Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole - AWS Systems Manager

Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole

Wichtig

Sie können dieses ältere Thema weiterhin zum Erstellen eines Wartungsfensters zum Patchen verwenden. Wir empfehlen jedoch, stattdessen eine Patch-Richtlinie zu verwenden. Weitere Informationen erhalten Sie unter Patch-Richtlinienkonfigurationen in Quick Setup und Das Patchen für Instances in einer Organisation mithilfe von Quick Setup konfigurieren.

Um die Auswirkungen auf die Verfügbarkeit Ihres Servers zu minimieren, empfehlen wir, ein Wartungsfenster zu konfigurieren, um die Patches dann einzuspielen, wenn der Geschäftsbetrieb dadurch nicht unterbrochen wird.

Sie müssen Rollen und Berechtigungen für Maintenance Windows, eine Funktion von AWS Systems Manager, konfigurieren, bevor Sie mit diesem Verfahren beginnen. Weitere Informationen finden Sie unter Einrichten von Maintenance Windows.

So erstellen Sie ein Wartungsfenster für das Einspielen von Patches

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Maintenance Windows aus.

  3. Wählen Sie Create maintenance window (Wartungsfenster erstellen) aus.

  4. Geben Sie im Feld Name einen Namen ein, aus dem hervorgeht, dass das Wartungsfenster für das Einspielen von kritischen und wichtigen Updates verwendet wird.

  5. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  6. Wählen Sie Allow unregistered targets (Nicht registrierte Ziele erlauben), wenn Sie erlauben möchten, dass eine Wartungsfensteraufgabe auf verwalteten Knoten ausgeführt wird, obwohl diese Knoten nicht als Ziele registriert wurden.

    Falls Sie diese Option wählen, können Sie die nicht registrierten Knoten (nach Knoten-ID) auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.

    Sollten Sie diese Option nicht wählen, müssen Sie die zuvor registrierten Ziele auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.

  7. Geben Sie oben im Abschnitt Schedule (Zeitplan) einen Zeitplan für das Wartungsfenster an, indem Sie eine der drei Planungsoptionen verwenden.

    Weitere Informationen zum Erstellen von CRON-/Rate-Ausdrücken finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

  8. Geben Sie unter Duration (Dauer) die Anzahl der Stunden ein, die das Wartungsfenster ausgeführt wird. Der Wert, den Sie angeben, bestimmt die spezifische Endzeit für das Wartungsfenster basierend auf dem Zeitpunkt, an dem es beginnt. Nach der resultierenden Endzeit dürfen keine Wartungsfenster-Aufgaben gestartet werden, abzüglich der Anzahl der Stunden, die Sie für Stop initiating tasks (Initiieren von Aufgaben beenden) im nächsten Schritt angeben.

    Beispiel: Wenn das Wartungsfenster um 15:00 Uhr beginnt, die Dauer drei Stunden beträgt und der Wert Stop initiating tasks (Initiieren von Aufgaben beenden) eine Stunde beträgt, können nach 17:00 Uhr keine Wartungsfenster-Aufgaben gestartet werden.

  9. Geben Sie unter Stop initiating tasks (Initiieren von Aufgaben beenden) die Anzahl der Stunden für den Zeitpunkt vor dem Ende des Wartungsfensters an, ab dem vom System keine neuen auszuführenden Aufgaben mehr geplant werden sollen.

  10. (Optional) Geben Sie unter Window start date (Startzeit des Fensters) ein Datum und eine Uhrzeit im erweiterten ISO-8601-Format an, zu dem bzw. der das Wartungsfenster aktiviert werden soll. Auf diese Weise können Sie die Aktivierung des Wartungsfensters bis zum angegebenen künftigen Zeitpunkt verzögern.

  11. (Optional) Geben Sie unter Window end date (Enddatum des Fensters) ein Datum und eine Uhrzeit im erweiterten ISO-8601-Format an, zu dem bzw. der das Wartungsfenster deaktiviert werden soll. Auf diese Weise können Sie ein in der Zukunft liegendes Datum sowie eine Uhrzeit festlegen, nach dem das Wartungsfenster nicht mehr ausgeführt wird.

  12. (Optional) Geben Sie unter Zeitzone planen die Zeitzone im IANA-Format (Internet Assigned Numbers Authority) an, auf der die Ausführung geplanter Wartungsfenster basieren soll. Zum Beispiel: „America/Los_Angeles“, „etc/UTC“, oder „Asia/Seoul“.

