Perbarui Windows Server AMI

AWS-UpdateWindowsAmiRunbook memungkinkan Anda untuk mengotomatiskan tugas pemeliharaan gambar di Amazon Windows Anda Amazon Machine Image (AMI) tanpa harus menulis runbook di JSON atau YAMG. Runbook ini didukung untuk Windows Server 2008 R2 atau yang lebih baru. Anda dapat menggunakan AWS-UpdateWindowsAmi runbook untuk melakukan jenis tugas berikut.

• Instal semua pembaruan Windows dan tingkatkan perangkat lunak Amazon (perilaku default).

• Instal pembaruan Windows tertentu dan tingkatkan perangkat lunak Amazon.

• Kustomisasi AMI menggunakan skrip Anda.

Sebelum Anda mulai

Sebelum Anda mulai bekerja dengan runbook, konfigurasikan peran untuk Otomatisasi guna menambahkan iam:PassRole kebijakan yang mereferensikan ARN profil instans yang ingin Anda berikan akses. Secara opsional, konfigurasikan Amazon EventBridge untuk Otomasi, alat di AWS Systems Manager. Untuk informasi selengkapnya, lihat Menyiapkan Otomatisasi. Panduan ini juga mengharuskan Anda menentukan nama profil instance AWS Identity and Access Management (IAM). Untuk informasi selengkapnya tentang membuat profil instans IAM, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

catatan

Update untuk AWS Systems Manager SSM Agent biasanya diluncurkan ke daerah yang berbeda pada waktu yang berbeda. Saat Anda menyesuaikan atau memperbarui AMI, gunakan hanya sumber yang AMIs dipublikasikan untuk wilayah tempat Anda bekerja. Ini akan memastikan bahwa Anda bekerja dengan yang terbaru SSM Agent dirilis untuk wilayah itu dan menghindari masalah kompatibilitas.

AWS-UpdateWindowsAmi runbook menerima parameter masukan berikut.

