或安全更新,或者未歸類。以下是控制是否要安裝修補基準的幾個選項。
**選項 1**:確保在次要版本升級可用時進行安裝的最廣泛核准規則是將 **Classification (分類)** 指定為 `All` (\$1),然後選擇 **Include nonsecurity updates (包含非安全更新)** 選項。
**選項 2**:若要確保安裝作業系統版本的修補程式,您可以使用萬用字元 (\$1),在基準的 **Patch exceptions (修補程式例外狀況)** 區段中指定其核心格式。例如,RHEL 7.\$1 的核心格式為 `kernel-3.10.0-*.el7.x86_64`。
在修補基準的 **Approved patches** (已核准的修補程式) 清單中輸入 `kernel-3.10.0-*.el7.x86_64`,確保所有修補程式 (包括次要版本升級) 已套用至 RHEL 7.\$1 受管節點。(如果您知道次要版本修補程式的確切套件名稱,可以改輸入該名稱。)
**選項 3**:您可以對哪些修補程式套用至受管節點 (包括次要版本升級) 進行最大控制,方法是使用 `AWS-RunPatchBaseline` 文件中的 [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist) 參數。如需詳細資訊,請參閱[用於修補的 SSM 命令文件:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)。
+ **核准規則 (嚴重性)**:此規則適用的修補程式嚴重性值,例如 `Critical`。預設的選取為 `All`。
+ **Auto-approval (自動核准)**:選取修補程式以進行自動核准的方法。
**注意**
因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期,此作業系統不支援自動核准選項。
+ **Approve patches after a specified number of days** (指定天數之後核准修補程式):修補程式發行或最後更新之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。
+ **Approve patches released up to a specific date** (核准特定日期前發布的修補程式):Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如,如果您指定 2023 年 7 月 7 日,則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。
+ (選用) **合規報告**:您要指派給基準所核准之修補程式的嚴重性等級,例如 `Critical` 或 `High`。
**注意**
如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 `Missing`,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。
+ **Include non-security updates (包含非安全性更新)**:除了安裝安全性相關修補程式之外,選取此核取方塊可安裝來源儲存庫中可用的非安全性修補程式。
如需有關在自訂修補基準中使用核准規則的詳細資訊,請參閱[自訂基準](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom)。
1. 如果您要明確核准符合核准規則之修補程式以外的任何修補程式,請在 **Patch exceptions (修補程式例外狀況)** 部分執行下列動作:
+ 在 **Approved patches (核准的修補程式)**,輸入您要核准之修補程式的逗號分隔清單。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。
+ (選用) 在 **Approved patches compliance level (核准的修補程式合規層級)**中,將合規層級指派至清單中的修補程式。
+ 如果您指定的任何核准修補程式都與安全性無關,請選取**包含非安全性更新**核取方塊,以便在您的 Linux 作業系統中也安裝這些修補程式。
1. 如果您要明確拒絕任何符合核准規則之修補程式,請在 **Patch exceptions (修補程式例外狀況)** 部分執行下列動作:
+ 在 **Rejected patches (拒絕的修補程式)** 中,輸入您要拒絕之修補程式的逗號分隔清單。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。
+ 在 **Rejected patches action** (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 **Rejected patches** (已拒絕修補程式) 清單所包含之修補程式上執行的動作。
+ **Allow as dependency** (當做相依性允許):只有當套件是其他套件的相依性時,才會安裝 **Rejected patches** (已拒絕修補程式) 清單中的套件。這被視為符合修補基準,其狀態回報為 *InstalledOther*。若未指定選項,此為預設動作。
+ **封鎖**:**遭拒的修補程式**清單中的套件,以及將這些套件作為相依性而包含在內的套件,Patch Manager 在任何情況下都無法安裝。如果在**遭拒的修補程式**清單中新增套件之前即安裝該套件,或在之後於 Patch Manager 外部安裝該套件,則會被視為不符合修補基準,並且會將其狀態回報為 *InstalledRejected*。
