Tutorial: Create a maintenance window for patching using the console

Importante

Você pode continuar a usar esse tópico legado para criar uma janela de manutenção para aplicar patch. No entanto, recomendamos usar uma política de patch em vez disso. Para ter mais informações, consulte Configurações de políticas de patches em Quick Setup e Configurar patches para instâncias em uma organização usando a Quick Setup.

Para minimizar o impacto na disponibilidade do seu servidor, recomendamos que você configure uma janela de manutenção para executar a aplicação de patch em horários que não interromperão suas operações de negócios.

Você deve configurar funções e permissões para o Maintenance Windows, um recurso do AWS Systems Manager, antes de começar este procedimento. Para ter mais informações, consulte Configurar o Maintenance Windows.

Para criar uma janela de manutenção para aplicação de patch

1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Maintenance Windows.

3. Escolha Create maintenance window (Criar janela de manutenção).

4. No campo Name (Nome), insira um nome que designe isso como uma janela de manutenção para aplicar patch a atualizações críticas e importantes.

5. (Opcional) Em Description (Descrição), insira uma descrição.

6. Escolha Allow unregistered targets (Permitir destinos não registrados) se quiser permitir que uma tarefa da janela de manutenção seja executada em nós gerenciados, mesmo que você não tenha registrado esses nós como destinos.

   Se você escolher essa opção, poderá escolher os nós não registrados (por ID do nó) quando registrar uma tarefa na janela de manutenção.

   Se você não escolher essa opção, deverá escolher destinos anteriormente registrados quando registrar uma tarefa na janela de manutenção.

7. Na parte superior da seção Schedule (Programar) especifique uma programação para a janela de manutenção usando uma das três opções de agendamento.

   Para obter mais informações sobre criar expressões cron/rate, consulte Referência: Expressões cron e rate para o Systems Manager.

8. Em Duration (Duração), insira o número de horas que a janela de manutenção será executada. O valor especificado determina a hora de término específica para a janela de manutenção com base no horário em que ela começa. Nenhuma tarefa da janela de manutenção tem permissão para iniciar após a hora de término resultante menos o número de horas especificado para Stop initiating tasks (Parar de iniciar tarefas) na próxima etapa.

   Por exemplo, se a janela de manutenção começar às 15h, a duração for de três horas e o valor Stop initiating tasks (Parar de iniciar tarefas) for uma hora, nenhuma tarefa da janela de manutenção poderá ser iniciada depois das 17h.

9. Em Stop initiating tasks (Para de iniciar tarefas), insira o número de horas antes do final da janela de manutenção que o sistema deve parar de agendar novas tarefas para execução.

10. (Opcional) Em Window start date (Data de início da janela), especifique uma data e hora no formato ISO-8601 estendido para quando você deseja que a janela de manutenção se torne ativa. Isso permite que você atrase a ativação da janela de manutenção até a data futura especificada.

11. (Opcional) Em Window end date (Data de término da janela), especifique uma data e hora no formato ISO-8601 estendido para quando você deseja que a janela de manutenção se torne inativa. Isso permite que você defina uma data e hora no futuro após a qual a janela de manutenção não será mais executada.

12. (Opcional) Em Fuso horário do agendamento, especifique o fuso horário no qual as execuções da janela de manutenção devem se basear, no formato da IANA (Internet Assigned Numbers Authority). Por exemplo: "America/Los_Angeles", "etc/UTC" ou "Ásia/Seul".

    Para obter mais informações sobre os formatos válidos, consulte o Banco de dados de fusos horários no site da IANA.

13. (Opcional) Na área Manage tags (Gerenciar tags), aplique um ou mais pares de nome/valor de chave de tag à janela de manutenção.

    Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você poderá marcar essa janela de manutenção para identificar o tipo de tarefa a ser executada. Nesse caso, você pode especificar o seguinte par de nome/valor:

    • Key=TaskType,Value=Patching

14. Escolha Create maintenance window (Criar janela de manutenção).

15. Na lista da janela de manutenção, escolha a janela de manutenção que você acabou de criar e selecione Actions (Ações), Register targets (Registrar destinos).

16. (Opcional) Na seção Maintenance window target details, forneça um nome, uma descrição e informações sobre o proprietário (seu nome ou alias) para esse destino.

