• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Systems Manager Patch Manager
Patch Manager中的工具 會使用安全相關更新和其他類型的更新 AWS Systems Manager,自動修補受管節點的程序。
**注意**
Systems Manager 在 Quick Setup ( AWS Systems Manager中的工具) 中提供*修補程式政策*支援。使用修補程式政策,是設定修補操作的建議方法。使用單一修補程式政策組態,您可以定義為組織中所有區域的所有帳戶、僅您選擇的帳戶和區域或者單一帳戶-區域對進行修補。如需詳細資訊,請參閱[Quick Setup中的修補程式政策組態](patch-manager-policies.md)。
您可以使用 Patch Manager 以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上,應用程式支援僅限於由 Microsoft 發行的應用程式更新。) 您可以使用 Patch Manager 在 Windows 節點上安裝 Service Pack,並在 Linux 節點上執行次要版本升級。您可以依據作業系統類型,修補 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、邊緣裝置或內部部署伺服器與虛擬機器 (VM)。這包括數個作業系統的支援版本,如 [Patch Manager 先決條件](patch-manager-prerequisites.md) 中所列。您可以掃描執行個體,僅查看遺漏的修補程式報告,或者掃描並自動安裝所有遺漏的修補程式。若要開始使用 Patch Manager,請開啟 [Systems Manager 主控台](https://console.aws.amazon.com//systems-manager/patch-manager)。在導覽窗格中,選擇 **Patch Manager**。
AWS 在 中提供修補程式之前, 不會對其進行測試Patch Manager。此外, Patch Manager 不支援升級主要版本的作業系統,例如 Windows Server 2016 年至 Windows Server 2019 年,或 Red Hat Enterprise Linux(RHEL) 7.0 至 RHEL 8.0 年。
對於報告修補程式嚴重性級別的 Linux 作業系統類型,Patch Manager 使用軟體發布者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別,例如[通用漏洞評分系統](https://www.first.org/cvss/) (CVSS),或者[美國國家漏洞資料庫](https://nvd.nist.gov/vuln) (NVD) 發行的指標。
## Patch Manager 如何為我的組織帶來益處?
Patch Manager 以自動化程序透過安全相關更新和其他類型的更新來修補受管節點。其提供了數種關鍵優勢:
+ **集中式修補控制** – 使用修補程式政策,您可以為組織中所有區域的所有帳戶、特定帳戶和區域或單一帳戶區域對設定重複修補操作。
+ **靈活的修補操作** – 您可以選擇掃描執行個體,僅查看遺漏的修補程式報告,或者掃描並自動安裝所有遺漏的修補程式。
+ **全面合規報告** – 掃描操作後,您可以檢視有關哪些受管節點不符合修補程式合規要求,以及缺少哪些修補程式的詳細資訊。
+ **跨平台支援** – Patch Manager 支援多個作業系統,包括各種 Linux 發行版本、macOS 和 Windows Server。
+ **自訂修補基準** – 您可以透過自訂修補基準,指定哪些修補程式已核准進行安裝,來定義組織的修補程式合規。
+ **與其他 AWS 服務的整合** – Patch Manager 整合 AWS Organizations AWS Security Hub CSPM、 AWS CloudTrail和 AWS Config ,以增強管理和安全性。
+ **確定性升級** – 透過適用於 Amazon Linux 2023 等作業系統的版本控制儲存庫支援確定性升級。
## 誰應該使用Patch Manager?
Patch Manager 專為以下受眾設計:
+ 需要維持其受管節點機群中修補程式合規性的 IT 管理員
+ 需要了解其基礎設施中修補程式合規狀態的營運經理
+ 想要大規模實作自動化修補解決方案的雲端架構師
+ 需要將修補整合到其操作工作流程中的 DevOps 工程師
+ 擁有多帳戶/多區域部署、需要集中式修補程式管理的組織
+ 負責維護 AWS 受管節點、邊緣裝置、內部部署伺服器和虛擬機器的安全狀態和運作狀態的任何人
## Patch Manager有哪些主要功能?
Patch Manager 提供數個關鍵功能:
