Walkthrough: Erstellen eines Wartungsfensters zum automatischen Aktualisieren von SSM Agent (Konsole) - AWS Systems Manager
Schritt 1: Erstellen des Wartungsfensters (Konsole)Schritt 2: Registrieren von Wartungsfensterzielen (Konsole)Schritt 3: Registrieren einer Run Command-Aufgabe für das Wartungsfenster zum Aktualisieren von SSM Agent (Konsole)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Walkthrough: Erstellen eines Wartungsfensters zum automatischen Aktualisieren von SSM Agent (Konsole)

Die folgende exemplarische Vorgehensweise zeigt Ihnen, wie Sie mit der AWS Systems Manager Konsole ein Wartungsfenster erstellen. In der Anleitung wird auch beschrieben, wie Sie Ihre verwalteten Knoten als Ziele anmelden und eine Systems-Manager-Run Command-Aufgabe für die Aktualisierung des SSM Agent anmelden.

Bevor Sie beginnen

Bevor Sie das folgende Verfahren abschließen, müssen Sie entweder über Administratorrechte für die Knoten verfügen, die Sie konfigurieren möchten, oder Ihnen müssen die entsprechenden Berechtigungen in AWS Identity and Access Management (IAM) erteilt worden sein. Überprüfen Sie darüber hinaus, dass mindestens ein verwalteter Knoten für Linux oder Windows Server in einer Hybrid- und Multi-Cloud-Umgebung ausgeführt wird, die für Systems Manager konfiguriert ist. Weitere Informationen finden Sie unter Einrichten AWS Systems Manager.

Schritt 1: Erstellen des Wartungsfensters (Konsole)

So erstellen Sie ein Wartungsfenster (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Maintenance Windows aus.

  3. Wählen Sie Create maintenance window (Wartungsfenster erstellen) aus.

  4. Geben Sie im Feld Name einen aussagekräftigen Namen ein, an dem Sie dieses Wartungsfenster erkennen können.

  5. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  6. Wählen Sie Allow unregistered targets (Nicht registrierte Ziele erlauben), wenn Sie erlauben möchten, dass eine Wartungsfensteraufgabe auf verwalteten Knoten ausgeführt wird, obwohl diese Knoten nicht als Ziele registriert wurden. Falls Sie diese Option wählen, können Sie die nicht registrierten Knoten (nach Knoten-ID) auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.

    Sollten Sie diese Option nicht wählen, müssen Sie die zuvor registrierten Ziele auswählen, wenn Sie eine Aufgabe für das Wartungsfenster registrieren.

  7. Geben Sie mithilfe einer der drei Planungsoptionen einen Zeitplan für das Wartungsfenster an.

    Weitere Informationen zum Erstellen von CRON-/Rate-Ausdrücken finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

  8. Geben Sie unter Duration (Dauer) die Anzahl der Stunden ein, die das Wartungsfenster ausgeführt werden soll.

  9. Geben Sie unter Stop initiating tasks (Initiieren von Aufgaben beenden) die Anzahl der Stunden für den Zeitpunkt vor dem Ende des Wartungsfensters an, ab dem vom System keine neuen auszuführenden Aufgaben mehr geplant werden sollen.

  10. (Optional) Geben Sie unter Window start date - optional (Fenster-Startdatum (optional)) ein Datum und eine Uhrzeit im erweiterten ISO-8601-Format an. Dies ist für den Zeitpunkt erforderlich, an dem das Wartungsfenster aktiviert werden soll. Auf diese Weise können Sie die Aktivierung des Wartungsfensters bis zum angegebenen künftigen Zeitpunkt verzögern.

    Anmerkung

    Sie können kein Startdatum und keine Startzeit angeben, die in der Vergangenheit liegen.

  11. (Optional) Geben Sie unter Window end date - optional ein Datum und eine Uhrzeit im erweiterten ISO-8601-Format an. Dies ist für den Zeitpunkt erforderlich, an dem das Wartungsfenster deaktiviert werden soll. Auf diese Weise können Sie ein in der Zukunft liegendes Datum sowie eine Uhrzeit festlegen, nach dem das Wartungsfenster nicht mehr ausgeführt wird.

