• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 用於修補受管節點的 SSM 命令文件
此主題描述九個目前可用的 Systems Manager 文件 (SSM 文件),協助您確保受管節點以最新的安全相關更新進行修補。
我們建議在您的修補操作中僅使用其中五個文件。這五個 SSM 文件可共同在您使用 AWS Systems Manager時提供完整的修補選項。其中四個文件的發佈晚於四個舊有 SSM 文件,它們取代並代表功能的擴充或合併。
**適用於修補的建議 SSM 文件**
我們建議在您的修補操作中使用下方的五個 SSM 文件。
+ `AWS-ConfigureWindowsUpdate`
+ `AWS-InstallWindowsUpdates`
+ `AWS-RunPatchBaseline`
+ `AWS-RunPatchBaselineAssociation`
+ `AWS-RunPatchBaselineWithHooks`
**適用於修補的舊版 SSM 文件**
下列四個舊版 SSM 文件仍可在某些 AWS 區域 中使用,但不再更新或受支援。這些文件不保證可在 IPv6 環境中運作,且僅支援 IPv4。無法保證它們適用於所有案例,且未來它們可能會失去支援。建議您不要將這些文件用於修補操作。
+ `AWS-ApplyPatchBaseline`
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`
如需在僅支援 IPv6 的環境中設定修補操作的步驟,請參閱 [教學課程:修補僅限 IPv6 環境中的伺服器](patch-manager-server-patching-iPv6-tutorial.md)。
如需有關在修補操作中使用這些 SSM 文件的詳細資訊,請參閱以下部分。
**Topics**
+ [建議用於修補受管節點的 SSM 文件](#patch-manager-ssm-documents-recommended)
+ [用於修補受管節點的舊版 SSM 文件](#patch-manager-ssm-documents-legacy)
+ [修補受管節點的 SSM 文件已知限制](#patch-manager-ssm-documents-known-limitations)
+ [用於修補的 SSM 命令文件:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)
+ [用於修補的 SSM 命令文件:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ [用於修補的 SSM 命令文件:`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)
+ [使用 `AWS-RunPatchBaseline` 或 `AWS-RunPatchBaselineAssociation` 中 InstallOverrideList 參數的範例案例](patch-manager-override-lists.md)
+ [使用 BaselineOverride 參數](patch-manager-baselineoverride-parameter.md)
## 建議用於修補受管節點的 SSM 文件
建議在您的受管節點修補操作中,使用以下五個 SSM 文件。
**Topics**
+ [`AWS-ConfigureWindowsUpdate`](#patch-manager-ssm-documents-recommended-AWS-ConfigureWindowsUpdate)
+ [`AWS-InstallWindowsUpdates`](#patch-manager-ssm-documents-recommended-AWS-InstallWindowsUpdates)
+ [`AWS-RunPatchBaseline`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaseline)
+ [`AWS-RunPatchBaselineAssociation`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineAssociation)
+ [`AWS-RunPatchBaselineWithHooks`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineWithHooks)
### `AWS-ConfigureWindowsUpdate`
支援設定基本 Windows Update 功能以及使用它們自動安裝更新 (或關閉自動更新)。在全部 AWS 區域中提供。
此 SSM 文件提示 Windows Update 下載並安裝指定的更新,然後視需要重新啟動受管節點。將此文件與 中的State Manager工具搭配使用 AWS Systems Manager,以確保 Windows Update 維持其組態。您也可以使用 中的Run Command工具手動執行它 AWS Systems Manager,以變更 Windows Update 組態。
此文件中可用的參數支援指定要安裝的更新類別 (或是否停用自動更新),以及指定要在星期幾的什麼時間執行修補操作。如果您不需要嚴格控制 Windows 更新,也不需要收集合規資訊,那麼此 SSM 文件是最有用的。
**取代舊有 SSM 文件:**
+ *無*
### `AWS-InstallWindowsUpdates`
在 Windows Server 受管節點上安裝更新。在全部 AWS 區域中提供。
