この記事は
AWS のパッチマネージャを勉強した過程の記録
パッチマネージャとは
AWS の機能の1つで、名前から分かる通り
EC2 などサーバに対してパッチをいい感じに適用し、管理しやすくするモノです
パッチポリシー(まだまだ新人)
パッチマネージャの公式で早々に重要と書かれている
移り変わりが激しいので、キャプっておこう
パッチポリシーは2022年12月末リリースとのこと
AWS では、パッチポリシーを使用して組織と AWS アカウントのパッチ適用を設定することが推奨されています。パッチポリシーは、2022 年 12 月に Patch Manager に導入されました。
Quick Setup でのパッチポリシー設定
- 2023年2月
- 2023年6月
- Today, we are excited to announce the release of Quick Setup Patch Policies ←やっと俺たちはパッチポリシークイックセットアップのことを発表できて嬉しいぜ!っていう記事です
パッチポリシーを使っていったほうがよさそうな雰囲気
Google検索では、2022年より前の記事もバンバンヒットするから、選別が必要
CloudFormation template
こちらが IaC Template のサンプル: aws-management-and-governance-samples
そしてこちらが、リファレンス: AWS Systems Manager Quick Setup resource type reference
Windows Server 2019 の初期状態
EC2 で Windows Server 2019 をたてて、実際のアップデート状況を確認する
2025年1月15日の日付で、KB番号が2つ適用されている(2025年2月10日現在)
)
- 2025-01 Cumulative Update for Windows Server 2019 for x64-based Systems (KB5050008)
- 2025-01 Cumulative Update for .NET Framework 3.5 and 4.8 for Windows Server 2019 for x64 (KB5049615)
2月も下旬になった頃
2025年2月度のセキュリティアップデートがやってきましたよ
2月26日に起動したEC2インスタンスでは、もちろん最新パッチがあたっている
パッチポリシーを作成する
AWSのGUIがイマイチ分かりにくいのだけれども
パッチポリシーは Quick Setup のページで一覧を見ることができる
パッチ適用状況をスキャンする
パッチポリシーを作ったら、パッチマネージャーに移動する
「今すぐパッチ適用」ボタンを押す
スキャンするだけの目的であろうが、このボタンを押さざるを得ないのが気持ち悪い
末尾のcb006rは、パッチポリシーのリソースコードと対になっている
わざと最新のパッチをアンインストールしたEC2を用意したので
今回のスキャン結果では、コンプライアンス非準拠、パッチが欠落しているノードが1になっている
パッチを適用する(最新パッチのインストール)
先ほどはスキャンだけだったけど、スキャンとインストールをしてみる
するとEC2には 3/8 の日付で2025年2月のパッチのパッチが適用されたことがわかる
ダッシュボードの結果も更新されており
パッチが欠落しているノードが0になった
UTC時刻で3/8にインストールが成功していることもわかる
おわりに
今回は1つのEC2に対して試しただけなので
今後は複数のEC2を立てて、パッチを適用する/しないをコントロールしてみようと思う
参考
Patch Manager 関連 日付降順
-
【AWS Patch Manager】OSパッチ適用を自動化しよう - 2023年4月13日
- ※パッチポリシーに関する記載は無い
- AWS Systems Manager のパッチマネージャーを利用した OS パッケージの更新 (Amazon Linux 2 編) - 2021年10月6日
- 【脆弱性対応】AWS Systems Manager Patch Manager を使ったパッチ戦略の例 - 2021.04.07