Erstellen von Zuordnungen - AWS Systems Manager
Planen von ZuordnungenErstellen einer Zuordnung (Konsole)Erstellen einer Zuordnung (Befehlszeile)

Erstellen von Zuordnungen

State Manager, eine Funktion von AWS Systems Manager, hilft Ihnen AWS-Ressourcen in einem Zustand zu halten, in dem Sie die Konfigurationsdrift definieren und reduzieren. Um dies zu tun, verwendet State Manager Assoziationen. Eine Assoziation ist eine Konfiguration, die Sie Ihren AWS-Ressourcen zuweisen. Die Konfiguration definiert den Status, den Sie auf Ihren Ressourcen beibehalten möchten. Beispiel: Eine Zuordnung kann angeben, dass auf einem verwalteten Knoten Antiviren-Software installiert sein und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Eine Assoziation gibt einen Zeitplan an, wann die Konfiguration und die Ziele für die Assoziation angewendet werden sollen. Beispielsweise könnte eine Zuordnung für Antivirensoftware einmal täglich auf allen verwalteten Knoten in einem AWS-Konto ausgeführt werden. Wenn die Software nicht auf einem Knoten installiert ist, könnte die Assoziation State Manager anweisen, sie zu installieren. Wenn die Software installiert ist, aber der Service nicht ausgeführt wird, könnte die Assoziation State Manager anweisen, den Service zu starten.

Warnung

Wenn Sie eine Assoziation erstellen, können Sie eine AWS-Ressourcengruppe verwalteter Knoten als Ziel für die Assoziation auswählen. Wenn ein(e) AWS Identity and Access Management (IAM)-Benutzer, -Gruppe oder -Rolle die Berechtigung zum Erstellen einer Assoziation hat, die eine Ressourcengruppe verwalteter Knoten zum Ziel hat, dann hat der Benutzer, die Gruppe oder die Rolle automatisch die Kontrolle auf Stammebene für alle Knoten in der Gruppe. Sie sollten nur vertrauenswürdigen Administratoren die Berechtigung erteilen, Assoziationen zu erstellen.

Zuordnungsziele und Ratensteuerungen

Eine Zuordnung gibt an, welche verwalteten Knoten oder Ziele die Zuordnung erhalten sollen. State Manager enthält mehrere Funktionen, mit denen Sie Ihre verwalteten Knoten gezielt ausrichten und steuern können, wie die Zuordnung für diese Ziele bereitgestellt wird. Weitere Informationen zu Zielen und Ratensteuerungen finden Sie unter Verstehen von Zielen und Ratensteuerungen in State Manager Zuordnungen.

Markierungs-Zuordnungen

Sie können einer Zuordnung Tags zuweisen, wenn Sie sie mithilfe eines Befehlszeilen-Tools wie AWS CLI oder AWS Tools for PowerShell erstellen. Das Hinzufügen von Tags zu einer Zuordnung über die Systems-Manager-Konsole wird nicht unterstützt.

Ausgeführte Zuordnungen

Standardmäßig wird von State Manager eine Zuordnung sofort nach deren Erstellung und dann gemäß dem von Ihnen definierten Zeitplan ausgeführt.

Das System führt auch Zuordnungen nach den folgenden Regeln aus:

  • State Manager versucht, die Assoziation während eines Intervalls auf allen angegebenen oder als Ziel ausgewählten Knoten auszuführen.

  • Wenn eine Assoziation in einem Intervall nicht ausgeführt wird (weil beispielsweise die Anzahl der Knoten, die die Zuordnung gleichzeitig ausführen können, durch einen Gleichzeitigkeitswert begrenzt wird), versucht State Manager, die Assoziation im nächsten Intervall auszuführen.

  • State Manager führt die Zuordnung nach Änderungen an der Konfiguration, den Zielknoten, Dokumenten oder Parametern der Zuordnung aus. Weitere Informationen finden Sie unter Verstehen, wann Zuordnungen auf Ressourcen angewendet werden

  • State Manager zeichnet einen Verlauf für alle übersprungenen Datensätze an. Sie können den Verlauf auf der Registerkarte Execution History (Ausführungsverlauf) anzeigen.

