AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

修补 Windows AMI

使用 AWS-UpdateWindowsAmi 文档可以在 Amazon Windows AMI 上自动完成映像维护任务,而无需使用 JSON 或 YAML 编写工作流程。本文档在 Windows Server 2008 R2 或更高版本中受支持。您可以使用 AWS-UpdateWindowsAmi 文档执行以下类型的任务。

  • 安装所有 Windows 更新并升级 Amazon 软件 (默认行为)。

  • 安装特定 Windows 更新并升级 Amazon 软件。

  • 使用您的脚本自定义 AMI。

开始前的准备工作

在您开始使用 Automation 文档之前,请先为 Automation 配置角色和 CloudWatch Events (后者可选)。有关更多信息,请参阅 Automation 入门

注意

SSM 代理的更新通常会在不同时间向不同区域推广。自定义或更新 AMI 时,请仅使用为您工作所在的区域发布的源 AMI。这将确保您使用该区域发布的最新 SSM 代理并避免兼容性问题。

AWS-UpdateWindowsAmi 文档接受以下输入参数。

参数 类型 描述

SourceAmiId

字符串

(必需)源 AMI ID。您可以使用 Systems Manager Parameter Store 公有参数自动引用最新的 Windows Server AMI ID。有关更多信息,请参阅使用 AWS Systems Manager Parameter Store 查询最新的 Windows AMI ID

IamInstanceProfileName

字符串

(必需)您在 Automation 入门 中创建的 AWS Identity and Access Management (IAM) 实例配置文件角色的名称。实例配置文件角色为 Automation 提供在您实例上执行操作的权限,例如运行命令或启动和停止服务。Automation 文档仅使用实例配置文件角色的名称。如果您指定 Amazon 资源名称 (ARN),则 Automation 执行失败。

AutomationAssumeRole

字符串

(必需)您在 IAM 中创建的 Automation 入门 服务角色的名称。服务角色 (也称为担任角色) 为 Automation 提供权限,用于担任您的 IAM 角色和代表您执行操作。例如,在 Automation 文档中运行 aws:createImage 操作时,服务角色允许 Automation 创建新的 AMI。对于此参数,必须指定完整的 ARN。

TargetAmiName

字符串

(可选)新 AMI 在创建之后的名称。默认名称是系统生成的字符串,其中包括源 AMI ID 以及创建时间和日期。

InstanceType

字符串

(可选) 启动作为工作区主机的实例的类型。实例类型因区域而异。默认类型为 t2.medium。

PreUpdateScript

字符串

(可选) 要在更新 AMI 之前运行的脚本。在 Automation 文档中或在运行时输入一个脚本作为参数。

PostUpdateScript

字符串

(可选) 要在更新 AMI 之后运行的脚本。在 Automation 文档中或在运行时输入一个脚本作为参数。

IncludeKbs

字符串

(可选) 指定一个或多个要包括的 Microsoft 知识库 (KB) 文章 ID。可以使用逗号分隔值安装多个 ID。有效格式:KB9876543 或 9876543。

ExcludeKbs

字符串

(可选) 指定一个或多个要排除的 Microsoft 知识库 (KB) 文章 ID。可以使用逗号分隔值排除多个 ID。有效格式:KB9876543 或 9876543。

类别

字符串

(可选) 指定一个或多个更新类别。可以使用逗号分隔值筛选类别。选项:关键更新、安全更新、定义更新、Update Rollup、Service Pack、工具、更新或驱动程序。有效格式包括单个条目,例如:关键更新。或者,可以指定逗号分隔列表:关键更新,安全更新,定义更新。

SeverityLevels

字符串

(可选) 指定一个或多个与更新关联的 MSRC 严重性级别。可以使用逗号分隔值筛选严重性级别。选项:关键、重要、低、中或未指定。有效格式包括单个条目,例如:关键。或者,可以指定逗号分隔列表:关键,重要,低。

Automation 步骤

默认情况下 AWS-UpdateWindowsAmi 文档包括以下 Automation 步骤。

步骤 1:launchInstance (aws:runInstances 操作)

此步骤以从指定的 SourceAmiID 启动一个具有 IAM 实例配置文件角色的实例。

步骤 2:runPreUpdateScript (aws:runCommand 操作)

此步骤可让您以字符串形式指定一个在安装更新前运行的脚本。

步骤 3:updateEC2Config (aws:runCommand 操作)

