• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Patch Manager 先決條件
在 中使用 工具之前Patch Manager,請確定您已符合必要的先決條件 AWS Systems Manager。
**Topics**
+ [SSM Agent 版本](#agent-versions)
+ [Python 版本](#python-version)
+ [其他套件需求](#additional-package-requirements)
+ [與修補程式來源的連線](#source-connectivity)
+ [S3 端點存取](#s3-endpoint-access)
+ [在本機安裝修補程式的許可](#local-installation-permissions)
+ [Patch Manager 支援的作業系統](#supported-os)
## SSM Agent 版本
執行於您要以 Patch Manager 進行管理之受管節點的 SSM Agent 版本 2.0.834.0 或更新版本。
**注意**
當 Systems Manager 新增了新工具,或現有工具有更新時,會發行 SSM Agent 的更新版本。若未使用最新版本的 Agent,您的受管節點可能會無法使用 Systems Manager 中的各種工具及功能。因此,我們建議您讓機器的 SSM Agent 自動保持最新狀態。如需相關資訊,請參閱[自動化 SSM Agent 更新](ssm-agent-automatic-updates.md)。請訂閱 GitHub 上的 [SSM Agent 版本備註](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)頁面,以便接收有關 SSM Agent 更新的通知。
## Python 版本
對於 macOS和大多數 Linux 作業系統 OSs), Patch Manager目前支援 Python 2.6 - 3.12 版。AlmaLinux、Debian Server 及 Ubuntu Server 作業系統需要 Python 3 的支援版本 (3.0 - 3.12)。
## 其他套件需求
對於 DNF 作業系統,解壓縮儲存庫資訊和修補程式檔案時可能需要 `xz`、 和 `zstd``unzip`公用程式。DNF 型作業系統包括 Amazon Linux 2023、8 Red Hat Enterprise Linux 和更新版本、Oracle Linux8 和更新版本、Rocky Linux、AlmaLinux、CentOS 8 和更新版本。如果您因為缺少 而看到類似 `No such file or directory: b'zstd'`、 `No such file or directory: b'unxz'`或修補失敗的錯誤`unzip`,則需要安裝這些公用程式。`xz`、 `zstd`和 `unzip`可以透過執行下列操作進行安裝:
```
dnf install zstd xz unzip
```
## 與修補程式來源的連線
如果您的受管節點沒有直接連線至網際網路,而且您使用具有 VPC 端點的 Amazon Virtual Private Cloud (Amazon VPC),則必須確保節點能夠存取來源修補程式儲存庫 (repos)。在 Linux 節點上,修補程式更新通常會從節點上設定的遠端儲存庫下載。因此,節點必須能夠連接至儲存庫,以便執行修補。如需詳細資訊,請參閱[如何選取安全性修補程式](patch-manager-selecting-patches.md)。
修補僅限 IPv6 環境中執行的節點時,請確定節點已連線至修補程式來源。您可以檢查修補執行的Run Command輸出,以檢查有關無法存取儲存庫的警告。對於以 DNF 為基礎的作業系統,如果 `skip_if_unavailable`選項設定為 `True`下,則可以設定在修補期間略過無法使用的儲存庫`/etc/dnf/dnf.conf`。DNF 型作業系統包括 Amazon Linux 2023、8 Red Hat Enterprise Linux 和更新版本、8 Oracle Linux 和更新版本、Rocky Linux、AlmaLinux、CentOS 8 和更新版本。在 Amazon Linux 2023 上,`skip_if_unavailable`選項`True`預設為 。
**CentOS Stream:啟用 `EnableNonSecurity` 旗標**
CentOS Stream 節點將 DNF 作為套件管理工具,該工具使用更新通知的概念。更新通知僅只是修復特定問題的套件集合。
不過,CentOS Stream 預設儲存庫並未設定更新通知。這表示 Patch Manager 不會偵測預設 CentOS Stream 儲存庫上的套件。若要啟用 Patch Manager 來處理不包含在更新通知中的套件,您必須在修補基準規則中啟用 `EnableNonSecurity` 旗標。
**Windows Server:確保連線至 Windows Update 目錄或 Windows Server 更新服務 (WSUS)**
Windows Server 受管節點必須能夠連線至 Windows 更新目錄或 Windows 伺服器更新服務 (WSUS)。確認您的節點已透過網際網路閘道、NAT 閘道或 NAT 執行個體連線至 [Microsoft 更新目錄](https://www.catalog.update.microsoft.com/home.aspx)。如果使用 WSUS,請確認節點已連線至您環境中的 WSUS 伺服器。如需詳細資訊,請參閱[問題:受管節點無法存取 Windows 更新目錄或 WSUS](patch-manager-troubleshooting.md#patch-manager-troubleshooting-instance-access)。