Planen von Zuordnungen

Sie können Zuordnungen so planen, dass sie in einfachen Intervallen ausgeführt werden, z. B. alle 10 Stunden, oder Sie können erweiterte Zeitpläne erstellen, indem Sie benutzerdefinierte Cron- und Rate-Ausdrücke verwenden. Sie können auch verhindern, dass Zuordnungen ausgeführt werden, wenn Sie diese zum ersten Mal erstellen.

Verwenden von Cron- und Rate-Ausdrücken zur Planung von Ausführungen von Zuordnungen

Zusätzlich zu den standardmäßigen Cron- und Rate-Ausdrücken werden von State Manager auch Cron-Ausdrücke unterstützt, die einen Wochentag und das Nummernzeichen (#) enthalten, um den x-ten Tag eines Monats für die Ausführung einer Assoziation zu bestimmen. Hier ist ein Beispiel, das am dritten Dienstag jeden Monats um 23:30 Uhr UTC einen Cron-Zeitplan ausführt:

cron(30 23 ? * TUE#3 *)

Hier ist ein Beispiel, das am zweiten Donnerstag jeden Monats um Mitternacht UTC läuft:

cron(0 0 ? * THU#2 *)

State Manager unterstützt auch das (L)-Zeichen, um den letzten X Tag des Monats anzugeben. Hier ist ein Beispiel, das am letzten Dienstag jeden Monats um Mitternacht UTC einen Cron-Zeitplan ausführt:

cron(0 0 ? * 3L *)

Um weiter zu steuern, wann eine Assoziation ausgeführt wird, z. B. wenn Sie zwei Tage nach dem Patch-Dienstag eine Assoziation ausführen möchten, können Sie einen Offset angeben. Ein Offset definiert, wie viele Tage nach dem geplanten Tag gewartet werden müssen, um eine Assoziation auszuführen. Wenn Sie beispielsweise einen Cron-Zeitplan mit cron(0 0 ? * THU#2 *) angegeben haben, können Sie die Nummer 3 im Feld Planversatz angeben, um die Assoziation jeden Sonntag nach dem zweiten Donnerstag im Monat auszuführen.

Anmerkung

Um Offsets zu verwenden, müssen Sie entweder Zuordnung nur beim nächsten angegebenen Cron-Intervall in der Konsole anwenden auswählen oder den ApplyOnlyAtCronInterval-Parameter über die Befehlszeile angeben. Wenn eine dieser Optionen aktiviert ist, führt State Manager die Zuordnung nicht sofort nach dem Erstellen aus.

Weitere Informationen zu cron- und Rate-Ausdrücken finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

Erstellen einer Zuordnung (Konsole)

Im folgenden Verfahren wird beschrieben, wie mithilfe der Systems Manager-Konsole eine State Manager-Zuordnung erstellt wird.

Wichtig

Dieses Verfahren beschreibt, wie eine Zuordnung erstellt wird, die entweder ein Command- oder ein Policy-Dokument zum Ansprechen verwalteter Knoten verwendet. Weitere Informationen zum Erstellen einer Assoziation, die ein Automation-Runbook verwendet, um Knoten oder andere Arten von AWS-Ressourcen anzuvisieren, finden Sie unter Planen von Automatisierungen mit State Manager-Zuordnungen.

So erstellen Sie eine State Manager-Zuordnung

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich State Manager aus.

  3. Wählen Sie Create association (Zuordnung erstellen) aus.

  4. Geben Sie im Feld Name einen Namen an.

  5. Wählen Sie in der Liste Document (Dokument) die Option neben dem Namen des Dokuments aus. Beachten Sie den Dokumenttyp. Dieses Verfahren gilt für Command- und Policy-Dokumente. Weitere Informationen zum Erstellen einer Zuordnung, die ein Automation-Runbook verwendet, finden Sie unter Planen von Automatisierungen mit State Manager-Zuordnungen.

