Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Tutoriel : Création d'une fenêtre de maintenance pour l'application de correctifs à l'aide de la console
Important
Vous pouvez continuer à utiliser cette rubrique existante pour créer une fenêtre de maintenance afin d'appliquer des correctifs. Toutefois, nous vous recommandons plutôt d'utiliser une politique de correctifs. Pour plus d’informations, consultez Configurations des politiques de correctifs dans Quick Setup et Configurer l'application de correctifs pour les instances d'une organisation à l'aide de Quick Setup.
Pour minimiser l'impact sur la disponibilité de votre serveur, nous vous recommandons de configurer une fenêtre de maintenance pour exécuter l'application des correctifs au cours de périodes qui ne perturberont pas vos opérations professionnelles.
Vous devez configurer les rôles et les autorisations pour Maintenance Windows, une fonctionnalité de AWS Systems Manager, avant de commencer cette procédure. Pour de plus amples informations, veuillez consulter Configuration de Maintenance Windows.
Pour créer une fenêtre de maintenance pour l'application des correctifs
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le volet de navigation, choisissez Maintenance Windows.
-
Sélectionnez Create maintenance window (Créer une fenêtre de maintenance).
-
Dans Name (Nom), entrez un nom désignant la fenêtre de maintenance pour l'application des correctifs correspondant aux mises à jour critiques et importantes.
-
(Facultatif) Sous Description, entrez une description.
-
Sélectionnez Allow unregistered targets (Autoriser les cibles non enregistrées) si vous souhaitez autoriser l'exécution d'une tâche de fenêtre de maintenance sur des nœuds gérés, même si vous n'avez pas enregistré ces nœuds comme cibles.
Lorsque vous sélectionnez cette option, vous pouvez sélectionner les nœuds non enregistrés (par ID de nœud) lorsque vous enregistrez une tâche auprès de la fenêtre de maintenance.
Si vous ne sélectionnez pas cette option, vous devez choisir des cibles enregistrées au préalable lorsque vous enregistrez une tâche avec la fenêtre de maintenance.
-
En haut de la section Schedule (Planification) spécifiez un programme pour la fenêtre de maintenance à l'aide de l'une des trois options de planification.
Pour plus d'informations sur la génération d'expressions cron/rate, consultez Référence : Expressions Cron et Rate pour Systems Manager.
-
Pour Durée, entrez le nombre d'heures pendant lequel la fenêtre de maintenance devra s'exécuter. La valeur que vous spécifiez détermine l'heure de fin de la fenêtre de maintenance en fonction de l'heure de démarrage. Aucune tâche de fenêtre de maintenance n'est autorisée à démarrer après l'heure de fin résultante moins le nombre d'heures que vous spécifiez pour Stop initiating tasks (Arrêt de l'initialisation de tâches) à l'étape suivante.
Par exemple, si la fenêtre de maintenance commence à 15 h, que la durée est de trois heures et que la valeur de Stop initiating tasks (Arrêt de l'initialisation de tâches) est d'une heure, aucune tâche de fenêtre de maintenance ne peut commencer après 17 h.
-
Dans le champ Stop initiating tasks (Arrêter le lancement des tâches), entrez le nombre d'heures avant la fin de la fenêtre de maintenance pendant lequel le système doit cesser de planifier l'exécution de nouvelles tâches.
-
(Facultatif) Pour la date de début de la fenêtre, spécifiez la date et l'heure, au format ISO -8601 Extended, auxquelles vous souhaitez que la fenêtre de maintenance devienne active. Cela vous permet de retarder l'activation de la fenêtre de maintenance jusqu'à la date ultérieure spécifiée.
-
(Facultatif) Pour la date de fin de fenêtre, spécifiez une date et une heure, au format ISO -8601 Extended, auxquelles vous souhaitez que la fenêtre de maintenance devienne inactive. Cela vous permet de définir une date et une heure futures après lesquelles la fenêtre de maintenance ne s'exécutera plus.
-
(Facultatif) Pour le fuseau horaire de planification, spécifiez le fuseau horaire sur lequel baser les exécutions des fenêtres de maintenance planifiées, au format Internet Assigned Numbers Authority (IANA). Par exemple : « America/Los_Angeles », « etc/ » ou « UTC Asia/Séoul ».
Pour plus d'informations sur les formats valides, consultez la base de données des fuseaux
horaires sur le IANA site Web. -
(Facultatif) Dans la zone Manage tags (Gérer les balises), appliquez une ou plusieurs paires nom/valeur de clé de balise à la fenêtre de maintenance.
Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous souhaiterez peut-être baliser cette fenêtre de maintenance pour identifier le type de tâches qu'elle exécute. Dans ce cas, vous pouvez spécifier la paire nom/valeur clé suivante :
-
Key=TaskType,Value=Patching
-
-
Sélectionnez Create maintenance window (Créer une fenêtre de maintenance).
-
Dans la liste des fenêtres de maintenance, sélectionnez la fenêtre de maintenance que vous venez de créer, puis sélectionnez Actions, Register targets (Enregistrer les cibles).
-
(Facultatif) Dans la section Maintenance window target details (Détails de la cible de la fenêtre de maintenance), fournissez un nom, une description et des informations sur le propriétaire (votre nom ou pseudo) pour cette cible.