**注意**
Patch Manager 會以遞迴方式搜尋修補程式相依性。
1. (選用) 如果您要為不同版本的作業系統指定替代的修補程式儲存庫,例如 *AmazonLinux2016.03* 與 *AmazonLinux2017.09*,請為 **Patch sources (修補程式來源)** 部分中的每個產品執行以下動作:
+ 在 **Name (名稱)** 中輸入一個名稱以協助您識別來源組態。
+ 在 **Product (產品)** 中,請選取修補程式來源儲存庫適用的作業系統版本,例如 `RedhatEnterpriseLinux7.4`。
+ 在**組態**中輸入要以適當格式使用的儲存庫組態的值:
------
#### [ Example for yum repositories ]
```
[main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
```
**提示**
如需有關 yum 儲存庫組態可用選項的詳細資訊,請參閱 [dnf.conf(5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html)。
------
#### [ Examples for Ubuntu Server and Debian Server ]
`deb http://security.ubuntu.com/ubuntu jammy main`
`deb https://site.example.com/debian distribution component1 component2 component3`
Ubuntu Server 儲存庫的儲存庫資訊必須以單行指定。如需更多範例和資訊,請參閱 *Ubuntu Server Manuals* 網站上的 [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) 和 *Debian Wiki* 上的 [sources.list format](https://wiki.debian.org/SourcesList#sources.list_format)。
------
選擇 **Add another source (新增其他來源)**,為每個額外的作業系統版本指定來源儲存庫,最多 20 個。
如需有關替代來源修補程式儲存庫的詳細資訊,請參閱[如何指定替代修補程式來源儲存庫 (Linux)](patch-manager-alternative-source-repository.md)。
1. (選用) 對於 **Manage tags (管理標籤)**,請套用一或多個索引鍵名稱/值對至修補基準。
標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補基準,以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. 選擇 **Create patch baseline (建立修補基準)**。
# 建立 macOS 的自訂修補基準
請使用下列程序在 Patch Manager ( AWS Systems Manager中的工具) 中建立 macOS 受管節點的自訂修補基準。
如需為 Windows Server 受管節點建立修補基準的資訊,請參閱 [建立 Windows Server 的自訂修補基準](patch-manager-create-a-patch-baseline-for-windows.md)。如需為 Linux 受管節點建立修補基準的資訊,請參閱 [建立適用於 Linux 的自訂修補基準](patch-manager-create-a-patch-baseline-for-linux.md)。
**注意**
macOS 不支援全部 AWS 區域。如需有關 macOS Amazon EC2 支援的詳細資訊,請參閱《Amazon EC2 使用者指南》**中的 [Amazon EC2 Mac instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)。
**為 macOS 受管節點建立自訂修補基準**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Patch Manager**。
1. 選擇**修補基準**索引標籤,然後選擇**建立修補基準**。
-或-
如果您是第一次在目前的 AWS 區域存取 Patch Manager,請選擇**從概觀開始**,然後選擇**修補基準**索引標籤,接著再選擇**建立修補基準**。
1. 在 **Name (名稱)** 中,為新的修補基準輸入一個名稱,例如 `MymacOSPatchBaseline`。
1. (選用) 在 **Description (描述)** 中,輸入此修補基準的描述。
1. 在 **Operating system (作業系統)** 中,選擇 macOS。
1. 如果要在建立 macOS 時,立即開始將此修補基準做為所選作業系統的預設設定,請核取 **Set this patch baseline as the default patch baseline for macOS instances** (將此修補基準設定為 MacOS 執行個體的預設修補基準) 旁的方塊。
**注意**
唯有當您在 2022 年 12 月 22 日[修補程式政策](patch-manager-policies.md)發行前第一次存取 Patch Manager,才能使用此選項。
如需有關設定現有修補基準為預設的更多資訊,請參閱 [將現有的修補基準設為預設值 (主控台)](patch-manager-default-patch-baseline.md)。
