我想要使用 AWS Systems Manager Patch Manager 修補程式政策,在我的 Amazon Elastic Compute Cloud (Amazon EC2) Linux 執行個體上自動化作業系統層級套件和安全更新。
簡短說明
AWS Systems Manager Patch Manager 修補程式政策功能會自動化掃描並安裝修補程式至 EC2 執行個體。
依預設,修補程式管理員會使用預先定義的修補程式政策以更新 EC2 執行個體中的套件。如需更精細的控制,請使用自訂修補基準
解決方案
**注意事項:**在繼續執行此解決方案之前,請確定已符合所有修補程式管理員先決條件。此外,請檢閱適用於修補程式政策組態的支援 AWS 區域。
- 開啟 Systems Manager 主控台。
- 選取「修補程式管理員」,然後選取「建立修補程式政策」。
- 輸入「組態名稱」。
- 在「掃描並安裝」中,從下列選項中選擇:
**掃描:**政策將會掃描指定的目標。
**掃描並安裝:**政策會在指定目標上掃描並安裝修補程式。
- 在「掃描排程」下,從下列選項中選擇:
**使用建議的預設值:**預設排程會在每日上午 1:00 (UTC) 掃描目標。
**自訂掃描排程:**建立您自己的掃描和安裝排程。
**每日:**輸入您想要掃描目標的 UTC 時間。
**自訂 CRON 表示式:**將排程作為 CRON 表示式輸入。CRON 排程會遵循「分鐘 | 小時 | 幾月幾號 | 月份 | 星期幾 | 年份」的格式。例如,若要在每月第二天的 1:00 (UTC) 執行更新,請使用格式「0 1 2 * * *」
**注意事項:**若要防止在政策建立後立即開始掃描並更新,請選取「等待掃描/安裝目標,直到每個排程的第一個 CRON 間隔」。
- 對於「修補基準」,請選取建議的預設值,或提供自訂基準。
- (選用) 您可以將修補日誌傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體以進行儲存或疑難排解。若要這樣做,請在「修補記錄儲存體」區段中,選取「將輸出寫入 S3 儲存貯體」,然後指定目標 S3 儲存貯體。
- 在「目標」區段中,選取您想要將此修補程式政策套用至組織中的哪些帳戶或區域。或者,將政策套用至整個組織。
- 對於「選擇您想要定位執行個體的方式」,選取您想要套用此修補程式政策的節點。您可以手動指定執行個體,還可以根據標籤或資源群組指定執行個體。例如,若要在 us-east-1 和 us-east-2 中包含所有標籤金鑰組為「Production:YES」的執行個體,請指定區域。然後,在「指定節點標籤」下輸入標籤。
- 「速率控制」區段適用於在多個執行個體上執行修補程式政策的情況。
對於「並行數量」,指定要同時執行修補程式政策的節點數量或百分比
對於「錯誤閾值」,指定修補程式政策失敗前允許出現故障的節點數量或百分比。
- 如果該執行個體還沒有執行個體設定檔,請選取將所需的 IAM 政策新增至附加到您的執行個體的現有執行個體設定檔,以新增執行個體設定檔。此選項適用於下列內容:
快速設定
預先安裝的 Amazon SSM 代理程式隨附的支援作業系統發行版。
- 檢閱摘要以確認您的選擇,然後選取「建立」。
如需建立修補程式政策的詳細說明,請參閱建立修補程式政策。
相關資訊
使用快速設定修補程式政策自動化整個組織內的修補