演練:建立維護時段以進行修補 (主控台) - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

演練:建立維護時段以進行修補 (主控台)

重要

您可以繼續使用這個舊版主題來建立維護時段,以進行修補。不過,建議您改用修補程式政策。如需詳細資訊,請參閱 使用 Quick Setup 修補政策針對組織中的執行個體設定修補

為了盡可能降低對伺服器可用性的影響,建議您設定維護時段在不會插斷您商業運作的期間執行修補。如需維護時段的詳細資訊,請參閱 AWS Systems Manager Maintenance Windows

在開始此程序之前Maintenance Windows,您必須先配置功能的 AWS Systems Manager角色和權限。如需詳細資訊,請參閱 設定 Maintenance Windows

建立維護時段以進行修補

  1. 請在以下位置開啟 AWS Systems Manager 主控台。 https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Maintenance Windows

  3. 選擇 Create maintenance window (建立維護時段)

  4. 針對 Name (名稱),輸入名稱,並將其指定為維護時段以修補關鍵與重要的更新。

  5. 描述中,輸入描述。

  6. 如果您想允許維護時段任務在受管節點上執行 (即使您尚未將這些節點註冊為目標),請選擇 Allow unregistered targets (允許未註冊目標)。如果您選擇此選項,即可在向維護時段註冊任務時選擇未註冊的節點 (依據節點 ID)。

    如果您未選擇此選項,則必須在向維護時段註冊任務時選擇先前註冊過的目標。

  7. Schedule (排程) 區段頂端,使用三個排程選項之一來指定維護時段的排程。

    如需有關建立 Cron/Rate 運算式的詳細資訊,請參閱參考:Systems Manager 的 Cron 和 Rate 運算式

  8. 針對 Duration (持續時間),輸入維護時段將執行的時數。您指定的值會根據維護時段的開始時間,決定維護時段的特定結束時間。在產生的結束時間減去您在下一個步驟中為 Stop initiating tasks (停止啟動任務) 指定的小時數過後,將不允許啟動任何維護時段任務。

    例如,如果維護時段從下午 3 點開始,持續時間為三小時,而 Stop initiating tasks (停止啟動任務) 的值為一小時,則在下午 5 點之後無法啟動任何維護時段任務。

  9. 針對 Stop initiating tasks (停止初始任務),輸入在維護時段執行結束之前,系統應該停止排程新任務的時數。

  10. (選用) 針對 Start date (optional) (開始日期 (選用)),依照 ISO-8601 延伸格式,指定您希望開始啟用維護時段的日期和時間。這可讓您延遲啟用維護時段,直到指定的未來日期為止。

  11. (選用) 針對 End date (optional) (結束日期 (選用)),依照 ISO-8601 Extended 格式,指定您希望停用維護時段的日期和時間。這可讓您設定不再執行維護時段的未來日期和時間點。

  12. (選用) 針對 Time zone (optional) (時區 (選用)),以 Internet Assigned Numbers Authority (IANA) 格式,指定維護時段執行的排程時區根據。例如:"America/Los_Angeles"、"etc/UTC" 或 "Asia/Seoul"。

    如需有關有效格式的詳細資訊,請參閱 IANA 網站上的時區資料庫有效格式

  13. 選擇 Create maintenance window (建立維護時段)

  14. 在維護時段清單中,選擇您剛建立的維護時段,然後選擇 Actions (動作)Register targets (註冊目標)

  15. (選用) 在 Maintenance window target details (維護時段目標詳細資訊) 部分,提供此目標的名稱、描述及擁有者資訊 (您的名稱或別名)。

  16. 針對 Targets (目標),選擇 Specifying instance tags (指定執行個體標籤)

  17. 針對 Instance tags (執行個體標籤),輸入標籤鍵和標籤值,以識別要向維護時段註冊的節點,然後選擇 Add (新增)

  18. 選擇 Register target (註冊目標)。系統會建立一個維護時段目標。

  19. 在您建立的維護時段的詳細資訊頁面中,選擇 Actions (動作)Register run command task (註冊執行命令任務)

  20. (選用) 在 Maintenance window task details (維護時段任務詳細資訊) 中提供此任務的名稱與描述。

  21. 如需 Command document (命令文件),請選擇 AWS-RunPatchBaseline

  22. Task priority (任務優先順序) 中選擇優先順序。零 (0) 是最高的優先順序。

  23. 針對 Targets (目標),請在 Target by (目標依據) 下,選擇您之前在此程序建立的維護時段目標。

  24. 對於 Rate control (速率控制):

