Démonstration : création d'une fenêtre de maintenance pour l'application des correctifs (console) - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démonstration : création d'une fenêtre de maintenance pour l'application des correctifs (console)

Important

Vous pouvez continuer à utiliser cette rubrique existante pour créer une fenêtre de maintenance afin d'appliquer des correctifs. Toutefois, nous vous recommandons plutôt d'utiliser une politique de correctifs. Pour plus d’informations, consultez Utilisation des stratégies de correctifs Quick Setup et Configuration de l'application de correctifs pour les instances d'une organisation.

Pour minimiser l'impact sur la disponibilité de votre serveur, nous vous recommandons de configurer une fenêtre de maintenance pour exécuter l'application des correctifs au cours de périodes qui ne perturberont pas vos opérations professionnelles. Pour de plus amples informations sur les fenêtres de maintenance, consultez AWS Systems Manager Maintenance Windows.

Vous devez configurer les rôles et les autorisations pourMaintenance Windows, une fonctionnalité de AWS Systems Manager, avant de commencer cette procédure. Pour de plus amples informations, veuillez consulter Configuration de Maintenance Windows.

Pour créer une fenêtre de maintenance pour l'application des correctifs

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Maintenance Windows.

  3. Sélectionnez Create maintenance window (Créer une fenêtre de maintenance).

  4. Dans Name (Nom), entrez un nom désignant la fenêtre de maintenance pour l'application des correctifs correspondant aux mises à jour critiques et importantes.

  5. Pour Description, entrez une description.

  6. Sélectionnez Allow unregistered targets (Autoriser les cibles non enregistrées) si vous souhaitez autoriser l'exécution d'une tâche de fenêtre de maintenance sur des nœuds gérés, même si vous n'avez pas enregistré ces nœuds comme cibles. Lorsque vous sélectionnez cette option, vous pouvez sélectionner les nœuds non enregistrés (par ID de nœud) lorsque vous enregistrez une tâche auprès de la fenêtre de maintenance.

    Si vous ne sélectionnez pas cette option, vous devez choisir des cibles enregistrées au préalable lorsque vous enregistrez une tâche avec la fenêtre de maintenance.

  7. En haut de la section Schedule (Planification) spécifiez un programme pour la fenêtre de maintenance à l'aide de l'une des trois options de planification.

    Pour plus d'informations sur la génération d'expressions cron/rate, consultez Référence : Expressions Cron et Rate pour Systems Manager.

  8. Pour Durée, entrez le nombre d'heures pendant lequel la fenêtre de maintenance devra s'exécuter. La valeur que vous spécifiez détermine l'heure de fin de la fenêtre de maintenance en fonction de l'heure de démarrage. Aucune tâche de fenêtre de maintenance n'est autorisée à démarrer après l'heure de fin résultante moins le nombre d'heures que vous spécifiez pour Stop initiating tasks (Arrêt de l'initialisation de tâches) à l'étape suivante.

    Par exemple, si la fenêtre de maintenance commence à 15 h, que la durée est de trois heures et que la valeur de Stop initiating tasks (Arrêt de l'initialisation de tâches) est d'une heure, aucune tâche de fenêtre de maintenance ne peut commencer après 17 h.

  9. Dans le champ Stop initiating tasks (Arrêter le lancement des tâches), entrez le nombre d'heures avant la fin de la fenêtre de maintenance pendant lequel le système doit cesser de planifier l'exécution de nouvelles tâches.

  10. (Facultatif) Pour Date de début (facultatif), spécifiez la date et l'heure, au format ISO -8601 Extended, auxquelles vous souhaitez que la fenêtre de maintenance devienne active. Cela vous permet de retarder l'activation de la fenêtre de maintenance jusqu'à la date ultérieure spécifiée.

  11. (Facultatif) Pour Date de fin (facultatif), spécifiez une date et une heure, au format ISO -8601 Extended, auxquelles vous souhaitez que la fenêtre de maintenance devienne inactive. Cela vous permet de définir une date et une heure futures après lesquelles la fenêtre de maintenance ne s'exécutera plus.

  12. (Facultatif) Pour Fuseau horaire (facultatif), spécifiez le fuseau horaire sur lequel baser les exécutions des fenêtres de maintenance planifiées, au format Internet Assigned Numbers Authority (IANA). Par exemple : « America/Los_Angeles », « etc/ » ou « UTC Asia/Séoul ».

    Pour plus d'informations sur les formats valides, consultez la base de données des fuseaux horaires sur le IANA site Web.

  13. Sélectionnez Create maintenance window (Créer une fenêtre de maintenance).

  14. Dans la liste des fenêtres de maintenance, sélectionnez la fenêtre de maintenance que vous venez de créer, puis sélectionnez Actions, Register targets (Enregistrer les cibles).

  15. (Facultatif) Dans la section Maintenance window target details (Détails de la cible de la fenêtre de maintenance), fournissez un nom, une description et des informations sur le propriétaire (votre nom ou pseudo) pour cette cible.

  16. Pour Targets (Cibles), sélectionnez Specifying instance tags (Spécification des balises d'instance).

  17. Dans Instance tags (Balises d'instance), saisissez une clé et une valeur de balise pour identifier les nœuds à enregistrer auprès de la fenêtre de maintenance, puis sélectionnez Add (Ajouter).

