In diesem Verfahren fügen Sie eine Aufgabe zu einem Wartungsfenster hinzu. Aufgaben sind die Aktionen, die während der Ausführung eines Wartungsfensters durchgeführt werden.
Die folgenden vier Aufgabentypen können zu einem Wartungsfenster hinzugefügt werden:
-
AWS Systems Manager Run Command-Befehle
-
Systems Manager Automation-Workflows
-
AWS Step Functions-Aufgaben
-
AWS Lambda-Funktionen
Wichtig
Die IAM-Richtlinie für Maintenance Windows erfordert, dass Sie den Namen von Lambda-Funktionen (oder Aliasen) das Präfix
SSM
hinzufügen. Bevor Sie mit dem Registrieren dieser Art von Aufgabe fortfahren, müssen Sie ihren Namen in AWS Lambda so aktualisieren, dass in ihmSSM
enthalten ist. Beispiel: Wenn Ihr Lambda-FunktionsnameMyLambdaFunction
lautet, ändern Sie ihn inSSMMyLambdaFunction
.
So weisen Sie einem Wartungsfenster Aufgaben zu
Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/
. -
Wählen Sie im Navigationsbereich Maintenance Windows aus.
-
Wählen Sie ein Wartungsfenster aus der Wartungsfensterliste aus.
-
Wählen Sie Actions (Aktionen) und anschließend die Option für den Aufgabentyp aus, den Sie für das Wartungsfenster registrieren möchten.
-
Register Run command task (Run Command-Aufgabe registrieren)
-
Register Automation task (Automatisierungsaufgabe registrieren)
-
Register Lambda task (Lambda-Aufgabe registrieren)
-
Register Step Functions task (Step Functions-Aufgabe registrieren)
Anmerkung
Aufgaben im Wartungsfenster unterstützen nur Zustandsmaschinen-Workflows von Step Functions Standard. Sie unterstützen keine Express-Zustandsmaschinen-Workflows. Informationen zu Workflowtypen für Zustandsmaschinen finden Sie unter Standard- gegenüber Express-Workflows im AWS Step Functions-Entwicklerhandbuch.
-
-
(Optional) Geben Sie unter Name einen Namen für die Aufgabe ein.
-
(Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.
-
Wählen Sie für New task invocation cutoff (Cutoff für den Aufruf neuer Aufgaben) Enabled (Aktiviert), wenn Sie nicht möchten, dass neue Aufgabenaufrufe nach Erreichen der Grenzzeit des Wartungsfensters gestartet werden.
Wenn diese Option nicht aktiviert ist, wird die Aufgabe weiter ausgeführt, wenn die Grenzzeit erreicht ist, und startet neue Aufgabenaufrufe bis zum Abschluss.
Anmerkung
Der Status für Aufgaben, die beim Aktivieren dieser Option nicht abgeschlossen sind, lautet
TIMED_OUT
. -
Wählen Sie für diesen Schritt die Registerkarte für den ausgewählten Aufgabentyp aus.
-
Wählen Sie in der Liste Command document Befehlsdokument das Systems-Manager-Befehlsdokument (SSM-Dokument) aus, das die auszuführenden Aufgaben definiert.
-
Wählen Sie für Document version (Dokumentversion) die zu verwendende Dokumentversion aus.
-
Geben Sie für Task priority (Aufgabenpriorität) eine Priorität für diese Aufgabe an. Null (
0
) ist die höchste Priorität. Aufgaben in einem Wartungsfenster werden in Reihenfolge der Priorität geplant. Dabei werden Aufgaben mit derselben Priorität parallel ausgeführt.
-
Wählen Sie im Bereich Targets (Ziele) eine der folgenden Optionen aus:
-
Auswahl registrierter Zielgruppen: Wählen Sie ein oder mehrere Wartungsfensterziele aus, die Sie im aktuellen Wartungsfenster registriert haben.
-
Auswählen von nicht registrierten Zielen: Wählen Sie nacheinander verfügbare Ressourcen als Ziele für den Vorgang aus.
Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter Problembehandlung bei der Verfügbarkeit verwalteter Knoten Tipps zur Fehlerbehebung.
-
Aufgabenziel nicht erforderlich: Ziele für die Aufgabe werden möglicherweise bereits in anderen Funktionen für alle Run Command-Typ-Aufgaben angegeben.
Geben Sie ein oder mehrere Ziele für Wartungsfenster Run Command-Typ-Aufgaben an. Abhängig von der Aufgabe sind Ziele für andere Aufgaben-Typen im Wartungsfenster optional (Automation, AWS Lambda und AWS Step Functions) enthalten. Weitere Informationen zur Ausführung von Aufgaben, die keine Ziele angeben, finden Sie unter Wartungsfenster-Tasks ohne Ziele registrieren.
Anmerkung
In vielen Fällen müssen Sie ein Ziel für eine Automatisierungsaufgabe nicht explizit angeben. Angenommen, Sie erstellen beispielsweise eine Automation-Aufgabe, um eine Amazon Machine Image (AMI) für Linux mit dem
AWS-UpdateLinuxAmi
-Runbook zu aktualisieren. Wenn die Aufgabe ausgeführt wird, wird AMI mit den neuesten verfügbaren Linux-Verteilungspaketen und Amazon-Software aktualisiert. Neue Instances, die aus der AMI erstellt wurden, haben diese Updates bereits installiert. Da die ID des AMI in den Eingabeparametern für das Runbook angegeben ist, muss in der Wartungsfenster-Aufgabe kein Ziel erneut angegeben werden.
-
-
Nur für Automation-Aufgaben:
Geben Sie im Bereich Input parameters (Eingabeparameter) Werte für erforderliche oder optionale Parameter an, die zum Ausführen der Aufgabe notwendig sind.
Anmerkung
In einigen Fällen können Sie einen Pseudoparameter für bestimmte Eingabeparameterwerte verwenden. Während der Ausführung übergibt die Wartungsfenster-Aufgabe dann anstelle der Pseudoparameter-Platzhalter richtige Werte. Weitere Informationen finden Sie unter Verwendung von Pseudo-Parametern bei der Registrierung von Aufgaben im Wartungsfenster.
Für Rate control (Ratenregelung):
-
Geben Sie unter Nebenläufigkeit entweder eine Zahl oder einen Prozentsatz der verwalteten Knoten an, auf denen der Befehl gleichzeitig ausgeführt werden soll.
Anmerkung
Wenn Sie Ziele ausgewählt haben, indem Sie Tags angeben, die auf verwaltete Knoten angewendet werden, oder indem Sie AWS-Ressourcengruppen angeben, und Sie noch nicht sicher sind, wie viele verwaltete Knoten anvisiert sind, sollten Sie die Anzahl von Zielen, die das Dokument gleichzeitig ausführen kann, beschränken, indem Sie einen Prozentsatz angeben.
-
Geben Sie unter Fehlerschwellenwert an, wann die Ausführung des Befehls auf anderen verwalteten Knoten beendet werden soll, nachdem dafür entweder auf einer bestimmten Anzahl oder einem Prozentsatz von Knoten ein Fehler aufgetreten ist. Falls Sie beispielsweise drei Fehler angeben, sendet Systems Manager keinen Befehl mehr, wenn der vierte Fehler empfangen wird. Von verwalteten Knoten, auf denen der Befehl noch verarbeitet wird, werden unter Umständen ebenfalls Fehler gesendet.
-
-
(Optional) Wählen Sie für IAM-Servicerolle eine Rolle aus, um Systems Manager Berechtigungen zur Übernahme zum Ausführen von Wartungsfenster-Aufgaben zu erteilen.
Wenn Sie keinen ARN für die Servicerolle angeben, verwendet Systems Manager eine serviceverknüpfte Rolle in Ihrem Konto. Wenn in Ihrem Konto keine geeignete serviceverknüpfte Rolle für Systems Manager vorhanden ist, wird sie erstellt, wenn die Aufgabe erfolgreich registriert wurde.
