AWS Systems Manager(SSM)-SSM Patch Manager – patch baselines

好的，接下来的内容我们讨论下SSM的Patch Manager，它的用途是为管理的EC2实例批量、自动化的进行打补丁操作。

那么首先，您需要了解的是您需要定义一个补丁基准，也就是patch baselines。

patch baselines定义新补丁发布几天后自动批准补丁，以及批准安装和拒绝安装补丁的列表。

下面我们来看下由AWS预定义的patch baselines，这些patch baselines的命名需要大家记住。

先看LINUX系统：

AWS-AmazonLinux2DefaultPatchBaseline，这个是Amazon Linux 2 预定义的PatchBaseline。

以及其他的一些常见的Linux预定义的PatchBaseline，如：

AWS-CentOSDefaultPatchBaseline，AWS-RedHatDefaultPatchBaseline，AWS-UbuntuDefaultPatchBaseline，以及AWS-SuseDefaultPatchBaseline。

可以看到AWS预定义的patch baselines的命名有一定的规律，都是AWS-系统名称在加上DefaultPatchBaseline。

对于WINDOWS操作系统有一些不同，补丁会在释放7天后自动被批准。所以一旦windows补丁发布7天之后，将会自动被批准并将通过PatchBaseline进行打补丁。

对于WINDOWS操作系统，最重要的一个预定义的PatchBaseline是AWS-DefaultPatchBaseline ， 这个PatchBaseline的内容是将安装所有WINDOWS的关键更新和安全更新。

还有一个命名为AWS-WindowsPredefinedPatchBaseline-OS的PatchBaseline，它的内容和上面这个是一样的，都是安装WINDOWS的关键更新和安全更新。

然后，AWS-WindowsPredefinedPatchBaseline-OS-Applications，这个PatchBaseline除了会更新关键更新和安全更新，还会更新您的EC2实例上的windows应用程序。

要参加认证考试，要记住上面这些由AWS预定义的PatchBaseline的名称，尤其是这个AWS预定义的windows 的AWS-DefaultPatchBaseline。

另外，除了使用AWS预定义的，也可以自定义PatchBaseline，定义要自动批准的补丁，如定义自动批准补丁的操作系统的名称，定义更新的类别，如关键更新，还是安全更新等，以及严重程度如关键、重要等等。

总之，一旦确定了PatchBaseline，接下来的步骤就是要定义如何将这些补丁应用到windows或linux系统。