    • Concurrency (並行) 中,指定可同時執行命令的受管節點數目或百分比。

      注意

      如果透過指定套用至受管節點的標籤或指定 AWS 資源群組選取了目標,且您不確定會以多少個受管節點為目標,則透過指定百分比限制可以同時執行文件之目標的數量。

    • Error threshold (錯誤閾值) 中,指定在特定數目或百分比之節點上的命令失敗之後,停止在其他受管節點上執行命令。例如,如果您指定三個錯誤,則 Systems Manager 會在收到第四個錯誤時停止傳送命令。仍在處理命令的受管節點也可能會傳送錯誤。

  25. (選用) 對於 IAM 服務角色,請選擇一個角色,以提供 Systems Manager 在執行維護時段工作時要承擔的許可。

    如果您未指定服務角色 ARN,Systems Manager 會在您的帳戶中使用服務連結角色。如果您的帳戶中沒有適當的 Systems Manager 服務連結角色,則會在成功註冊任務時建立該角色。

    注意

    為了改善安全性狀態,我們強烈建議您為執行維護時段工作建立自訂原則和自訂服務角色。您可以製作原則,僅提供特定維護時段工作所需的權限。如需詳細資訊,請參閱 利用主控台設定維護時段許可

  26. (選用) 針對 Output options (輸出選項),若要將命令輸出儲存至檔案,請選取 Enable writing output to S3 (啟用將輸出寫入 S3) 方塊。在方塊中輸入儲存貯體和字首 (資料夾) 名稱。

    注意

    授予能力以將資料寫入至 S3 儲存貯體的 S3 許可,會是指派給受管節點之執行個體設定檔的許可,而不是執行此任務之 IAM 使用者的許可。如需詳細資訊,請參閱設定 Systems Manager 所需的執行個體許可或為混合式環境建立 IAM 服務角色。此外,如果指定的 S3 儲存貯體位於不同的儲存貯體 AWS 帳戶,請確認與受管節點關聯的執行個體設定檔或 IAM 服務角色具有寫入該儲存貯體的必要許可。

    若要將輸出串流至 Amazon CloudWatch 日誌日誌群組,請選取CloudWatch 輸出方塊。在方塊中輸入日誌群組名稱。

  27. SNS notifications (SNS 通知) 區段中,如果您要傳送有關命令執行狀態的通知,請選取 Enable SNS notifications (啟用 SNS 通知) 核取方塊。

    如需為 Run Command 設定 Amazon SNS 通知的詳細資訊,請參閱 使用 Amazon SNS 通知監控 Systems Manager 狀態變更

  28. 對於 Parameters (參數)

    • Operation (操作) 中選擇 Scan (掃描) 以掃描遺漏的修補程式,或選擇 Install (安裝) 以掃描並安裝遺漏的修補程式。

    • 您無需在 Snapshot Id (快照 ID) 欄位中輸入任何資訊。此系統會自動產生並提供此參數。

    • 除非您希望 Patch Manager 使用與修補基準不同的修補程式集,否則不需要在 Install Override List (安裝覆寫清單) 欄位中輸入任何內容。如需相關資訊,請參閱參數名稱:InstallOverrideList

    • 針對 Reboot option (重新啟動選項),指定如果在 Install 操作期間安裝了修補程式,或是 Patch Manager 偵測到自上次節點重新啟動後安裝的其他修補程式,是否要重新啟動節點。如需相關資訊,請參閱參數名稱:RebootOption

    • (選用) 在 Comment (註解) 中輸入有關此命令的追蹤註記或提醒。

    • Timeout (seconds) (逾時 (秒)) 中,輸入系統應等待操作完成的時間,超過此時間將視為失敗。

  29. 選擇 Register run command task (註冊執行命令任務)。

在維護時段任務完成後,您可以在 Systems Manager 主控台的 Managed Instances (受管執行個體) 頁面中檢視修補程式合規詳細資訊。在篩選條件列中,使用 AWS:PatchSummaryAWS:PatchCompliance 篩選條件。

注意

指定篩選條件之後,您可以將此 URL 加入書籤以儲存您的查詢。

您也可以在 Managed Instances (受管執行個體) 頁面中選擇節點,然後選擇 Patch (修補程式) 標籤,以深入檢視特定節點。您也可以使用DescribePatchGroupState和群DescribeInstancePatchStatesForPatch組 API 來檢視符合性詳細資料。如需有關修補程式合規資料的詳細資訊,請參閱關於修補程式合規