创建和管理补丁组
如果您在操作中未使用补丁策略,则可以通过使用标签将托管式节点添加到补丁组来组织修补工作。
注意
补丁组不会用于基于补丁策略的修补操作。有关使用补丁策略的更多信息,请参阅 Quick Setup 中的补丁策略配置。
对于在 2022 年 12 月 22 日发布补丁策略支持之前尚未使用补丁组的账户-区域对,控制台不支持补丁组功能。补丁组功能在此日期之前开始使用补丁组的账户区域对中仍然可用。
要在修补操作中使用标签,必须将标签键 Patch
Group 或 PatchGroup 应用于托管式节点。您还必须指定要为补丁组提供的名称作为标签的值。您可以指定任何标签值,但标签键必须为 Patch Group 或 PatchGroup。
如果在 EC2 实例元数据中允许使用标签,则必须使用 PatchGroup(不带空格)。
使用标签对托管式节点进行分组后,请将补丁组值添加到补丁基准。通过将补丁组注册到补丁基准,您可以确保在修补操作期间安装正确的补丁。有关补丁组的更多信息,请参阅 补丁组。
完成本主题中的任务,使用带节点和补丁基准的标签对托管式节点进行修补。只有在修补 Amazon EC2 实例时才需要执行任务 1。只有在混合和多云环境中修补非 EC2 实例时才需要执行任务 2。所有托管式节点都必须执行任务 3。
提示
您还可以使用 Amazon CLI 命令 add-tags-to-resource 或 Systems Manager API 操作 ssm-agent-minimum-s3-permissions-requiredAddTagsToResource,向托管式节点添加标签。
任务 1:请使用标签将 EC2 实例添加到补丁组
您可以使用 Systems Manager 控制台或 Amazon EC2 控制台向 EC2 实例添加标签。只有在修补 Amazon EC2 实例时才需要执行此任务。
重要
如果在实例上启用 Allow tags in instance metadata(允许在实例元数据中使用标签)选项,则无法将 Patch Group 标签(带空格)应用于 Amazon EC2 实例。允许在实例元数据中使用标签会导致标签密钥名称不得包含空格。如果在 EC2 实例元数据中允许使用标签,则必须使用标签键 PatchGroup(不带空格)。
选项 1:将 EC2 实例添加到补丁组(Systems Manager 控制台)
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 在导航窗格中,选择 Fleet Manager。
-
在托管式节点列表中,选择您要配置以进行修补的托管式 EC2 实例的 ID。EC2 实例的节点 ID 以
i-开头。注意
使用 Amazon EC2 控制台和 Amazon CLI 时,可以将
Key = Patch Group或Key = PatchGroup标签应用于尚未配置为与 Systems Manager 结合使用的实例。如果未列出您希望看到的托管式节点,请参阅 排除托管式节点可用性的问题 以获取故障排除技巧。
-
选择标签选项卡,然后选择编辑。
-
在左列中,输入
Patch Group或PatchGroup。如果在 EC2 实例元数据中允许使用标签,则必须使用PatchGroup(不带空格)。 -
在右列中,输入一个标签值作为此补丁组的名称。
-
选择保存。
-
重复此过程,向同一补丁组中添加其他 EC2 实例。
选项 2:将 EC2 实例添加到补丁组(Amazon EC2 控制台)
-
打开 Amazon EC2 控制台
,然后在导航窗格中选择实例。 -
从实例列表中选择您要配置用于修补的实例。
-
在操作菜单中,依次选择实例设置、管理标签。
-
选择添加新标签。
-
对于 Key(键),输入
Patch Group或PatchGroup。如果在 EC2 实例元数据中允许使用标签,则必须使用PatchGroup(不带空格)。 -
对于值,输入一个值作为此补丁组的名称。
-
选择保存。
-
重复此过程,向同一补丁组中添加其他实例。
任务 2:使用标签将托管式节点添加到补丁组
按照本主题中的步骤,向 Amazon IoT Greengrass 核心设备和非 EC2 混合激活的托管式节点(mi-*)添加标签。只有在混合和多云环境中修补非 EC2 实例时才需要执行此任务。
注意
您不能使用 Amazon EC2 控制台为非 EC2 托管式节点添加标签。
将非 EC2 托管式节点添加到补丁组(Systems Manager 控制台)
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 在导航窗格中,选择 Fleet Manager。
-
在托管实例列表中,选择您要为修补配置的托管节点的名称。
注意
如果未列出您希望看到的托管式节点,请参阅 排除托管式节点可用性的问题 以获取故障排除技巧。
-
选择标签选项卡,然后选择编辑。
-
在左列中,输入
Patch Group或PatchGroup。如果在 EC2 实例元数据中允许使用标签,则必须使用PatchGroup(不带空格)。 -
在右列中,输入一个标签值作为此补丁组的名称。
-
选择保存。
-
重复此过程,向同一补丁组添加其他托管式节点。
任务 3:将补丁组添加到补丁基准
要将特定的补丁基准与托管式节点关联,必须将补丁组值添加到补丁基准。通过将补丁组注册到补丁基准,您可以确保在修补操作期间安装正确的补丁。无论是修补 EC2 实例、非 EC2 托管式节点还是两者,都需要执行此任务。
有关补丁组的更多信息,请参阅 补丁组。
注意
您执行的步骤取决于您首次访问 Patch Manager 是在 2022 年 12 月 22 日补丁策略发布之前还是之后。
将补丁组添加到补丁基准(Systems Manager 控制台)
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
在导航窗格中,选择 Patch Manager。
-
如果您是首次在当前 Amazon Web Services 区域 中访问 Patch Manager,并且 Patch Manager 起始页打开,则请选择从概览开始。
-
选择补丁基准选项卡,然后在补丁基准列表中,选择要为补丁组配置的补丁基准的名称。
如果您在补丁策略发布后才首次访问 Patch Manager,则必须选择已创建的自定义基准。
-
如果基准 ID 详细信息页面包含操作菜单,请执行以下操作:
-
选择 Actions (操作),然后选择 Modify patch groups (修改补丁组)。
-
在 任务 2:使用标签将托管式节点添加到补丁组 中输入您添加到托管式节点的标签值,然后选择添加。
如果基准 ID 详细信息页面不包含操作菜单,则无法在控制台中配置补丁组。请改为执行以下操作之一:
-
(推荐)在Quick Setup(Amazon Systems Manager 中的一项工具)中设置补丁策略,将补丁基准映射到一个或多个 EC2 实例。
有关更多信息,请参阅 Using Quick Setup patch policies 和 Automate organization-wide patching using a Quick Setup patch policy。
-
使用 Amazon Command Line Interface(Amazon CLI)中的 register-patch-baseline-for-patch-group 命令配置补丁组。
-