  18. Sélectionnez Register target (Enregistrer la cible). Le système crée une cible de fenêtre de maintenance.

  19. Dans la page des détails de la fenêtre de maintenance que vous avez créée, sélectionnez Actions, Register run command task (Enregistrer une tâche d'exécution de commande).

  20. (Facultatif) Dans Maintenance window task details (Détails de la tâche de fenêtre de maintenance), attribuez un nom et une description à cette tâche.

  21. Pour Command document (Document de commande), sélectionnez AWS-RunPatchBaseline.

  22. Pour Task priority (Priorité de tâche), sélectionnez une priorité. Zéro (0) est la priorité la plus élevée.

  23. Dans Targets (Cibles), sous Target by (Cible par), sélectionnez la cible de fenêtre de maintenance que vous avez créée précédemment dans cette procédure.

  24. Pour Rate control (Contrôle de débit) :

    • Dans Concurrency (Simultanéité), spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.

      Note

      Si vous avez sélectionné des cibles en spécifiant les balises appliquées aux nœuds gérés ou en spécifiant des groupes de ressources AWS , et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles autorisées à exécuter simultanément le document en indiquant un pourcentage.

    • Dans Error threshold (Seuil d'erreur), indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

  25. (Facultatif) Pour le rôle de IAM service, choisissez un rôle qui fournira les autorisations que Systems Manager pourra assumer lors de l'exécution d'une tâche pendant la fenêtre de maintenance.

    Si vous ne spécifiez aucun rôle de serviceARN, Systems Manager utilise un rôle lié au service dans votre compte. S'il n'existe aucun rôle lié à un service approprié pour Systems Manager dans votre compte, il est créé lorsque la tâche est enregistrée avec succès.

    Note

    Pour améliorer le niveau de sécurité, nous vous recommandons vivement de créer une politique personnalisée et un rôle de service personnalisé pour exécuter les tâches de votre fenêtre de maintenance. La politique peut être conçue pour fournir uniquement les autorisations nécessaires pour les tâches spécifiques de votre fenêtre de maintenance. Pour de plus amples informations, veuillez consulter Utiliser la console pour configurer les autorisations pour les fenêtres de maintenance.

  26. (Facultatif) Dans Output options (Options de sortie), pour enregistrer la sortie de la commande dans un fichier, sélectionnez Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3) Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.

    Note

    Les autorisations S3 qui permettent d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'IAMutilisateur effectuant cette tâche. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager ou Créer un rôle de IAM service pour un environnement hybride. En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, vérifiez que le profil d'instance ou le rôle de IAM service associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

    Pour diffuser la sortie vers un groupe de CloudWatch journaux Amazon Logs, cochez la case CloudWatch de sortie. Saisissez le nom du groupe de journaux dans la zone.

  27. Dans la section SNSdes notifications, si vous souhaitez que des notifications soient envoyées concernant le statut de l'exécution de la commande, cochez la case Activer SNS les notifications.

    Pour plus d'informations sur la configuration SNS des notifications Amazon pourRun Command, consultezSurveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS.

  28. Pour Parameters (Paramètres) :

    • Pour Operation (Opération), sélectionnez Scan (Analyser) afin de rechercher les correctifs manquants, ou sélectionnez Install (Installer) pour rechercher et installer les correctifs manquants.

    • Vous n'avez pas besoin de spécifier quoi que ce soit dans le champ Snapshot Id (ID d'instantané). Ce système génère et fournit ce paramètre automatiquement.

    • Vous n'avez pas besoin de saisir quoi que ce soit dans le champ Install Override List (Liste de remplacement d'installation) sauf si vous souhaitez que Patch Manager utilise un jeu de correctifs différent de celui spécifié pour le référentiel de correctifs. Pour plus d'informations, consultez Nom du paramètre: InstallOverrideList.

    • Dans Reboot option (Option de redémarrage), indiquez si vous souhaitez que les nœuds redémarrent si des correctifs sont installés pendant l'opération Install, ou si Patch Manager détecte que d'autres correctifs ont été installés depuis le dernier redémarrage du nœud. Pour plus d'informations, consultez Nom du paramètre: RebootOption.

    • (Facultatif) Pour Comment (Commentaire), entrez une note de suivi ou un rappel concernant cette commande.

    • Pour Timeout (seconds) (Délai (secondes)), entrez le nombre de secondes durant lesquelles le système doit attendre que l'opération se termine avant que celle-ci ne soit considérée comme ayant échoué.

  29. Sélectionnez Register run command task (Enregistrer une tâche d'exécution de commande).

Une fois la tâche de la fenêtre de maintenance terminée, vous pouvez consulter les détails de conformité du correctif dans la console Systems Manager, sur la page Instances gérées. Dans la barre de filtre, utilisez les filtres AWS:PatchSummary et AWS:PatchCompliance.

Note

Vous pouvez enregistrer votre requête en l'ajoutant à vos favoris URL après avoir défini les filtres.

Vous pouvez également explorer un nœud spécifique en le sélectionnant sur la page Managed Instances (Instances gérées), puis en choisissant l'onglet Patch (Correctif). Vous pouvez également utiliser le DescribePatchGroupStateet DescribeInstancePatchStatesForPatchGroupAPIspour consulter les détails de conformité. Pour plus d'informations sur les données de conformité des correctifs, consultez A propos de la conformité des correctifs.