+ **修補程式政策** – 透過與 整合,使用單一政策設定跨多個 AWS 帳戶 和 區域的修補操作 AWS Organizations。
+ **自訂修補基準** – 定義在修補程式發行後的數日內自動核准修補程式的規則,以及已核准和拒絕的修補程式清單。
+ **多種修補方法** – 從修補政策、維護時段或隨需「立即修補」操作中進行選擇,以滿足您的特定需求。
+ **合規報告** – 產生修補程式合規狀態的詳細報告,且該類報告能以 CSV 格式傳送至 Amazon S3 儲存貯體。
+ **跨平台支援** – 跨 Windows Server、Linux 的各種發行版本和 macOS 修補作業系統和應用程式。
+ **排程彈性** – 使用自訂 CRON 或 Rate 表達式設定掃描和安裝修補程式的不同排程。
+ **Lifecycle hook** – 使用 Systems Manager 文件在修補操作前後執行自訂指令碼。
+ **安全重點** – 依預設,Patch Manager 會專注於安全相關更新,而不是安裝所有可用的修補程式。
+ **速率控制** – 設定修補操作的並行和錯誤閾值,以將操作影響降至最低。
## Patch Manager 中的合規是什麼?
Systems Manager 機群中構成受管節點*修補程式合規性*的基準,並非由作業系統 AWS(OS) 供應商或第三方定義,例如安全諮詢公司。
反之,您可以在*修補基準*中定義組織或帳戶中受管節點的修補程式合規的意義。修補基準是一種組態,可指定必須在受管節點上安裝哪些修補程式的規則。當受管節點與您在修補基準中指定的核准條件相符的所有修補程式處於最新狀態時,即為修補程式合規。
請注意,與修補基準*合規*並不表示受管節點一定是*安全的*。合規表示由修補基準定義的*可用*和*經核准的*修補程式都已安裝在節點上。受管節點的整體安全性取決於 Patch Manager 範圍之外的許多因素。如需詳細資訊,請參閱[AWS Systems Manager 中的安全性](security.md)。
每個修補基準都是特定支援的作業系統 (OS) 類型 (例如 Red Hat Enterprise Linux (RHEL)、macOS 或 Windows Server) 的組態。修補基準可以為所有支援的作業系統版本定義修補規則,或僅為您指定的作業系統版本 (例如 RHEL 7.8 和 RHEL 9.3) 定義修補規則。
在修補基準中,您可以指定特定分類和嚴重性等級的所有修補程式均得到核准可進行安裝。例如,您可以包含分類為 `Security` 的所有修補程式,但排除其他分類,例如 `Bugfix` 或 `Enhancement`。您也可以包含嚴重性為 `Critical` 的所有修補程式,並排除其他修補程式,例如 `Important` 和 `Moderate`。
您也可以在修補基準中明確定義修補程式,方法是將其 ID 新增至要核准或拒絕的特定修補程式清單,例如 Windows Server 的 `KB2736693` 或 Amazon Linux 2023 (AL2023) 的 `dbus.x86_64:1:1.12.28-1.amzn2023.0.1`。您可以選擇性地指定在修補程式可用之後等待修補的特定天數。對於 Linux 和 macOS,您可以選擇為合規指定修補程式的外部清單 (安裝覆寫清單),而不是修補基準規則定義的修補程式清單。
執行修補操作時,Patch Manager 會將當前套用至受管節點的修補程式與應當根據修補基準或安裝複寫清單中設定之規則來進行套用的修補程式進行比較。您可以選擇讓 Patch Manager 僅顯示遺失修補程式的報告 (`Scan` 操作),亦可選擇讓 Patch Manager 自動安裝所找到的受管節點中遺失的全部修補程式 (`Scan and install` 操作)。
**注意**
修補程式合規資料代表最新成功修補操作的point-in-time快照。每個合規報告都包含一個擷取時間,可識別何時計算合規狀態。檢閱合規資料時,請考慮擷取時間,以判斷操作是否如預期執行。
Patch Manager 提供預先定義的修補基準,可用於修補操作;不過,這些預先定義的組態會以範例的形式提供,而非建議的最佳實務。建議您建立自己的自訂修補基準,以更好地控制哪些要素構成機群的修補程式合規。
如需有關修補基準的詳細資訊,請參閱下列主題:
+ [預先定義和自訂的修補基準](patch-manager-predefined-and-custom-patch-baselines.md)
+ [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)
+ [檢視 AWS 預先定義的修補程式基準](patch-manager-view-predefined-patch-baselines.md)
+ [使用自訂修補基準](patch-manager-manage-patch-baselines.md)
+ [使用修補程式合規報告](patch-manager-compliance-reports.md)
## 主要元件
開始使用 Patch Manager 工具之前,您應該先熟悉工具修補操作的一些主要元件和功能。
**修補基準**
Patch Manager 會使用*修補基準*,其中包含在修補程式發行後的數日內自動核准修補程式等規則,以及已核准和拒絕的修補程式可選清單。執行修補操作時,Patch Manager 會將當前套用至受管節點的修補程式與應當根據修補基準中設定之規則來進行套用的修補程式進行比較。您可以選擇讓 Patch Manager 僅顯示遺失修補程式的報告 (`Scan` 操作),亦可選擇讓 Patch Manager 自動安裝所找到的受管節點中遺失的全部修補程式 (`Scan and install` 操作)。
**修補操作方法**
Patch Manager 目前提供了四種執行 `Scan` 和 `Scan and install` 操作的方法:
+ **(建議) 在 中設定的修補程式政策 Quick Setup** – 根據與 的整合 AWS Organizations,單一修補程式政策可以定義整個組織的修補排程和修補程式基準,包括多個 AWS 帳戶 和所有 AWS 區域 這些帳戶在其中操作。修補程式政策也可以只針對組織中的某些組織單位 (OU)。您可以使用單一修補程式政策依照不同的排程進行掃描和安裝。如需詳細資訊,請參閱[使用 Quick Setup 修補程式政策設定組織中執行個體的修補](quick-setup-patch-manager.md)及[Quick Setup中的修補程式政策組態](patch-manager-policies.md)。
