• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole
**Wichtig**
Sie können dieses ältere Thema weiterhin zum Erstellen eines Wartungsfensters zum Patchen verwenden. Wir empfehlen jedoch, stattdessen eine Patch-Richtlinie zu verwenden. Weitere Informationen erhalten Sie unter [Patch-Richtlinienkonfigurationen in Quick Setup](patch-manager-policies.md) und [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md).
Um die Auswirkungen auf die Verfügbarkeit Ihres Servers zu minimieren, empfehlen wir, ein Wartungsfenster zu konfigurieren, um die Patches dann einzuspielen, wenn der Geschäftsbetrieb dadurch nicht unterbrochen wird.
Sie müssen Rollen und Berechtigungen für Maintenance Windows ein Tool in konfigurieren AWS Systems Manager, bevor Sie mit diesem Verfahren beginnen. Weitere Informationen finden Sie unter [Einrichten von Maintenance Windows](setting-up-maintenance-windows.md).
**So erstellen Sie ein Wartungsfenster für das Einspielen von Patches**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Maintenance Windows** aus.
1. Wählen Sie **Create maintenance window (Wartungsfenster erstellen)** aus.
1. Geben Sie im Feld **Name** einen Namen ein, aus dem hervorgeht, dass das Wartungsfenster für das Einspielen von kritischen und wichtigen Updates verwendet wird.
1. (Optional) Geben Sie unter **Description (Beschreibung)** eine Beschreibung ein.
1. Wählen Sie **Allow unregistered targets** (Nicht registrierte Ziele erlauben), wenn Sie erlauben möchten, dass eine Wartungsfensteraufgabe auf verwalteten Knoten ausgeführt wird, obwohl diese Knoten nicht als Ziele registriert wurden.
Falls Sie diese Option wählen, können Sie die nicht registrierten Knoten (nach Knoten-ID) auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.
Sollten Sie diese Option nicht wählen, müssen Sie die zuvor registrierten Ziele auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.
1. Geben Sie oben im Abschnitt **Schedule (Zeitplan)** einen Zeitplan für das Wartungsfenster an, indem Sie eine der drei Planungsoptionen verwenden.
Hinweise zum Erstellen von cron/rate Ausdrücken finden Sie unter[Referenz: Cron- und Rate-Ausdrücke für System Manager](reference-cron-and-rate-expressions.md).
1. Geben Sie unter **Duration (Dauer)** die Anzahl der Stunden ein, die das Wartungsfenster ausgeführt wird. Der Wert, den Sie angeben, bestimmt die spezifische Endzeit für das Wartungsfenster basierend auf dem Zeitpunkt, an dem es beginnt. Nach der resultierenden Endzeit dürfen keine Wartungsfenster-Aufgaben gestartet werden, abzüglich der Anzahl der Stunden, die Sie für **Stop initiating tasks (Initiieren von Aufgaben beenden)** im nächsten Schritt angeben.
Beispiel: Wenn das Wartungsfenster um 15:00 Uhr beginnt, die Dauer drei Stunden beträgt und der Wert **Stop initiating tasks (Initiieren von Aufgaben beenden)** eine Stunde beträgt, können nach 17:00 Uhr keine Wartungsfenster-Aufgaben gestartet werden.
1. Geben Sie unter **Stop initiating tasks (Initiieren von Aufgaben beenden)** die Anzahl der Stunden für den Zeitpunkt vor dem Ende des Wartungsfensters an, ab dem vom System keine neuen auszuführenden Aufgaben mehr geplant werden sollen.
1. (Optional) Geben Sie unter **Window start date** (Startzeit des Fensters) ein Datum und eine Uhrzeit im erweiterten ISO-8601-Format an, zu dem bzw. der das Wartungsfenster aktiviert werden soll. Auf diese Weise können Sie die Aktivierung des Wartungsfensters bis zum angegebenen künftigen Zeitpunkt verzögern.
