https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/sysman-ssm-docs.html
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/patch-manager-ssm-documents.html
https://awsjp.com/AWS/CloudWatch/run-command-SystemManager.html

概要

EC2インスタンスにパッチを適用するには、AWS Systems Managerドキュメント（SSMドキュメント）を使用します。
SSMドキュメントには、Systems Managerがインスタンスで実行するアクションが定義されています。
パッチ適用に関係する推奨SSMドキュメントは以下の5つがあります（AWS-RunPatchBaselineAssociation、AWS-RunPatchBaselineWithHooksはAWS-RunPatchBaselineと基本同じであるため説明は割愛）。

• AWS-ConfigureWindowsUpdate
• AWS-InstallWindowsUpdates
• AWS-RunPatchBaseline
• AWS-RunPatchBaselineAssociation
• AWS-RunPatchBaselineWithHooks

AWS-ConfigureWindowsUpdate

Windows Updateの基本設定を変更することができます。
自動更新の有効、無効やパッチをいつ適用するかなどを指定します。
すべてのAWSリージョンで利用可能です。

AWS-InstallWindowsUpdates

Windows更新プログラムをインスタンスにインストールすることができます。
すべてのAWSリージョンで利用可能です。

AWS-RunPatchBaseline

インスタンスのスキャンやパッチをインストールすることができます。
Windows、Linux対応。
すべてのAWSリージョンで利用可能です。