統一你的補丁管理：AWS Systems Manager 如何一次管理本地與雲端補丁更新狀態

情境:

某間企業同時擁有多台本地端伺服器和部署於 AWS 的 EC2 執行個體。隨著時間推移，不同團隊使用各種工具執行系統補丁：有些人用 OS 內建工具、有些用自家軟體、還有些人使用 AWS 相關功能。

隨著環境變得複雜，管理階層開始擔心以下問題：

• 每台伺服器補丁狀態不同步
• 沒有統一工單與補丁管理平台
• 無法快速產生全公司層級的一致補丁報告
• 安全部門難以確認漏洞是否已修補

最終，資訊長要求：「不管是在地端還是雲端，我要一份統一的補丁合規報告！」
因此，公司開始尋找能同時管理 on-prem 與 EC2 的平台化方案。

核心知識點:

AWS Systems Manager（SSM）

是一套適用於雲端與本地端混合環境的集中式運維與管理服務。
它能協助企業以自動化方式管理 EC2、AWS 服務、本地伺服器及其他雲端虛機，讓 IT 團隊能以更高效率維運系統、提升安全性並維持合規要求。

Systems Manager 透過一系列模組化功能（如 Patch Manager、State Manager、Automation、Inventory、Compliance 等）讓企業可以：

• 集中管理所有伺服器與虛機（含 On-Premises）
• 自動化補丁流程與合規檢查
• 收集與分析系統狀態與軟體資訊
• 遠端執行指令與作業
• 建立一致可重複的自動化工作流程
• 降低維運成本並提升安全性
  

只要設備安裝 SSM Agent 並擁有必要 IAM 權限，不論是在 AWS 或在您的機房，都能像管理 EC2 一樣被 Systems Manager 控制。

關鍵的 Systems Manager（SSM）四大核心功能的精簡介紹

1. Hybrid Activation（混合式啟用）

用途：讓本地端伺服器或其他雲端的 VM 也能被 AWS Systems Manager 管理。
透過建立「Activation Code + ID」讓非 EC2 的伺服器註冊成為 Managed Instances，像 EC2 一樣被 SSM 管理、打補丁、執行自動化腳本、收集資訊等。
 

企業常見：同時管理 on-prem + EC2 的混合環境。

2. Patch Manager（補丁管理）

用途：自動化 OS 補丁部署，確保系統安全合規。
能針對 Windows、Amazon Linux、RHEL、Ubuntu 等多種作業系統：

• 排程補丁更新（Maintenance Windows）
• 自動套用安全性更新
• 自定 Patch Baseline（允許/拒絕補丁）
  大規模補丁部署

是 AWS 官方推薦的跨平台補丁解決方案。

3. Compliance（合規性報告）

用途：自動生成補丁狀態、配套合規性與安全狀態的集中式報告。
能整合 Patch Manager、State Manager、Inventory 的資料，產生：

• 補丁是否套用成功
• 哪些伺服器不合規
• 哪些更新缺失
• 安全性狀態統計

這正是企業最常需要的「統一補丁報告（Patch Compliance Report）」功能。

4. Inventory（資產資訊收集）

用途：自動收集並記錄伺服器的軟體與系統資訊。
能抓取：

• 已安裝的軟體列表
• 檔案、註冊表資訊
• OS 版本、代理程式版本
• 應用程式元件
  

Inventory 資料會提供給 Compliance 使用，形成完整的合規性與補丁狀態視圖。

結論:

依照情境的要求，要做到這樣的統一管理就是SSM最方便

Systems Manager（SSM）可以：

透過 Hybrid Activation 管理本地端伺服器

透過 Patch Manager 管理補丁

透過 Compliance 自動產生報告

透過 Inventory 收集狀態

參考連結:

Systems Manager Patch Manager

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html

Systems Manager Hybrid Activations

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-managed-instances.html

Systems Manager Compliance

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-compliance.html

SSM Agent

https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html