Come posso automatizzare gli aggiornamenti Linux sulle mie istanze EC2 utilizzando le policy di patch di Gestione patch di Systems Manager?

Breve descrizione

La funzionalità policy di patch di Gestione patch di AWS Systems Manager automatizza la scansione e l'installazione di patch alle istanze EC2.

Per impostazione predefinita, Gestione patch utilizza policy di patch predefinite per aggiornare i pacchetti delle istanze EC2. Per un controllo più granulare, utilizza patch di base personalizzate

Risoluzione

Nota: prima di procedere con la risoluzione, assicurati che tutti i prerequisiti di Gestione patch siano soddisfatti. Inoltre, verifica le regioni AWS supportate per le policy di patch.

1. Apri la console di Systems Manager.
2. Seleziona Gestione patch, poi seleziona Crea policy di patch.
3. Inserisci un Nome configurazione.
4. In Scansione e installazione, scegli tra le seguenti opzioni:
   Scansione: la policy eseguirà la scansione dei target specificati.
   Esegui scansione e installa: la policy eseguirà la scansione e installerà patch nei target specificati.
5. In Pianificazione della scansione, scegli tra le seguenti opzioni:
   Usa le impostazioni predefinite consigliate: la pianificazione predefinita esegue la scansione dei target ogni giorno alle 1:00 UTC.
   Pianificazione di scansione personalizzata: crea la tua pianificazione per la scansione e l'installazione.
   Giornaliera: inserisci l'orario UTC in cui desideri eseguire la scansione dei target.
   Espressione CRON personalizzata: inserisci la pianificazione come espressione CRON. La pianificazione CRON segue il formato Minuto | Ora | Giorno del mese | Mese | Giorno della settimana | Anno. Ad esempio, per eseguire gli aggiornamenti nel secondo giorno di ogni mese alle 1:00 UTC, utilizza il formato "0 1 2 * * *"
   Nota: per evitare che la scansione e gli aggiornamenti inizino immediatamente dopo la creazione della policy, seleziona Attendi il primo intervallo CRON per la scansione/installazione dei target in ogni pianificazione.
6. In Patch di base, seleziona le impostazioni predefinite consigliate o fornisci una base personalizzata.
7. (Facoltativo) È possibile inviare i log di patch per l'archiviazione o la risoluzione di problemi a un bucket Amazon Simple Storage Service (Amazon S3). Per farlo, nella sezione Archiviazione dei registri di applicazione delle patch, seleziona Scrivi l'output nel bucket S3 e specifica il bucket S3 di destinazione.
8. Nella sezione Target, seleziona a quali account o regioni dell'organizzazione desideri applicare questa policy di patch. In alternativa, applica la policy all'intera organizzazione.
9. In Scegli come vorresti indirizzare le istanze, seleziona i nodi a cui desideri applicare questa policy di patch. È possibile specificare le istanze manualmente o sulla base di tag o gruppi di risorse. Ad esempio, per includere tutte le istanze con il tag key-pair Production:YES in us-east-1 e us-east-2, specifica le regioni. Poi, inserisci il tag in Specifica il tag nodo.
10. La sezione Controllo di velocità viene applicata quando si esegue la policy su più istanze.
    In Simultaneità, specifica il numero o la percentuale di nodi in cui eseguire la policy di patch contemporaneamente.
    In Soglia di errore, specifica il numero o la percentuale di nodi che possono fallire prima che fallisca la policy di patch.
11. Seleziona Aggiungi le policy IAM richieste ai profili dell'istanza collegati all'istanza per aggiungere un profilo dell'istanza se l'istanza non ne ha già uno. Questa opzione si applica a quanto segue:
    Configurazione rapida
    Distribuzioni del sistema operativo dotate di un agente Amazon SSM preinstallato.
12. Controlla il riepilogo per confermare le scelte, poi seleziona Crea.

Per istruzioni dettagliate sulla creazione di una policy di patch, consulta Creazione di una policy di patch.

Informazioni correlate

Automatizzazione dell'applicazione di patch a livello di organizzazione tramite una policy di patch Configurazione rapida