Anmerkung
Um die Sicherheitslage zu verbessern, empfehlen wir dringend, eine benutzerdefinierte Richtlinie und eine benutzerdefinierte Servicerolle für die Ausführung Ihrer Aufgaben im Wartungsfenster zu erstellen. Die Richtlinie kann so gestaltet werden, dass sie nur die Berechtigungen gewährt, die für Ihre speziellen Wartungsfensteraufgaben erforderlich sind. Weitere Informationen finden Sie unter Einrichten von Maintenance Windows.
-
Nur für Run Command-Aufgaben:
(Optional) Gehen Sie für Output options (Ausgabeoptionen) wie folgt vor:
-
Aktivieren Sie das Kontrollkästchen Enable writing to S3 (Schreiben in S3 aktivieren), um die Befehlsausgabe in einer Datei zu speichern. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.
-
Aktivieren Sie das Kontrollkästchen CloudWatch output (CloudWatch-Ausgabe), um die komplette Ausgabe in Amazon CloudWatch Logs zu schreiben. Geben Sie den Namen einer CloudWatch Logs-Protokollgruppe.
Anmerkung
Die Berechtigungen zum Schreiben von Daten in einen S3-Bucket oder in CloudWatch Logs sind die Berechtigungen des dem Knoten zugewiesenen Instance-Profils und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Konfiguration von erforderlichen Instance-Berechtigungen für Systems Manager. Wenn sich der angegebene S3-Bucket oder die Protokollgruppe in einem anderen AWS-Konto befindet, stellen Sie außerdem sicher, dass das dem Knoten zugeordnete Instance-Profil über die erforderlichen Berechtigungen zum Schreiben in diesen Bucket verfügt.
-
-
Nur für Run Command-Aufgaben:
Aktivieren Sie das Kontrollkästchen Enable SNS notifications (SNS-Benachrichtigungen aktivieren) im Abschnitt SNS notifications (SNS-Benachrichtigungen), wenn Sie über den Status der Befehlsausführung benachrichtigt werden möchten,
Weitere Informationen zum Konfigurieren von Amazon SNS-Benachrichtigungen für Run Command finden Sie unter Überwachung von Systems Manager-Statusänderungen mit Amazon SNS-Benachrichtigungen.
-
Nur für Run Command-Aufgaben:
Geben Sie im Abschnitt Parameters (Parameter) die Parameter für das Dokument an.
Anmerkung
In einigen Fällen können Sie einen Pseudoparameter für bestimmte Eingabeparameterwerte verwenden. Während der Ausführung übergibt die Wartungsfenster-Aufgabe dann anstelle der Pseudoparameter-Platzhalter richtige Werte. Weitere Informationen finden Sie unter Verwendung von Pseudo-Parametern bei der Registrierung von Aufgaben im Wartungsfenster.
-
Nur für Run Command und Automation-Aufgaben:
(Optional) Wählen Sie im Bereich CloudWatch-Alarm für Alarmname einen vorhandenen CloudWatch-Alarm aus, der auf Ihre Überwachungsaufgabe angewendet werden soll.
Die Aufgabe wird gestoppt, wenn Ihr Alarm aktiviert wird.
Anmerkung
Um einen CloudWatch-Alarm an Ihre Aufgabe anzufügen, muss der IAM-Prinzipal, der die Aufgabe ausführt, über die Berechtigung für die
iam:createServiceLinkedRole
-Aktion verfügen. Weitere Informationen zu CloudWatch-Alarmen erhalten Sie unter Verwendung von Amazon-CloudWatch-Alarmen. -
Wählen Sie je nach Aufgabentyp eine der folgenden Optionen:
-
Register Run command task (Run Command-Aufgabe registrieren)
-
Register Automation task (Automatisierungsaufgabe registrieren)
-
Register Lambda task (Lambda-Aufgabe registrieren)
-
Register Step Functions task (Step Functions-Aufgabe registrieren)
-