Tutorial: Erstellen Sie ein Wartungsfenster für das Patchen mithilfe der Konsole - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Erstellen Sie ein Wartungsfenster für das Patchen mithilfe der Konsole

Wichtig

Sie können dieses ältere Thema weiterhin zum Erstellen eines Wartungsfensters zum Patchen verwenden. Wir empfehlen jedoch, stattdessen eine Patch-Richtlinie zu verwenden. Weitere Informationen erhalten Sie unter Patch-Richtlinienkonfigurationen in Quick Setup und Patching für Instanzen in einer Organisation konfigurieren.

Um die Auswirkungen auf die Verfügbarkeit Ihres Servers zu minimieren, empfehlen wir, ein Wartungsfenster zu konfigurieren, um die Patches dann einzuspielen, wenn der Geschäftsbetrieb dadurch nicht unterbrochen wird.

Sie müssen Rollen und Berechtigungen fürMaintenance Windows, eine Fähigkeit von, konfigurieren AWS Systems Manager, bevor Sie mit diesem Verfahren beginnen. Weitere Informationen finden Sie unter Einrichten von Maintenance Windows.

So erstellen Sie ein Wartungsfenster für das Einspielen von Patches

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Maintenance Windows aus.

  3. Wählen Sie Create maintenance window (Wartungsfenster erstellen) aus.

  4. Geben Sie im Feld Name einen Namen ein, aus dem hervorgeht, dass das Wartungsfenster für das Einspielen von kritischen und wichtigen Updates verwendet wird.

  5. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  6. Wählen Sie Allow unregistered targets (Nicht registrierte Ziele erlauben), wenn Sie erlauben möchten, dass eine Wartungsfensteraufgabe auf verwalteten Knoten ausgeführt wird, obwohl diese Knoten nicht als Ziele registriert wurden.

    Falls Sie diese Option wählen, können Sie die nicht registrierten Knoten (nach Knoten-ID) auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.

    Sollten Sie diese Option nicht wählen, müssen Sie die zuvor registrierten Ziele auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.

  7. Geben Sie oben im Abschnitt Schedule (Zeitplan) einen Zeitplan für das Wartungsfenster an, indem Sie eine der drei Planungsoptionen verwenden.

    Weitere Informationen zum Erstellen von CRON-/Rate-Ausdrücken finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

  8. Geben Sie unter Duration (Dauer) die Anzahl der Stunden ein, die das Wartungsfenster ausgeführt wird. Der Wert, den Sie angeben, bestimmt die spezifische Endzeit für das Wartungsfenster basierend auf dem Zeitpunkt, an dem es beginnt. Nach der resultierenden Endzeit dürfen keine Wartungsfenster-Aufgaben gestartet werden, abzüglich der Anzahl der Stunden, die Sie für Stop initiating tasks (Initiieren von Aufgaben beenden) im nächsten Schritt angeben.

    Beispiel: Wenn das Wartungsfenster um 15:00 Uhr beginnt, die Dauer drei Stunden beträgt und der Wert Stop initiating tasks (Initiieren von Aufgaben beenden) eine Stunde beträgt, können nach 17:00 Uhr keine Wartungsfenster-Aufgaben gestartet werden.

  9. Geben Sie unter Stop initiating tasks (Initiieren von Aufgaben beenden) die Anzahl der Stunden für den Zeitpunkt vor dem Ende des Wartungsfensters an, ab dem vom System keine neuen auszuführenden Aufgaben mehr geplant werden sollen.

  10. (Optional) Geben Sie für das Startdatum des Fensters ein Datum und eine Uhrzeit im Format ISO -8601 Extended an, ab dem das Wartungsfenster aktiv werden soll. Auf diese Weise können Sie die Aktivierung des Wartungsfensters bis zum angegebenen künftigen Zeitpunkt verzögern.

  11. (Optional) Geben Sie für das Enddatum des Fensters ein Datum und eine Uhrzeit im Format ISO -8601 Extended an, für den Zeitpunkt, an dem das Wartungsfenster inaktiv werden soll. Auf diese Weise können Sie ein in der Zukunft liegendes Datum sowie eine Uhrzeit festlegen, nach dem das Wartungsfenster nicht mehr ausgeführt wird.

