本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

用於修補受管節點的 SSM 命令文件

此主題描述九個目前可用的 Systems Manager 文件 (SSM 文件)，協助您確保受管節點以最新的安全相關更新進行修補。

我們建議在您的修補操作中僅使用其中五個文件。這五個 SSM 文件可共同在您使用 AWS Systems Manager時提供完整的修補選項。其中四個文件的發佈晚於四個舊有 SSM 文件，它們取代並代表功能的擴充或合併。

適用於修補的建議 SSM 文件

我們建議在您的修補操作中使用下方的五個 SSM 文件。

適用於修補的舊版 SSM 文件

下列四個舊版 SSM 文件仍可在某些 AWS 區域 中使用，但不再更新或受支援。這些文件不保證可在 IPv6 環境中運作，且僅支援 IPv4。無法保證它們適用於所有案例，且未來它們可能會失去支援。建議您不要將這些文件用於修補操作。

如需在僅支援 IPv6 的環境中設定修補操作的步驟，請參閱 教學課程：修補僅限 IPv6 環境中的伺服器。

如需有關在修補操作中使用這些 SSM 文件的詳細資訊，請參閱以下部分。

建議用於修補受管節點的 SSM 文件

建議在您的受管節點修補操作中，使用以下五個 SSM 文件。

AWS-ConfigureWindowsUpdate

支援設定基本 Windows Update 功能以及使用它們自動安裝更新 (或關閉自動更新)。在全部 AWS 區域中提供。

此 SSM 文件提示 Windows Update 下載並安裝指定的更新，然後視需要重新啟動受管節點。將此文件與 中的State Manager工具搭配使用 AWS Systems Manager，以確保 Windows Update 維持其組態。您也可以使用 中的Run Command工具手動執行它 AWS Systems Manager，以變更 Windows Update 組態。

此文件中可用的參數支援指定要安裝的更新類別 (或是否停用自動更新)，以及指定要在星期幾的什麼時間執行修補操作。如果您不需要嚴格控制 Windows 更新，也不需要收集合規資訊，那麼此 SSM 文件是最有用的。

取代舊有 SSM 文件：

AWS-InstallWindowsUpdates

在 Windows Server 受管節點上安裝更新。在全部 AWS 區域中提供。

在您希望安裝特定更新 (使用 Include Kbs 參數)，或希望安裝特定分類或類別的更新，但不需要修補程式合規資訊時，此 SSM 文件可提供基本修補功能。

取代舊有 SSM 文件：

三個舊有文件執行不同的功能，但您可以使用更新的 SSM 文件 AWS-InstallWindowsUpdates 與不同的參數設定達到相同的結果。這些參數設定如用於修補受管節點的舊版 SSM 文件中所述。

AWS-RunPatchBaseline

在您的受管節點上安裝修補程式，或掃描節點以判斷是否有遺漏任何合格的修補程式。在全部 AWS 區域中提供。

AWS-RunPatchBaseline 允許您使用指定為作業系統類型之「預設」的修補基準來控制修補程式核准。報告修補程式合規資訊，您可以使用 Systems Manager 合規工具檢視。這些工具提供您受管節點修補程式合規狀態的洞見分析，例如哪些節點遺漏修補程式，以及遺漏的是哪些修補程式。當您使用 AWS-RunPatchBaseline 時，修補程式合規資訊會使用 PutInventory API 命令進行記錄。對於 Linux 作業系統，提供給修補程式的合規資訊來自受管節點上設定的預設來源儲存庫，以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊，請參閱 如何指定替代修補程式來源儲存庫 (Linux)。如需有關 Systems Manager 合規工具的詳細資訊，請參閱 AWS Systems Manager合規。

取代舊有文件：

舊版文件 AWS-ApplyPatchBaseline 僅適用於 Windows Server 受管節點，不支援應用程式修補。較新的 AWS-RunPatchBaseline 為 Windows 和 Linux 系統提供相同的支援。SSM Agent 的 2.0.834.0 版或更新版本，才能使用 AWS-RunPatchBaseline 文件。

如需 AWS-RunPatchBaseline SSM 文件的詳細資訊，請參閱 用於修補的 SSM 命令文件：AWS-RunPatchBaseline。

AWS-RunPatchBaselineAssociation

在您的執行個體上安裝修補程式，或掃描執行個體以判斷是否有遺漏任何合格的修補程式。已在所有商業 AWS 區域提供。

AWS-RunPatchBaselineAssociation 在以下幾個重要方面不同於 AWS-RunPatchBaseline：

取代舊有文件：

如需 AWS-RunPatchBaselineAssociation SSM 文件的詳細資訊，請參閱 用於修補的 SSM 命令文件：AWS-RunPatchBaselineAssociation。

AWS-RunPatchBaselineWithHooks

使用可在修補週期期間的三個點執行 SSM 文件的選用掛鉤，在您的受管節點上安裝修補程式，或掃描節點，以判斷是否遺漏任何合格的修補程式。已在所有商業 AWS 區域提供。macOS 上不支援。

AWS-RunPatchBaselineWithHooks 不同於其 Install 操作中的 AWS-RunPatchBaseline。

AWS-RunPatchBaselineWithHooks 支援在受管節點修補期間在指定點執行的生命週期掛鉤。由於修補程式安裝有時需要受管節點重新啟動，因此修補操作會分為兩個事件，總共有三個支援自訂功能的掛鉤。第一個掛鉤是在 Install with NoReboot 操作之前。第二個掛鉤是在 Install with NoReboot 操作之後。節點重新啟動後，第三個掛鉤可用。

取代舊有文件：

如需 AWS-RunPatchBaselineWithHooks SSM 文件的詳細資訊，請參閱 用於修補的 SSM 命令文件：AWS-RunPatchBaselineWithHooks。

用於修補受管節點的舊版 SSM 文件

以下四個 SSM 文件仍可於某些 AWS 區域中取得。但是，這些文件不會再更新而且可能在未來不再受到支援，因此不建議使用。反之，請使用建議用於修補受管節點的 SSM 文件中所述的文件。

AWS-ApplyPatchBaseline

僅支援 Windows Server 受管節點，但不支援修補其替換項 AWS-RunPatchBaseline 中找到的應用程式。不適用於 2017 年 8 月之後 AWS 區域 推出的 。

AWS-FindWindowsUpdates

由 AWS-InstallWindowsUpdates 取代，可執行所有相同的動作。不適用於 2017 年 4 月之後 AWS 區域 推出的 。

為了達到與此舊有 SSM 文件相同的結果，請使用下列參數組態與建議的替代文件 AWS-InstallWindowsUpdates：

AWS-InstallMissingWindowsUpdates

由 AWS-InstallWindowsUpdates 取代，可執行所有相同的動作。不適用於 2017 年 4 月之後 AWS 區域 啟動的任何 。

為了達到與此舊有 SSM 文件相同的結果，請使用下列參數組態與建議的替代文件 AWS-InstallWindowsUpdates：

AWS-InstallSpecificWindowsUpdates

由 AWS-InstallWindowsUpdates 取代，可執行所有相同的動作。不適用於 2017 年 4 月之後 AWS 區域 啟動的任何 。

為了達到與此舊有 SSM 文件相同的結果，請使用下列參數組態與建議的替代文件 AWS-InstallWindowsUpdates：