在您希望安裝特定更新 (使用 `Include Kbs` 參數),或希望安裝特定分類或類別的更新,但不需要修補程式合規資訊時,此 SSM 文件可提供基本修補功能。
**取代舊有 SSM 文件:**
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`
三個舊有文件執行不同的功能,但您可以使用更新的 SSM 文件 `AWS-InstallWindowsUpdates` 與不同的參數設定達到相同的結果。這些參數設定如[用於修補受管節點的舊版 SSM 文件](#patch-manager-ssm-documents-legacy)中所述。
### `AWS-RunPatchBaseline`
在您的受管節點上安裝修補程式,或掃描節點以判斷是否有遺漏任何合格的修補程式。在全部 AWS 區域中提供。
`AWS-RunPatchBaseline` 允許您使用指定為作業系統類型之「預設」的修補基準來控制修補程式核准。報告修補程式合規資訊,您可以使用 Systems Manager 合規工具檢視。這些工具提供您受管節點修補程式合規狀態的洞見分析,例如哪些節點遺漏修補程式,以及遺漏的是哪些修補程式。當您使用 `AWS-RunPatchBaseline` 時,修補程式合規資訊會使用 `PutInventory` API 命令進行記錄。對於 Linux 作業系統,提供給修補程式的合規資訊來自受管節點上設定的預設來源儲存庫,以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊,請參閱 [如何指定替代修補程式來源儲存庫 (Linux)](patch-manager-alternative-source-repository.md)。如需有關 Systems Manager 合規工具的詳細資訊,請參閱 [AWS Systems Manager合規](systems-manager-compliance.md)。
**取代舊有文件:**
+ `AWS-ApplyPatchBaseline`
舊版文件 `AWS-ApplyPatchBaseline` 僅適用於 Windows Server 受管節點,不支援應用程式修補。較新的 `AWS-RunPatchBaseline` 為 Windows 和 Linux 系統提供相同的支援。SSM Agent 的 2.0.834.0 版或更新版本,才能使用 `AWS-RunPatchBaseline` 文件。
如需 `AWS-RunPatchBaseline` SSM 文件的詳細資訊,請參閱 [用於修補的 SSM 命令文件:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)。
### `AWS-RunPatchBaselineAssociation`
在您的執行個體上安裝修補程式,或掃描執行個體以判斷是否有遺漏任何合格的修補程式。已在所有商業 AWS 區域提供。
`AWS-RunPatchBaselineAssociation` 在以下幾個重要方面不同於 `AWS-RunPatchBaseline`:
+ `AWS-RunPatchBaselineAssociation` 主要適用於使用 Quick Setup ( AWS Systems Manager中的工具) 建立的 State Manager 關聯。尤其是,當您使用 Quick Setup 主機管理組態類型時,如果您選擇 **Scan instances for missing patches daily** (每天掃描執行個體查看是否遺漏修補程式),則系統會使用 `AWS-RunPatchBaselineAssociation` 進行操作。
不過,在大多數情況下,當設定自己的修補操作時,您應該選擇 [`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) 或 [`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md),而不是 `AWS-RunPatchBaselineAssociation`。
如需詳細資訊,請參閱下列主題:
+ [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)
+ [用於修補的 SSM 命令文件:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ `AWS-RunPatchBaselineAssociation` 支援使用標籤來識別執行一組目標時要與哪個修補基準搭配使用。
+ 對於使用 `AWS-RunPatchBaselineAssociation` 的修補操作,修補程式合規資料會根據特定 State Manager 關聯進行編譯。`AWS-RunPatchBaselineAssociation` 執行時收集的修補程式合規資料會使用 `PutComplianceItems` API 命令,而不是 `PutInventory` 命令進行記錄。這樣可以防止覆寫不與此特定關聯相關聯的合規資料。
對於 Linux 作業系統,提供給修補程式的合規資訊來自執行個體上設定的預設來源儲存庫,以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊,請參閱 [如何指定替代修補程式來源儲存庫 (Linux)](patch-manager-alternative-source-repository.md)。如需有關 Systems Manager 合規工具的詳細資訊,請參閱 [AWS Systems Manager合規](systems-manager-compliance.md)。
