创建用于修补的维护时段 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建用于修补的维护时段

重要

您可以继续使用此早期主题来创建用于修补的维护时段。但是,我们建议改用 Configure patching (配置修补) 页面。有关更多信息,请参阅创建修补配置(控制台). 尽管许多修补使用案例都受益于使用维护时段按计划修补实例,但您也可以在没有维护时段的情况下手动运行一次性修补操作。有关更多信息,请参阅按需修补实例.

为了最大程度减少对服务器可用性的影响,我们建议您将维护时段配置为在不中断业务运营的时间运行修补。有关维护时段的更多信息,请参阅AWS Systems Manager 维护时段.

您必须先为维护时段配置角色和权限,然后才能开始此过程。有关更多信息,请参阅设置 维护时段.

创建维护时段以进行修补

  1. 通过以下网址打开 AWS Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/

  2. 在导航窗格中,选择维护时段

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后选择 维护时段

  3. 选择 Create maintenance window.

  4. 对于 Name (名称),输入一个名称,该名称将此维护时段指定为用于修补关键更新和重要更新的维护时段。

  5. 对于 Description (描述),输入描述。

  6. 如果要允许维护时段任务在托管实例上运行(即使您尚未将这些实例注册为目标),请选择 Allow unregistered targets (允许已注销的目标)。如果选择了此选项,您在将任务注册到维护时段时就可以选择已注销实例(按实例 ID)。

    如果未选择此选项,您在将任务注册到维护时段时就必须选择之前注册的目标。

  7. Schedule (计划) 部分的顶部,使用三个计划选项之一指定维护时段的计划。

    有关构建 cron/rate 表达式的信息,请参阅参考: 的 Cron 和 Rate 表达式Systems Manager.

  8. 对于 Duration,键入维护时段将运行的小时数。您指定的值根据维护时段的开始时间确定维护时段的具体结束时间。在生成的结束时间减去您在下一步中为 Stop initiating tasks (停止启动任务) 指定的小时数后,不允许启动维护时段任务

    例如,如果维护时段从下午 3 点开始,持续时间为 3 小时,而 Stop initiating tasks (停止启动任务) 值为 1 小时,则下午 5 点之后将无法启动任何维护时段任务。

  9. 对于 Stop initiating tasks (停止启动任务),输入系统应该在维护时段结束前几小时停止计划要运行的新任务。

  10. (可选)对于 Start date (optional) (开始日期(可选)),以 ISO-8601 扩展格式指定您希望维护时段变为活动状态的日期和时间。这让您可以将维护时段的激活时间推迟到指定的将来日期。

  11. (可选)对于 End date (optional) (结束日期(可选)),以 ISO-8601 扩展格式指定您希望维护时段变为不活动状态的日期和时间。这样可以设置在某个未来的日期和时间后不再运行维护时段。

  12. (可选)对于 Time zone (optional) (时区(可选)),以 Internet Assigned Numbers Authority (IANA) 格式指定计划的维护时段执行所基于的时区。例如:“America/Los_Angeles”、“etc/UTC”或“Asia/Seoul”。

    有关有效格式的更多信息,请参阅 IANA 网站上的时区数据库

  13. 选择 Create maintenance window.

  14. 在维护时段列表中,选择您刚刚创建的维护时段,然后选择操作注册目标.

  15. (可选)在 Maintenance window target details (维护时段目标详细信息) 部分中,为此目标提供名称、描述和所有者信息(您的姓名或别名)。

  16. 对于 Targets (目标),选择 Specifying instance tags (指定实例标签).

  17. 对于 Instance tags (实例标签),输入标签键和标签值来标识要注册到维护时段的实例,然后选择 Add (添加).

  18. 选择注册目标. 系统会创建维护时段目标。

  19. 在创建的维护时段的详细信息页面中,选择 Actions (操作)Register Run command task (注册 Run Command 任务).

  20. (可选)对于 Maintenance window task details (维护时段任务详细信息),为此任务提供名称和描述。

  21. 对于 Command document (命令文档),选择 AWS-RunPatchBaseline.