此步骤使用 AWS-InstallPowerShellModule 公有文档下载 AWS 公有 PowerShell 模块。Systems Manager 使用 SHA-256 哈希验证模块的完整性。然后 Systems Manager 检查操作系统以确定是要更新 EC2Config 还是 EC2Launch。EC2Config 通过 Windows Server 2012 R2 在 Windows Server 2008 R2 上运行。EC2Launch 在 Windows Server 2016 上运行。

步骤 4:updateSSMAgent (aws:runCommand 操作)

此步骤使用 AWS-UpdateSSMAgent 公有文档更新 SSM 代理。

步骤 5:updateAWSPVDriver (aws:runCommand 操作)

此步骤使用 AWS-ConfigureAWSPackage 公有文档更新 AWS 半虚拟化驱动程序。

步骤 6:updateAwsEnaNetworkDriver (aws:runCommand 操作)

此步骤使用 AWS-ConfigureAWSPackage 公有文档更新 AWS ENA 网络驱动程序。

步骤 7:installWindowsUpdates (aws:runCommand 操作)

此步骤使用 AWS-InstallWindowsUpdates 公有文档安装 Windows 更新。默认情况下,Systems Manager 搜索并安装任何缺失的更新。可以通过指定下列参数之一更改默认行为:IncludeKbsExcludeKbsCategoriesSeverityLevels

步骤 8:runPostUpdateScript (aws:runCommand 操作)

此步骤可让您以字符串形式指定一个在安装更新后运行的脚本。

步骤 9:runSysprepGeneralize (aws:runCommand 操作)

此步骤使用 AWS-InstallPowerShellModule 公有文档下载 AWS 公有 PowerShell 模块。Systems Manager 使用 SHA-256 哈希验证模块的完整性。然后 Systems Manager 使用 AWS 支持的方法针对 EC2Launch (Windows Server 2016) 或 EC2Config(Windows Server 2008 R2 到 2012 R2)运行 sysprep。

步骤 10:stopInstance (aws:changeInstanceState 操作)

此步骤停止已更新实例。

步骤 11:createImage (aws:createImage 操作)

此步骤创建一个新 AMI,带有可将其链接到源 ID 和创建时间的描述性名称。例如:“EC2 Automation 在 {{global:DATE_TIME}} 从 {{SourceAmiId}} 生成了 AMI”,其中 DATE_TIME 和 SourceID 表示 Automation 变量。

步骤 12:TerminateInstance (aws:changeInstanceState 操作)

此步骤通过终止正在运行的实例来清除执行过程。

输出

此部分可让您将各个步骤的输出或任何参数的值指定为 Automation 输出。默认情况下,输出是由执行创建的已更新 Windows AMI 的 ID。

注意

默认情况下,当 Automation 运行 AWS-UpdateWindowsAmi 文档并创建一个临时实例时,系统会使用默认 VPC (172.30.0.0/16)。如果您删除了默认 VPC,会收到以下错误:

VPC not defined 400

要解决此问题,您必须复制 AWS-UpdateWindowsAmi 文档并指定子网 ID。有关更多信息,请参阅 VPC not defined 400

使用 Automation 创建经过修补的 Windows AMI

  1. 安装并配置 AWS CLI(如果尚未执行该操作)。

    有关信息,请参阅安装或升级 AWS CLI

  2. 运行以下命令来运行 AWS-UpdateWindowsAmi 文档。在参数部分,指定 AMI 源 ID、Amazon EC2 实例配置文件角色和您的 Automation 服务角色。以下示例命令使用的是最新的 Amazon EC2 AMI,以最大限度减少需应用的补丁数量。如果您多次运行此命令,则必须为 targetAMIname 指定唯一的值。AMI 名称必须是独一无二的。

    aws ssm start-automation-execution --document-name="AWS-UpdateWindowsAmi" --parameters SourceAmiId='ami-0246f4914689c475f',IamInstanceProfileName='ManagedInstanceProfile',AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole'

    该命令将会返回执行 ID。请将该 ID 复制到剪贴板。您将使用该 ID 查看工作流的状态。

    {
        "AutomationExecutionId": "ID"
    }
  3. 要使用 AWS CLI 查看工作流程的执行情况,请运行以下命令:

    aws ssm describe-automation-executions
  4. 要查看有关执行进度的详细信息,请运行以下命令。

    aws ssm get-automation-execution --automation-execution-id ID

注意

根据应用的补丁数量,在该示例工作流中运行的 Windows 修补过程可能需要 30 分钟或更长时间才能完成。