    Wichtig

    State Manager unterstützt nicht das Ausführen von Zuordnungen, die eine neue Version eines Dokuments verwenden, wenn dieses Dokument von einem anderen Konto freigegeben wird. State Manager führt immer die default-Version eines Dokuments aus, wenn es von einem anderen Konto freigegeben wird, obwohl die Systems-Manager-Konsole anzeigt, dass eine neue Version verarbeitet wurde. Wenn Sie eine Zuordnung mit einer neuen Version eines Dokuments ausführen möchten, das von einem anderen Konto freigegeben wurde, müssen Sie die Dokumentversion auf default einstellen.

  6. Geben Sie für Parameters (Parameter) die erforderlichen Eingabeparameter an.

  7. (Optional) Wählen Sie einen CloudWatch-Alarm aus, der auf Ihre Zuordnung zur Überwachung angewendet werden soll.

    Anmerkung

    Bitte beachten Sie die folgenden Informationen über diesen Schritt.

    • Die Liste der Alarme zeigt maximal 100 Alarme. Wenn Ihr Alarm nicht in der Liste angezeigt wird, verwenden Sie AWS Command Line Interface, um die Zuordnung zu erstellen. Weitere Informationen finden Sie unter Erstellen einer Zuordnung (Befehlszeile).

    • Um einen CloudWatch-Alarm an Ihren Befehl anzufügen, muss der IAM-Prinzipal, der die Zuordnung erstellt, über die Berechtigung für die iam:createServiceLinkedRole-Aktion verfügen. Weitere Informationen zu CloudWatch-Alarmen erhalten Sie unter Verwendung von Amazon-CloudWatch-Alarmen.

    • Ausstehende Befehlsaufrufe oder Automatisierungen werden nicht ausgeführt, wenn Ihr Alarm aktiviert wird.

  8. Wählen Sie für Ziele eine Option aus. Weitere Informationen zur Verwendung von Zielen finden Sie unter Verstehen von Zielen und Ratensteuerungen in State Manager Zuordnungen.

    Anmerkung

    Damit Verknüpfungen, die mit Automations-Runbooks erstellt wurden, angewendet werden können, wenn neue Zielknoten erkannt werden, müssen bestimmte Bedingungen erfüllt sein. Weitere Informationen finden Sie unter Informationen zu Zielupdates mit Automation-Runbooks.

  9. Wählen Sie im Abschnitt Zeitplan angeben entweder Nach Zeitplan oder Kein Zeitplan aus. Wenn Sie On schedule (Auf Zeitplan) auswählen, verwenden Sie die verfügbaren Schaltflächen zum Erstellen eines cron- oder rate-Zeitplans für die Zuordnung.

    Wenn Sie nicht möchten, dass eine Zuordnung unmittelbar nach der Erstellung ausgeführt wird, wählen Sie Apply association only at the next specified Cron interval (Zuordnung erst beim nächsten angegebenen Cron-Intervall anwenden).

  10. (Optional) Im Schedule offset (Planversatz), geben Sie eine Zahl zwischen 1 und 6 an.

  11. Im Abschnitt Advanced options (Erweiterte Optionen) wählen Sie mit Compliance severity (Compliance-Schweregrad) einen Schweregrad für die Zuordnung und mit Change Calendars (Änderungskalender) einen Änderungskalender für die Zuordnung aus.

    In den Compliance-Berichten finden Sie Informationen dazu, ob die Zuordnung konform ist, zusammen mit dem Schweregrad, den Sie hier angeben. Weitere Informationen finden Sie unter Informationen zu State Manager-Zuordnungs-Compliance.

    Der Änderungskalender bestimmt, wann die Zuordnung ausgeführt wird. Wenn der Kalender geschlossen ist, wird die Zuordnung nicht angewendet. Wenn der Kalender geöffnet ist, wird die Zuordnung entsprechend ausgeführt. Weitere Informationen finden Sie unter AWS Systems Manager Change Calendar.

  12. Wählen Sie im Abschnitt Rate control (Ratensteuerung) Optionen für die Ausführung der Assoziation auf mehreren Knoten aus. Weitere Informationen zu Ratensteuerungen finden Sie unter Verstehen von Zielen und Ratensteuerungen in State Manager Zuordnungen.

    Wählen Sie im Abschnitt Gleichzeitigkeit eine Option aus:

    • Wählen Sie Ziele aus, um eine absolute Anzahl von Zielen einzugeben, die die Zuordnung gleichzeitig ausführen können.

