率这篇文章

为什么补丁管理器?

AWS SSM补丁管理器是一个自动化工具,可以帮助您简化操作系统补丁的过程,包括选择要部署的补丁,补丁推出的时间,控制实例重新启动,以及许多其他任务。您可以为具有黑名单或白名单特定补丁附加功能的补丁定义自动审批规则,控制补丁如何部署在目标实例上(例如。在应用补丁之前停止服务)。并计划通过维护窗口自动推出。
这些功能可以帮助您自动化补丁维护过程节省时间降低违规风险。EC2系统管理器的所有功能,包括补丁管理器,是可用的免费的所以你只需要为你管理的资源付费。
本文可用于为AWS平台中托管的实例配置补丁。
你需要具备必要的先决条件知识,EC2我是AWS的一部分。如果是这样,请继续阅读。
配置有三个主要部分

  • 用于修补的EC2实例配置
  • 默认修补基线配置
  • 维护窗口配置。

1实例配置

我们将从配置要修补的实例的第一部分开始。这需要以下任务。

  1. 创建Amazon EC2角色,用于附带两个策略的补丁
    • AmazonEC2RoleForSSM
    • 亚马逊完全访问
  2. 为EC2实例分配角色
  3. 配置标签以确保分组修补。

重要的:要修补的计算机应该能够与Windows Update服务联系。下面提到的文章包含了为进行正确的修补程序管理应该可以访问的URL。
https://technet.microsoft.com/en-us/library/cc708605 (v = ws.10) . aspx
下面介绍了为要使用补丁管理器修补的实例创建IAM角色的详细步骤。
步骤1:选择国际机械师协会- - >角色并点击创建新角色
一
步骤2:选择角色类型-->亚马逊EC2
2.PNG
步骤3:在“附加策略”下,选择以下内容并单击下一个

  • AmazonEC2RoleForSSM
  • 亚马逊完全访问

3.PNG
第4步:输入角色名并选择创建角色(在页面底部)
4. png
现在,您已经完成了补丁管理旅程的第一步。
应将实例配置为使用上面创建的角色,以确保正确的补丁管理。(或任何具有AmazoneC2RoleForSSM和AmazonSMfullAccess策略的角色。)
5.PNG
我们需要将我们的AWS托管服务器分组,因为没有一个有正确想法的人想一次性修复所有服务器。
为了实现这一点,我们需要使用补丁组(稍后解释)。
例如:
我们可以配置补丁管理器来为EC2实例打补丁Patch Group标签= Group01星期三和EC2实例PatchGroup标签= PatchGroup02星期五。
要使用补丁组,所有EC2实例都应该是标记支持基于补丁组的累积补丁管理。
祝贺你,您已经完成了配置的第一部分。只剩下两个了。

默认补丁基线配置。

修补程序使用以下属性进行分类:

  • 产品类型:比如Windows版本等等。
  • 分类:关键更新,安全更新,SevicePacks更新数据集
  • 严重程度:关键、重要、低等。

补丁根据上述因素进行优先级排序。
一个补丁基线可以使用以下规则来配置吗

  • 产品将包括在修补程序中
  • 斑块分类
  • 补丁的严重性
  • 自动审批延迟:自动审批前等待的时间(天)

补丁基线配置如下。
步骤01:选择EC2->选择补丁基线(在Systems Manager服务部分下)
步骤02:点击创建修补程序基线
6. png
步骤03:填写基线的详细信息并单击创建
7. png
转到“修补基线”并将新创建的基线设为默认值。
8PNG
在这一点上,要修补的实例已配置,我们还配置了修补策略。下一节我们将提供什么时候(日期及时间)及什么(任务)的补丁周期。

3.维护Windows配置

顾名思义,维护窗口给我们一个选择运行任务在指定计划的EC2实例上。
我们希望实现的目标维护窗口是运行一个命令(Apply-AWSPatchBaseline),但在一个给定的时间表和我们的服务器子集。这是所有上述配置一起凝成补丁工作。
配置维护窗口包括以下任务。

  • 我是维护窗口的角色
  • 创建维护窗口本身
  • 注册目标(为活动选择服务器)
  • 注册任务(选择要执行的任务)

下面提到的是配置上述所有内容的详细步骤。
步骤01:创建附加了以下策略的角色

  • 亚马逊维护窗口角色

9PNG
步骤02:输入角色名角色描述
10PNG
步骤03:点击角色并复制角色ARN
步骤04:点击编辑信任关系
11PNG
步骤05:在json文件的主体部分下添加以下值,如下所示

“服务”:“ssm.amazonaws.com”

步骤06:点击更新信任关系(在页面底部)
12PNG
此时已配置维护窗口的IAM角色。下一节将详细介绍维护窗口的配置。
步骤01:点击EC2并选择维护窗口(下)系统管理器共享资源部分)
13PNG
步骤02:输入维护窗口的详细信息并单击创建维护窗口
14. png
在这一点上维护窗口已创建。下一个任务是注册目标寄存器任务对于这个维护窗口。
步骤01:选择维护窗口创建并单击行动
步骤02:选择注册目标
15PNG
第03步:进入业主信息并选择标签名标签的值
步骤04:选择注册目标
16.PNG
此时已配置维护窗口的目标。这就留给我们配置中的最后一个活动,即注册要在维护窗口中执行的任务。
步骤01:选择维护窗口并点击行动
步骤02:选择寄存器任务
17PNG
03步:选择AWS-ApplyPatchBaseline文件部分
18. png
步骤04:点击已注册目标并根据补丁组标签选择实例
步骤05:选择操作根据所需功能扫描或安装(请记住,安装会导致服务器重新启动)。
步骤06:选择维护窗口角色
步骤07:点击寄存器任务
19.PNG
完成配置后,的注册任务将运行在注册的目标,所订明的时间表维护窗口
的状态维护窗口可以在历史截面图(如下所示)
20. png
希望本指南能帮助您完成Amazon中EC2实例的初始补丁配置。
同样在AWS中,配置也可以使用CLI来完成。让我们把这个留给另一个博客吧。
谢谢你的阅读。