Parameter	Jenis	Deskripsi
SourceAmiId	String	(Diperlukan) Sumber AMI ID. Anda dapat secara otomatis mereferensikan Windows Server terbaru AMI ID dengan menggunakan Systems Manager Parameter Store parameter publik. Untuk informasi selengkapnya, lihat Kueri untuk Windows terbaru AMI IDs menggunakan AWS Systems Manager Parameter Store.
SubnetId	String	(Opsional) Subnet yang ingin Anda luncurkan instance sementara. Anda harus menentukan nilai untuk parameter ini jika Anda telah menghapus VPC default Anda.
IamInstanceProfileName	String	(Wajib) Nama peran profil instans IAM yang Anda buat di Konfigurasi izin instans yang diperlukan untuk Systems Manager. Peran profil instans memberikan izin otomatisasi untuk melakukan tindakan pada instans Anda, seperti menjalankan perintah atau memulai dan menghentikan layanan. Runbook hanya menggunakan nama peran profil instans.
AutomationAssumeRole	String	(Wajib) Nama peran layanan IAM yang Anda buat di Menyiapkan Otomatisasi. Peran layanan (juga disebut peran asumsi) memberikan izin Otomatisasi untuk menganggap IAM role Anda dan melakukan tindakan atas nama Anda. Misalnya, peran layanan memungkinkan Otomasi untuk membuat yang baru AMI saat menjalankan aws:createImage aksi di runbook. Untuk parameter ini, ARN lengkap mesti ditentukan.
TargetAmiName	String	(Opsional) Nama yang baru AMI setelah itu dibuat. Nama default adalah string yang dihasilkan sistem yang menyertakan sumber AMI ID, dan waktu dan tanggal pembuatan.
InstanceType	String	(Opsional) Jenis instans yang akan diluncurkan sebagai host ruang kerja. Jenis instans bervariasi menurut wilayah. Jenis default adalah t2.medium.
PreUpdateScript	String	(Opsional) Skrip untuk dijalankan sebelum memperbarui AMI. Masukkan skrip di runbook atau saat runtime sebagai parameter.
PostUpdateScript	String	(Opsional) Skrip untuk dijalankan setelah memperbarui AMI. Masukkan skrip di runbook atau saat runtime sebagai parameter.
IncludeKbs	String	(Opsional) Tentukan satu atau beberapa artikel Pangkalan Pengetahuan Microsoft (KB) IDs yang akan disertakan. Anda dapat menginstal beberapa IDs menggunakan nilai yang dipisahkan koma. Format yang valid: KB9876543 atau 9876543.
ExcludeKbs	String	(Opsional) Tentukan satu atau beberapa artikel Pangkalan Pengetahuan Microsoft (KB) IDs untuk dikecualikan. Anda dapat mengecualikan beberapa IDs menggunakan nilai yang dipisahkan koma. Format yang valid: KB9876543 atau 9876543.
Kategori	String	(Opsional)Tentukan satu kategori pembaruan atau lebih. Anda dapat memfilter kategori menggunakan nilai yang dipisahkan koma. Opsi: Pembaruan Kritis, Pembaruan Keamanan, Pembaruan Definisi, Batal Pembaruan, Paket Layanan, Alat, Pembaruan, atau Driver. Format yang valid mencakup satu entri, misalnya: Pembaruan Kritis. Atau, Anda dapat menentukan daftar yang dipisahkan koma: Pembaruan Kritis,Pembaruan Keamanan,Pembaruan Definisi.
SeverityLevels	String	(Opsional) Tentukan satu tingkat keparahan MSRC atau lebih yang terkait dengan pembaruan. Anda dapat memfilter tingkat keparahan menggunakan nilai yang dipisahkan koma. Pilihan: Kritis, Penting, Rendah, Sedang atau Tidak Ditentukan. Format yang valid mencakup satu entri, misalnya: Kritis. Atau, Anda dapat menentukan daftar yang dipisahkan koma: Kritis,Penting,Rendah.

Langkah Otomatisasi

AWS-UpdateWindowsAmi runbook mencakup beberapa langkah berikut, secara default.

Langkah 1: launchInstance (aws:runInstances tindakan)

Langkah ini meluncurkan sebuah instans dengan peran profil instans IAM dari yang ditentukan SourceAmiID.

Langkah 2: runPreUpdate Script (aws:runCommandtindakan)

Langkah ini memungkinkan Anda untuk menentukan skrip sebagai string yang berjalan sebelum pembaruan diinstal.

Langkah 3: perbarui EC2 Config (tindakan) aws:runCommand

Langkah ini menggunakan AWS-InstallPowerShellModule runbook untuk mengunduh PowerShell modul AWS publik. Systems Manager memverifikasi integritas modul dengan menggunakan hash SHA-256. Systems Manager kemudian memeriksa sistem operasi untuk menentukan apakah akan memperbarui EC2 Config atau EC2 Launch. EC2Config berjalan pada Windows Server 2008 R2 melalui Windows Server 2012 R2. EC2Peluncuran berjalan pada Windows Server 2016.

Langkah 4: perbarui SSMAgent (aws:runCommandtindakan)

Langkah ini diperbarui SSM Agent dengan menggunakan AWS-UpdateSSMAgent runbook.

Langkah 5: perbarui AWSPVDriver (aws:runCommandtindakan)

Langkah ini memperbarui driver AWS PV dengan menggunakan AWS-ConfigureAWSPackage runbook.

Langkah 6: updateAwsEna NetworkDriver (aws:runCommandtindakan)

Langkah ini memperbarui driver AWS ENA Network dengan menggunakan AWS-ConfigureAWSPackage runbook.

