Como faço para automatizar as atualizações do Linux na minha instância do EC2 usando as políticas de patches do Systems Manager Patch Manager?

Breve descrição

O recurso de política de patches do Gerenciador de Patches do AWS Systems Manager automatiza a verificação e a instalação de patches em suas instâncias do EC2.

Por padrão, o Patch Manager usa políticas de patch predefinidas para atualizar os pacotes em sua instância do EC2. Para um controle mais granular, use listas de referência de patches personalizadas.

Resolução

Observação: antes de prosseguir com essa resolução, verifique se todos os pré-requisitos do Patch Manager foram atendidos. Além disso, analise as regiões da AWS suportadas para ver as configurações da política de patches.

1. Abra o console do Systems Manager.
2. Selecione Patch Manager e, em seguida, selecione Criar política de patches.
3. Insira um nome de configuração.
4. Em Verificação e instalação, escolha entre as seguintes opções:
   Verificar: A política examinará destinos especificados.
   Verificar e instalar: A política verifica e instala patches nos destinos especificados.
5. Em Programação de verificação, escolha entre as seguintes opções:
   Use os padrões recomendados: A programação padrão verifica os destinos diariamente à 1:00 UTC.
   Programação de verificação personalizada: Crie sua própria programação de verificação e instalação.
   Diariamente: Insira a hora UTC em que você deseja verificar os destinos.
   Expressão CRON personalizada: Insira a programação como uma expressão CRON. A programação CRON segue o formato Minuto | Hora | Dia do mês | Mês | Dia da semana | Ano. Por exemplo, para realizar atualizações no segundo dia de cada mês à 1:00 UTC, use o formato “**0 1 2\ *\ *\ ***”
   Observação: para evitar que a verificação e as atualizações comecem imediatamente após a criação da política, selecione Esperar para verificar/instalar destinos até o primeiro intervalo CRON em cada programação.
6. Em Lista de referência de patches, selecione os padrões recomendados ou forneça uma referência personalizada.
7. (Opcional) Você pode enviar seus logs de patches de armazenamento ou solução de problemas para um bucket do Amazon Simple Storage Service (Amazon S3). Para fazer isso, na seção Armazenamento de logs de patches, selecione Gravar saída no bucket do S3e, em seguida, especifique o bucket do S3 de destino.
8. Na seção Destinos, selecione em quais contas ou regiões da sua organização você deseja aplicar essa política de patches. Ou aplique a política em toda a sua organização.
9. Em Escolha como você deseja atingir as instâncias, selecione os nós aos quais você deseja aplicar essa política de patches. Você pode especificar as instâncias manualmente ou com base em tags ou grupos de recursos. Por exemplo, para incluir todas as instâncias com o par de chaves de tag Production:YES em us-east-1 e us-east-2, especifique as regiões. Em seguida, insira a tag em Especificar uma tag de nó.
10. A seção Controle de taxa se aplica ao executar a política de patches em várias instâncias.
    Em Concorrência, especifique o número ou a porcentagem de nós para executar a política de patches ao mesmo tempo
    Em Limite de erro, especifique o número ou a porcentagem de nós que podem falhar antes que a política de patches falhe.
11. Selecione Adicionar políticas do IAM necessárias aos perfis de instância existentes anexados à sua instância para adicionar um perfil de instância, caso a instância ainda não tenha um. Essa opção se aplica ao seguinte:
    Configuração rápida
    Distribuições de sistema operacional suportadas que vêm com um agente Amazon SSM pré-instalado.
12. Revise o resumo para confirmar suas seleções e selecione Criar.

Para instruções detalhadas sobre como criar uma política de patches, consulte Criar uma política de patches.

Informações relacionadas

Automatizar a aplicação de patches em toda a organização usando uma política de patches de configuração rápida