类别:
亚马逊网络服务管理服务未分类
标签:

46
留下答复

留下答复

订阅
最新的 最古老的 多数投票
通知
Debarshi Sinha
客人
Debarshi Sinha

你好,
这是一份好文件。但是在“维护窗口”中,我如何为dev服务器选择第一个星期日,为prd服务器选择第二个星期日。
你能帮我吗?
注册地址:Debarshi Sinha

Debarshi Sinha
客人
Debarshi Sinha

你好,
这是一份好文件。但是在“维护窗口”中,我如何为dev服务器选择第一个星期日,为prd服务器选择第二个星期日。
你能帮我吗?
注册地址:Debarshi Sinha

拉吉
客人
拉吉

我可以使用补丁管理器修补Linux实例吗?

拉吉
客人
拉吉

我可以使用补丁管理器修补Linux实例吗?

kiran
客人
kiran

嗨,大家好,
谢谢你的指导。
我正在寻找一种方法来拒绝或只选择Ubunut16的安全补丁,就像我们对windows所做的那样。如果有人知道这方面的情况,请告诉我。

kiran
客人
kiran

嗨,大家好,
谢谢你的指导。
我正在寻找一种方法来拒绝或只选择Ubunut16的安全补丁,就像我们对windows所做的那样。如果有人知道这方面的情况,请告诉我。

Debarshi Sinha
客人
Debarshi Sinha

你好所有的,
你能帮我看看补丁的Windows更新设置是什么?
或者需要在Windows服务器端进行哪些设置?

Debarshi Sinha
客人
Debarshi Sinha

你好所有的,
你能帮我看看补丁的Windows更新设置是什么?
或者需要在Windows服务器端进行哪些设置?

史蒂夫
客人
史蒂夫

嗨,你找到答案了吗?

赛义德纳克维
客人

嗨Debarshi,

应允许Windows连接到Windows更新服务URL。

请检查下面的链接以获取防火墙访问。

https://support.microsoft.com/en-au/help/3084568/can-t-download-updates-from-windows-update-from-behind-a-firewall-or-p

同时,如果您使用的是代理,那么SSM也应该配置为使用代理设置。

检查下面的链接

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-proxy-with-ssm-agent.html

史蒂夫
客人
史蒂夫

谢谢赛义德。

燕麦
客人
燕麦

这很好。但如果你能告诉我,我有一些疑问。
1。如何在没有维护窗口的情况下应用补丁?
2.我们可以手动执行我创建的补丁基线吗?
三。另外,它将如何检查哪一个是我的默认补丁基线。

燕麦
客人
燕麦

这很好。但如果你能告诉我,我有一些疑问。
1。如何在没有维护窗口的情况下应用补丁?
2.我们可以手动执行我创建的补丁基线吗?
三。另外,它将如何检查哪一个是我的默认补丁基线。

拉凯什
客人
拉凯什

我们能把SM用于应用程序和其他产品(软件)吗?Office还是只用于操作系统版本?

拉凯什
客人
拉凯什

我们能把SM用于应用程序和其他产品(软件)吗?Office还是只用于操作系统版本?

Snehal
客人
Snehal

你好,
首次配置时,它是否显示任何历史记录,或在安装补丁后显示?
因为我已经为即将到来的星期六进行了配置,我可以在Patch Compliance选项卡中看到任何数据。

Snehal
客人
Snehal

你好,
首次配置时,它是否显示任何历史记录,或在安装补丁后显示?
因为我已经为即将到来的星期六进行了配置,我可以在Patch Compliance选项卡中看到任何数据。

纳吉
客人
纳吉

嗨...............伟大.....之一它帮助我解决了问题。

纳吉
客人
纳吉

嗨...............伟大.....之一它帮助我解决了问题。

Binto punnoose
客人
Binto punnoose

如何实现轮辐模型的补丁管理,我需要在我的集线器中使用补丁管理,并对整个帐户进行完全控制。

Binto punnoose
客人
Binto punnoose

如何实现轮辐模型的补丁管理,我需要在我的集线器中使用补丁管理,并对整个帐户进行完全控制。

赛义德纳克维
客人

嗨,Binto,此刻,SSM要求每个实例都连接到更新存储库以获取数据。

当做
赛义德

VIV
客人
VIV

嗨,赛义德

运行维护窗口后,通过awsrunpatchbaseline更新补丁。我重新启动实例。有没有办法阻止它重新启动?

我试着玩awsrunpatchbaseline yaml脚本,但没有成功。你能帮我停止重启吗?

亚希什
客人
亚希什

嗨,大家好,

为Linux执行修补时,业务流程中的一个或多个任务出现“失败”错误。

在我的一个虚拟机中,它正在发生,但另一个它给出上述错误,即使采取相同的角色。

有解决方案吗?

还有一件事,我的日志存储在哪里,因为我需要具有严重性的补丁名称,你能指导我找到要安装的补丁名称的路径吗?

请恢复优先权。

跟着我们!

Kloud解决方案博客-关注我们!