  12. (Optional) Geben Sie unter Schedule time zone - optional (geplante Zeitzone) im Internet Assigned Numbers Authority(IANA)-Format die Zeitzone an, auf der die geplanten Wartungsfenster-Ausführungen basieren sollen. Zum Beispiel: "America/Los_Angeles", "etc/UTC", oder "Asia/Seoul".

    Weitere Informationen zu gültigen Formaten finden Sie unter Time Zone Database (Zeitzonendatenbank) auf der IANA-Website.

  13. (Optional) Weisen Sie im Abschnitt Manage tags (Tags verwalten) dem Wartungsfenster ein oder mehrere Tag-Schlüsselname-Wert-Paare zu.

    Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise ein Wartungsfenster mit Tags versehen, um die Aufgabentypen, die darüber ausgeführt werden, die Arten der Ziele sowie die Umgebung, in der es ausgeführt wird, zu identifizieren. In diesem Fall könnten Sie z.B. die folgenden Schlüsselname-Wert-Paare angeben:

    • Key=TaskType,Value=AgentUpdate

    • Key=OS,Value=Windows

    • Key=Environment,Value=Production

  14. Wählen Sie Create maintenance window (Wartungsfenster erstellen) aus. Das System leitet Sie zur Seite „Maintenance Window“ (Wartungsfenster) zurück. Der Status des soeben erstellten Wartungsfensters lautet Enabled (Aktiviert).

Schritt 2: Registrieren von Wartungsfensterzielen (Konsole)

Führen Sie die folgenden Schritte aus, um ein Ziel für das Wartungsfenster zu registrieren, das Sie in Schritt 1 erstellt haben. Durch die Registrierung eines Ziels geben Sie an, welche Knoten aktualisiert werden sollen.

So weisen Sie einem Wartungsfenster Ziele zu (Konsole)

  1. Wählen Sie in der Wartungsfensterliste das soeben erstellte Wartungsfenster aus.

  2. Wählen Sie Actions (Aktionen) und anschließend Register targets (Ziele registrieren) aus.

  3. (Optional) Geben Sie im Feld Target Name (Zielname) einen Namen für das Ziel ein.

  4. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  5. (Optional) Geben Sie im Feld Owner information (Eigentümerinformationen), Ihren Namen oder ihr Arbeits-Alias ein. Besitzerinformationen sind in allen EventBridge Amazon-Ereignissen enthalten, die während der Ausführung von Aufgaben für diese Ziele in diesem Wartungsfenster ausgelöst werden.

    Informationen EventBridge zur Überwachung von Systems Manager Manager-Ereignissen finden Sie unterÜberwachung von Systems Manager-Ereignissen mit Amazon EventBridge.

  6. Wählen Sie im Bereich Targets (Ziele) eine der in der folgenden Tabelle beschriebenen Optionen.

    Option Beschreibung

    Specify instance tags (Instance-Tags angeben)

    Geben Sie unter Specify instance tags (Instance-Tags angeben) einen oder mehrere Tag-Schlüssel und (optional) Werte an, die den verwalteten Knoten in Ihrem Konto hinzugefügt wurden oder werden. Wenn das Wartungsfenster ausgeführt wird, versucht das Programm, Aufgaben auf allen verwalteten Knoten auszuführen, denen diese Tags hinzugefügt wurden.

    Wenn Sie mehr als einen Tag-Schlüssel angeben, muss ein Knoten mit allen Tag-Schlüsseln und -Werten markiert werden, die Sie für die Aufnahme in die Zielgruppe angeben.

    Manuelles Auswählen von Knoten

    Aktivieren Sie in der Liste das Kontrollkästchen für jeden Knoten, den Sie für das Wartungsfenster-Ziel aufnehmen möchten.

    Die Liste enthält alle Knoten in Ihrem Konto, die für die Verwendung mit Systems Manager konfiguriert sind.

    Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter Problembehandlung bei der Verfügbarkeit verwalteter Knoten Tipps zur Fehlerbehebung.

    Informationen zu Edge-Geräten, On-Premises-Servern und virtuellen Maschinen (VMs) finden Sie unter Verwendung von Systems Manager in Hybrid- und Multi-Cloud-Umgebungen

    Eine Ressourcengruppe auswählen

    Wählen Sie für Resource group (Ressourcengruppe) den Namen einer vorhandenen Ressourcengruppe in Ihrem Konto aus der Liste aus.