    • Wählen Sie Prozentsatz aus, um einen Prozentsatz der Ziele anzugeben, die die Zuordnung gleichzeitig ausführen können.

    Wählen Sie im Abschnitt Fehlerschwellenwert eine Option aus:

    • Wählen Sie Fehler aus und geben Sie die absolute Anzahl erlaubter Fehler an, bis State Manager die Ausführung von Zuordnungen für weitere Ziele beendet.

    • Wählen Sie Prozentsatz aus und geben Sie den Prozentsatz erlaubter Fehler an, bis State Manager die Ausführung von Zuordnungen für weitere Ziele beendet.

  13. (Optional) Wenn Sie im Abschnitt Ausgabeoptionen die Befehlsausgabe in einer Datei speichern möchten, aktivieren Sie das Kontrollkästchen Schreiben der Ausgabe in S3 aktivieren. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.

    Anmerkung

    Die S3-Berechtigungen zum Schreiben von Daten in einen S3-Bucket sind die Berechtigungen des dem verwalteten Knoten zugewiesenen Instance-Profils und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Instance-Berechtigungen für Systems Manager konfigurieren oder Eine IAM-Servicerolle für eine Hybrid-Umgebung erstellen. Wenn sich der angegebene S3-Bucket in einem anderen AWS-Konto befindet, stellen Sie außerdem sicher, dass das Instance-Profil oder die IAM-Servicerolle, die dem verwalteten Knoten zugeordnet ist, über die erforderlichen Berechtigungen zum Schreiben in diesen Bucket verfügt.

    Im Folgenden finden Sie die minimalen Berechtigungen, die erforderlich sind, um Amazon S3-Ausgabe für eine Zuordnung zu aktivieren. Sie können den Zugriff weiter einschränken, indem Sie IAM-Richtlinien an Benutzer oder Rollen innerhalb eines Kontos anfügen. Ein Amazon EC2-Instance-Profil sollte mindestens eine IAM-Rolle mit der von AmazonSSMManagedInstanceCore verwalteten Richtlinie und der folgenden Inline-Richtlinie haben. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Für minimale Berechtigungen muss der Amazon S3-Bucket, in den Sie exportieren, über die von der Amazon S3-Konsole definierten Standardeinstellungen verfügen. Weitere Informationen zum Erstellen eines Amazon S3-Buckets finden Sie unter Erstellen eines Buckets im Amazon S3-Benutzerhandbuch.

    Anmerkung

    API-Vorgänge, die während der Ausführung einer Zuordnung durch das SSM-Dokument initiiert werden, werden in AWS CloudTrail nicht protokolliert.

  14. Wählen Sie Zuordnung erstellen.

Anmerkung

Wenn Sie die von Ihnen erstellte Zuordnung löschen, wird die Zuordnung nicht mehr auf Zielen dieser Zuordnung ausgeführt.

Erstellen einer Zuordnung (Befehlszeile)

Im folgenden Verfahren wird beschrieben, wie Sie die AWS CLI (unter Linux oder Windows) oder Tools for PowerShell verwenden, um eine State Manager-Zuordnung zu erstellen. Dieser Abschnitt enthält einige Beispiele, die zeigen, wie Ziele und Ratensteuerungen verwendet werden. Mit Zielen und Ratensteuerungen können Sie Dutzenden oder Hunderten von Knoten eine Assoziation zuweisen, während Sie die Ausführung dieser Assoziationen steuern. Weitere Informationen zu Zielen und Ratensteuerungen finden Sie unter Verstehen von Zielen und Ratensteuerungen in State Manager Zuordnungen.

Wichtig

Dieses Verfahren beschreibt, wie eine Zuordnung erstellt wird, die entweder ein Command- oder ein Policy-Dokument zum Ansprechen verwalteter Knoten verwendet. Weitere Informationen zum Erstellen einer Assoziation, die ein Automation-Runbook verwendet, um Knoten oder andere Arten von AWS-Ressourcen anzuvisieren, finden Sie unter Planen von Automatisierungen mit State Manager-Zuordnungen.

