如何使用 Systems Manager Patch Manager 修補程式政策在 EC2 執行個體上自動化 Linux 更新？

簡短說明

AWS Systems Manager Patch Manager 修補程式政策功能會自動化掃描並安裝修補程式至 EC2 執行個體。

依預設，修補程式管理員會使用預先定義的修補程式政策以更新 EC2 執行個體中的套件。如需更精細的控制，請使用自訂修補基準

解決方案

**注意事項：**在繼續執行此解決方案之前，請確定已符合所有修補程式管理員先決條件。此外，請檢閱適用於修補程式政策組態的支援 AWS 區域。

1. 開啟 Systems Manager 主控台。
2. 選取「修補程式管理員」，然後選取「建立修補程式政策」。
3. 輸入「組態名稱」。
4. 在「掃描並安裝」中，從下列選項中選擇：
   **掃描：**政策將會掃描指定的目標。
   **掃描並安裝：**政策會在指定目標上掃描並安裝修補程式。
5. 在「掃描排程」下，從下列選項中選擇：
   **使用建議的預設值：**預設排程會在每日上午 1:00 (UTC) 掃描目標。
   **自訂掃描排程：**建立您自己的掃描和安裝排程。
   **每日：**輸入您想要掃描目標的 UTC 時間。
   **自訂 CRON 表示式：**將排程作為 CRON 表示式輸入。CRON 排程會遵循「分鐘 | 小時 | 幾月幾號 | 月份 | 星期幾 | 年份」的格式。例如，若要在每月第二天的 1:00 (UTC) 執行更新，請使用格式「0 1 2 * * *」
   **注意事項：**若要防止在政策建立後立即開始掃描並更新，請選取「等待掃描/安裝目標，直到每個排程的第一個 CRON 間隔」。
6. 對於「修補基準」，請選取建議的預設值，或提供自訂基準。
7. (選用) 您可以將修補日誌傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體以進行儲存或疑難排解。若要這樣做，請在「修補記錄儲存體」區段中，選取「將輸出寫入 S3 儲存貯體」，然後指定目標 S3 儲存貯體。
8. 在「目標」區段中，選取您想要將此修補程式政策套用至組織中的哪些帳戶或區域。或者，將政策套用至整個組織。
9. 對於「選擇您想要定位執行個體的方式」，選取您想要套用此修補程式政策的節點。您可以手動指定執行個體，還可以根據標籤或資源群組指定執行個體。例如，若要在 us-east-1 和 us-east-2 中包含所有標籤金鑰組為「Production:YES」的執行個體，請指定區域。然後，在「指定節點標籤」下輸入標籤。
10. 「速率控制」區段適用於在多個執行個體上執行修補程式政策的情況。
    對於「並行數量」，指定要同時執行修補程式政策的節點數量或百分比
    對於「錯誤閾值」，指定修補程式政策失敗前允許出現故障的節點數量或百分比。
11. 如果該執行個體還沒有執行個體設定檔，請選取將所需的 IAM 政策新增至附加到您的執行個體的現有執行個體設定檔，以新增執行個體設定檔。此選項適用於下列內容：
    快速設定
    預先安裝的 Amazon SSM 代理程式隨附的支援作業系統發行版。
12. 檢閱摘要以確認您的選擇，然後選取「建立」。

如需建立修補程式政策的詳細說明，請參閱建立修補程式政策。

相關資訊

使用快速設定修補程式政策自動化整個組織內的修補