    Weitere Informationen zum Erstellen von und Arbeiten mit Ressourcengruppen finden Sie unter den folgenden Themen:

    Wählen Sie für Resource types (Ressourcentypen) bis zu fünf verfügbare Ressourcentypen aus oder wählen Sie All resource types (Alle Ressourcentypen).

    Wenn die Aufgaben, die Sie dem Wartungsfenster zugeordnet haben, für einen der dem Ziel hinzugefügten Ressourcentypen nicht für geeignet sind, meldet das System möglicherweise einen Fehler. Auch wenn ein solcher Fehler gemeldet wird, werden Aufgaben, für die ein unterstützter Ressourcentyp gefunden wurde, dennoch ausgeführt.

    Nehmen Sie beispielsweise an, Sie fügen diesem Ziel die folgenden Ressourcentypen hinzu:

    • AWS::S3::Bucket

    • AWS::DynamoDB::Table

    • AWS::EC2::Instance

    Wenn Sie dem Wartungsfenster später Aufgaben hinzufügen, nehmen Sie nur Aufgaben auf, die Aktionen für Knoten durchführen, wie z. B. das Anwenden einer Patch-Baseline oder das Neustarten eines Knotens. Möglicherweise wird im Protokoll Wartungsfensterprotokoll ein Fehler gemeldet, dass keine Amazon Simple Storage Service (Amazon S3)-Buckets oder Amazon DynamoDB-Tabellen gefunden wurden. Das Wartungsfenster führt jedoch weiterhin Aufgaben auf den Knoten in Ihrer Ressourcengruppe aus.

  7. Wählen Sie Register target.

Schritt 3: Registrieren einer Run Command-Aufgabe für das Wartungsfenster zum Aktualisieren von SSM Agent (Konsole)

Gehen Sie wie folgt vor, um eine Run Command-Aufgabe für das Wartungsfenster zu registrieren, das Sie in Schritt 1 erstellt haben. Die Run Command-Aufgabe aktualisiert den SSM Agent auf den registrierten Zielen.

So weisen Sie einem Wartungsfenster Aufgaben zu (Konsole)

  1. Wählen Sie in der Wartungsfensterliste das soeben erstellte Wartungsfenster aus.

  2. Wählen Sie Actions (Aktionen) und anschließend Register Run command Aufgabe (Run command-Aufgabe registrieren) aus.

  3. (Optional) Geben Sie unter Name, einen Namen für die Aufgabe ein, z. B. UpdateSSMAgent.

  4. (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

  5. Wählen Sie im Bereich Command document (Befehlsdokument) das SSM-Befehlsdokument AWS-UpdateSSMAgent aus.

    Anmerkung

    Wenn die Ziele, die Sie im vorherigen Schritt registriert haben, unter Windows Server 2012 R2 oder früher ausgeführt werden, müssen Sie das AWS-UpdateEC2Config-Dokument verwenden.

  6. Wählen Sie für Document version (Dokumentversion) die zu verwendende Dokumentversion aus.

  7. Geben Sie für Task priority (Aufgabenpriorität) eine Priorität für diese Aufgabe an. Null (0) ist die höchste Priorität. Aufgaben in einem Wartungsfenster werden in Reihenfolge der Priorität geplant. Dabei werden Aufgaben mit derselben Priorität parallel ausgeführt.

  8. Identifizieren Sie im Abschnitt Targets (Ziele) die Knoten, auf denen Sie diese Operation ausführen möchten, indem Sie Selecting registered target groups (Registrierte Zielgruppen auswählen) oder Selecting unregistered targets (Nicht registrierte Ziele auswählen) wählen.

  9. Für Rate control (Ratenregelung):

    • Geben Sie unter Concurrency (Nebenläufigkeit) entweder eine Zahl oder einen Prozentsatz der verwalteten Knoten an, auf denen der Befehl gleichzeitig ausgeführt werden soll.

      Anmerkung

      Wenn Sie Ziele ausgewählt haben, indem Sie Tags angeben, die auf verwaltete Knoten angewendet werden, oder indem Sie AWS -Ressourcengruppen angeben, und Sie noch nicht sicher sind, wie viele verwaltete Knoten anvisiert sind, sollten Sie die Anzahl von Zielen, die das Dokument gleichzeitig ausführen kann, beschränken, indem Sie einen Prozentsatz angeben.