1. 在 **Approval rules for operating-system (作業系統核准規則)** 部分中,使用欄位來建立一或多個自動核准規則。
+ **產品**:此核准規則適用的作業系統版本,例如 `BigSur11.3.1` 或 `Ventura13.7`。預設的選取為 `All`。
+ **Classification** (分類):您想要在修補程式期間套用套件的套件管理工具。您可以選擇下列項目:
+ softwareupdate
+ Installer (安裝程式)
+ brew
+ brew cask
預設的選取為 `All`。
+ (選用) **合規報告**:您要指派給基準所核准之修補程式的嚴重性等級,例如 `Critical` 或 `High`。
**注意**
如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 `Missing`,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。
如需有關在自訂修補基準中使用核准規則的詳細資訊,請參閱[自訂基準](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom)。
1. 如果您要明確核准符合核准規則之修補程式以外的任何修補程式,請在 **Patch exceptions (修補程式例外狀況)** 部分執行下列動作:
+ 在 **Approved patches (核准的修補程式)**,輸入您要核准之修補程式的逗號分隔清單。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。
+ (選用) 在 **Approved patches compliance level (核准的修補程式合規層級)**中,將合規層級指派至清單中的修補程式。
1. 如果您要明確拒絕任何符合核准規則之修補程式,請在 **Patch exceptions (修補程式例外狀況)** 部分執行下列動作:
+ 在 **Rejected patches (拒絕的修補程式)** 中,輸入您要拒絕之修補程式的逗號分隔清單。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。
+ 在 **Rejected patches action** (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 **Rejected patches** (已拒絕修補程式) 清單所包含之修補程式上執行的動作。
+ **Allow as dependency** (當做相依性允許):只有當套件是其他套件的相依性時,才會安裝 **Rejected patches** (已拒絕修補程式) 清單中的套件。這被視為符合修補基準,其狀態回報為 *InstalledOther*。若未指定選項,此為預設動作。
+ **封鎖**:**遭拒的修補程式**清單中的套件,以及將這些套件作為相依性而包含在內的套件,Patch Manager 在任何情況下都無法安裝。如果在**遭拒的修補程式**清單中新增套件之前即安裝該套件,或在之後於 Patch Manager 外部安裝該套件,則會被視為不符合修補基準,並且會將其狀態回報為 *InstalledRejected*。
1. (選用) 對於 **Manage tags (管理標籤)**,請套用一或多個索引鍵名稱/值對至修補基準。
標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補基準,以識別其指定的修補程式的嚴重性等級、其適用的套件管理工具,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=PackageManager,Value=softwareupdate`
+ `Key=Environment,Value=Production`
1. 選擇 **Create patch baseline (建立修補基準)**。
# 建立 Windows Server 的自訂修補基準
請使用下列程序在 Patch Manager ( AWS Systems Manager中的工具) 中建立 Windows 受管節點的自訂修補基準。
如需為 Linux 受管節點建立修補基準的資訊,請參閱 [建立適用於 Linux 的自訂修補基準](patch-manager-create-a-patch-baseline-for-linux.md)。如需有關建立 macOS 受管節點的修補基準的詳細資訊,請參閱[建立 macOS 的自訂修補基準](patch-manager-create-a-patch-baseline-for-macos.md)。
如需建立僅限於安裝 Windows Service Pack 之修補基準的範例,請參閱[教學課程:使用主控台建立安裝 Windows Service Pack 的修補基準](patch-manager-windows-service-pack-patch-baseline-tutorial.md)。
**建立自訂修補基準 (Windows)**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Patch Manager**。
1. 選擇**修補基準**索引標籤,然後選擇**建立修補基準**。
-或-
如果您是第一次在目前的 AWS 區域存取 Patch Manager,請選擇**從概觀開始**,然後選擇**修補基準**索引標籤,接著再選擇**建立修補基準**。
1. 在 **Name (名稱)** 中,為新的修補基準輸入一個名稱,例如 `MyWindowsPatchBaseline`。
1. (選用) 在 **Description (描述)** 中,輸入此修補基準的描述。