  12. (Optional) Geben Sie im Format Internet Assigned Numbers Authority () im Format Internet Assigned Numbers Authority () die Zeitzone an, auf der die Ausführung von geplanten Wartungsfenstern basieren soll. IANA Zum Beispiel: „America/Los_Angeles“, „UTCetc/“ oder „Asia/Seoul“.

    Weitere Informationen zu gültigen Formaten finden Sie in der Time Zone Database auf der Website. IANA

  13. (Optional) Weisen Sie im Abschnitt Manage tags (Tags verwalten) dem Wartungsfenster ein oder mehrere Tag-Schlüsselname-Wert-Paare zu.

    Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Möglicherweise möchten Sie dieses Wartungsfenster mit einem Tag versehen, um die Art der darin ausgeführten Aufgaben zu identifizieren. In diesem Fall könnten Sie das folgende Schlüsselname/Wert-Paar angeben:

    • Key=TaskType,Value=Patching

  14. Wählen Sie Create maintenance window (Wartungsfenster erstellen) aus.

  15. Wählen Sie in der Liste mit den Wartungsfenstern das gerade erstellte Wartungsfenster aus und klicken Sie anschließend auf Actions (Aktionen), Register targets (Ziele registrieren).

  16. (Optional) Geben Sie im Abschnitt Maintenance window target details einen Namen, eine Beschreibung und Eigentümerinformationen (Ihren Namen oder Alias) für dieses Ziel an.

  17. Wählen Sie für die Zielauswahl die Option Instanz-Tags angeben aus.

  18. Geben Sie unter Instanz-Tags angeben einen Tag-Schlüssel und einen Tag-Wert ein, um die Knoten zu identifizieren, die im Wartungsfenster registriert werden sollen, und wählen Sie dann Hinzufügen.

  19. Wählen Sie Register target. Das System erstellt ein Ziel für das Wartungsfenster.

  20. Wählen Sie auf der Detailseite des von Ihnen erstellten Wartungsfensters Actions (Aktionen), Register Run command task (Ausführungsbefehlaufgabe registrieren) aus.

  21. (Optional) Geben Sie im Abschnitt Maintenance window task details (Aufgabendetails für Wartungszeitraum) einen Namen und eine Beschreibung für diese Aufgabe an.

  22. Wählen Sie unter Command document (Befehlsdokument) die Option AWS-RunPatchBaseline aus.

  23. Wählen Sie für Task priority (Aufgabenpriorität) eine Priorität aus. Null (0) ist die höchste Priorität.

  24. Wählen Sie für Targets (Ziele) unter Target by (Auswahl nach) das Wartungsfensterziel aus, das Sie zuvor erstellt haben.

  25. Für Rate control (Ratenregelung):

    • Geben Sie unter Concurrency (Nebenläufigkeit) entweder eine Zahl oder einen Prozentsatz der verwalteten Knoten an, auf denen der Befehl gleichzeitig ausgeführt werden soll.

      Anmerkung

      Wenn Sie Ziele ausgewählt haben, indem Sie Tags angeben, die auf verwaltete Knoten angewendet werden, oder indem Sie AWS -Ressourcengruppen angeben, und Sie noch nicht sicher sind, wie viele verwaltete Knoten anvisiert sind, sollten Sie die Anzahl von Zielen, die das Dokument gleichzeitig ausführen kann, beschränken, indem Sie einen Prozentsatz angeben.

    • Geben Sie unter Error threshold (Fehlerschwellenwert) an, wann die Ausführung des Befehls auf anderen verwalteten Knoten beendet werden soll, nachdem dafür entweder auf einer bestimmten Anzahl oder einem Prozentsatz von Knoten ein Fehler aufgetreten ist. Falls Sie beispielsweise drei Fehler angeben, sendet Systems Manager keinen Befehl mehr, wenn der vierte Fehler empfangen wird. Von verwalteten Knoten, auf denen der Befehl noch verarbeitet wird, werden unter Umständen ebenfalls Fehler gesendet.

  26. (Optional) Wählen Sie für die IAMServicerolle eine Rolle aus, die Systems Manager bei der Ausführung einer Wartungsfensteraufgabe übernehmen soll.

    Wenn Sie keine Servicerolle angebenARN, verwendet Systems Manager eine dienstverknüpfte Rolle in Ihrem Konto. Wenn in Ihrem Konto keine geeignete serviceverknüpfte Rolle für Systems Manager vorhanden ist, wird sie erstellt, wenn die Aufgabe erfolgreich registriert wurde.

