Возможно, мы немного о разных вещах говорим, но у нас по плану была фишка что чел написал бейзлайны на все ОС и они применяются все разом во время окна ))) и вроде по задумке применится только тот бейзлайн, у которого значение OperatingSystem совпадёт

Я верно понимаю, что по твоей логике это кучу ошибок сгенерировать должно ?

patch baseline применяется к инстансу через patch group (по факту к тегу)

Несомненно это так и есть и у всех бейзлайнов один и тот же тег

You can use a patch group to associate instances with a specific patch baseline. Patch groups help ensure that you are deploying the appropriate patches, based on the associated patch baseline rules, to the correct set of instances. Patch groups can also help you avoid deploying patches before they have been adequately tested. For example, you can create patch groups for different environments (such as Development, Test, and Production) and register each patch group to an appropriate patch baseline.

сам смысл патч группы сделать так чтобы к инстансам был применен ПРАВИЛЬНЫЙ бейзлайн

Совершенно верно, при этом есть в бейзлайнах фильтр по ОС, куда его применять

если у вас одна патч группа всех осей к которой тянутся любые бейзлайны это как то мягко говоря не очень понятно

не припоминаю что там за фильтры но там даже на уровне создания бейзлайнов в терраформе есть различия между win и lin baseline ресурсами

Идея была в том, что заказчику, грубо говоря, нужно "а поставьте мне все патчи, какие можно, на все машины с определённым тегом". В общем то я бы написал отдельные теги под разные оси, но тут не я делал :)

Я сейчас проверю твою гипотезу - попробую бейзлайн для винды накатить на линукс2 и отпишусь

надо объяснить заказчику что можно сделать это в рамках 1 мейнт  окна, но патч группы будут разные

да какая к черту гипотеза

Архитекторы не наши 😅

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-differences.html по поводу этой "гипотезы" есть отдельная блин страница

Щас покурю, спс

Хех, ну щас проверю пойду

правильный подход, судя по тому что я видел, это юзать патч группы т.к. именно они отвечают за корректный выбор патч бейзлайна под инстансы
плюс сами бейзлайны под разные типы окружения могут отличаться, например на прод тачки накатывать только критикал апдейты

да это то понятно всё, так оно +- и будет в итоге, критические накатываться будут отдельной процедурой, а всё остальное - по расписанию.  И пока что не было требований для фильтрации патчей. Там план-кабан судя по всему что заказчик сам будет конфигурить бейзлайны себе через API

у амазона конечно там сделано не без перебора с абстракциями
сам maint window отвечает за время когда делать пачтинг
baseline за какой патчинг делать
а вот за то где делать отвечает и patch group и maintenance window target (которое по факту лишь регистрирует патч группу блин)

скинь потом код ошибки из maint window когда виндовый патч на лин попытаешься применить
самому интересно

MW target регистрирует машины в MW, по факту, как ты верно заметил там абстракция та еще: работают 2 механизма независимых - один определяет когда окно и кого патчим, а другой что именно накатываем :)