    Weitere Informationen zu gültigen Formaten finden Sie unter Time Zone Database (Zeitzonendatenbank) auf der IANA-Website.

  13. (Optional) Weisen Sie im Abschnitt Manage tags (Tags verwalten) dem Wartungsfenster ein oder mehrere Tag-Schlüsselname-Wert-Paare zu.

    Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise dieses Wartungsfenster mit Tags versehen, um die Aufgabentypen, die darin ausgeführt werden, zu identifizieren. In diesem Fall könnten Sie z. B. die folgenden Schlüsselname-Wert-Paare angeben:

    • Key=TaskType,Value=Patching

  14. Wählen Sie Create maintenance window (Wartungsfenster erstellen) aus.

  15. Wählen Sie in der Liste mit den Wartungsfenstern das gerade erstellte Wartungsfenster aus und klicken Sie anschließend auf Actions (Aktionen), Register targets (Ziele registrieren).

  16. (Optional) Geben Sie im Abschnitt Maintenance window target details einen Namen, eine Beschreibung und Eigentümerinformationen (Ihren Namen oder Alias) für dieses Ziel an.

  17. Wählen Sie für die Zielauswahl die Option Instance-Tags festlegen aus.

  18. Geben Sie im Feld Instance-Tags angeben einen Tag-Schlüssel und einen Tag-Wert ein, um die Knoten zu identifizieren, die beim Wartungsfenster angemeldet werden sollen, und wählen Sie dann Hinzufügen.

  19. Wählen Sie Register target. Das System erstellt ein Ziel für das Wartungsfenster.

  20. Wählen Sie auf der Detailseite des von Ihnen erstellten Wartungsfensters Actions (Aktionen), Register Run command task (Ausführungsbefehlaufgabe registrieren) aus.

  21. (Optional) Geben Sie im Abschnitt Maintenance window task details (Aufgabendetails für Wartungszeitraum) einen Namen und eine Beschreibung für diese Aufgabe an.

  22. Wählen Sie unter Command document (Befehlsdokument) die Option AWS-RunPatchBaseline aus.

  23. Wählen Sie für Task priority (Aufgabenpriorität) eine Priorität aus. Null (0) ist die höchste Priorität.

  24. Wählen Sie für Targets (Ziele) unter Target by (Auswahl nach) das Wartungsfensterziel aus, das Sie zuvor erstellt haben.

  25. Für Ratenregelung:

    • Geben Sie unter Nebenläufigkeit entweder eine Zahl oder einen Prozentsatz der verwalteten Knoten an, auf denen der Befehl gleichzeitig ausgeführt werden soll.

      Anmerkung

      Wenn Sie Ziele ausgewählt haben, indem Sie Tags angeben, die auf verwaltete Knoten angewendet werden, oder indem Sie AWS-Ressourcengruppen angeben, und Sie noch nicht sicher sind, wie viele verwaltete Knoten anvisiert sind, sollten Sie die Anzahl von Zielen, die das Dokument gleichzeitig ausführen kann, beschränken, indem Sie einen Prozentsatz angeben.

    • Geben Sie unter Fehlerschwellenwert an, wann die Ausführung des Befehls auf anderen verwalteten Knoten beendet werden soll, nachdem dafür entweder auf einer bestimmten Anzahl oder einem Prozentsatz von Knoten ein Fehler aufgetreten ist. Falls Sie beispielsweise drei Fehler angeben, sendet Systems Manager keinen Befehl mehr, wenn der vierte Fehler empfangen wird. Von verwalteten Knoten, auf denen der Befehl noch verarbeitet wird, werden unter Umständen ebenfalls Fehler gesendet.

  26. (Optional) Wählen Sie für IAM-Servicerolle eine Rolle aus, um Systems Manager Berechtigungen zur Übernahme zum Ausführen von Wartungsfenster-Aufgaben zu erteilen.

    Wenn Sie keinen ARN für die Servicerolle angeben, verwendet Systems Manager eine serviceverknüpfte Rolle in Ihrem Konto. Wenn in Ihrem Konto keine geeignete serviceverknüpfte Rolle für Systems Manager vorhanden ist, wird sie erstellt, wenn die Aufgabe erfolgreich registriert wurde.