1. 在 **Operating system (作業系統)** 中,選擇 `Windows`。
1. 在**可用的安全性更新合規狀態**中,選擇您要指派給可用但未經核准的安全修補程式的狀態,因為這些修補程式不符合修補基準、**不合規**或**合規**中指定的安裝條件。
範例案例:如果您已指定在修補程式發布後、安裝前需要等待很長的時間,則可以略過您可能想要安裝的安全修補程式。如果在指定的等待期間發布了修補程式更新,安裝修補程式的等待期間會重新開始。如果等待期間過長,可以發布多個版本的修補程式,但絕不會安裝。
1. 如果要在建立 Windows 時立即開始將此修補基準做為 Windows 的預設設定,請選擇 **Set this patch baseline as the default patch baseline for Windows Server instances (將此修補基準設為 Windows Server 執行個體的預設修補基準)**。
**注意**
唯有當您在 2022 年 12 月 22 日[修補程式政策](patch-manager-policies.md)發行前第一次存取 Patch Manager,才能使用此選項。
如需有關設定現有修補基準為預設的更多資訊,請參閱 [將現有的修補基準設為預設值 (主控台)](patch-manager-default-patch-baseline.md)。
1. 在 **Approval rules for operating system (作業系統核准規則)** 部分中,使用欄位來建立一或多個自動核准規則。
+ **產品**:此核准規則適用的作業系統版本,例如 `WindowsServer2012`。預設的選取為 `All`。
+ **Classification (分類)**:此核准規則適用的修補程式類型,例如 `CriticalUpdates`、`Drivers` 和 `Tools`。預設的選取為 `All`。
**提示**
透過包含 `ServicePacks` 或在 **Classification** (分類) 清單中選擇 `All`,您可以在核准規則中包含 Windows Service Pack 安裝。如需範例,請參閱 [教學課程:使用主控台建立安裝 Windows Service Pack 的修補基準](patch-manager-windows-service-pack-patch-baseline-tutorial.md)。
+ **核准規則 (嚴重性)**:此規則適用的修補程式嚴重性值,例如 `Critical`。預設的選取為 `All`。
+ **Auto-approval (自動核准)**:選取修補程式以進行自動核准的方法。
+ **Approve patches after a specified number of days** (指定天數之後核准修補程式):修補程式發行或更新之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。
+ **Approve patches released up to a specific date** (核准特定日期前發布的修補程式):Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如,如果您指定 2023 年 7 月 7 日,則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。
+ (選用) **Compliance reporting (合規報告)**:您要指派給基準所核准之修補程式的嚴重性等級,例如 `High`。
**注意**
如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 `Missing`,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。
1. (選用) 在 **Approval rules for applications** (應用程式的核准規則) 區段中,使用這些欄位建立一個或多個自動核准規則。
**注意**
您可以將已核准和已拒絕修補程式清單指定為修補程式例外狀況,而不是指定核准規則。請參閱步驟 10 和 11。
+ **Product family (產品系列)**:您想指定規則的一般 Microsoft 產品系列,例如 `Office` 或 `Exchange Server`。
+ **產品**:核准規則適用的應用程式版本,例如 `Office 2016` 或 `Active Directory Rights Management Services Client 2.0 2016`。預設的選取為 `All`。
+ **Classification (分類)**:此核准規則適用的修補程式類型,例如 `CriticalUpdates`。預設的選取為 `All`。
+ **核准規則 (嚴重性)**:此規則適用的修補程式嚴重性值,例如 `Critical`。預設的選取為 `All`。
+ **Auto-approval (自動核准)**:選取修補程式以進行自動核准的方法。
+ **Approve patches after a specified number of days** (指定天數之後核准修補程式):修補程式發行或更新之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。
+ **Approve patches released up to a specific date** (核准特定日期前發布的修補程式):Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如,如果您指定 2023 年 7 月 7 日,則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。
