Manajemen patch yang efektif sangat penting untuk menjaga keamanan sistem, keandalan, dan kepatuhan di seluruh infrastruktur TI Anda. AWS Systems Manager (SSM) menyediakan solusi patching yang komprehensif, memungkinkan Anda untuk mengotomatisasi penerapan pembaruan sistem operasi ke node yang diterapkan di AWS, on-premises, dan lingkungan multicloud. Namun, seiring dengan berkembangnya organisasi Anda, melacak dan melaporkan operasi patching dapat menjadi semakin menantang. Secara tradisional, pemantauan operasi patching adalah tugas manual yang memakan waktu. Untuk mengatasi tantangan ini, AWS Systems Manager menawarkan fitur-fitur seperti Inventory, Explorer, dan Compliance untuk melaporkan kepatuhan keseluruhan dari suatu node. Pelanggan sering meminta pendekatan yang lebih terpusat untuk menyimpan data patching historis di seluruh beberapa akun dan menerima pemberitahuan email yang lebih rinci. Pada posting blog ini, kami akan menjelaskan bagaimana cara mengotomatisasi pembuatan dan pengiriman laporan patching, menyederhanakan proses pelacakan operasi patching. Dengan memanfaatkan layanan AWS seperti AWS Lambda, Amazon EventBridge, AWS Step Functions, dan Amazon DynamoDB, Anda dapat mengonsolidasikan detail eksekusi SSM Patch Manager dari beberapa akun, menghasilkan laporan komprehensif, dan mendistribusikannya melalui pemberitahuan email dan Slack, memberi tim Anda wawasan yang diperlukan untuk menjaga infrastruktur yang aman dan patuh. Gambaran Solusi Gambar 1 – Laporan patch untuk AWS Organizations Solusi ini memanfaatkan beberapa layanan AWS untuk mengotomatisasi pembuatan dan pengiriman laporan patching. Solusi ini diterapkan menggunakan tumpukan AWS CloudFormation, yang menyediakan sumber daya yang diperlukan, termasuk aturan EventBridge, Step Functions, tabel DynamoDB, fungsi Lambda, dan izin IAM Amazon yang diperlukan. Secara terjadwal, fungsi Lambda dipicu dan mengambil data patching dari tabel DynamoDB. Tabel ini menyimpan status patching setiap node yang dikelola, termasuk detail tentang operasi patch seperti pemindaian dan pemasangan. Fungsi Lambda mengeksekusi skrip Python yang memproses data ini, menghasilkan laporan patching komprehensif dalam format CSV. Laporan ini kemudian disimpan di bucket Amazon Simple Storage Service (Amazon S3) untuk memudahkan akses. Fungsi Lambda juga mengirimkan ringkasan operasi patch melalui Amazon Simple Notification Service (Amazon SNS) atau Amazon SES ke penerima email yang ditentukan. Jika Anda mengonfigurasi integrasi AWS Chatbot dengan Slack, Anda juga dapat menerima pemberitahuan di saluran Slack. Prasyarat Untuk mengikuti langkah-langkah ini, Anda perlu memiliki prasyarat berikut: Akun AWS. Instance Amazon Elastic Compute Cloud (Amazon EC2) dan node hybrid yang dikelola oleh Systems Manager. Untuk mempelajari lebih lanjut, lihat Setting up AWS Systems Manager. Mengonfigurasi patching untuk node yang dikelola oleh Systems Manager di atas. (Opsional) Setup Amazon Simple Email Service (SES) dan buat identitas email untuk menerima pemberitahuan melalui SES. Penerapan Solusi Kami akan membagikan dua metode penerapan, tergantung pada kasus penggunaan Anda. Metode pertama berfokus pada pengumpulan informasi dari semua akun di AWS Organizations, sementara metode kedua untuk satu akun dan satu wilayah. Metode 1: Penerapan di AWS Organizations Untuk penerapan di seluruh organisasi, solusi ini pertama-tama diterapkan di akun pusat (akun