Creazione di una baseline delle patch personalizzata per macOS

Creazione di una baseline delle patch personalizzata per i nodi gestiti macOS

1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel pannello di navigazione, scegli Patch Manager.

3. Scegli la scheda Baseline delle patch e quindi Crea baseline delle patch.

   oppure

   Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli Inizia da una panoramica, scegli la scheda baseline delle patch e quindi Crea una baseline delle patch.

4. Nel campo Nome inserisci il nome della nuova baseline delle patch, ad esempio MymacOSPatchBaseline.

5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa baseline delle patch.

6. Per Sistema operativo, seleziona macOS.

7. Se desideri cominciare a utilizzare subito la baseline delle patch appena creata come impostazione predefinita per macOS, seleziona la casella vicino a Rendi predefinita questa baseline delle patch per le istanze di macOS.

   Nota

   Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle policy di patch del 22 dicembre 2022.

   Per informazioni sull'impostazione di una baseline delle patch esistente come predefinita, consulta Impostare una baseline delle patch esistente come predefinita.

8. Nella sezione Regole di approvazione per sistema operativo utilizza i campi per creare una o più regole di approvazione automatica.

   • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio BigSur11.3.1 o Ventura13.7. L'opzione predefinita è All.

   • Classificazione: Il gestore di pacchetti o i gestori di pacchetti a cui si desidera applicare i pacchetti durante il processo di applicazione delle patch. È possibile scegliere tra le seguenti opzioni:

     • softwareupdate

     • Installer (Programma di installazione)

     • Brew

     • Brew cask

     L'opzione predefinita è All.

   • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla baseline, ad esempio Critical o High.

     Nota

     Quando si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.

   Per ulteriori informazioni sulle operazioni con le regole di approvazione in una baseline delle patch personalizzata, consulta Baseline personalizzate.

9. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

   • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

     Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

   • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

10. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • In Operazione patch rifiutate, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco Patch rifiutate.

      • Consenti come dipendenza: un pacchetto dell'elenco Patch rifiutate viene installato solo se è incluso automaticamente in un altro pacchetto. È considerato conforme alla linea di base della patch e il suo stato è riportato come. InstalledOther Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.

      • Blocca: i pacchetti dell'elenco Patch rifiutate e quelli che le includono come dipendenze non verranno installati da Patch Manager in alcun caso. Se un pacchetto è stato installato prima di essere stato aggiunto all'elenco Patch rifiutate, oppure è stato successivamente installato fuori da Patch Manager, viene considerato non conforme alla baseline delle patch e il relativo stato è InstalledRejected.

11. (Facoltativo) Per Gestisci tag, applica una o più name/value coppie di chiavi di tag alla linea di base della patch.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una baseline delle patch per identificare il livello di gravità delle patch che specifica, il gestore di pacchetti a cui si applica e il tipo di ambiente. In questo caso, è possibile specificare tag simili alle seguenti name/value coppie di chiavi:

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

12. Scegli Crea una baseline delle patch.