前一張介紹配置 Systems Manager 的環境準備

以及 Fleet Manager 對於作業系統提供可視化的介面

而今天則是要介紹 Patch Manager

實際上管一台 Server 和管十台 Server 需要耗費的時間差不多

在一開始機械建立後就有一些指標可以做監控

而現在多使用 Systems Manager 中的 Patch Manager

則可以讓我們單次或排程上 Patch

幾乎是完成 Server 管理大部分需要的工作

接下來就讓我們來了解甚麼事 Patch Manager 以及要怎麼設定吧

甚麼是 Patch Manager

Patch Manager (AWS Systems Manager 的功能) 透過安全相關更新和其他類型的更新來自動化修補受管節點的程序。

在支援的作業系統中

可以設定受管的節點連到 Patch 管理中心進行更新

而我們也可以設定規則去選擇要安裝的 Patch

無論是掃描或安裝

都可以依據重要程度來決定是否需要安裝

先決條件

SSM Agent 版本

SSM Agent 版本 2.0.834.0 或更新版本。

Python 版本

作業系統中需要安裝 Python

Patch Manager 目前支持 Python 版本 2.6-3.10

但 Linux 作業系統大多跑在 Python 3 的版本

因此還是建議以 Python 3 為主

與修補程式來源的連線

需要注意 Subnet 的路由是否可以連到來源

以及 Security Group 是否有開放 Port

S3 端點存取

無論您的受管節點是否在私有網路或公有網路中運作

沒有存取所需的 AWS 受管 Amazon Simple Storage Service (Amazon S3) 儲存貯體

修補操作便會失敗

如需受管節點必須能夠存取之 S3 儲存貯體的相關資訊

請參閱 SSM Agent 與 AWS 受管 S3 儲存貯體通訊 和 步驟 2：建立 VPC 端點。

建立修補原則

初次進入 Patch Manager 的頁面

沒有顯示任何內容是正常

第一次需要自己手動建立修補原則

填好修補原則的名稱

修補時間、修補記錄存放的 S3、需要修補的 EC2

就可以輕鬆設定完成

下方也有提醒

EC2 關聯的 IAM Role 也需要相關聯的政策

否則無法正常安裝修補程式

設定完成後就會進行第一次作業

每次更新政策也會進行作業

因此記得設定方面

是否有勾選 NoReboot

否則系統就會自動重新開機

實際上 Patch Manager 所做的事情

就是執行 AWS-RunPatchBaseline 的 Command

而執行的原則可以自訂修補程式的原則

所以實際上在昨天的步驟或是今天的步驟

設定上有缺少權限的部分會無法正常執行

大部分設定還是有互相關聯的

參考資料：

1. AWS Systems Manager Patch Manager
2. Patch Manager 先決條件
3. AWS 受管 S3 儲存貯體通訊
4. 步驟 2：建立 VPC 端點
5. 使用Quick Setup修補原則