Spiegazione passo per passo: creazione di una finestra di manutenzione per l'applicazione di patch (console) - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Spiegazione passo per passo: creazione di una finestra di manutenzione per l'applicazione di patch (console)

Importante

Puoi continuare a usare questo argomento legacy per creare una finestra di manutenzione per l'applicazione di patch. Consigliamo, tuttavia, di utilizzare una policy di patch. Per ulteriori informazioni, consulta Utilizzo delle policy di patch di Quick Setup e Configurare l'applicazione di patch per le istanze di un'organizzazione.

Per ridurre al minimo l'impatto sulla disponibilità dei server, ti consigliamo di configurare una finestra di manutenzione per eseguire l'applicazione di patch in orari che non interrompano le attività aziendali. Per ulteriori informazioni sulla finestra di manutenzione, consulta AWS Systems Manager Maintenance Windows.

È necessario configurare ruoli e autorizzazioni perMaintenance Windows, una funzionalità di AWS Systems Manager, prima di iniziare questa procedura. Per ulteriori informazioni, consulta Configurazione di Maintenance Windows.

Per creare una finestra di manutenzione per l'applicazione di patch

  1. Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Maintenance Windows.

  3. Scegliere Create maintenance window (Crea finestra di manutenzione).

  4. Nel campo Name (Nome) immettere un nome che lo indichi come una finestra di manutenzione per l'applicazione di aggiornamenti critici e importanti.

  5. In Description (Descrizione), inserire una descrizione.

  6. Scegli Allow unregistered targets (Consenti destinazioni non registrate) per consentire a un'attività di una finestra di manutenzione di essere eseguita su nodi gestiti, anche se tali nodi non sono stati registrati come destinazioni. Se si sceglie questa opzione, è possibile scegliere i nodi non registrati (per ID nodo) quando si registra un'attività sulla finestra di manutenzione.

    Se non si sceglie questa opzione, è necessario scegliere destinazioni precedentemente registrate quando si registra un'attività sulla finestra di manutenzione.

  7. Nella parte superiore della sezione Schedule (Pianificazione), specificare una pianificazione per la finestra di manutenzione utilizzando una delle tre opzioni di pianificazione.

    Per ulteriori informazioni sulla definizione di espressioni cron/rate, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  8. Per Duration (Durata), inserire il numero di ore di esecuzione della finestra di manutenzione. Il valore specificato determina l'ora di fine specifica per la finestra di manutenzione in base all'ora di inizio. Nessuna attività della finestra di manutenzione può essere avviata dopo l'ora di fine risultante meno il numero di ore specificato per Arresta l'inizializzazione di attività nella fase successiva.

    Ad esempio, se la finestra di manutenzione inizia alle 15:00, la durata è di tre ore e il valore Stop initiating tasks (Arresta l'inizializzazione di attività) è un'ora, nessuna attività della finestra di manutenzione può iniziare dopo le 17:00.

  9. In Stop initiating tasks (Interrompi l'avvio delle attività), inserire il numero di ore prima del termine della finestra di manutenzione a partire dalle quali il sistema deve interrompere la pianificazione dell'esecuzione di nuove attività.

  10. (Facoltativo) In Start date (optional) (Data di avvio, facoltativo), specificare una data e un'ora nel formato ISO-8601 Extended che indichi il momento dell'attivazione della finestra di manutenzione. In questo modo è possibile ritardare l'attivazione della finestra di manutenzione fino alla data futura indicata.

  11. (Facoltativo) In End date (optional) (Data di fine, facoltativo), specificare una data e un'ora nel formato ISO-8601 Extended che indichi il momento della disattivazione della finestra di manutenzione. In questo modo è possibile impostare una data e un'ora nel futuro in cui la finestra di manutenzione non sarà più in esecuzione.

  12. (Facoltativo) In Time zone (optional) (Fuso orario, facoltativo), specificare il fuso orario su cui deve essere basata la pianificazione delle esecuzioni della finestra di manutenzione, nel formato IANA (Internet Assigned Numbers Authority). Ad esempio: "America/Los_Angeles", "etc/UTC" o "Asia/Seul".

    Per ulteriori informazioni sui formati validi, consulta il Database dei fusi orari sul sito web IANA.

  13. Scegliere Create maintenance window (Crea finestra di manutenzione).

  14. Nell'elenco delle finestre di manutenzione, scegliere la finestra di manutenzione appena creata, quindi scegliere Actions (Operazioni), Register targets (Registra destinazioni).

  15. (Facoltativo) Nella sezione Maintenance window target details (Dettagli della finestra di manutenzione di destinazione), specificare il nome, la descrizione e le informazioni sul proprietario (il proprio nome o alias) per la destinazione.

  16. In Targets (Destinazioni) scegliere Specifying instance tags (Specifica di tag delle istanze).

  17. In Instance tags (Tag delle istanze), immetti una chiave e un valore di tag per identificare i nodi da registrare nella finestra di manutenzione, quindi scegli Add (Aggiungi).

  18. Scegliere Register target (Registra destinazione). Il sistema crea una finestra di manutenzione di destinazione.

  19. Nella pagina dei dettagli della finestra di manutenzione creata, scegliere Actions (Operazioni), Register Run command task (Registra attività di esecuzione comandi).