1. (Optional) Geben Sie unter **Window end date** (Enddatum des Fensters) ein Datum und eine Uhrzeit im erweiterten ISO-8601-Format an, zu dem bzw. der das Wartungsfenster deaktiviert werden soll. Auf diese Weise können Sie ein in der Zukunft liegendes Datum sowie eine Uhrzeit festlegen, nach dem das Wartungsfenster nicht mehr ausgeführt wird.
1. (Optional) Geben Sie unter **Zeitzone planen** die Zeitzone im IANA-Format (Internet Assigned Numbers Authority) an, auf der die Ausführung geplanter Wartungsfenster basieren soll. Zum Beispiel: "America/Los\$1Angeles", "etc/UTC", or "Asia/Seoul“.
Weitere Informationen zu gültigen Formaten finden Sie unter [Time Zone Database (Zeitzonendatenbank)](https://www.iana.org/time-zones) auf der IANA-Website.
1. (Optional) Wenden **Sie im Bereich „Tags verwalten**“ ein oder mehrere name/value Tag-Schlüsselpaare auf das Wartungsfenster an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise dieses Wartungsfenster mit Tags versehen, um die Aufgabentypen, die darin ausgeführt werden, zu identifizieren. In diesem Fall könnten Sie das folgende name/value Schlüsselpaar angeben:
+ `Key=TaskType,Value=Patching`
1. Wählen Sie **Create maintenance window (Wartungsfenster erstellen)** aus.
1. Wählen Sie in der Liste mit den Wartungsfenstern das gerade erstellte Wartungsfenster aus und klicken Sie anschließend auf **Actions (Aktionen)**, **Register targets (Ziele registrieren)**.
1. (Optional) Geben Sie im Abschnitt **Maintenance window target details** einen Namen, eine Beschreibung und Eigentümerinformationen (Ihren Namen oder Alias) für dieses Ziel an.
1. Wählen Sie für die **Zielauswahl** die Option **Instance-Tags festlegen** aus.
1. Geben Sie im Feld **Instance-Tags angeben** einen Tag-Schlüssel und einen Tag-Wert ein, um die Knoten zu identifizieren, die beim Wartungsfenster angemeldet werden sollen, und wählen Sie dann **Hinzufügen**.
1. Wählen Sie **Register target**. Das System erstellt ein Ziel für das Wartungsfenster.
1. Wählen Sie auf der Detailseite des von Ihnen erstellten Wartungsfensters **Actions (Aktionen)**, **Register Run command task (Ausführungsbefehlaufgabe registrieren)** aus.
1. (Optional) Geben Sie im Abschnitt **Maintenance window task details (Aufgabendetails für Wartungszeitraum)** einen Namen und eine Beschreibung für diese Aufgabe an.
1. Wählen Sie unter **Command document (Befehlsdokument)** die Option `AWS-RunPatchBaseline` aus.
1. Wählen Sie für **Task priority (Aufgabenpriorität)** eine Priorität aus. Null (`0`) ist die höchste Priorität.
1. Wählen Sie für **Targets (Ziele)** unter **Target by (Auswahl nach)** das Wartungsfensterziel aus, das Sie zuvor erstellt haben.
1. Für **Ratenregelung**:
+ Geben Sie unter **Nebenläufigkeit** entweder eine Zahl oder einen Prozentsatz der verwalteten Knoten an, auf denen der Befehl gleichzeitig ausgeführt werden soll.
**Anmerkung**
Wenn Sie Ziele ausgewählt haben, indem Sie Tags angegeben haben, die auf verwaltete Knoten angewendet wurden, oder indem Sie AWS Ressourcengruppen angegeben haben und Sie sich nicht sicher sind, wie viele verwaltete Knoten das Ziel sind, schränken Sie die Anzahl der Ziele ein, die das Dokument gleichzeitig ausführen können, indem Sie einen Prozentsatz angeben.
+ Geben Sie unter **Fehlerschwellenwert** an, wann die Ausführung des Befehls auf anderen verwalteten Knoten beendet werden soll, nachdem dafür entweder auf einer bestimmten Anzahl oder einem Prozentsatz von Knoten ein Fehler aufgetreten ist. Falls Sie beispielsweise drei Fehler angeben, sendet Systems Manager keinen Befehl mehr, wenn der vierte Fehler empfangen wird. Von verwalteten Knoten, auf denen der Befehl noch verarbeitet wird, werden unter Umständen ebenfalls Fehler gesendet.