    Anmerkung

    Um die Sicherheit zu verbessern, empfehlen wir dringend, eine benutzerdefinierte Richtlinie und eine benutzerdefinierte Servicerolle für die Ausführung Ihrer Aufgaben im Wartungsfenster zu erstellen. Die Richtlinie kann so gestaltet werden, dass sie nur die Berechtigungen gewährt, die für Ihre speziellen Wartungsfensteraufgaben erforderlich sind. Weitere Informationen finden Sie unter Einrichten von Maintenance Windows.

  27. (Optional) Wenn Sie im Abschnitt Ausgabeoptionen die Befehlsausgabe in einer Datei speichern möchten, aktivieren Sie das Kontrollkästchen Schreiben der Ausgabe in S3 aktivieren. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.

    Anmerkung

    Die S3-Berechtigungen, die das Schreiben der Daten in einen S3-Bucket ermöglichen, entsprechen denen des Instanzprofils, das dem verwalteten Knoten zugewiesen ist, und nicht denen des IAM Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen oder Erstellen einer IAM Servicerolle für eine Hybridumgebung. Wenn sich der angegebene S3-Bucket in einem anderen befindet, stellen Sie außerdem sicher AWS-Konto, dass das Instanzprofil oder die IAM Servicerolle, die dem verwalteten Knoten zugeordnet sind, über die erforderlichen Berechtigungen verfügt, um in diesen Bucket zu schreiben.

    Um die Ausgabe in eine Amazon CloudWatch Logs-Protokollgruppe zu streamen, wählen Sie das CloudWatch Ausgabefeld aus. Geben Sie den Namen der Protokollgruppe in das Feld ein.

  28. Wenn Sie möchten, dass SNSBenachrichtigungen über den Status der Befehlsausführung gesendet werden, aktivieren Sie im Bereich Benachrichtigungen das Kontrollkästchen SNSBenachrichtigungen aktivieren.

    Weitere Informationen zur Konfiguration von SNS Amazon-Benachrichtigungen für Run Command finden Sie unterÜberwachung von Systems Manager Manager-Statusänderungen mithilfe von SNS Amazon-Benachrichtigungen.

  29. Für Parameters (Parameter):

    • Wählen Sie in der Liste Operation (Vorgang) die Option Scan (Scannen), um nach fehlenden Patches zu suchen, oder wählen Sie Install (Installieren), um nach fehlenden Patches zu suchen und diese direkt zu installieren.

    • Sie brauchen keine Angaben für das Feld Snapshot Id (Snapshot-ID) zu machen. Das System generiert diesen Parameter automatisch und stellt ihn bereit.

    • Sie müssen nichts in das Feld Install Override List (Überschreibungsliste installieren) eingeben, es sei denn, Sie möchten, dass Patch Manager einen anderen Patch als für die Patch-Baseline angegeben verwenden soll. Weitere Informationen finden Sie unter Parametername: InstallOverrideList.

    • Geben Sie für an RebootOption, ob Knoten neu gestartet werden sollen, wenn während des Install Vorgangs Patches installiert werden, oder ob andere Patches Patch Manager erkannt werden, die seit dem letzten Knotenneustart installiert wurden. Weitere Informationen finden Sie unter Parametername: RebootOption.

    • (Optional) Geben Sie im Feld Comment (Kommentar) eine Verfolgungsnotiz oder Erinnerung zu diesem Befehl ein.

    • Geben Sie im Feld Timeout (seconds) (Timeout (Sekunden)) die Anzahl der Sekunden ein, die das System warten soll, bis der Vorgang beendet ist, bevor er als nicht erfolgreich eingestuft wird.

  30. Wählen Sie Register Run command task.

Nachdem die Aufgabe im Wartungsfenster abgeschlossen ist, können Sie die Details zur Patch-Konformität in der Systems Manager Manager-Konsole in der Fleet ManagerFunktion einsehen.

Sie können die Compliance-Informationen auch in der Patch ManagerFunktion auf der Registerkarte Compliance-Berichte einsehen.

Sie können auch das DescribePatchGroupStateund verwenden DescribeInstancePatchStatesForPatchGroupAPIs, um Compliance-Details einzusehen. Weitere Informationen zu Patch-Compliance-Daten finden Sie unter Info zu Patch Compliance.