翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Linux セキュリティ更新の管理
<a name="workingsecurity-updates"></a>

**重要**  
この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、[AWS re:Post](https://repost.aws/) または[AWS プレミアムサポート](https://aws.amazon.com/support)を通じて AWS サポート チームにお問い合わせください。

## セキュリティの更新
<a name="bestpractice-secupdates"></a>

Linux オペレーティングシステムのプロバイダーは定期的な更新を提供し、その多くがオペレーティングシステムのセキュリティパッチですが、中にはインストールされているパッケージに対する更新も含まれます。インスタンスのオペレーティングシステムは、最新のセキュリティパッチで最新の状態にする必要があります。

デフォルトでは、 OpsWorks スタックはインスタンスの起動が完了した後、セットアップ中に最新の更新を自動的にインストールします。 OpsWorks スタックは、アプリケーションサーバーの再起動などの中断を避けるため、インスタンスのオンライン後に更新を自動的にインストールしません。代わりに、中断の可能性を最小限に抑えるため、オンラインインスタンスへの更新はユーザーが自身で管理します。

次のいずれかの方法を使用して、オンラインインスタンスを更新することをお勧めします。
+ 新しいインスタンスを作成して、現在のオンラインインスタンスを置き換えます。次に、現在のインスタンスを削除します。

  新しいインスタンスに、セットアップ時にインストールされたセキュリティパッチの最新のセットが適用されます。
+ Chef 11.10 以前のスタックの Linux ベースのインスタンスでは、[Update Dependencies スタックコマンド](workingstacks-commands.md)を実行します。このコマンドは指定したインスタンスに、セキュリティパッチの現在のセットと他の更新をインストールします。

これらのアプローチの両方で、 OpsWorks Stacks は `yum update` Amazon Linux および Red Hat Enterprise Linux (RHEL) または Ubuntu `apt-get update`に対して を実行して更新を実行します。それぞれのディストリビューションで更新の処理方法は若干異なるため、更新がインスタンスにどのような影響を及ぼすか正確に把握するため、関連リンクの情報を確認してください。
+ **[Amazon Linux** (Amazon Linux)] – Amazon Linux は、セキュリティパッチ更新のほか、パッケージ更新など、機能の更新をインストールします。

  詳細については、「[Amazon Linux AMI に関するよくある質問](https://aws.amazon.com/amazon-linux-ami/faqs/#lock)」を参照してください。
+ **[Ubuntu** (Ubuntu)] – Ubuntu では主にセキュリティパッチのインストールに限定されますが、制限された数の重要な修正でパッケージ更新をインストールします。

  詳細については、[Ubuntu Wiki の LTS に関するページ](https://wiki.ubuntu.com/LTS)を参照してください。
+ **CentOS** – CentOS の更新では、一般的に前のバージョンとのバイナリ互換性が維持されます。
+ **RHEL** – RHEL の更新では、一般的に前のバージョンとのバイナリ互換性が維持されます。

  詳細については、「[Red Hat Enterprise Linux ライフサイクル](https://access.redhat.com/support/policy/updates/errata/)」を参照してください。

特定のパッケージバージョンの指定など、より細かく更新を管理する場合は、[[CreateInstance](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateInstance.html) (インスタンスの作成)]、[[UpdateInstance](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateInstance.html) (インスタンスの更新)]、[[CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html) (レイヤーの作成)]、または [[UpdateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateLayer.html) (レイヤーの更新)] アクション (または同等の [[AWS SDK](https://aws.amazon.com/tools/) (AWS SDK)] メソッド、[[AWS CLI](https://aws.amazon.com/documentation/cli/) (AWS CLI)] コマンド) を使用して自動更新を無効にして、`InstallUpdatesOnBoot` パラメータを `false` に設定します。次の例に、AWS CLI を使用して、既存のレイヤーのデフォルト設定として `InstallUpdatesOnBoot` を無効にする方法を示します。

```
aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot
```

その後、更新を自身で管理する必要があります。たとえば、次のいずれかの方法を使用できます。
+ [適切なシェルコマンドを実行](cookbooks-101-basics-commands.md#cookbooks-101-basics-commands-script)するカスタムレシピを実装して、希望の更新をインストールします。

  システムの更新は[ライフサイクルイベント](workingcookbook-events.md)とは本質的に無関係であるため、カスタムクックブックにレシピを含めて、それを[手動で実行](workingcookbook-manual.md)します。パッケージ更新の場合、シェルコマンドの代わりに、[yum\$1package](https://docs.chef.io/chef/resources.html#yum-package) (Amazon Linux) または [apt\$1package](https://docs.chef.io/chef/resources.html#apt-package) (Ubuntu) リソースを使用することもできます。
+ [SSH で各インスタンスにログイン](workinginstances-ssh.md)し、適切なコマンドを手動で実行してください。