  22. 对于 Task priority (任务优先级),选择一个优先级。零 (0) 是最高优先级。

  23. 对于 Targets (目标),在 Target by (目标依据) 下,选择您在此过程的前面创建的维护时段目标。

  24. 对于 Rate control (速率控制)

    • 对于并发,请指定要同时运行该命令的实例数或百分比。

      注意

      如果通过指定应用于托管实例的标记或通过指定 AWS 资源组选择了目标,并且您不确定针对的是多少实例,则可以通过指定百分比来限制可同时运行此文档的实例的数量。

    • 对于错误阈值,请指定在一定数量或百分比的实例上失败后何时在其他实例上停止运行该命令。例如,如果您指定三个错误,Systems Manager 将在收到第四个错误时停止发送该命令。仍在处理命令的实例也可能发送错误。

  25. 对于 IAM service role (服务角色),选择以下选项之一Systems Manager,以便为 提供在目标实例上运行任务的权限:

    • 为 创建和使用服务相关角色 Systems Manager

      服务相关角色提供了一种将权限委托给 AWS 服务的安全方式,因为只有相关服务才能担任服务相关角色。此外,AWS 会自动定义和设置服务相关角色的权限,具体取决于该相关角色代表您所执行的操作。

      注意

      如果已为账户创建服务相关角色,请选择 Use the service-linked role for Systems Manager (将服务相关角色用于 Systems Manager).

    • 使用自定义服务角色

      如果要使用比由服务相关角色提供的权限更严格的权限,则可以为维护时段任务创建自定义服务角色。

      如果需要创建自定义服务角色,请参阅以下主题之一:

    要帮助您决定是使用自定义服务角色还是 Systems Manager 服务相关角色来运行维护时段任务,请参阅我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?.

  26. (可选)对于 Output options (输出选项),要将命令输出保存到文件,请选中 Enable writing to S3 (允许写入 S3) 框。在框中输入存储桶和前缀(文件夹)名称。

    注意

    授予将数据写入 S3 存储桶的能力的 S3 权限是分配给实例的实例配置文件的权限,而不是执行此任务的 IAM 用户的权限。有关更多信息,请参阅 为 Systems Manager 创建 IAM 实例配置文件。此外,如果指定的 S3 存储桶位于不同的 AWS 账户中,请确保与该实例关联的实例配置文件具有写入该存储桶的必要权限。

    要将输出流式传输到CloudWatch Logs日志组,请选中CloudWatch输出框。在该框中键入日志组名称。

  27. SNS 通知部分中,如果您希望发送有关命令执行状态的通知,请选中启用 SNS 通知复选框。

    有关为 Run Command 配置 Amazon SNS 通知的更多信息,请参阅使用 Systems Manager 通知监控 Amazon SNS 状态更改

  28. 对于 Parameters (参数):

    • 对于 Operation (操作),选择 Scan (扫描) 以扫描缺失的补丁,或选择 Install (安装) 以扫描并安装缺失的补丁。

    • 您不需要在 Snapshot Id (快照 ID) 字段中输入任何内容。此系统将自动生成并提供此参数。

    • 除非您要使用与为补丁基准指定的补丁集不同的补丁集,否则无需在 Install Override ListPatch Manager (安装覆盖列表) 字段中输入任何内容。有关信息,请参阅 参数名称: InstallOverrideList.

    • 对于 Reboot option (重启选项),指定您是否希望在 Install 操作期间安装补丁时重启实例,或者 Patch Manager 检测到自上次重启实例以来安装的其他补丁。有关信息,请参阅 参数名称: RebootOption.

    • (可选)对于 Comment (注释),输入有关此命令的跟踪备注或提醒。

    • 对于 Timeout (seconds) (超时 (秒)),输入系统在认为操作失败前等待操作完成的秒数。

  29. 选择注册运行命令任务.

维护时段任务完成后,您可以在 Systems Manager 控制台中的 Managed Instances (托管实例) 页面上查看补丁合规性详细信息。在筛选栏中,使用 PatchSummary PatchCompliance 筛选条件。

注意

指定筛选器后,您可以通过为 URL 添加书签来保存您的查询。

您还可以在 Managed Instances (托管实例) 页面中选择实例,然后选择 Patch (补丁) 选项卡,向下钻取到特定实例上。您还可以使用 DescribePatchGroupStateDescribeInstancePatchStatesForPatchGroup APIs 查看合规性详细信息。有关补丁合规性数据的信息,请参阅关于补丁合规性.