+ (選用) **合規報告**:您要指派給基準所核准之修補程式的嚴重性等級,例如 `Critical` 或 `High`。
**注意**
如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 `Missing`,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。
1. (選用) 如果您想要明確核准任何修補程式,而非依據核准規則選取修補程式,請在 **Patch exceptions** (修補程式例外狀況) 區段中進行以下操作:
+ 在 **Approved patches (核准的修補程式)**,輸入您要核准之修補程式的逗號分隔清單。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。
+ (選用) 在 **Approved patches compliance level (核准的修補程式合規層級)**中,將合規層級指派至清單中的修補程式。
1. 如果您要明確拒絕任何符合核准規則之修補程式,請在 **Patch exceptions (修補程式例外狀況)** 部分執行下列動作:
+ 在 **Rejected patches (拒絕的修補程式)** 中,輸入您要拒絕之修補程式的逗號分隔清單。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。
+ 在 **Rejected patches action** (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 **Rejected patches** (已拒絕修補程式) 清單所包含之修補程式上執行的動作。
+ **當做相依性允許**:Windows Server 不支援套件相依性的概念。如果**遭拒的修補程式**清單中的套件已安裝在節點上,則會將其狀態回報為 `INSTALLED_OTHER`。任何尚未安裝在節點上的套件都會被略過。
+ **封鎖**:在任何情況下,Patch Manager 都不會安裝**遭拒的修補程式**清單中的套件。如果在**遭拒的修補程式**清單中新增套件之前即安裝該套件,或在之後於 Patch Manager 外部安裝該套件,則會被視為不符合修補基準,並且會將其狀態回報為 `INSTALLED_REJECTED`。
如需有關遭拒的套件動作的詳細資訊,請參閱[自訂修補基準中遭拒的修補程式清單選項](patch-manager-windows-and-linux-differences.md#rejected-patches-diff)。
1. (選用) 對於 **Manage tags (管理標籤)**,請套用一或多個索引鍵名稱/值對至修補基準。
標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補基準,以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. 選擇 **Create patch baseline (建立修補基準)**。
# 更新或刪除自訂修補基準
您可以在 Patch Manager ( AWS Systems Manager中的工具) 中更新或刪除已建立的自訂修補基準。在更新修補基準時,您可以變更其名稱或說明、核准規則以及已核准和已拒絕的修補程式例外狀況。您也可以更新套用到修補基準的標籤。您無法變更已建立修補程式基準的作業系統類型,也無法變更 提供的預先定義修補程式基準 AWS。
## 更新或刪除修補基準
請依照以下步驟更新或刪除修補基準。
**重要**
刪除 Quick Setup 中修補程式政策組態可能會使用的自訂修補基準時務必小心。
如果您在 Quick Setup 中使用[修補程式政策組態](patch-manager-policies.md),則您對自訂修補基準所做的更新會每小時與 Quick Setup 同步一次。
如果刪除修補程式政策中參照的自訂修補基準,則修補程式政策的 Quick Setup **Configuration details** (組態詳細資訊) 頁面上會顯示橫幅。此橫幅會通知您修補程式政策參照修補基準不再存在,而後續的修補操作將會失敗。在此情況下,請返回到 Quick Setup **Configurations** (組態) 頁面,選取 Patch Manager 組態,然後選擇 **Actions** (動作)、**Edit configuration** (編輯組態)。刪除的修補基準名稱會反白顯示,您必須為受影響的作業系統選取新的修補基準。
**更新或刪除修補基準**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Patch Manager**。
1. 選擇您要更新或刪除的修補基準,然後執行以下其中一項:
+ 若要從 中移除修補程式基準 AWS 帳戶,請選擇**刪除**。系統會提示您確認您的動作。
+ 如要變更修補基準名稱或說明、核准規則或修補程式例外狀況,請選擇 **Edit (編輯)**。在 **Edit patch baseline (編輯修補基準)** 頁面上,變更您需要的值和選項,然後選擇 **Save changes (儲存變更)**。
+ 若要新增、變更或刪除套用到修補基準的標籤,請選擇 **Tags (標籤)** 標籤,然後選擇 **Edit tags (編輯標籤)**。在 **Edit patch baseline tags (編輯修補基準標籤)** 頁面上,更新修補基準標籤,然後選擇 **Save changes (儲存變更)**。
如需您可以選擇的組態的相關資訊,請參閱 [使用自訂修補基準](patch-manager-manage-patch-baselines.md)。