Bevor Sie beginnen

Der Parameter targets ist ein Array von Suchkriterien, die Knoten mit einer Kombination aus Key und Value, die Sie angeben, als Ziel auswählen. Wenn Sie planen, mithilfe des Parameters targets eine Assoziation für Dutzende oder Hunderte von Knoten zu erstellen, überprüfen Sie die folgenden Optionen für die Zielauswahl, bevor Sie mit dem Verfahren beginnen.

Bestimmte Knoten durch Angabe von IDs anvisieren

--targets Key=InstanceIds,Values=instance-id-1,instance-id-2,instance-id-3
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE,i-07782c72faEXAMPLE

Instances mithilfe von -Tags als Ziel auswählen

--targets Key=tag:tag-key,Values=tag-value-1,tag-value-2,tag-value-3
--targets Key=tag:Environment,Values=Development,Test,Pre-production

Knoten durch AWS Resource Groups anvisieren

--targets Key=resource-groups:Name,Values=resource-group-name
--targets Key=resource-groups:Name,Values=WindowsInstancesGroup

Alle Instances im aktuellen AWS-Konto und in der AWS-Region einbeziehen

--targets Key=InstanceIds,Values=*
Anmerkung

Notieren Sie die folgenden Informationen:

  • State Manager unterstützt nicht das Ausführen von Zuordnungen, die eine neue Version eines Dokuments verwenden, wenn dieses Dokument von einem anderen Konto freigegeben wird. State Manager führt immer die default-Version eines Dokuments aus, wenn es von einem anderen Konto freigegeben wird, obwohl die Systems-Manager-Konsole anzeigt, dass eine neue Version verarbeitet wurde. Wenn Sie eine Zuordnung mit einer neuen Version eines Dokuments ausführen möchten, das von einem anderen Konto freigegeben wurde, müssen Sie die Dokumentversion auf default einstellen.

  • Sie können mit der AWS CLI maximal fünf Tag-Schlüssel angeben. Wenn Sie die AWS CLI verwenden, müssen alle im create-association-Befehl angegebenen Tag-Schlüssel dem Knoten aktuell zugewiesen sein. Sind sie das nicht, kann State Manager den Knoten nicht für eine Zuordnung anvisieren.

  • Beim Erstellen der Zuordnung geben Sie die auch den Zeitplan für die Ausführung an. Geben Sie den Zeitplan mit einem cron- oder Rate-Ausdruck an. Weitere Informationen zu cron- und Rate-Ausdrücken finden Sie unter Cron- und Rate-Ausdrücke für Zuordnungen.

  • Damit Verknüpfungen, die mit Automations-Runbooks erstellt wurden, angewendet werden können, wenn neue Zielknoten erkannt werden, müssen bestimmte Bedingungen erfüllt sein. Weitere Informationen finden Sie unter Informationen zu Zielupdates mit Automation-Runbooks.

So erstellen Sie eine Zuordnung

  1. Installieren und konfigurieren Sie die AWS CLI oder AWS Tools for PowerShell, falls noch nicht erfolgt.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

  2. Verwenden Sie das folgende Format, um einen Befehl zu erstellen, der eine State Manager-Zuordnung erstellt. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm create-association \
    --name document_name \
    --document-version version_of_document_applied \
    --instance-id instances_to_apply_association_on \
    --parameters (if any) \
    --targets target_options \
    --schedule-expression "cron_or_rate_expression" \
    --apply-only-at-cron-interval required_parameter_for_schedule_offsets \
    --schedule-offset number_between_1_and_6 \
    --output-location s3_bucket_to_store_output_details \
    --association-name association_name \
    --max-errors a_number_of_errors_or_a_percentage_of_target_set \
    --max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
    --compliance-severity severity_level \
    --calendar-names change_calendar_names \
    --target-locations aws_region_or_account \
    --tags "Key=tag_key,Value=tag_value"
    Windows
    aws ssm create-association ^
    --name document_name ^
    --document-version version_of_document_applied ^
    --instance-id instances_to_apply_association_on ^
    --parameters (if any) ^
    --targets target_options ^
    --schedule-expression "cron_or_rate_expression" ^
    --apply-only-at-cron-interval required_parameter_for_schedule_offsets ^
    --schedule-offset number_between_1_and_6 ^
    --output-location s3_bucket_to_store_output_details ^
    --association-name association_name ^
    --max-errors a_number_of_errors_or_a_percentage_of_target_set ^
    --max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
    --compliance-severity severity_level ^
    --calendar-names change_calendar_names ^
    --target-locations aws_region_or_account ^
    --tags "Key=tag_key,Value=tag_value"
    PowerShell
    New-SSMAssociation `
    -Name document_name `
    -DocumentVersion version_of_document_applied `
    -InstanceId instances_to_apply_association_on `
    -Parameters (if any) `
    -Target target_options `
    -ScheduleExpression "cron_or_rate_expression" `
    -ApplyOnlyAtCronInterval required_parameter_for_schedule_offsets `
    -ScheduleOffSet number_between_1_and_6 `
    -OutputLocation s3_bucket_to_store_output_details `
    -AssociationName association_name `
    -MaxError  a_number_of_errors_or_a_percentage_of_target_set
    -MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
    -ComplianceSeverity severity_level `
    -CalendarNames change_calendar_names `
    -TargetLocations aws_region_or_account `
    -Tags "Key=tag_key,Value=tag_value"

