投稿日: Jun 29, 2020
カーネルライブパッチにより、実行中のアプリケーションを再起動したり中断したりすることなく、Linux カーネルのセキュリティの脆弱性やバグにパッチを適用できます。このため、Amazon Linux 2 をご使用のお客様は、サービスの可用性やセキュリティ体制を向上できます。この機能は、Amazon Linux 2 をご使用のお客様全員に、無料で一般提供されます。
AWS のお客様の多くは、パッチを適用したマシンイメージ (AMI) をロールアウトするか、インプレースパッチインスタンスを適用した後、ローリング再起動を行うことで、セキュリティアップデートを行います。しかし通常、このプロセスには時間がかかり、実行中のアプリケーションが中断する可能性があります。Amazon Linux 用カーネルライブパッチは、実行中のカーネルに修正を適用することで、中断を減らし、ロールアウトを加速できるため、即時に再起動する必要はありません。
現在、Amazon は Amazon Linux 2 用カーネルライブパッチをリリースし、重大かつ重要なセキュリティの脆弱性と重大なバグに対応しています。ユーザーは既存の Amazon Linux 2 リポジトリで、カーネルライブパッチをインストールできます。カーネルライブパッチを有効にするには、「yum」プラグインをインストールしてください。有効にした後、既存の「yum 更新」ワークフローを使用して、利用可能なカーネルライブパッチを適用します。パッチは、新しいカーネルで起動しなくても有効になります。
現在、AWS Systems Manager (SSM) Patch Manager を使用することで、重要な更新で Amazon Linux 2 インスタンスにパッチを適用するプロセスを自動化することもできます。Patch Manager を使用すると、Amazon Linux インスタンスをスキャンして、不足しているパッチを特定するパッチコンプライアンスレポートを作成したり、即座に再起動することなく、不足しているすべてのカーネルパッチをスキャンして自動的にインストールしたりできます。
詳細については、Amazon Linux 2 用カーネルライブパッチのドキュメントをご参照ください。また、ご利用いただけるカーネルライブパッチのリストについては、Amazon Linux セキュリティセンターにアクセスしてください。AWS SSM を使用してカーネルライブパッチを有効にして使用する方法については、Systems Manager のドキュメントをご覧ください。