    Anmerkung

    Um die Sicherheitslage zu verbessern, empfehlen wir dringend, eine benutzerdefinierte Richtlinie und eine benutzerdefinierte Servicerolle für die Ausführung Ihrer Aufgaben im Wartungsfenster zu erstellen. Die Richtlinie kann so gestaltet werden, dass sie nur die Berechtigungen gewährt, die für Ihre speziellen Wartungsfensteraufgaben erforderlich sind. Weitere Informationen finden Sie unter Einrichten von Maintenance Windows.

  27. (Optional) Wenn Sie im Abschnitt Ausgabeoptionen die Befehlsausgabe in einer Datei speichern möchten, aktivieren Sie das Kontrollkästchen Schreiben der Ausgabe in S3 aktivieren. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.

    Anmerkung

    Die S3-Berechtigungen zum Schreiben von Daten in einen S3-Bucket sind die Berechtigungen des dem verwalteten Knoten zugewiesenen Instance-Profils und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Instance-Berechtigungen für Systems Manager konfigurieren oder Eine IAM-Servicerolle für eine Hybrid-Umgebung erstellen. Wenn sich der angegebene S3-Bucket in einem anderen AWS-Konto befindet, stellen Sie außerdem sicher, dass das Instance-Profil oder die IAM-Servicerolle, die dem verwalteten Knoten zugeordnet ist, über die erforderlichen Berechtigungen zum Schreiben in diesen Bucket verfügt.

    Um die Ausgabe an eine Amazon CloudWatch Logs-Protokollgruppe zu streamen, wählen Sie das Feld CloudWatch output (CloudWatch-Ausgabe) aus. Geben Sie den Namen der Protokollgruppe in das Feld ein.

  28. Aktivieren Sie das Kontrollkästchen SNS-Benachrichtigungen aktivieren im Abschnitt SNS-Benachrichtigungen, wenn Sie über den Status der Befehlsausführung benachrichtigt werden möchten,

    Weitere Informationen zum Konfigurieren von Amazon-SNS-Benachrichtigungen für Run Command finden Sie unter Überwachung von Systems Manager-Statusänderungen mit Amazon SNS-Benachrichtigungen.

  29. Für Parameters (Parameter):

    • Wählen Sie in der Liste Operation (Vorgang) die Option Scan (Scannen), um nach fehlenden Patches zu suchen, oder wählen Sie Install (Installieren), um nach fehlenden Patches zu suchen und diese direkt zu installieren.

    • Sie brauchen keine Angaben für das Feld Snapshot Id (Snapshot-ID) zu machen. Das System generiert diesen Parameter automatisch und stellt ihn bereit.

    • Sie müssen nichts in das Feld Install Override List (Überschreibungsliste installieren) eingeben, es sei denn, Sie möchten, dass Patch Manager einen anderen Patch als für die Patch-Baseline angegeben verwenden soll. Weitere Informationen finden Sie unter Parametername: InstallOverrideList.

    • Geben Sie für Neustart-Option an, ob die Knoten neu gestartet werden sollen, wenn während der Install-Operation Patches installiert werden, oder ob Patch Manager andere Patches erkennen soll, die seit dem letzten Neustart des Knotens installiert wurden. Weitere Informationen finden Sie unter Parametername: RebootOption.

    • (Optional) Geben Sie im Feld Comment (Kommentar) eine Verfolgungsnotiz oder Erinnerung zu diesem Befehl ein.

    • Geben Sie im Feld Timeout (seconds) (Timeout (Sekunden)) die Anzahl der Sekunden ein, die das System warten soll, bis der Vorgang beendet ist, bevor er als nicht erfolgreich eingestuft wird.

  30. Wählen Sie Register Run command task.

Nachdem die Wartungsfensteraufgabe abgeschlossen ist, können Sie Details zur Patch-Compliance in der Systems-Manager-Konsole in der Funktion Fleet Manager anzeigen.

Sie können Konformitätsinformationen auch in der Patch Manager-Funktion auf der Registerkarte Konformitätsberichte einsehen.

Sie können auch die APIs DescribePatchGroupState und DescribeInstancePatchStatesForPatchGroup verwenden, um Details zur Compliance anzuzeigen. Weitere Informationen zu Patch-Compliance-Daten finden Sie unter Info zu Patch Compliance.