AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

创建用于修补的维护时段

重要

您可以继续使用此早期主题来创建用于修补的维护时段。但是,我们建议您改用 Configure patching (配置修补) 页面。有关更多信息,请参阅 创建修补配置(控制台)

为了最大程度减少对服务器可用性的影响,我们建议您将维护时段配置为在不中断业务运营的时间运行修补。有关维护时段的更多信息,请参阅AWS Systems Manager 维护时段

您必须先为维护时段配置角色和权限,然后才能开始此过程。有关更多信息,请参阅 控制对维护时段的访问权限

根据您使用的服务 (AWS Systems Manager 或 Amazon EC2 Systems Manager),请采用下列过程之一:

创建用于修补 (AWS Systems Manager)的维护时段

  1. 通过以下网址打开 AWS Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/

  2. 在导航窗格中,选择维护时段

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后选择 维护时段

  3. 选择 Create maintenance window

  4. 名称字段中输入一个名称,将其指定为用于修补关键更新和重要更新的维护时段。

  5. 计划部分顶部,选择所需的计划选项。

  6. 对于持续时间,键入您希望维护时段处于活动状态的小时数。

  7. 对于停止启动任务,键入您希望系统在维护时段周期结束前停止启动新任务的小时数。

  8. 选择 Create maintenance window

  9. 在维护时段列表中,选择您刚刚创建的维护时段,然后选择操作注册目标

  10. (可选) 在 Maintenance window target details 部分中,为此目标提供名称、描述和所有者信息 (您的姓名或别名)。

  11. 对于 Targets (目标),选择 Specifying tags (指定标签)

  12. 对于标签,输入标签键和标签值来指定要注册维护时段的实例。

  13. 选择注册目标。系统会创建维护时段目标。

  14. 在创建的维护时段的详细信息页面中,选择操作注册运行命令任务

  15. (可选)对于 Maintenance window task details (维护时段任务详细信息),为此任务提供名称和描述。

  16. 对于 Command document (命令文档),选择 AWS-RunPatchBaseline

  17. 对于 Task priority (任务优先级),选择一个优先级。One 表示最高优先级。

  18. 对于目标,在定位方式 下,选择在此过程中先前创建的维护时段目标。

  19. (可选)对于速率控制

    • 对于并发,请指定要同时运行该命令的实例数或百分比。

      注意

      如果通过选择 Amazon EC2 标签选择了目标,但不确定有多少个实例使用所选标签,则可以通过指定百分比来限制可同时运行此文档的实例的数量。

    • 对于错误阈值,请指定在一定数量或百分比的实例上失败后何时在其他实例上停止运行该命令。例如,如果您指定三个错误,Systems Manager 将在收到第四个错误时停止发送该命令。仍在处理命令的实例也可能发送错误。

  20. 对于 Role (角色),输入附加了 AmazonSSMMaintenanceWindowRole 的 IAM 角色的 ARN。有关更多信息,请参阅 控制对维护时段的访问权限

  21. 输出选项部分中,如果您要将命令输出保存到文件,请选择将命令输出写入 Amazon S3 存储桶。在框中键入存储桶和前缀 (文件夹) 名称。

    注意

    授予将数据写入 S3 存储桶的能力的 S3 权限是分配给实例的实例配置文件的权限,而不是执行此任务的 IAM 用户的权限。有关更多信息,请参阅 为 Systems Manager 创建 IAM 实例配置文件

  22. SNS 通知部分中,如果您希望发送有关命令执行状态的通知,请选中启用 SNS 通知复选框。

    有关为 Run Command 配置 Amazon SNS 通知的更多信息,请参阅为 AWS Systems Manager 配置 Amazon SNS 通知

  23. 对于 Parameters (参数)

    • 对于 Operation (操作),选择 Scan (扫描) 扫描缺失的补丁,或选择 Install (安装) 扫描并安装缺失的补丁。

      注意

      Install 操作将使实例重启 (如果已安装补丁)。Scan 操作不会导致重启。

    • 您不需要在 Snapshot Id (快照 ID) 字段中输入任何值。此系统将自动生成并提供此参数。

    • (可选)对于 Comment (注释),输入有关此命令的跟踪备注或提醒。

    • 对于Timeout (seconds) (超时 (秒)),输入系统在认为操作失败前等待操作完成的秒数。

  24. 选择注册运行命令任务

要创建用于修补的维护时段 (Amazon EC2 Systems Manager)

  1. 打开 Amazon EC2 控制台

  2. 在导航窗格中,选择 维护时段,然后选择创建维护时段

  3. 名称字段中输入一个名称,将其指定为用于修补关键更新和重要更新的维护时段。

  4. 对于 Specify schedule (指定计划),选择所需的计划选项。

  5. 对于持续时间,输入您希望维护时段处于活动状态的小时数。

  6. 对于停止启动任务,输入您希望系统在维护时段周期结束前停止启动新任务的小时数。

  7. 选择 Create maintenance window

  8. 在维护时段列表中,选择您刚刚创建的维护时段,然后选择操作注册目标

  9. (可选) 在页面顶部附近,为此目标指定名称、描述和所有者信息 (您的姓名或别名)。

  10. 选择目标方式旁边,选择指定标签

  11. 标签旁边,使用列表选择标签键和标签值。

  12. 选择注册目标。系统会创建维护时段目标。

  13. 在维护时段列表中,选择您使用该过程创建的维护时段,然后选择操作注册运行命令任务

  14. 注册运行命令任务页面的命令文档部分中,选择 AWS-RunPatchBaseline

  15. Task Priority 部分中,指定优先级。1 表示最高优先级。

  16. 目标部分中,选择选择,然后选择您在此过程中的先前创建的维护时段目标。

  17. 对于 Role (角色),输入已附加 AmazonSSMMaintenanceWindowRole 策略的角色的 ARN。有关更多信息,请参阅 控制对维护时段的访问权限

  18. 对于 Execute on (执行对象),选择 Targets (目标)Percent (百分比) 以限制系统可以同时在其中执行修补操作的实例的数目。

  19. 对于 Stop after (停止条件),指定系统停止向其他实例发送修补任务之前所允许的错误数。

  20. 对于 Operation (操作),选择 Scan (扫描) 扫描缺失的补丁,或选择 Install (安装) 扫描并安装缺失的补丁。

    注意

    Install 操作将使实例重启 (如果已安装补丁)。Scan 操作不会导致重启。

  21. 您不需要在 Snapshot Id 字段中指定任何值。此系统将自动生成并提供此参数。

  22. 高级部分中:

    • 如果要将命令输出和结果写入 Amazon S3 存储桶,请选择 Write to S3 (写入到 S3)。在框中键入存储桶和前缀名称。

    • 如果需要发送有关命令执行状态的通知,请选中 Enable SNS notifications (启用 SNS 通知) 复选框。有关为 Run Command 配置 Amazon SNS 通知的更多信息,请参阅为 AWS Systems Manager 配置 Amazon SNS 通知

  23. 选择 Register task

维护时段任务完成后,您可以在托管实例页面上的 Amazon EC2 控制台中查看补丁合规详细信息。在筛选栏中,使用 AWS:PatchSummaryAWS:ComplianceItem 筛选器。

注意

指定筛选器后,您可以通过为 URL 添加书签来保存您的查询。

您还可以通过在 Managed Instances 页面中选择实例来向下钻取到特定实例,然后选择 Patch 选项卡。您也可以使用 DescribePatchGroupStateDescribeInstancePatchStatesForPatchGroup API 来查看合规性详细信息。有关补丁合规性数据的信息,请参阅关于补丁合规性