將任務指派給維護時段 (主控台) - AWS Systems Manager

將任務指派給維護時段 (主控台)

在此程序中,您會將任務新增到維護時段。任務是在維護時段執行時對資源執行的動作。

您可將下列四種類型的任務新增到維護時段:

  • AWS Systems Manager Run Command 命令

  • Systems Manager Automation 工作流程

  • AWS Step Functions 任務

  • AWS Lambda 函式

    重要

    適用於 Maintenance Windows 的 IAM 政策需要您為 Lambda 函數 (或別名) 名稱新增 SSM 字首。在繼續註冊這類任務前,請在 AWS Lambda 中將其名稱更新為包含 SSM。例如,如果 Lambda 函數名稱為 MyLambdaFunction,請變更為 SSMMyLambdaFunction

指派任務至維護時段

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Maintenance Windows

  3. 在維護時段清單中,選擇維護時段。

  4. 選擇 Actions (動作),然後選擇您想要向維護時段註冊的任務類型選項:

    • Register Run command task (註冊執行命令任務

    • Register Automation task (註冊自動化任務

    • Register Step Functions task (註冊步驟函數任務

    • Register Lambda task (註冊 Lambda 任務

  5. (選用) 對於 Name (名稱),請輸入任務的名稱。

  6. Description (描述),請輸入描述。

  7. Command document (命令文件) 清單中,選擇定義任務的 Systems Manager 命令文件 (SSM 文件) 或 Automation Runbook 來執行。

  8. Document Version (文件版本) 中 (適用於自動化任務),選擇要使用的文件版本。

  9. 對於 Task priority (任務優先順序),請指定此任務的優先順序。0 (0) 是最高的優先順序。維護時段內的任務都是以優先順序來排程;相同優先順序的任務會平行排程。

  10. Targets (目標) 區域中,選擇以下其中一項:

    • Selecting registered target groups (選取已註冊的目標群組):選取您已在目前維護時段註冊的一或多個維護時段目標。

    • Selecting unregistered targets (選取未註冊的目標):逐一選擇可用的資源作為任務的目標。

      如果您預期看到的 Amazon EC2 執行個體未列出,請參閱 故障診斷 Amazon EC2 受管執行個體可用性 以取得故障診斷秘訣。

    • Task target not required (不需要任務目標):任務的目標可能已經針對除 Run Command 類型以外的所有任務在其他函數中指定。

      為維護時段 Run Command 類型任務指定一或多個目標。視任務而定,對於其他維護時段任務類型 (Automation、AWS Lambda 和 AWS Step Functions),目標是選用的。如需有關執行未指定目標之任務的詳細資訊,請參閱 註冊不含目標的維護時段任務

      注意

      在許多情況下,您不需要明確指定自動化任務的目標。例如,假設您正在建立 Automation 類型任務來使用 AWS-UpdateLinuxAmi Runbook 更新 Linux 的 Amazon Machine Image (AMI)。當任務執行時,AMI 已更新為可用的最新版本 Linux 發行版本套件和 Amazon 軟體。從 AMI 建立的新執行個體已經安裝這些更新。因為在 Runbook 的輸入參數中指定了要更新的 AMI ID,所以不需要在維護時段任務中再次指定目標。

  11. 對於 Rate control (速率控制):

    • Concurrency (並行) 中,指定可同時執行命令的執行個體數目或百分比。

      注意

      如果透過指定套用至受管執行個體的標籤或指定 AWS 資源群組選取了目標,且您不確定會以多少個執行個體為目標,則透過指定百分比限制可以同時執行文件之執行個體的數量。

    • Error threshold (錯誤閾值) 中,指定在特定數目或百分比之執行個體上的命令失敗之後,停止在其他執行個體上執行命令。例如,如果您指定三個錯誤,則 Systems Manager 會在收到第四個錯誤時停止傳送命令。仍在處理命令的執行個體也可能會傳送錯誤。

  12. IAM service role (IAM 服務角色) 區域中,選擇以下選項其中之一以提供許可給 Systems Manager,讓任務能夠在目標執行個體上執行:

    • Create and use a service-linked role for Systems Manager (建立並使用 Systems Manager 的服務連結角色)

      服務連結角色提供安全的方式對 AWS 服務委派許可,因為只有連結的服務能夠擔任服務連結角色。此外,AWS 會自動定義並設定權限的服務連結的角色,這是依據代表您執行動作的連結服務。

      注意

      如果服務連結的角色已建立您的帳戶,請選擇 Use the service-linked role for Systems Manager (使用 Systems Manager 的服務連結角色)。

    • Use a custom service role (使用自訂服務角色

      如果您想要使用比服務連結角色更嚴格的許可,您可以替維護時段任務建立自訂服務角色。

      如果您需要建立自訂服務角色的詳細資訊,請參閱以下其中一個主題:

    為了協助您決定要搭配維護時段任務使用自訂服務角色或 Systems Manager 服務連結角色,請您參閱 我應該使用服務連結角色還是自訂服務角色來執行維護時段任務?

  13. (選用) 對於 Output options (輸出選項),執行下列其中一項動作:

    • 選取 Enable writing to S3 (啟用寫入 S3) 核取方塊,將命令輸出儲存成檔案。在方塊中輸入儲存貯體和字首 (資料夾) 名稱。

      注意

      授予能力以將資料寫入至 S3 儲存貯體的 S3 許可,會是指派給執行個體之執行個體描述檔的許可,而不是執行此工作之 IAM 使用者的許可。如需詳細資訊,請參閱建立 Systems Manager 的 IAM 執行個體描述檔。此外,若指定的 S3 儲存貯體位於不同的 AWS 帳戶 內,請驗證與執行個體相關聯的執行個體描述檔是否具有寫入該儲存貯體的必要許可。

    • 選取 CloudWatch output (CloudWatch 輸出) 核取方塊,將完整的輸出寫入 Amazon CloudWatch Logs。輸入 CloudWatch Logs 日誌群組的名稱。

  14. SNS notifications (SNS 通知) 區段中,如果您要傳送有關命令執行狀態的通知,請選取 Enable SNS notifications (啟用 SNS 通知) 核取方塊。

    如需為 Run Command 設定 Amazon SNS 通知的詳細資訊,請參閱 使用 Amazon SNS 通知監控 Systems Manager 狀態變更

  15. Parameters (參數) 區域中,指定文件的參數。對於 Automation Runbook,系統會自動填入一些值。您可以保留或取代這些值。

  16. 完成協助程式。