    In dem folgenden Beispiel wird eine Assoziaition für Knoten erstellt, die mit "Environment,Linux" getaggt sind. Die Assoziation verwendet das Dokument AWS-UpdateSSMAgent, um den SSM Agent auf den Ziel-Knoten jeden Sonntagmorgen um 2:00 Uhr UTC zu aktualisieren. Diese Assoziation wird jeweils auf maximal 10 Knoten gleichzeitig ausgeführt. Die Ausführung dieser Assoziation wird außerdem für ein bestimmtes Ausführungsintervall auf weiteren Knoten gestoppt, wenn die Fehlerzählung 5 überschreitet. Der Zuordnung wird für Compliance-Berichte der Schweregrad Mittel zugewiesen.

    Linux & macOS
    aws ssm create-association \
  --association-name Update_SSM_Agent_Linux \
  --targets Key=tag:Environment,Values=Linux \
  --name AWS-UpdateSSMAgent  \
  --compliance-severity "MEDIUM" \
  --schedule-expression "cron(0 2 ? * SUN *)" \
  --max-errors "5" \
  --max-concurrency "10"
    Windows
    aws ssm create-association ^
  --association-name Update_SSM_Agent_Linux ^
  --targets Key=tag:Environment,Values=Linux ^
  --name AWS-UpdateSSMAgent  ^
  --compliance-severity "MEDIUM" ^
  --schedule-expression "cron(0 2 ? * SUN *)" ^
  --max-errors "5" ^
  --max-concurrency "10"
    PowerShell
    New-SSMAssociation `
  -AssociationName Update_SSM_Agent_Linux `
  -Name AWS-UpdateSSMAgent `
  -Target @{
      "Key"="tag:Environment"
      "Values"="Linux"
    } `
  -ComplianceSeverity MEDIUM `
  -ScheduleExpression "cron(0 2 ? * SUN *)" `
  -MaxConcurrency 10 `
  -MaxError 5

    Das folgende Beispiel zielt durch Angabe eines Platzhalterzeichens (*) auf Knoten-IDs ab. Dadurch kann Systems Manager eine Assoziation auf Alle Knoten im aktuellen AWS-Konto und der AWS-Region erstellen. Diese Assoziation wird jeweils auf maximal 10 Knoten gleichzeitig ausgeführt. Die Ausführung dieser Assoziation wird außerdem für ein bestimmtes Ausführungsintervall auf weiteren Knoten gestoppt, wenn die Fehlerzählung 5 überschreitet. Der Zuordnung wird für Compliance-Berichte der Schweregrad Mittel zugewiesen. Diese Assoziation verwendet einen Zeitplan-Offset, was bedeutet, dass sie zwei Tage nach dem angegebenen Cron-Zeitplan ausgeführt wird. Sie enthält auch den ApplyOnlyAtCronInterval-Parameter, der erforderlich ist, um den Zeitplan-Offset zu verwenden, und was bedeutet, dass die Assoziation nicht sofort nach ihrer Erstellung ausgeführt wird.