**取代舊有文件:**
+ **無**
如需 `AWS-RunPatchBaselineAssociation` SSM 文件的詳細資訊,請參閱 [用於修補的 SSM 命令文件:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)。
### `AWS-RunPatchBaselineWithHooks`
使用可在修補週期期間的三個點執行 SSM 文件的選用掛鉤,在您的受管節點上安裝修補程式,或掃描節點,以判斷是否遺漏任何合格的修補程式。已在所有商業 AWS 區域提供。macOS 上不支援。
`AWS-RunPatchBaselineWithHooks` 不同於其 `Install` 操作中的 `AWS-RunPatchBaseline`。
`AWS-RunPatchBaselineWithHooks` 支援在受管節點修補期間在指定點執行的生命週期掛鉤。由於修補程式安裝有時需要受管節點重新啟動,因此修補操作會分為兩個事件,總共有三個支援自訂功能的掛鉤。第一個掛鉤是在 `Install with NoReboot` 操作之前。第二個掛鉤是在 `Install with NoReboot` 操作之後。節點重新啟動後,第三個掛鉤可用。
**取代舊有文件:**
+ **無**
如需 `AWS-RunPatchBaselineWithHooks` SSM 文件的詳細資訊,請參閱 [用於修補的 SSM 命令文件:`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)。
## 用於修補受管節點的舊版 SSM 文件
以下四個 SSM 文件仍可於某些 AWS 區域中取得。但是,這些文件不會再更新而且可能在未來不再受到支援,因此不建議使用。反之,請使用[建議用於修補受管節點的 SSM 文件](#patch-manager-ssm-documents-recommended)中所述的文件。
**Topics**
+ [`AWS-ApplyPatchBaseline`](#patch-manager-ssm-documents-legacy-AWS-ApplyPatchBaseline)
+ [`AWS-FindWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-AWS-FindWindowsUpdates)
+ [`AWS-InstallMissingWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallMissingWindowsUpdates)
+ [`AWS-InstallSpecificWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallSpecificWindowsUpdates)
### `AWS-ApplyPatchBaseline`
僅支援 Windows Server 受管節點,但不支援修補其替換項 `AWS-RunPatchBaseline` 中找到的應用程式。不適用於 2017 年 8 月之後 AWS 區域 推出的 。
**注意**
此 SSM 文件的替代文件 `AWS-RunPatchBaseline`,需要 SSM Agent 的 2.0.834.0 版本或更新版。您可以使用 `AWS-UpdateSSMAgent` 文件將您的受管節點更新為最新版本的代理程式。
### `AWS-FindWindowsUpdates`
由 `AWS-InstallWindowsUpdates` 取代,可執行所有相同的動作。不適用於 2017 年 4 月之後 AWS 區域 推出的 。
為了達到與此舊有 SSM 文件相同的結果,請使用下列參數組態與建議的替代文件 `AWS-InstallWindowsUpdates`:
+ `Action` = `Scan`
+ `Allow Reboot` = `False`
### `AWS-InstallMissingWindowsUpdates`
由 `AWS-InstallWindowsUpdates` 取代,可執行所有相同的動作。不適用於 2017 年 4 月之後 AWS 區域 啟動的任何 。
為了達到與此舊有 SSM 文件相同的結果,請使用下列參數組態與建議的替代文件 `AWS-InstallWindowsUpdates`:
+ `Action` = `Install`
+ `Allow Reboot` = `True`
### `AWS-InstallSpecificWindowsUpdates`
由 `AWS-InstallWindowsUpdates` 取代,可執行所有相同的動作。不適用於 2017 年 4 月之後 AWS 區域 啟動的任何 。
為了達到與此舊有 SSM 文件相同的結果,請使用下列參數組態與建議的替代文件 `AWS-InstallWindowsUpdates`:
+ `Action` = `Install`
+ `Allow Reboot` = `True`
+ `Include Kbs` = *逗號分隔的 KB 文章清單*
## 修補受管節點的 SSM 文件已知限制
### 外部重新啟動中斷
如果在修補程式安裝期間由節點上的系統啟動重新啟動 (例如,將更新套用至韌體或功能,例如 SecureBoot),即使修補程式已成功安裝,修補文件執行仍可能會中斷並標記為失敗。這是因為 SSM 代理程式無法在外部重新啟動期間持續並繼續文件執行狀態。
若要在失敗執行後驗證修補程式安裝狀態,請執行`Scan`修補操作,然後檢查修補程式管理員中的修補程式合規資料,以評估目前的合規狀態。