演練:建立維護時段以進行修補 (主控台) - AWS Systems Manager

演練:建立維護時段以進行修補 (主控台)

重要

您可以繼續使用這個舊版主題來建立維護時段,以進行修補。不過,我們建議您改為使用 Configure patching (設定修補) 頁面。如需更多詳細資訊,請參閱 建立修補組態 (主控台)。雖然許多修補使用案例皆可受益於以維護時段排程修補節點,但您也可以手動執行一次性修補操作,無需使用維護時段。如需更多詳細資訊,請參閱 隨需修補受管節點 (主控台)

為了盡可能降低對伺服器可用性的影響,建議您設定維護時段在不會插斷您商業運作的期間執行修補。如需維護時段的詳細資訊,請參閱 AWS Systems ManagerMaintenance Windows

您必須先為 Maintenance Windows (AWS Systems Manager 功能) 設定角色和許可,才能開始進行此程序。如需更多詳細資訊,請參閱 設定 Maintenance Windows

建立維護時段以進行修補

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Maintenance Windows

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後選擇 Maintenance Windows

  3. 選擇 Create maintenance window (建立維護時段)

  4. 針對 Name (名稱),輸入名稱,並將其指定為維護時段以修補關鍵與重要的更新。

  5. Description (描述) 中,輸入描述。

  6. 如果您想允許維護時段任務在受管節點上執行 (即使您尚未將這些節點註冊為目標),請選擇 Allow unregistered targets (允許未註冊目標)。如果您選擇此選項,即可在向維護時段註冊任務時選擇未註冊的節點 (依據節點 ID)。

    如果您未選擇此選項,則必須在向維護時段註冊任務時選擇先前註冊過的目標。

  7. Schedule (排程) 區段頂端,使用三個排程選項之一來指定維護時段的排程。

    如需有關建立 Cron/Rate 運算式的詳細資訊,請參閱參考:Systems Manager 的 Cron 和 Rate 表達式

  8. 針對 Duration (持續時間),輸入維護時段將執行的時數。您指定的值會根據維護時段的開始時間,決定維護時段的特定結束時間。在產生的結束時間減去您在下一個步驟中為 Stop initiating tasks (停止啟動任務) 指定的小時數過後,將不允許啟動任何維護時段任務。

    例如,如果維護時段從下午 3 點開始,持續時間為三小時,而 Stop initiating tasks (停止啟動任務) 的值為一小時,則在下午 5 點之後無法啟動任何維護時段任務。

  9. 針對 Stop initiating tasks (停止初始任務),輸入在維護時段執行結束之前,系統應該停止排程新任務的時數。

  10. (選用) 針對 Start date (optional) (開始日期 (選用)),依照 ISO-8601 延伸格式,指定您希望開始啟用維護時段的日期和時間。這可讓您延遲啟用維護時段,直到指定的未來日期為止。

  11. (選用) 針對 End date (optional) (結束日期 (選用)),依照 ISO-8601 Extended 格式,指定您希望停用維護時段的日期和時間。這可讓您設定不再執行維護時段的未來日期和時間點。

  12. (選用) 針對 Time zone (optional) (時區 (選用)),以 Internet Assigned Numbers Authority (IANA) 格式,指定維護時段執行的排程時區根據。例如:"America/Los_Angeles"、"etc/UTC" 或 "Asia/Seoul"。

    如需有關有效格式的詳細資訊,請參閱 IANA 網站上的時區資料庫有效格式

  13. 選擇 Create maintenance window (建立維護時段)

  14. 在維護時段清單中,選擇您剛建立的維護時段,然後選擇 Actions (動作)Register targets (註冊目標)

  15. (選用) 在 Maintenance window target details (維護時段目標詳細資訊) 部分,提供此目標的名稱、描述及擁有者資訊 (您的名稱或別名)。

  16. 針對 Targets (目標),選擇 Specifying instance tags (指定執行個體標籤)

  17. 針對 Instance tags (執行個體標籤),輸入標籤鍵和標籤值,以識別要向維護時段註冊的節點,然後選擇 Add (新增)

  18. 選擇 Register target (註冊目標)。系統會建立一個維護時段目標。

  19. 在您建立的維護時段的詳細資訊頁面中,選擇 Actions (動作)Register run command task (註冊執行命令任務)

  20. (選用) 在 Maintenance window task details (維護時段任務詳細資訊) 中提供此任務的名稱與描述。

  21. 如需 Command document (命令文件),請選擇 AWS-RunPatchBaseline

  22. Task priority (任務優先順序) 中選擇優先順序。0 (0) 是最高的優先順序。

  23. 針對 Targets (目標),請在 Target by (目標依據) 下,選擇您之前在此程序建立的維護時段目標。

  24. 對於 Rate control (速率控制):