1. (Optional) Wählen Sie für **IAM-Servicerolle** eine Rolle aus, um Systems Manager Berechtigungen zur Übernahme zum Ausführen von Wartungsfenster-Aufgaben zu erteilen.
Wenn Sie keinen ARN für die Servicerolle angeben, verwendet Systems Manager eine serviceverknüpfte Rolle in Ihrem Konto. Wenn in Ihrem Konto keine geeignete serviceverknüpfte Rolle für Systems Manager vorhanden ist, wird sie erstellt, wenn die Aufgabe erfolgreich registriert wurde.
**Anmerkung**
Um die Sicherheitslage zu verbessern, empfehlen wir dringend, eine benutzerdefinierte Richtlinie und eine benutzerdefinierte Servicerolle für die Ausführung Ihrer Aufgaben im Wartungsfenster zu erstellen. Die Richtlinie kann so gestaltet werden, dass sie nur die Berechtigungen gewährt, die für Ihre speziellen Wartungsfensteraufgaben erforderlich sind. Weitere Informationen finden Sie unter [Einrichten von Maintenance Windows](setting-up-maintenance-windows.md).
1. (Optional) Wenn Sie im Abschnitt **Ausgabeoptionen** die Befehlsausgabe in einer Datei speichern möchten, aktivieren Sie das Kontrollkästchen **Schreiben der Ausgabe in S3 aktivieren**. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.
**Anmerkung**
Die S3-Berechtigungen zum Schreiben von Daten in einen S3-Bucket sind die Berechtigungen des dem verwalteten Knoten zugewiesenen Instance-Profils und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter [Instance-Berechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md) oder [Eine IAM-Servicerolle für eine Hybrid-Umgebung erstellen](hybrid-multicloud-service-role.md). Wenn sich der angegebene S3-Bucket in einem anderen AWS-Konto befindet, stellen Sie außerdem sicher, dass das Instance-Profil oder die IAM-Servicerolle, die dem verwalteten Knoten zugeordnet ist, über die erforderlichen Berechtigungen zum Schreiben in diesen Bucket verfügt.
Um die Ausgabe in eine Amazon CloudWatch Logs-Protokollgruppe zu streamen, wählen Sie das **CloudWatch Ausgabefeld** aus. Geben Sie den Namen der Protokollgruppe in das Feld ein.
1. Aktivieren Sie das Kontrollkästchen **Enable SNS notifications (SNS-Benachrichtigungen aktivieren)** im Abschnitt **SNS notifications (SNS-Benachrichtigungen)**, wenn Sie über den Status der Befehlsausführung benachrichtigt werden möchten,
Weitere Informationen zum Konfigurieren von Amazon SNS-Benachrichtigungen für Run Command finden Sie unter [Überwachung von Systems Manager-Statusänderungen mit Amazon SNS-Benachrichtigungen](monitoring-sns-notifications.md).
1. Für **Parameters (Parameter)**:
+ Wählen Sie in der Liste **Operation (Vorgang)** die Option **Scan (Scannen)**, um nach fehlenden Patches zu suchen, oder wählen Sie **Install (Installieren)**, um nach fehlenden Patches zu suchen und diese direkt zu installieren.
+ Sie brauchen keine Angaben für das Feld **Snapshot Id (Snapshot-ID)** zu machen. Das System generiert diesen Parameter automatisch und stellt ihn bereit.
+ Sie müssen nichts in das Feld **Install Override List (Überschreibungsliste installieren)** eingeben, es sei denn, Sie möchten, dass Patch Manager einen anderen Patch als für die Patch-Baseline angegeben verwenden soll. Weitere Informationen finden Sie unter [Parametername: `InstallOverrideList`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist).
+ Geben Sie für an **RebootOption**, ob Knoten neu gestartet werden sollen, wenn während des `Install` Vorgangs Patches installiert werden, oder ob andere Patches Patch Manager erkannt werden, die seit dem letzten Knotenneustart installiert wurden. Weitere Informationen finden Sie unter [Parametername: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).