## S3 端點存取
無論您的受管節點是在私有或公有網路中運作,而無法存取所需的 AWS 受管 Amazon Simple Storage Service (Amazon S3) 儲存貯體,修補操作都會失敗。如需受管節點必須能夠存取之 S3 儲存貯體的相關資訊,請參閱 [SSM Agent 與 AWS 受管 S3 儲存貯體的通訊](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) 和 [使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](setup-create-vpc.md)。
## 在本機安裝修補程式的許可
在 Windows Server 和 Linux 作業系統上,Patch Manager 會分別擔任管理員和根使用者帳戶來安裝修補程式。
然而,在 macOS 上,對於 Brew 和 Brew Cask,Homebrew 不支援其在根使用者帳戶下執行的命令。因此,Patch Manager 以 Homebrew 目錄的擁有者或屬於 Homebrew 目錄之擁有者群組的有效使用者身分查詢和執行 Homebrew 命令。因此,為了安裝修補程式,`homebrew` 目錄的擁有者也需要 `/usr/local` 目錄的遞迴擁有者許可。
**提示**
下列命令為指定使用者提供此許可:
```
sudo chown -R $USER:admin /usr/local
```
## Patch Manager 支援的作業系統
Patch Manager 工具並不支援其他 Systems Manager 工具支援的所有相同作業系統版本。(如需 Systems Manager 支援的作業系統完整清單,請參閱 [Systems Manager 支援的作業系統](operating-systems-and-machine-types.md#prereqs-operating-systems)。) 因此,確保您要使用 Patch Manager 的受管節點執行於下表所列的作業系統之一。
**注意**
Patch Manager 依賴在受管節點上設定的修補程式儲存庫,例如 Windows Update 目錄和 Windows 的 Windows Server 更新服務,來擷取可用的修補程式以進行安裝。因此,在終止服務 (EOL) 作業系統版本中,如果沒有可用的新更新,Patch Manager 可能無法報告新的更新。這可能是因為 Linux 發行版本維護者、Microsoft 或 Apple 未發行新的更新,或因為受管節點沒有存取新更新的適當授權。
強烈建議您避免使用已達生命週期結束 (EOL) 的作業系統版本。包括 在內的作業系統廠商 AWS 通常不會為已達到 EOL 的版本提供安全修補程式或其他更新。繼續使用 EOL 系統可大幅提高無法套用升級的風險,包括安全性修正和其他操作問題。 AWS 不會在已達到 EOL 的作業系統版本上測試 Systems Manager 功能。
Patch Manager 針對受管節點上的可用修補程式,報告合規狀態。因此,如果執行個體正在執行 EOL 作業系統,而且沒有可用的更新,Patch Manager 可能會根據針對修補操作設定的修補基準,將節點報告為合規。
| 作業系統 | 詳細資訊 |
| --- | --- |
| Linux | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/patch-manager-prerequisites.html) |
| macOS | *macOS 僅支援 Amazon EC2 執行個體。* 13.0–13.5 (Ventura) 14*.x* (Sonoma) 15*.x* (Sequoia) macOS OS 更新 Patch Manager 不支援 macOS 的作業系統 (OS) 更新或升級,例如從 13.1 至 13.2。若要在 macOS 上執行 OS 版本更新,我們建議您使用 Apple 內建的 OS 升級機制。如需詳細資訊,請參閱 Apple Developer Documentation 網站上的 [Device Management](https://developer.apple.com/documentation/devicemanagement)。 Homebrew 支援 Patch Manager 需要將開放原始碼軟體套件管理系統 Homebrew 安裝到下列其中一個預設安裝位置: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/patch-manager-prerequisites.html) 未安裝 Homebrew 時,使用 Patch Manager 的修補操作無法正常運作。 區域支援 macOS 不支援全部 AWS 區域。如需有關 macOS Amazon EC2 支援的詳細資訊,請參閱《Amazon EC2 使用者指南》**中的 [Amazon EC2 Mac instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)。 macOS 邊緣裝置 SSM Agent 不支援 AWS IoT Greengrass 核心裝置的 macOS。您無法使用 Patch Manager 修補 macOS 邊緣裝置。 |
| Windows | Windows Server 2012 到 Windows Server 2025,包括 R2 版本。 SSM Agent Windows 10 不支援 AWS IoT Greengrass 核心裝置的 。您無法使用 Patch Manager 修補 Windows 10 邊緣裝置。 Windows Server 2012 和 2012 R2 支援 Windows Server 2012 和 2012 R2 已於 2023 年 10 月 10 日終止支援。若要將 Patch Manager 與這些版本搭配使用,我們亦建議使用 Microsoft 的延伸安全性更新 (ESU)。如需詳細資訊,請參閱 Microsoft 網站上的 [Windows Server 2012 和 2012 R2 即將終止支援](https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support)。 |