本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 適用於可變 EC2 執行個體的修補解決方案設計
<a name="design-standard"></a>

可變執行個體的修補程序涉及下列團隊和動作：
+ **應用程式 (DevOps) 團隊**會根據應用程式環境、作業系統類型或其他條件，為其伺服器定義修補程式群組。它們也會定義每個修補程式群組特定的維護時段。此資訊會存放在 EC2 應用程式執行個體的**修補程式群組**和維護**時段**標籤中。在每個修補週期期間，應用程式團隊會準備修補、在修補之後測試應用程式，以及在修補期間疑難排解其應用程式和作業系統的任何問題。
+ **安全操作團隊**會定義應用程式團隊使用的各種作業系統類型的修補程式基準、核准修補程式，並透過 Systems Manager Patch Manager 提供修補程式。
+ 自動化**修補解決方案**會定期執行，並根據使用者定義的修補程式群組和維護時段，部署修補程式基準中定義的修補程式。修補程式合規資訊是透過 Systems Manager 庫存中的資源資料同步取得，並用於透過快速儀表板進行修補程式合規報告。
+ **控管和合規團隊**會定義修補準則、定義例外狀況程序和機制，並從 Quick 取得合規報告。

如需成功作業系統修補程式管理解決方案所涉及的關鍵利益相關者及其責任的詳細資訊，請參閱本指南稍後[的關鍵利益相關者、角色和責任](stakeholders.md)一節。

## 自動化程序
<a name="standard-auto-process"></a>

自動化修補解決方案使用多個可串聯運作 AWS 的服務，將修補程式部署到 EC2 執行個體。此程序涉及 Systems Manager AWS Config AWS Lambda、Amazon Simple Storage Service (Amazon S3) 和 Quick。下圖顯示參考架構和工作流程。

 ![\[Reference architecture and workflow for a standard mutable EC2 instance patching process\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patch-management-hybrid-cloud/images/patching-process-standard.png) 

工作流程包含這些步驟，其中步驟編號符合圖表中的標註：

1. AWS Config 會持續監控下列項目，並傳送包含不合規執行個體詳細資訊和所需組態的通知：
   + EC2 執行個體上的修補程式標記合規。 AWS Config 檢查是否有沒有**修補程式群組**和維護**時段**標籤的執行個體。
   + 具有 Systems Manager 角色的 AWS Identity and Access Management (IAM) 執行個體描述檔，允許 Systems Manager 管理執行個體。

1. Lambda 函數 （我們將呼叫 `automate-patch`) 會依預先定義的排程執行，並收集所有伺服器的**修補程式群組****和維護時段**資訊。

1. 然後， `automate-patch`函數會建立或更新適當的修補程式群組和維護時段、將修補程式群組與修補程式基準建立關聯、設定修補程式掃描，以及部署修補任務。或者，`automate-patch`函數也會在 Amazon CloudWatch Events 中建立事件，以通知使用者即將發生的修補程式。

1. 根據維護時段，事件會傳送修補程式通知給應用程式團隊，其中包含即將修補操作的詳細資訊。

1. 修補程式管理員會根據定義的排程和修補程式群組執行系統修補。

1. Systems Manager 庫存中的資源資料同步會收集修補詳細資訊，並將其發佈至 S3 儲存貯體。

1. 修補程式合規報告和儀表板內建於 S3 儲存貯體資訊的 Quick 中。