    Linux & macOS
    aws ssm create-association \
  --association-name Update_SSM_Agent_Linux \
  --name "AWS-UpdateSSMAgent" \
  --targets "Key=instanceids,Values=*" \
  --compliance-severity "MEDIUM" \
  --schedule-expression "cron(0 2 ? * SUN#2 *)" \
  --apply-only-at-cron-interval \
  --schedule-offset 2 \
  --max-errors "5" \
  --max-concurrency "10" \
    Windows
    aws ssm create-association ^
  --association-name Update_SSM_Agent_Linux ^
  --name "AWS-UpdateSSMAgent" ^
  --targets "Key=instanceids,Values=*" ^
  --compliance-severity "MEDIUM" ^
  --schedule-expression "cron(0 2 ? * SUN#2 *)" ^
  --apply-only-at-cron-interval ^
  --schedule-offset 2 ^
  --max-errors "5" ^
  --max-concurrency "10" ^
  --apply-only-at-cron-interval
    PowerShell
    New-SSMAssociation `
  -AssociationName Update_SSM_Agent_All `
  -Name AWS-UpdateSSMAgent `
  -Target @{
      "Key"="InstanceIds"
      "Values"="*"
    } `
  -ScheduleExpression "cron(0 2 ? * SUN#2 *)" `
  -ApplyOnlyAtCronInterval `
  -ScheduleOffset 2 `
  -MaxConcurrency 10 `
  -MaxError 5 `
  -ComplianceSeverity MEDIUM `
  -ApplyOnlyAtCronInterval

    Im folgenden Beispiel wird eine Assoziation für Knoten in Ressourcengruppen erstellt. Die Gruppe trägt den Namen „HR-Department“. Die Assoziation verwendet das Dokument AWS-UpdateSSMAgent, um den SSM Agent auf den Ziel-Knoten jeden Sonntagmorgen um 2:00 Uhr UTC zu aktualisieren. Diese Assoziation wird jeweils auf maximal 10 Knoten gleichzeitig ausgeführt. Die Ausführung dieser Assoziation wird außerdem für ein bestimmtes Ausführungsintervall auf weiteren Knoten gestoppt, wenn die Fehlerzählung 5 überschreitet. Der Zuordnung wird für Compliance-Berichte der Schweregrad Mittel zugewiesen. Diese Assoziation wird entsprechend dem angegebenen Cron-Zeitplan ausgeführt. Sie wird nicht unmittelbar nach dem Erstellen der Zuordnung ausgeführt.

    Linux & macOS
    aws ssm create-association \
  --association-name Update_SSM_Agent_Linux \
  --targets Key=resource-groups:Name,Values=HR-Department \
  --name AWS-UpdateSSMAgent  \
  --compliance-severity "MEDIUM" \
  --schedule-expression "cron(0 2 ? * SUN *)" \
  --max-errors "5" \
  --max-concurrency "10" \
  --apply-only-at-cron-interval
    Windows
    aws ssm create-association ^
  --association-name Update_SSM_Agent_Linux ^
  --targets Key=resource-groups:Name,Values=HR-Department ^
  --name AWS-UpdateSSMAgent  ^
  --compliance-severity "MEDIUM" ^
  --schedule-expression "cron(0 2 ? * SUN *)" ^
  --max-errors "5" ^
  --max-concurrency "10" ^
  --apply-only-at-cron-interval
    PowerShell
    New-SSMAssociation `
  -AssociationName Update_SSM_Agent_Linux `
  -Name AWS-UpdateSSMAgent `
  -Target @{
      "Key"="resource-groups:Name"
      "Values"="HR-Department"
    } `
  -ScheduleExpression "cron(0 2 ? * SUN *)" `
  -MaxConcurrency 10 `
  -MaxError 5 `
  -ComplianceSeverity MEDIUM `
  -ApplyOnlyAtCronInterval

    Im folgenden Beispiel wird eine Zuordnung erstellt, die auf Knoten ausgeführt wird, die mit einer bestimmten Knoten-ID gekennzeichnet sind. Die Assoziation verwendet das SSM Agent-Dokument zur Aktualisierung von SSM Agent für die Zielknoten, wenn der Änderungskalender geöffnet ist. Die Zuordnung überprüft den Kalenderstatus, wenn er ausgeführt wird. Wenn der Kalender beim Start geschlossen ist und die Zuordnung nur einmal ausgeführt wird, wird diese nicht erneut ausgeführt, da das Ausführungsfenster der Zuordnung abgelaufen ist. Wenn der Kalender geöffnet ist, wird die Zuordnung entsprechend ausgeführt.