    • Concurrency (並行) 中,指定可同時執行命令的受管節點數目或百分比。

      注意

      如果透過指定套用至受管節點的標籤或指定 AWS 資源群組選取了目標,且您不確定會以多少個受管節點為目標,則透過指定百分比限制可以同時執行文件之目標的數量。

    • Error threshold (錯誤閾值) 中,指定在特定數目或百分比之節點上的命令失敗之後,停止在其他受管節點上執行命令。例如,如果您指定三個錯誤,則 Systems Manager 會在收到第四個錯誤時停止傳送命令。仍在處理命令的受管節點也可能會傳送錯誤。

  25. 對於 IAM service role (IAM 服務角色),選擇以下選項其中之一以提供許可給 Systems Manager,使任務能夠在目標節點上執行:

    • Create and use a service-linked role for Systems Manager (建立並使用 Systems Manager 的服務連結角色)

      服務連結角色提供安全的方式對 AWS 服務委派許可,因為只有連結的服務能夠擔任服務連結角色。此外,AWS 會自動定義並設定權限的服務連結的角色,這是依據代表您執行動作的連結服務。

      注意

      如果已為您的 AWS 帳戶 建立服務連結的角色,則請選擇 Use the service-linked role for Systems Manager (使用 Systems Manager 的服務連結角色)。

    • Use a custom service role (使用自訂服務角色

      如果您想要使用比服務連結角色更嚴格的許可,您可以替維護時段任務建立自訂服務角色。

      如果您需要建立自訂服務角色的詳細資訊,請參閱以下其中一個主題:

    為了協助您決定要搭配維護時段任務使用自訂服務角色或 Systems Manager 服務連結角色,請您參閱 我應該使用服務連結角色還是自訂服務角色來執行維護時段任務?

  26. (選用) 針對 Output options (輸出選項),若要將命令輸出儲存至檔案,請選取 Enable writing output to S3 (啟用將輸出寫入 S3) 方塊。在方塊中輸入儲存貯體和字首 (資料夾) 名稱。

    注意

    授予能力以將資料寫入至 S3 儲存貯體的 S3 許可,會是指派給受管節點之執行個體設定檔的許可,而不是執行此任務之 IAM 使用者的許可。如需詳細資訊,請參閱建立適用於 Systems Manager 的 IAM 執行個體設定檔或者建立適用於混合環境的 IAM 服務角色。此外,若指定的 S3 儲存貯體位於不同的 AWS 帳戶 內,請驗證與受管節點相關聯的執行個體設定檔或 IAM 服務角色是否具有寫入該儲存貯體的必要許可。

    若要將輸出串流至 Amazon CloudWatch Logs 日誌群組,請選取 CloudWatch output (CloudWatch 輸出) 方塊。在方塊中輸入日誌群組名稱。

  27. SNS notifications (SNS 通知) 區段中,如果您要傳送有關命令執行狀態的通知,請選取 Enable SNS notifications (啟用 SNS 通知) 核取方塊。

    如需為 Run Command 設定 Amazon SNS 通知的詳細資訊,請參閱 使用 Amazon SNS 通知監控 Systems Manager 狀態變更

  28. 對於 Parameters (參數)

    • Operation (操作) 中選擇 Scan (掃描) 以掃描遺漏的修補程式,或選擇 Install (安裝) 以掃描並安裝遺漏的修補程式。

    • 您無需在 Snapshot Id (快照 ID) 欄位中輸入任何資訊。此系統會自動產生並提供此參數。

    • 除非您希望 Patch Manager 使用與修補基準不同的修補程式集,否則不需要在 Install Override List (安裝覆寫清單) 欄位中輸入任何內容。如需相關資訊,請參閱 參數名稱:InstallOverrideList

    • 針對 Reboot option (重新啟動選項),指定如果在 Install 操作期間安裝了修補程式,或是 Patch Manager 偵測到自上次節點重新啟動後安裝的其他修補程式,是否要重新啟動節點。如需相關資訊,請參閱 參數名稱:RebootOption

    • (選用) 在 Comment (註解) 中輸入有關此命令的追蹤註記或提醒。

    • Timeout (seconds) (逾時 (秒)) 中,輸入系統應等待操作完成的時間,超過此時間將視為失敗。

  29. 選擇 Register run command task (註冊執行命令任務)

在維護時段任務完成後,您可以在 Systems Manager 主控台的 Managed Instances (受管執行個體) 頁面中檢視修補程式合規詳細資訊。在篩選條件列中,使用 AWS:PatchSummaryAWS:PatchCompliance 篩選條件。

注意

指定篩選條件之後,您可以將此 URL 加入書籤以儲存您的查詢。

您也可以在 Managed Instances (受管執行個體) 頁面中選擇節點,然後選擇 Patch (修補程式) 標籤,以深入檢視特定節點。您也可以使用 DescribePatchGroupStateDescribeInstancePatchStatesForPatchGroup API,以檢視合規的詳細資訊。如需有關修補程式合規資料的詳細資訊,請參閱關於修補程式合規