+ **在 中設定的主機管理選項 Quick Setup** – 與 整合也支援主機管理組態 AWS Organizations,因此可以對整個 Organization 執行修補操作。不過,此選項僅限於使用目前預設修補基準掃描遺失的修補程式,並在合規報告中提供結果。此操作方法無法安裝修補程式。如需詳細資訊,請參閱[使用 Quick Setup 設定 Amazon EC2 主機管理](quick-setup-host-management.md)。
+ **用於執行修補程式 `Scan` 或 `Install` 任務的維護時段** – 在稱為 Maintenance Windows 的 Systems Manager 工具中設定的維護時段,可以設定為依照您定義的排程執行不同類型的任務。Run Command 類型的任務可用來在您選擇的一組受管節點上執行 `Scan` 或 `Scan and install` 任務。每個維護時段任務只能以 AWS 帳戶單一AWS 區域 配對中的受管節點為目標。如需詳細資訊,請參閱[教學課程:使用主控台建立修補維護時段](maintenance-window-tutorial-patching.md)。
+ **Patch Manager 中的隨需**立即修補**操作**:**立即修補**選項可讓您在需要盡快修補受管節點時略過排程設定。使用 **Patch now** (立即修補),可指定是否執行 `Scan` 或 `Scan and install` 操作,以及要在哪些受管節點上執行操作。您也可以選擇在修補操作期間,將 Systems Manager 文件 (SSM 文件) 作為 lifecycle hook 執行。每個**修補程式現在**只能以 AWS 帳戶單一AWS 區域 配對中的受管節點為目標。如需詳細資訊,請參閱[隨需修補受管節點](patch-manager-patch-now-on-demand.md)。
**合規報告**
`Scan` 操作完成後,您可以使用 Systems Manager 主控台來檢視哪些受管節點不符合修補程式規範,以及每個節點遺失了哪些修補程式。您也可以產生可傳送至所選 Amazon Simple Storage Service (Amazon S3) 儲存貯體的修補程式合規報告,格式為 .csv。您可以產生一次性報告,或定期產生報告。對於單一受管節點,報告包含節點之所有修補程式的詳細資訊。對於所有受管節點的報告,只會提供缺少修補程式數量的摘要。產生報告後,您可以使用 Amazon Quick 之類的工具來匯入和分析資料。如需詳細資訊,請參閱[使用修補程式合規報告](patch-manager-compliance-reports.md)。
**注意**
透過使用修補程式政策產生之合規項的執行類型為 `PatchPolicy`。不是在修補程式政策操作中產生的合規項的執行類型為 `Command`。
**整合**
Patch Manager 與下列其他 整合 AWS 服務:
+ **AWS Identity and Access Management (IAM)** – 使用 IAM 控制哪些使用者、群組和角色可以存取 Patch Manager 操作。如需詳細資訊,請參閱 [AWS Systems Manager 搭配 IAM 的運作方式](security_iam_service-with-iam.md) 和[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
+ **AWS CloudTrail** – 使用 CloudTrail 記錄由使用者、角色或群組啟動之修補操作事件的可稽核歷史記錄。如需詳細資訊,請參閱[使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。
+ **AWS Security Hub CSPM** – 來自 的修補程式合規資料Patch Manager可以傳送到 AWS Security Hub CSPM。Security Hub CSPM 可讓您全面檢視高優先順序的安全提醒和合規狀態。它還會監控您的機群的修補狀態。如需詳細資訊,請參閱[Patch Manager 與 整合 AWS Security Hub CSPM](patch-manager-security-hub-integration.md)。
+ **AWS Config** – 在 中設定記錄 AWS Config ,以在Patch Manager儀表板中檢視 Amazon EC2 執行個體管理資料。如需詳細資訊,請參閱[檢視修補程式儀表板摘要](patch-manager-view-dashboard-summaries.md)。
**Topics**
+ [Patch Manager 如何為我的組織帶來益處?](#how-can-patch-manager-benefit-my-organization)
+ [誰應該使用Patch Manager?](#who-should-use-patch-manager)
+ [Patch Manager有哪些主要功能?](#what-are-the-main-features-of-patch-manager)
+ [Patch Manager 中的合規是什麼?](#patch-manager-definition-of-compliance)
+ [主要元件](#primary-components)
+ [Quick Setup中的修補程式政策組態](patch-manager-policies.md)
+ [Patch Manager 先決條件](patch-manager-prerequisites.md)
+ [Patch Manager 操作的運作方式](patch-manager-patching-operations.md)
+ [用於修補受管節點的 SSM 命令文件](patch-manager-ssm-documents.md)
+ [修補基準](patch-manager-patch-baselines.md)
+ [在 Amazon Linux 2 受管節點上使用 Kernel Live Patching](patch-manager-kernel-live-patching.md)
+ [透過主控台使用 Patch Manager 資源與合規](patch-manager-console.md)
+ [透過AWS CLI使用 Patch Manager 資源](patch-manager-cli-commands.md)
+ [AWS Systems ManagerPatch Manager 教學課程](patch-manager-tutorials.md)
+ [Patch Manager 疑難排解](patch-manager-troubleshooting.md)