    Anmerkung

    Wenn Sie neue Knoten zu den Tags oder Ressourcengruppen hinzufügen, auf die eine Assoziation wirkt, wenn der Änderungskalender geschlossen ist, wird die Assoziation auf diese Knoten angewendet, sobald der Änderungskalender geöffnet wird.

    Linux & macOS
    aws ssm create-association \
  --association-name CalendarAssociation \
  --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" \
  --name AWS-UpdateSSMAgent  \
  --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" \
  --schedule-expression "rate(1day)"
    Windows
    aws ssm create-association ^
  --association-name CalendarAssociation ^
  --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" ^
  --name AWS-UpdateSSMAgent  ^
  --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" ^
  --schedule-expression "rate(1day)"
    PowerShell
    New-SSMAssociation `
  -AssociationName CalendarAssociation `
  -Target @{
      "Key"="tag:instanceids"
      "Values"="i-0cb2b964d3e14fd9f"
    } `
  -Name AWS-UpdateSSMAgent `
  -CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" `
  -ScheduleExpression "rate(1day)"

    Im folgenden Beispiel wird eine Zuordnung erstellt, die auf Knoten ausgeführt wird, die mit einer bestimmten Knoten-ID gekennzeichnet sind. Die ZuoAssoziation verwendet das Dokument SSM Agent, um jeden Sonntag um 2:00 Uhr SSM Agent auf den Zielknoten zu aktualisieren. Diese Assoziation wird nur zum angegebenen Cron-Zeitplan ausgeführt, wenn der Änderungskalender geöffnet ist. Wenn die Zuordnung erstellt wird, überprüft sie den Kalenderstatus. Wenn der Kalender geschlossen ist, wird die Zuordnung nicht angewendet. Wenn das Intervall zum Anwenden der Zuordnung am Sonntag um 2:00 Uhr beginnt, prüft die Zuordnung, ob der Kalender geöffnet ist. Wenn der Kalender geöffnet ist, wird die Zuordnung entsprechend ausgeführt.

    Anmerkung

    Wenn Sie neue Knoten zu den Tags oder Ressourcengruppen hinzufügen, auf die eine Assoziation wirkt, wenn der Änderungskalender geschlossen ist, wird die Assoziation auf diese Knoten angewendet, sobald der Änderungskalender geöffnet wird.

    Linux & macOS
    aws ssm create-association \
  --association-name MultiCalendarAssociation \
  --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" \
  --name AWS-UpdateSSMAgent  \
  --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" \
  --schedule-expression "cron(0 2 ? * SUN *)"
    Windows
    aws ssm create-association ^
  --association-name MultiCalendarAssociation ^
  --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" ^
  --name AWS-UpdateSSMAgent  ^
  --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" ^
  --schedule-expression "cron(0 2 ? * SUN *)"
    PowerShell
    New-SSMAssociation `
  -AssociationName MultiCalendarAssociation `
  -Name AWS-UpdateSSMAgent `
  -Target @{
      "Key"="tag:instanceids"
      "Values"="i-0cb2b964d3e14fd9f"
    } `
  -CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" `
  -ScheduleExpression "cron(0 2 ? * SUN *)"
Anmerkung

Wenn Sie die von Ihnen erstellte Zuordnung löschen, wird die Zuordnung nicht mehr auf Zielen dieser Zuordnung ausgeführt. Wenn Sie den Parameter apply-only-at-cron-interval angegeben haben, können Sie diese Option auch zurücksetzen. Geben Sie dazu den Parameter no-apply-only-at-cron-interval an, wenn Sie die Zuordnung über die Befehlszeile aktualisieren. Dieser Parameter erzwingt die sofortige Ausführung der Zuordnung nach dem Aktualisieren der Zuordnung und gemäß dem angegebenen Intervall.