Aplicación de revisiones a nodos administrados bajo demanda - AWS Systems Manager

Aplicación de revisiones a nodos administrados bajo demanda

Puede ejecutar las operaciones de aplicación de revisiones bajo demanda desde la consola de Systems Manager mediante la opción Patch now (Aplicar revisión ahora) en Patch Manager, una capacidad de AWS Systems Manager. De este modo, no tendrá que crear una programación para actualizar el estado de conformidad de los nodos administrados o para instalar revisiones en los nodos no conformes. Tampoco es necesario cambiar la consola de Systems Manager entre Patch Manager y Maintenance Windows, una capacidad de AWS Systems Manager, para configurar o modificar un periodo de aplicación de revisiones programado.

Patch now (Aplicar revisión ahora) resulta de gran utilidad cuando se deben aplicar actualizaciones de día cero o instalar otras revisiones críticas en los nodos administrados lo antes posible.

nota

Se admite la aplicación de revisiones bajo demanda para un solo par de Cuenta de AWS-Región de AWS a la vez. No se puede usar con operaciones de revisiones basadas en políticas de revisiones. Recomendamos utilizar políticas de revisiones para mantener todos los nodos administrados en conformidad. Para obtener más información sobre el uso de las políticas de revisiones, consulte Configuraciones de políticas de revisiones en Quick Setup.

Funcionamiento de “Patch now” (Aplicar revisión ahora)

Para ejecutar Patch now (Aplicar revisión ahora), solo tiene que especificar dos ajustes necesarios:

  • Si se analizan solo las revisiones faltantes o si se analizan e instalan las revisiones en los nodos administrados

  • En qué nodos administrados se ejecuta la operación

Cuando la operación Patch now (Aplicar revisión ahora) se ejecuta, determina qué línea de base de revisiones se va a utilizar de la misma manera que se selecciona una para otras operaciones de revisiones. Si un nodo administrado está asociado a un grupo de revisiones, se utiliza la base de referencia de revisiones especificada para ese grupo. Si el nodo administrado no está asociado a un grupo de revisiones, la operación utiliza la base de referencia de revisiones que está configurada actualmente como predeterminada para el tipo de sistema operativo del nodo administrado. Puede tratarse de una base de referencia predefinida o de la base de referencia personalizada que haya definido como predeterminada. Para obtener más información acerca de la selección de línea de base de revisiones, consulte Grupos de revisiones.

Las opciones que se pueden especificar para Patch now (Aplicar revisión ahora) incluyen elegir cuándo reiniciar los nodos administrados después de la aplicación de revisiones, o si corresponde hacerlo, especificar un bucket de Amazon Simple Storage Service (Amazon S3) para almacenar los datos de registro de esa operación de aplicación de revisiones y ejecutar documentos de Systems Manager (documentos de SSM) como enlaces de ciclo de vida durante la aplicación de revisiones.

Umbrales de concurrencia y error para ‘Patch now’

Para las operaciones de Patch now (Aplicar revisión ahora), las opciones de umbral de concurrencia y de error se gestionan mediante Patch Manager. No es necesario especificar en cuántos nodos administrados se aplicará la revisión a la vez ni cuántos errores se permiten antes de que la operación no funcione. Patch Manager aplica las configuraciones de simultaneidad y límites de errores descritas en las siguientes tablas cuando se aplica una revisión bajo demanda.

importante

Los siguientes umbrales se aplican únicamente a las operaciones Scan and install. En el caso de las operaciones Scan, Patch Manager intenta analizar hasta 1000 nodos simultáneamente y continúa el análisis hasta que haya detectado un máximo de 1000 errores.

Simultaneidad: operaciones de instalación
Número total de nodos administrados en la operación Patch now (Aplicar revisión ahora) Número de nodos administrados analizados o con revisiones a la vez
Menos de 25 1
25-100 5%
101 a 1000 8 %
Más de 1000 10%
Umbral de error: operaciones de instalación
Número total de nodos administrados en la operación Patch now (Aplicar revisión ahora) Número de errores permitidos antes de que la operación no funcione
Menos de 25 1
25-100 5
101 a 1000 10
Más de 1000 10

Uso de los enlaces de ciclo de vida ‘Patch now’

Patch now (Aplicar revisión ahora) le proporciona la capacidad de ejecutar documentos de comando de SSM como enlaces de ciclo de vida durante una operación de revisióno de Install. Puede utilizar estos enlaces para tareas tales como apagar aplicaciones antes de aplicar revisiones o ejecutar comprobaciones de estado en las aplicaciones después de aplicar revisiones o después de un reinicio.

Para obtener más información acerca del uso de enlaces de ciclo de vida, consulte Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaselineWithHooks.

En la siguiente tabla se indican los enlaces de ciclo de vida disponibles para cada uno de las tres opciones de reinicio Patch now (Aplicar revisión ahora), además de los usos de muestra para cada enlace.

Enlaces de ciclo de vida y usos de muestra
Opción de reinicio Enlace: antes de la instalación Enlace: después de la instalación Enlace: en la salida Enlace: después del reinicio programado
Reboot if needed (Reiniciar si es necesario)

Ejecute un documento SSM antes de que comience la revisióno.

Ejemplo de uso: Cierre las aplicaciones de forma segura antes de que comience el proceso de revisiones.

Ejecute un documento SSM al final de la operación de aplicación de revisiones y antes del reinicio del nodo administrado.