  20. (Facoltativo) In Maintenance window task details (Dettagli attività finestra di manutenzione) fornire il nome e la descrizione dell'attività.

  21. Per Command document (Documento comando), scegliere AWS-RunPatchBaseline.

  22. Per Priorità attività, scegliere una priorità. Zero (0) indica la priorità più elevata.

  23. In Targets (Destinazioni), sotto Target by (Destinazione di), scegliere la finestra di manutenzione di destinazione creata precedentemente in questa procedura.

  24. In Rate control (Controllo velocità):

    • In Concurrency (Simultaneità), specificare un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.

      Nota

      Se sono state selezionate le destinazioni specificando i tag applicati ai nodi gestiti o specificando gruppi di risorse AWS , e non si conosce con certezza il numero di nodi gestiti di destinazione, limitare il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.

    • Per Error threshold (Soglia di errore) specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se ad esempio si specificano 3 errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.

  25. (Facoltativo) Per il ruolo di servizio IAM, scegli un ruolo per fornire le autorizzazioni a Systems Manager da assumere durante l'esecuzione di un'attività della finestra di manutenzione.

    Se non si specifica un ruolo di servizio ARN, Systems Manager utilizza un ruolo collegato al servizio nell'account. Se nell'account non esiste un ruolo collegato al servizio appropriato per Systems Manager, questo viene creato quando l'attività viene registrata correttamente.

    Nota

    Per migliorare il livello di sicurezza, consigliamo vivamente di creare una politica personalizzata e un ruolo di servizio personalizzato per l'esecuzione delle attività della finestra di manutenzione. La policy può essere creata per fornire solo le autorizzazioni necessarie per le specifiche attività della finestra di manutenzione. Per ulteriori informazioni, consulta Utilizzo della console per configurare le autorizzazioni per le finestre di manutenzione.

  26. (Opzionale) In Output optione (Opzioni di output), per salvare l'output del comando in un file, selezionare la casella Enable writing output to S3 (Abilita scrittura in S3). Digitare i nomi del bucket e del prefisso (cartella) nelle caselle.

    Nota

    Le autorizzazioni S3 che assegnano la possibilità di scrivere dati in un S3 Bucket sono quelle del profilo del nodo e non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta Configurare le autorizzazioni di istanza richieste per Systems Manager o Creare un ruolo di servizio IAM per un ambiente ibrido. Inoltre, se il bucket S3 specificato si trova in un altro bucket Account AWS, verifica che il profilo di istanza o il ruolo del servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.

    Per trasmettere l'output a un gruppo di log di Amazon CloudWatch Logs, seleziona la casella CloudWatch di output. Inserisci il nome del gruppo di log nella casella.

  27. Nella sezione SNS notifications (Notifiche SNS), se si desidera che vengano inviate notifiche sullo stato di esecuzione del comando, selezionare la casella di controllo Enable SNS notifications (Abilita notifiche SNS).

    Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS.

  28. In Parametri:

    • Nell'elenco Operation (Operazione) scegliere Scan (Scansione) per cercare le patch mancanti oppure Install (Installa) per cercare e installare le patch mancanti.

    • Non è necessario specificare nulla nel campo Snapshot Id (ID snapshot). Questo sistema genera e fornisce automaticamente questo parametro.

    • Non è necessario specificare nulla nel campo Install Override List (Installa elenco sostituzioni) a meno che non si desideri che Patch Manager utilizzi un set di patch diverso da quello specificato per la baseline della patch. Per informazioni, consulta Nome parametro: InstallOverrideList.

    • Per l'opzione Reboot (Riavvio), specificare se si desidera che i nodi vengano riavviati quando le patch vengono installate durante l'operazione Install o se Patch Manager rileva le altre patch installate dopo il riavvio dell'ultimo nodo. Per informazioni, consulta Nome parametro: RebootOption.

    • (Facoltativo) In Comment (Commento) immettere una nota di tracciamento o un promemoria su questo comando.

    • Nella casella Timeout (seconds) (Timeout (secondi)) immettere il numero di secondi che devono trascorrere per il completamento dell'operazione prima che il sistema la consideri come non andata a buon fine.

  29. Scegliere Register run command task (Registra attività di esecuzione comandi).

Al termine dell'attività della finestra di manutenzione, è possibile visualizzare i dettagli di conformità delle patch nella console di Systems Manager nella pagina Managed Instances (Istanze gestite). Nella barra dei filtri, utilizzare i filtri AWS:PatchSummary e AWS:PatchCompliance.

Nota

È possibile salvare la query aggiungendo l'URL ai segnalibri dopo avere specificato i filtri.

È anche possibile visualizzare una determinata istanza scegliendola nella pagina Managed Instances (Istanze gestite), quindi scegliendo la scheda Patch. Puoi anche utilizzare le API DescribePatchGroupStateand DescribeInstancePatchStatesForPatchGroup per visualizzare i dettagli di conformità. Per informazioni sui dati di conformità delle patch, consulta Informazioni sulla conformità delle patch.