Langkah 7: installWindowsUpdates (aws:runCommandtindakan)

Langkah ini menginstal pembaruan Windows dengan menggunakan AWS-InstallWindowsUpdates runbook. Secara default, Systems Manager mencari dan menginstal semua pembaruan yang hilang. Anda dapat mengubah perilaku default dengan menentukan salah satu parameter berikut: IncludeKbs, ExcludeKbs, Categories, atau SeverityLevels.

Langkah 8: runPostUpdate Script (aws:runCommandtindakan)

Langkah ini memungkinkan Anda untuk menentukan skrip sebagai string yang berjalan setelah pembaruan diinstal.

Langkah 9: runSysprepGeneralize (aws:runCommandtindakan)

Langkah ini menggunakan AWS-InstallPowerShellModule runbook untuk mengunduh PowerShell modul AWS publik. Systems Manager memverifikasi integritas modul dengan menggunakan hash SHA-256. Systems Manager kemudian menjalankan sysprep menggunakan metode yang AWS didukung untuk EC2 Launch (Windows Server 2016) atau EC2 Config (Windows Server 2008 R2 hingga 2012 R2).

Langkah 10: stopInstance (aws:changeInstanceState tindakan)

Langkah ini menghentikan instans yang diperbarui.

Langkah 11: CreateImage (aws:createImage tindakan)

Langkah ini menciptakan yang baru AMI dengan nama deskriptif yang menautkannya ke ID sumber dan waktu pembuatan. Misalnya: “AMI Dihasilkan oleh EC2 Otomasi di {{global:Date_time}} from {{}SourceAmiId}” di mana DATE_TIME dan SourceID mewakili variabel Otomasi.

Langkah 12: TerminateInstance (aws:changeInstanceStatetindakan)

Langkah ini membersihkan otomatisasi dengan mengakhiri instans berjalan.

Output

Bagian ini memungkinkan Anda untuk menunjuk output dari berbagai langkah atau nilai parameter apa pun sebagai output Otomasi. Secara default, output adalah ID dari Windows yang diperbarui AMI dibuat oleh otomatisasi.

catatan

Secara default, ketika Otomatisasi menjalankan AWS-UpdateWindowsAmi runbook dan membuat instans sementara, sistem menggunakan VPC default (172.30.0.0/16). Jika Anda menghapus VPC default, Anda akan menerima kesalahan berikut:

VPC tidak didefinisikan 400

Untuk mengatasi masalah ini, Anda harus membuat salinan AWS-UpdateWindowsAmi runbook dan menentukan ID subnet. Untuk informasi selengkapnya, lihat VPC tidak didefinisikan 400.

Untuk membuat Windows yang ditambal AMI dengan menggunakan Automation

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

2. Jalankan perintah berikut untuk menjalankan AWS-UpdateWindowsAmi runbook. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri. Contoh perintah di bawah ini menggunakan Amazon baru-baru ini EC2 AMI untuk meminimalkan jumlah tambalan yang perlu diterapkan. Jika Anda menjalankan perintah ini lebih dari sekali, Anda harus menentukan nilai unik untuktargetAMIname. AMI Nama harus unik.

   aws ssm start-automation-execution \
       --document-name="AWS-UpdateWindowsAmi" \
       --parameters SourceAmiId='AMI ID',IamInstanceProfileName='IAM instance profile',AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole'

   Perintah mengembalikan ID eksekusi. Salin ID ini ke clipboard. Anda akan menggunakan ID ini untuk melihat status otomatisasi.

   {
       "AutomationExecutionId": "automation execution ID"
   }

3. Untuk melihat otomatisasi menggunakan AWS CLI, jalankan perintah berikut:

   aws ssm describe-automation-executions

4. Untuk melihat detail tentang kemajuan otomatisasi, jalankan perintah berikut.

   aws ssm get-automation-execution 
       --automation-execution-id automation execution ID

catatan

Tergantung pada jumlah patch yang diterapkan, untuk menyelesaikan proses patch Windows berjalan dalam otomatisasi sampel ini membutuhkan waktu 30 menit atau lebih.