Ejemplo de uso: Ejecute operaciones como la instalación de aplicaciones de terceros antes de un posible reinicio.

Ejecute un documento de SSM después de que finalice la operación de revisión y se hayan reiniciado las instancias.

Ejemplo de uso: Asegúrese de que las aplicaciones se ejecuten según lo esperado tras la aplicación de revisiones.

No disponible
Do not reboot my instances (No reiniciar mis instancias) Igual que lo mencionado anteriormente.

Ejecute un documento de SSM al final de la operación de revisióno.

Ejemplo de uso: Asegúrese de que las aplicaciones se ejecuten según lo esperado tras la aplicación de revisiones.

No disponible

No disponible

Schedule a reboot time (Programar una hora de reinicio) Igual que lo mencionado anteriormente. Igual que para Do not reboot my instances (No reiniciar mis instancias) No disponible

Ejecute un documento de SSM inmediatamente después de que finalice el reinicio programado.

Ejemplo de uso: Asegúrese de que las aplicaciones se ejecuten según lo esperado después del reinicio.

Ejecución de “Patch now” (Aplicar revisión ahora)

Utilice el siguiente procedimiento para aplicar revisiones a los nodos administrados bajo demanda.

Para ejecutar “Patch now” (Aplicar revisión ahora)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Patch Manager.

  3. Elija Patch now (Aplicar revisión ahora).

  4. En Patching operation (Operación de aplicación de revisiones), elija una de las siguientes opciones:

    • Scan (Analizar): Patch Manager busca las revisiones que faltan en los nodos administrados, pero no las instala. Puede ver los resultados en el panel Compliance o en otras herramientas que utilice para la visualización de la conformidad de las revisiones.

    • Scan and install (Analizar e instalar): Patch Manager busca las revisiones faltantes en los nodos administrados y las instala.

  5. Utilice este paso solo si eligió la opción Scan and install (Analizar e instalar) en el paso anterior. En Reboot (Reinicio), elija una de las siguientes opciones:

    • Reboot if needed (Reiniciar si es necesario): luego de la instalación, Patch Manager reinicia los nodos administrados solo si es necesario para completar la instalación de una revisión.

    • Don't reboot my instances (No reiniciar las instancias): luego de la instalación, Patch Manager no reinicia los nodos administrados. Puede reiniciar los nodos administrados de forma manual en el momento que desee o administrar los reinicios fuera de Patch Manager.

    • Schedule a reboot time (Programar una hora de reinicio): especifique la fecha, la hora y la zona horaria UTC para que Patch Manager reinicie los nodos administrados. Después de ejecutar la operación Patch now (Aplicar revisión ahora), el reinicio programado aparece como asociación en State Manager con el nombre AWS-PatchRebootAssociation.

  6. En Instances to patch (Instancias a las que se aplicarán revisiones), elija una de las siguientes opciones:

    • Patch all instances (Aplicar revisiones a todas las instancias): Patch Manager ejecuta la operación especificada en todos los nodos administrados en su Cuenta de AWS en la Región de AWS actual.

    • Patch only the target instances I specify (Aplicar revisiones solo a las instancias de destino especificadas): debe especificar los nodos administrados a los que se aplican revisiones en el siguiente paso.

  7. Utilice este paso solo si elige Patch only the target instances I specify (Aplicar revisiones solo a las instancias de destino especificadas) en el paso anterior. En la sección Target selection (Selección de destinos), identifique los nodos en los que desea ejecutar esta operación, especifique las etiquetas, seleccione los nodos manualmente o especifique un grupo de recursos.

    nota

    Si un nodo administrado que espera ver no aparece en la lista, consulte Solución de problemas de disponibilidad de nodos administrados para obtener consejos de solución de problemas.

    Si elige como destino un grupo de recursos, tenga en cuenta que estos grupos que se basan en una pila de AWS CloudFormation aún deben etiquetarse con la etiqueta aws:cloudformation:stack-id predeterminada. Si se ha eliminado, es posible que Patch Manager no pueda determinar cuáles son los nodos administrados que pertenecen al grupo de recursos.

  8. (Opcional) En Patching log storage (Almacenamiento de registros de aplicación de revisiones), si desea crear y guardar registros de esta operación de aplicación de revisiones, seleccione el bucket de S3 para almacenar los registros.

    nota

    Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte Configuración de permisos de instancia requeridos para Systems Manager o Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube. Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

  9. Si desea ejecutar documentos de SSM como enlaces de ciclo de vida durante puntos específicos de la operación de aplicación de revisiones, haga lo siguiente:

    • Elija Use lifecycle hooks (Usar enlaces de ciclo de vida).

    • En cada enlace disponible, seleccione el documento de SSM a ejecutar en el punto especificado de la operación:

      • Antes de la instalación

      • Después de la instalación

      • A la salida

      • Después del reinicio programado

      nota

      El documento predeterminado, AWS-Noop, no ejecuta operaciones.

  10. Elija Patch now (Aplicar revisión ahora).

    Se abre la página Association execution summary (Resumen de la ejecución de la asociación). (La opción “Patch now” [Aplicar revisión ahora] utiliza asociaciones en State Manager, una capacidad de AWS Systems Manager, para sus operaciones). En el área Operation summary (Resumen de la operación), puede monitorear el estado del análisis o la aplicación de revisiones en los nodos administrados que especificó.