    • Geben Sie unter Error threshold (Fehlerschwellenwert) an, wann die Ausführung des Befehls auf anderen verwalteten Knoten beendet werden soll, nachdem dafür entweder auf einer bestimmten Anzahl oder einem Prozentsatz von Knoten ein Fehler aufgetreten ist. Falls Sie beispielsweise drei Fehler angeben, sendet Systems Manager keinen Befehl mehr, wenn der vierte Fehler empfangen wird. Von verwalteten Knoten, auf denen der Befehl noch verarbeitet wird, werden unter Umständen ebenfalls Fehler gesendet.

  10. (Optional) Wählen Sie für die IAM-Servicerolle eine Rolle aus, die Systems Manager bei der Ausführung einer Aufgabe im Wartungsfenster annehmen soll.

    Wenn Sie keinen ARN für eine Servicerolle angeben, verwendet Systems Manager eine dienstverknüpfte Rolle in Ihrem Konto. Wenn in Ihrem Konto keine geeignete serviceverknüpfte Rolle für Systems Manager vorhanden ist, wird sie erstellt, wenn die Aufgabe erfolgreich registriert wurde.

    Anmerkung

    Um die Sicherheit zu verbessern, empfehlen wir dringend, eine benutzerdefinierte Richtlinie und eine benutzerdefinierte Servicerolle für die Ausführung Ihrer Aufgaben im Wartungsfenster zu erstellen. Die Richtlinie kann so gestaltet werden, dass sie nur die Berechtigungen gewährt, die für Ihre speziellen Wartungsfensteraufgaben erforderlich sind. Weitere Informationen finden Sie unter Konfigurieren Sie mit der Konsole Berechtigungen für Wartungsfenster.

  11. (Optional) Führen Sie für Output options (Optionen für die Ausgabe) nun einen der folgenden Schritte aus:

    • Aktivieren Sie das Kontrollkästchen Enable writing to S3 (Schreiben in S3 aktivieren), um die Befehlsausgabe in einer Datei zu speichern. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.

      Anmerkung

      Die S3-Berechtigungen, die das Schreiben der Daten in einen S3-Bucket gewähren, sind die des Instance-Profils, das dem Knoten zugewiesen ist, und nicht die des Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen. Wenn sich der angegebene S3-Bucket in einem anderen AWS-Konto befindet, stellen Sie außerdem sicher, dass das dem Knoten zugeordnete Instance-Profil über die erforderlichen Berechtigungen zum Schreiben in diesen Bucket verfügt.

    • Aktivieren Sie das Kontrollkästchen CloudWatch Ausgabe, um die vollständige Ausgabe in Amazon CloudWatch Logs zu schreiben. Geben Sie den Namen einer CloudWatch Logs-Protokollgruppe ein.

  12. Im Bereich SNS-Benachrichtigungen (SNS notifications) können Sie Systems Manager erlauben, Benachrichtigungen über Befehlsstatus mit Amazon Simple Notification Service (Amazon SNS) zu senden. Wenn Sie diese Option aktivieren, müssen Sie Folgendes angeben:

    1. Die IAM-Rolle zum Starten von Amazon SNS-Benachrichtigungen.

    2. Das zu verwendende Amazon SNS-Thema.

    3. Die spezifischen Ereignistypen, über die Sie benachrichtigt werden möchten.

    4. Den Benachrichtigungstyp, den Sie erhalten möchten, wenn sich der Status eines Befehls ändert. Wenn Befehle an mehrere Knoten gesendet wurden, wählen Sie die Option Invocation (Aufruf) aus, um eine Benachrichtigung auf Basis von Aufrufen (pro Knoten) zu erhalten, wenn sich der Status eines jeden Aufrufs ändert.

  13. Im Abschnitt Parameter haben Sie die Möglichkeit, eine bestimmte Version von SSM Agent zu installieren, oder Sie können festlegen, dass der SSM Agent-Service auf eine ältere Version zurückgesetzt wird. Bei dieser Anleitung haben wir jedoch keine Version angegeben. Daher wird SSM Agent auf die neueste Version aktualisiert.

  14. Wählen Sie Register run command task.