+ (Optional) Geben Sie im Feld **Comment (Kommentar)** eine Verfolgungsnotiz oder Erinnerung zu diesem Befehl ein.
+ Geben Sie im Feld **Timeout (seconds) (Timeout (Sekunden))** die Anzahl der Sekunden ein, die das System warten soll, bis der Vorgang beendet ist, bevor er als nicht erfolgreich eingestuft wird.
1. Wählen Sie **Register Run command task**.
Nachdem die Wartungsfensteraufgabe abgeschlossen ist, können Sie Details zur Patch-Compliance in der Systems-Manager-Konsole im Tool [Fleet Manager](fleet-manager.md) anzeigen.
Sie können Konformitätsinformationen auch im Tool [Patch Manager](patch-manager.md) auf der Registerkarte **Konformitätsberichte** einsehen.
Sie können auch das [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html)und verwenden [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html) APIs , um Konformitätsdetails einzusehen. Weitere Informationen zu Patch-Compliance-Daten finden Sie unter [Info zu Patch Compliance](compliance-about.md#compliance-monitor-patch).
# Patching von Zeitplänen mithilfe von Wartungsfenstern
Nach der Konfiguration einer Patch-Baseline (und optional einer Patch-Gruppe), können Sie Patches für Ihren Knoten mithilfe eines Wartungsfensters einspielen. Ein Wartungsfenster kann die Auswirkungen bei der Serververfügbarkeit verringern, da Sie die Möglichkeit haben, eine Uhrzeit für das Einspielen der Patches festzulegen, sodass der Geschäftsbetrieb nicht unterbrochen werden muss. Wartungsfenster funktionieren wie folgt:
1. Sie erstellen ein Wartungsfenster mit einem Zeitplan für Ihre Patching-Operationen.
1. Sie wählen die Ziele für das Wartungsfenster aus, indem Sie das Tag `Patch Group` oder `PatchGroup` für den Tag-Namen angeben und einen beliebigen Wert angeben, für den Sie Amazon Elastic Compute Cloud (Amazon EC2)-Tags definiert haben, z. B. „Produktionsserver“ oder „US-EAST-PROD“. (Sie müssen `PatchGroup` ohne Leerzeichen verwenden, wenn Sie[ Tags in EC2-Instance-Metadaten zugelassen haben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).
1. Sie erstellen eine neue Aufgabe für das Wartungsfenster und geben für diese Aufgabe das Dokument `AWS-RunPatchBaseline` an.
Wenn Sie die Aufgabe konfigurieren, können Sie entweder Knoten scannen oder Patches scannen und auf den Knoten installieren. Wenn Sie die Knoten scannen, scannt Patch Manager, ein Tool in AWS Systems Manager, jeden Knoten und generiert eine Liste der fehlenden Patches für Sie zur Überprüfung.
Wenn Sie Patches scannen und installieren, scannt Patch Manager jeden Knoten und vergleicht die Liste der installierten Patches mit der Liste der genehmigten Patches in der Baseline. Patch Manager identifiziert fehlende Patches und lädt dann alle fehlenden und genehmigten Patches herunter und installiert sie.
Wenn Sie einen einmaligen Scan oder eine einmalige Installation ausführen möchten, um ein Problem zu beheben, können Sie Run Command für den direkten Aufruf des Dokuments `AWS-RunPatchBaseline` verwenden.
**Wichtig**
Nach dem Installieren von Patches führt Systems Manager einen Neustart eines jeden Knotens durch. Der Neustart ist erforderlich, um sicherzustellen, dass die Patches ordnungsgemäß installiert sind, und um sicherzustellen, dass das System den Knoten nach dem Einspielen der Patches nicht in einem potenziell fehlerhaften Zustand zurücklässt. (Ausnahme: Wenn der `RebootOption`-Parameter im `NoReboot`-Dokument auf `AWS-RunPatchBaseline` gesetzt ist, wird der verwaltete Knoten nach der Ausführung von Patch Manager nicht neu gestartet. Weitere Informationen finden Sie unter [Parametername: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)