内容
[Feb 3, 2021]パッチインストール時の安全性を向上させるパッチ適用の前と後のアクション
パッチの前後にhooksをかけて、アクションを実行出来るようになりました。
例えば、Windowsにパッチをあてる前に、WindowsUpdateサービスが立ち上がっているか確認してあげたり、あるいは、パッチ実行後にインスタンスが正常に動いているか確認してあげたりアクションを指定してあげることが可能になったようです。
なお、SSM Agent 3.0.502 以降 に対応している必要があります。
コンソール画面を確認してみると、「今すぐパッチ適用」から次のような項目が新しくできていました。
現時点では、自己所有の Run Command ドキュメントのみ指定可能なようです。
こちらにやって見た系の記事がありました。
AWS Systems Manager Patch Manager でパッチ適用前後にアクションが実行できるようになりました!
方法によっては、動作に若干の差があることに注意が必要そうです。
A. AWS System Manager >>> パッチマネージャー >>> 今すぐパッチ適用
B. AWS Systems Manager >>> Run Command >>> コマンドの実行
A.の方法で実施した場合は、「On Exit」にRun Command ドキュメントを指定しても、デフォルトの AWS-Noop のまま変化がないようです。。。
やってみた系
本件のアップデートとは関係ないですが、パッチマネージャーの関連リソースについて上手くまとめられていたので、理解のために。。。
【AWS Systems Manager】パッチマネージャーの パッチベースライン と パッチグループ の概念を勉強する
【AWS Systems Manager】パッチマネージャー実行時の関連リソースを、絵で見て(完全に)理解する。
パッチマネージャーを指定した場合の関連リソースについての関係を確認していうことが目的なので、細かなところは画面を見て行けばいいので、割愛する。
パッチマネージャー
パッチグループ
パッチベースラインタブより、AWS-AmazonLinux2DefaultPatchBaseline を選択し、「アクション」から「バッチグループの変更」。
「パッチグループ」名を入力し追加。
パッチグループ タブで作成されていることを確認。なお、パッチグループ タブから新規で作成するということはできないようだ。
このパッチグループに所属させたいEC2インスタンスには、次のようにタグを付与しておく。
・キー:patch group
・値:patchgroup_test(指定したパッチグループ名)
パッチ適用
パッチを適用するインスタンス
「パッチグループを選択する」で、先程作成したパッチグループを指定する。
メンテナンスウィンドウの実行頻度
特に細かな指定はありませんが、次の時間に実行されるように指定。
パッチ適用操作
「スキャンとインストール」を選択。
☞毎日0時、12時間おきに実行されるように指定したので、次はこれをメンテナンスウィンドウで詳細を確認してみる。
メンテナンスウインドウ
先程パッチ適用で作成したものが、メンテナンスウィンドウから確認することが出来る。
実際に1度実行された後なので、履歴 タブを開くと、実行履歴を確認できる。
☞では、この実行は Run Command で実行されているはずなので、Run Command を確認してみる。
Run Command
コマンド履歴 タブを確認する。
AWS-RunPatchBaseline が実行されていることがわかる。
☞では、AWS-RunPatchBaseline はどのような内容が実行されるのか、ドキュメントで詳細を確認してみると。
ドキュメント
AWS-RunPatchBaseline を検索して、コンテンツ タブを開く実行される内容がわかる。
☞最後にインスタンスごとに実行された内容、結果をマネージドインスタンスから確認してみると。
マネージドインスタンス
パッチ タブを選択すれば、インスタンスごとにインストールされた更新ファイルなどを確認することができる。
