Wie automatisiere ich Linux-Updates auf meiner EC2-Instance mithilfe der Patch-Richtlinien des Systems Manager Patch Managers?

Lesedauer: 3 Minute
0

Ich möchte Paket- und Sicherheitsupdates auf Betriebssystemebene mithilfe der Patch-Richtlinien von AWS Systems Manager auf meinen Amazon Elastic Compute Cloud (Amazon EC2)-Linux-Instances automatisieren.

Kurzbeschreibung

Die Patch-Richtlinienfunktion des AWS Systems Manager Patch Managers automatisiert das Scannen und Installieren von Patches für Ihre EC2-Instances.

Standardmäßig verwendet der Patch Manager vordefinierte Patch-Richtlinien, um die Pakete in Ihrer EC2-Instance zu aktualisieren. Verwenden Sie benutzerdefinierte Patch-Baselines, um eine genauere Kontrolle zu erhalten.

Lösung

Hinweis: Bevor Sie mit dieser Lösung fortfahren, stellen Sie sicher, dass alle Patch-Manager-Voraussetzungen erfüllt sind. Sehen Sie sich außerdem die unterstützten AWS-Regionen für Patch-Richtlinienkonfigurationen an.

  1. Öffnen Sie die Systems-Manager-Konsole.
  2. Wählen Sie Patch Manager und dann Patch-Richtlinie erstellen aus.
  3. Geben Sie einen Namen für die Konfiguration ein.
  4. Wählen Sie unter Scannen und Installieren eine der folgenden Optionen aus:
    Scannen: Die Richtlinie scannt die festgelegten Ziele.
    Scannen und installieren: Die Richtlinie scannt und installiert Patches auf den festgelegten Zielen.
  5. Wählen Sie unter Scanzeitplan eine der folgenden Optionen aus:
    Verwenden Sie die empfohlenen Standardeinstellungen: Der Standardzeitplan scannt Ziele täglich um 1:00 Uhr UTC.
    Benutzerdefinierter Scan-Zeitplan: Erstellen Sie Ihren eigenen Zeitplan für das Scannen und Installieren.
    Täglich: Geben Sie die UTC-Zeit ein, zu der Sie Ihre Ziele scannen möchten.
    Benutzerdefinierter CRON-Ausdruck: Geben Sie den Zeitplan als CRON-Ausdruck ein. Der CRON-Zeitplan folgt dem Format Minute | Stunde | Tag des Monats | Monat | Wochentag | Jahr. Verwenden Sie zum Beispiel das Format ‚0 1 2 * * *“, um Aktualisierungen an jedem zweiten Tag eines Monats um 1:00 Uhr UTC durchzuführen
    Hinweis: Um zu verhindern, dass der Scan und die Updates unmittelbar nach der Erstellung der Richtlinie beginnen, wählen Sie in jedem Zeitplan die Option Mit dem Scannen/Installieren von Zielen bis zum ersten CRON-Intervall warten aus.
  6. Wählen Sie für Patch-Baseline die empfohlenen Standardwerte aus oder legen Sie eine benutzerdefinierte Baseline fest.
  7. (Optional) Sie können Ihre Patch-Protokolle zur Speicherung oder zur Fehlerbehebung an Amazon Simple Storage Service (Amazon S3)-Buckets senden. Wählen Sie dazu im Abschnitt Patching-Protokollspeicher die Option Ausgabe in S3-Bucket schreiben aus und geben Sie dann den S3-Ziel-Bucket an.
  8. Wählen Sie im Abschnitt Ziele aus, auf welche Konten oder Regionen in Ihrer Organisation Sie diese Patch-Richtlinie anwenden möchten. Wenden Sie alternativ die Richtlinie auf Ihr gesamtes Unternehmen an.
  9. Wählen Sie unter Auswählen, wie Sie Instances als Ziel auswählen möchten die Knoten aus, auf die Sie diese Patch-Richtlinie anwenden möchten. Sie können die Instances manuell oder auf der Grundlage von Tags oder Ressourcengruppen festlegen. Um beispielsweise alle Instances mit dem Tag-Schlüsselpaar Production:YES in us-east-1 und us-east-2 aufzunehmen, legen Sie die Regionen fest. Geben Sie dann das Tag unter Ein Knoten-Tag festlegen ein.
  10. Der Abschnitt zur Ratenkontrolle wird verwendet, wenn die Patch-Richtlinie auf mehreren Instances ausgeführt wird.
    Geben Sie für **Parallelität ** die Anzahl oder den Prozentsatz der Knoten an, auf denen die Patch-Richtlinie gleichzeitig ausgeführt werden soll
    Geben Sie für den Fehlerschwellenwert die Anzahl oder den Prozentsatz der Knoten an, die ausfallen dürfen, bevor die Patch-Richtlinie fehlschlägt.
  11. Wählen Sie die Option Erforderliche IAM-Richtlinien zu vorhandenen Instance-Profilen hinzufügen, die an Ihre Instance angehängt sind aus, um ein Instance-Profil hinzuzufügen, falls die Instance noch keines besitzt. Diese Option gilt für Folgendes:
    Schnelle Einrichtung
    Unterstützte Betriebssystemdistributionen, die über einen vorinstallierten Amazon-SSM-Agenten verfügen.
  12. Überprüfen Sie die Zusammenfassung, um Ihre Auswahl zu bestätigen, und wählen Sie dann Erstellen aus.

Eine ausführliche Anleitung zum Erstellen einer Patch-Richtlinie finden Sie unter Erstellen einer Patch-Richtlinie.

Ähnliche Informationen

Unternehmensweite Patches mithilfe einer Quick-Setup-Patch-Richtlinie automatisieren

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 8 Monaten