AWS Systems Manager Patch Manager のパッチポリシーを使用して、Amazon Elastic Compute Cloud (Amazon EC2) Linux インスタンスの OS レベルのパッケージとセキュリティアップデートを自動化したいと考えています。
簡単な説明
AWS Systems Manager Patch Manager のパッチポリシー機能により、EC2 インスタンスへのパッチのスキャンとインストールが自動化されます。
デフォルトでは、Patch Manager は事前定義されたパッチポリシーを使用して EC2 インスタンス内のパッケージを更新します。より細かく制御するには、カスタムパッチベースラインを使用してください。
解決方法
**注:**この解決方法に進む前に、Patch Manager のすべての前提条件が満たされていることを確認してください。また、パッチポリシーの設定については、サポートされている AWS リージョンを確認してください。
- Systems Manager コンソールを開きます。
- [Patch Manager] (パッチマネージャ) を選択し、[Create patch policy] (パッチポリシーの作成) を選択します。
- 設定名を入力します。
- [Scanning and installation] (スキャンとインストール) で、次のオプションから選択します。
**Scan (スキャン):**ポリシーは、指定されたターゲットをスキャンします。
**Scan and install (スキャンしてインストール):**ポリシーは、指定されたターゲットにパッチをスキャンしてインストールします。
- [Scanning schedule] (スキャンスケジュール) で、次のオプションから選択します。
**Use recommended defaults (推奨デフォルト値を使用):**デフォルトのスケジュールでは、毎日午前 1 時(UTC)にターゲットをスキャンします。
**Custom scan schedule (カスタムスキャンスケジュール):**スキャンとインストールのスケジュールを自分で作成してください。
**Daily (毎日):**ターゲットをスキャンする UTC 時間を入力します。
**Custom CRON expression (カスタム CRON 式):**スケジュールを CRON 式で入力します。CRON スケジュールは、分 | 時 | 日 | 月 | 曜日 | 年の形式に従います。たとえば、毎月2日 1:00 UTC に更新を実行するには、「0 1 2 * * * 」という形式を使用します。
**注:**ポリシー作成後すぐにスキャンと更新が開始されないようにするには、各スケジュールの [Wait to scan/install targets until first CRON interval] (最初の CRON 間隔までターゲットのスキャン/インストールを待つ) を選択します。
- [パッチベースライン] には、推奨されるデフォルトを選択するか、カスタムベースラインを指定します。
- (オプション) ストレージまたはトラブルシューティング用のパッチログを Amazon Simple Storage Service (Amazon S3) バケットに送信できます。これを行うには、[Patching log storage] (パッチログストレージ) セクションで、[Write output to S3 bucket] (出力を S3 バケットに書き込む) を選択し、ターゲット S3 バケットを指定します。
- [Targets] (ターゲット) セクションで、このパッチポリシーを適用する組織内のアカウントまたはリージョンを選択します。または、ポリシーを組織全体に適用してください。
- [Choose how you want to target instances] (インスタンスのターゲット方法を選択) で、このパッチポリシーを適用するノードを選択します。インスタンスを手動で指定することも、タグやリソースグループに基づいて指定することもできます。たとえば、us-east-1 と us-east-2 にキーペア Production: YES というタグが付いたすべてのインスタンスを含めるには、リージョンを指定します。次に、[Specify a node tag] (ノードタグを指定) にタグを入力します。
- [Rate control] (レート制御) セクションは、複数のインスタンスでパッチポリシーを実行する場合に適用されます。
[Concurrency] (同時実行) には、パッチポリシーを同時に実行するノードの数または割合を指定します。
[Error threshold] (エラーしきい値) には、パッチポリシーが失敗する前に障害が許容されるノードの数または割合を指定します。
- インスタンスにまだインスタンスプロファイルがない場合は、[Add required IAM policies to existing instance profiles attached to your instance] (インスタンスにアタッチされている既存のインスタンスプロファイルに必要な IAM ポリシーを追加) を選択してインスタンスプロファイルを追加します。このオプションは以下に適用されます。
クイックセットアップ
Amazon SSM エージェントがプリインストールされ、サポートされている OS ディストリビューション。
- 概要を確認して選択内容を確認し、[作成] を選択します。
パッチポリシーの作成方法の詳細については、「パッチポリシーの作成」を参照してください。
関連情報
クイックセットアップパッチポリシーを使用して組織全体のパッチ適用を自動化する