manajemen/administrator yang didelegasikan (DA)), dan kemudian StackSet CloudFormation digunakan untuk menerapkan sumber daya yang diperlukan di akun anggota, menargetkan seluruh organisasi atau Unit Organisasi (OU) tertentu. Langkah-langkah Penerapan di Akun Pusat: Unduh template CloudFormation PatchingReport_Central.yaml. Navigasi ke konsol CloudFormation di akun AWS tempat Anda ingin menerapkan Fungsi Lambda untuk menghasilkan laporan. Pilih “Create Stack”, pilih “with new resources (standard)”. Pilih “Upload a template file”, pilih file yang Anda unduh pada langkah 1. Pilih “Next”, kemudian tentukan nama stack, misalnya ssm-patch-reporting. Isi parameter-parameter yang diminta, seperti ID Organisasi, jadwal CRON untuk menjalankan pembuatan laporan, dan lain-lain. Pilih “Next” dan kemudian pilih “Submit” untuk mengirimkan template. Setelah template diterapkan, pilih “Outputs” dan catat nilai-nilai yang ditampilkan. Langkah-langkah Penerapan StackSet CloudFormation di Akun Anggota: Unduh template PatchingReport_Member.yaml. Pilih “Create StackSet”, pilih file template yang diunduh. Isi parameter-parameter yang diminta, seperti Event Bus ARN dari akun pusat. Pilih “Next” dan kemudian pilih target untuk penerapan (misalnya seluruh organisasi atau Unit Organisasi tertentu). Pilih wilayah dan “Submit”. Laporan patch akan dihasilkan secara teratur sesuai dengan jadwal yang telah ditentukan. Metode 2: Penerapan Akun Tunggal – Wilayah Tunggal Jika Anda tidak memiliki AWS Organizations atau ingin menerapkan solusi untuk satu akun dan wilayah, ikuti langkah-langkah berikut: Unduh template PatchingReport_Single.yaml. Ikuti langkah-langkah serupa seperti penerapan di akun pusat dan anggota, namun hanya untuk satu akun dan wilayah. Pelaporan Operasi Patching Selama penerapan, Anda akan memilih antara menerima email operasi patch melalui SNS atau SES. Email ini berisi ringkasan cepat tentang operasi patching Anda, serta tautan ke laporan detail yang disimpan di S3 bucket. Laporan SNS disediakan dalam format teks polos, sementara laporan SES disediakan dalam format tabel HTML. Integrasi AWS Chatbot (Opsional) Jika Anda memilih opsi Chatbot saat penerapan, SNS Topic akan dibuat untuk diintegrasikan dengan Chatbot dan mengirim pemberitahuan laporan patching ke saluran Slack yang telah Anda tentukan. Pembersihan Hapus objek di bucket S3 secara manual. Hapus Stack CloudFormation dan StackSets yang diterapkan. Kesimpulan Dengan mengimplementasikan solusi laporan patching otomatis, Anda dapat menyederhanakan pembuatan dan pengiriman laporan patching di seluruh organisasi Anda. Solusi ini memanfaatkan layanan AWS seperti EventBridge, Step Functions, DynamoDB, Lambda, dan CloudFormation untuk memberikan mekanisme pelaporan patching yang skalabel dan andal. Dengan data patching yang terpusat dan pemberitahuan yang dikirim melalui email dan Slack, Anda mendapatkan visibilitas yang lebih baik terhadap status patching node yang dikelola. Baik Anda memiliki satu akun AWS atau beberapa akun dalam AWS Organizations, solusi ini membantu Anda mengidentifikasi dan mengatasi masalah patching dengan lebih proaktif, menghilangkan upaya manual, dan memberi Anda kontrol lebih besar terhadap operasi patching Anda. Untuk mempermudah proses pemecahan masalah terkait kegagalan patching Systems Manager, bisa hubungi tim kami Awscloud Indonesia untuk wawasan tambahan dan solusi berbasis AI yang mengoptimalkan alur kerja patching Anda