17. Em Seleção de destinos, escolha Especificação de tags de instância.

18. Em Especificar tags de instância, insira uma chave de tag e um valor de tag para identificar os nós a serem registrados na janela de manutenção, e escolha Adicionar.

19. Escolha Register target. O sistema cria um destino de janela de manutenção.

20. Na página de detalhes da janela de manutenção que você criou, selecione Actions (Ações), Register run command task (Registrar tarefa do Run Command).

21. (Opcional) Em Maintenance window task details (Detalhes da janela de manutenção), forneça um nome e uma descrição para essa tarefa.

22. Para Command document (Documento de comando), escolha AWS-RunPatchBaseline.

23. Em Task priority (Prioridade de tarefa), escolha uma prioridade. Zero (0) é a prioridade mais alta.

24. Em Targets (Destinos), em Target by (Destino por), escolha o destino da janela de manutenção que você criou anteriormente neste procedimento.

25. Para Rate control (Controle de taxa):

    • Em Concurrency (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.

      nota

      Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.

    • Em Error threshold (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.

26. (Opcional) Em Perfil de serviço do IAM, escolha um perfil para fornecer permissões ao Systems Manager para assumir quando executar uma tarefa da janela de manutenção.

    Se você não especificar um ARN de perfil de serviço, o Systems Manager usará um perfil vinculado ao serviço em sua conta. Se nenhum perfil vinculado ao serviço apropriado para Systems Manager existir em sua conta, ele será criado quando a tarefa for registrada com êxito.

    nota

    Para melhorar a postura de segurança, é altamente recomendável criar uma política personalizada e um perfil de serviço personalizado para executar as tarefas da janela de manutenção. A política pode ser criada para fornecer somente as permissões necessárias para as tarefas da sua janela de manutenção específica. Para ter mais informações, consulte Configurar o Maintenance Windows.

27. (Opcional) Em Opções de saída, para salvar a saída de comando em um arquivo, selecione a caixa Habilitar a gravação da saída no S3. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.

    nota

    As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil da instância atribuído ao nó gerenciado, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager ou Criar um perfil de serviço do IAM para um ambiente híbrido. Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço IAM associada ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.

    Para fazer streaming da saída para um grupo de logs do Amazon CloudWatch Logs, selecione a caixa de resultado do CloudWatch. Insira o nome do grupo de logs na caixa.

28. Na seção SNS notifications (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção Enable SNS notifications (Habilitar notificações do SNS).

    Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS.

29. Em Parameters (Parameters):

    • Em Operation (Operação), escolha Scan (Verificar) para verificar se há patches ausentes ou escolha Install (Instalar) para verificar e instalar patches ausentes.

    • Não é necessário inserir nada no campo Snapshot Id (ID do snapshot). Esse sistema gera e fornece esse parâmetro automaticamente.

    • Não é necessário inserir nada no campo Install Override List (Instalar a lista de substituição), a menos que você queira que o Patch Manager use um conjunto de patches diferente do especificado na lista de referência do patch. Para ter mais informações, consulte Nome do parâmetro: InstallOverrideList.

    • Na opção RebootOption, especifique se deseja que os nós gerenciados sejam reinicializados se os patches forem instalados durante a operação Install ou se o Patch Manager detectar outros patches que foram instalados desde a última reinicialização do nó. Para ter mais informações, consulte Nome do parâmetro: RebootOption.

    • (Opcional) Em Comment (Comentário), insira uma nota de acompanhamento ou lembrete sobre esse comando.

    • Em Timeout (segundos) (Tempo limite em segundos), insira o número de segundos que o sistema deve aguardar a conclusão da operação para que ela seja considerada malsucedida.

30. Selecione Register run command task (Registrar tarefa executar comando).

Após a conclusão da tarefa da janela de manutenção, você pode visualizar os detalhes de conformidade de patches no console do Systems Manager, na página do recurso Fleet Manager.

Você também pode visualizar as informações de conformidade no recurso do Patch Manager, na guia Relatórios de conformidade.

Você também pode usar as APIs DescribePatchGroupState e DescribeInstancePatchStatesForPatchGroup para visualizar detalhes de conformidade. Para obter informações sobre dados de conformidade dos patches, consulte Sobre a conformidade de patches.