-
Pour la sélection de la cible, choisissez Spécifier les balises d'instance.
-
Pour Spécifier les balises d'instance, entrez une clé de balise et une valeur de balise pour identifier les nœuds à enregistrer dans la fenêtre de maintenance, puis choisissez Ajouter.
-
Sélectionnez Register target (Enregistrer la cible). Le système crée une cible de fenêtre de maintenance.
-
Dans la page des détails de la fenêtre de maintenance que vous avez créée, sélectionnez Actions, Register run command task (Enregistrer une tâche d'exécution de commande).
-
(Facultatif) Dans Maintenance window task details (Détails de la tâche de fenêtre de maintenance), attribuez un nom et une description à cette tâche.
-
Pour Command document (Document de commande), sélectionnez
AWS-RunPatchBaseline
. -
Pour Task priority (Priorité de tâche), sélectionnez une priorité. Zéro (
0
) est la priorité la plus élevée. -
Dans Targets (Cibles), sous Target by (Cible par), sélectionnez la cible de fenêtre de maintenance que vous avez créée précédemment dans cette procédure.
Pour Rate control (Contrôle de débit) :
-
Dans Concurrency (Simultanéité), spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
Note
Si vous avez sélectionné des cibles en spécifiant les balises appliquées aux nœuds gérés ou en spécifiant des groupes de ressources AWS , et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles autorisées à exécuter simultanément le document en indiquant un pourcentage.
-
Dans Error threshold (Seuil d'erreur), indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.
-
-
(Facultatif) Pour le rôle de IAM service, choisissez un rôle qui fournira les autorisations que Systems Manager pourra assumer lors de l'exécution d'une tâche pendant la fenêtre de maintenance.
Si vous ne spécifiez aucun rôle de serviceARN, Systems Manager utilise un rôle lié au service dans votre compte. S'il n'existe aucun rôle lié à un service approprié pour Systems Manager dans votre compte, il est créé lorsque la tâche est enregistrée avec succès.
Note
Pour améliorer le niveau de sécurité, nous vous recommandons vivement de créer une politique personnalisée et un rôle de service personnalisé pour exécuter les tâches de votre fenêtre de maintenance. La politique peut être conçue pour fournir uniquement les autorisations nécessaires pour les tâches spécifiques de votre fenêtre de maintenance. Pour de plus amples informations, veuillez consulter Configuration de Maintenance Windows.
(Facultatif) Dans Output options (Options de sortie), pour enregistrer la sortie de la commande dans un fichier, sélectionnez Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3) Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
Note
Les autorisations S3 qui permettent d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'IAMutilisateur effectuant cette tâche. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager ou Créer un rôle de IAM service pour un environnement hybride. En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, vérifiez que le profil d'instance ou le rôle de IAM service associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
Pour diffuser la sortie vers un groupe de CloudWatch journaux Amazon Logs, cochez la case CloudWatch de sortie. Saisissez le nom du groupe de journaux dans la zone.
Dans la section SNSdes notifications, si vous souhaitez que des notifications soient envoyées concernant le statut de l'exécution de la commande, cochez la case Activer SNS les notifications.
Pour plus d'informations sur la configuration des SNS notifications Amazon pour Run Command, voir Surveillance des changements de statut du Systems Manager à l'aide SNS des notifications Amazon.
-
Pour Parameters (Paramètres) :
-
Pour Operation (Opération), sélectionnez Scan (Analyser) afin de rechercher les correctifs manquants, ou sélectionnez Install (Installer) pour rechercher et installer les correctifs manquants.
-
Vous n'avez pas besoin de spécifier quoi que ce soit dans le champ Snapshot Id (ID d'instantané). Ce système génère et fournit ce paramètre automatiquement.
-
Il n'est pas nécessaire de saisir quoi que ce soit dans le champ Liste des remplacements d'installation, sauf si vous le souhaitez Patch Manager pour utiliser un ensemble de correctifs différent de celui spécifié pour la ligne de base de correctifs. Pour plus d’informations, veuillez consulter Nom du paramètre: InstallOverrideList.
-
Pour RebootOption, spécifiez si vous souhaitez que les nœuds redémarrent si des correctifs sont installés pendant l'
Install
opération, ou si Patch Manager détecte les autres correctifs installés depuis le dernier redémarrage du nœud. Pour plus d'informations, consultez Nom du paramètre: RebootOption. -
(Facultatif) Pour Comment (Commentaire), entrez une note de suivi ou un rappel concernant cette commande.
-
Pour Timeout (seconds) (Délai (secondes)), entrez le nombre de secondes durant lesquelles le système doit attendre que l'opération se termine avant que celle-ci ne soit considérée comme ayant échoué.
-
-
Sélectionnez Register run command task (Enregistrer une tâche d'exécution de commande).
Une fois la tâche de maintenance terminée, vous pouvez consulter les détails de conformité des correctifs dans la console Systems Manager du Fleet Managercapacité.
Vous pouvez également consulter les informations de conformité dans Patch Managerfonctionnalité, dans l'onglet Rapports de conformité.
Vous pouvez également utiliser le DescribePatchGroupStateet DescribeInstancePatchStatesForPatchGroupAPIspour consulter les détails de conformité. Pour plus d'informations sur les données de conformité des correctifs, consultez A propos de la conformité des correctifs.