• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : créer une fenêtre de maintenance pour l’application de correctifs à l’aide de la console
**Important**
Vous pouvez continuer à utiliser cette rubrique existante pour créer une fenêtre de maintenance afin d'appliquer des correctifs. Toutefois, nous vous recommandons plutôt d'utiliser une politique de correctifs. Pour plus d'informations, consultez [Configurations de la politique de correctifs dans Quick Setup](patch-manager-policies.md) et [Configurer les applications de correctifs pour les instances d’une organisation à l’aide d’une politique de correctif Quick Setup](quick-setup-patch-manager.md).
Pour minimiser l'impact sur la disponibilité de votre serveur, nous vous recommandons de configurer une fenêtre de maintenance pour exécuter l'application des correctifs au cours de périodes qui ne perturberont pas vos opérations professionnelles.
Vous devez configurer les rôles et les autorisations pour Maintenance Windows un outil dans AWS Systems Manager, avant de commencer cette procédure. Pour de plus amples informations, veuillez consulter [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).
**Pour créer une fenêtre de maintenance pour l'application des correctifs**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Maintenance Windows**.
1. Sélectionnez **Create maintenance window (Créer une fenêtre de maintenance)**.
1. Dans **Name (Nom)**, entrez un nom désignant la fenêtre de maintenance pour l'application des correctifs correspondant aux mises à jour critiques et importantes.
1. (Facultatif) Sous **Description**, entrez une description.
1. Sélectionnez **Allow unregistered targets (Autoriser les cibles non enregistrées)** si vous souhaitez autoriser l'exécution d'une tâche de fenêtre de maintenance sur des nœuds gérés, même si vous n'avez pas enregistré ces nœuds comme cibles.
Lorsque vous sélectionnez cette option, vous pouvez sélectionner les nœuds non enregistrés (par ID de nœud) lorsque vous enregistrez une tâche auprès de la fenêtre de maintenance.
Si vous ne sélectionnez pas cette option, vous devez choisir des cibles enregistrées au préalable lorsque vous enregistrez une tâche avec la fenêtre de maintenance.
1. En haut de la section **Schedule (Planification)** spécifiez un programme pour la fenêtre de maintenance à l'aide de l'une des trois options de planification.
Pour plus d'informations sur la création d' cron/rate expressions, consultez[Référence : Expressions Cron et Rate pour Systems Manager](reference-cron-and-rate-expressions.md).
1. Pour **Durée**, entrez le nombre d'heures pendant lequel la fenêtre de maintenance devra s'exécuter. La valeur que vous spécifiez détermine l'heure de fin de la fenêtre de maintenance en fonction de l'heure de démarrage. Aucune tâche de fenêtre de maintenance n'est autorisée à démarrer après l'heure de fin résultante moins le nombre d'heures que vous spécifiez pour **Stop initiating tasks (Arrêt de l'initialisation de tâches)** à l'étape suivante.
Par exemple, si la fenêtre de maintenance commence à 15 h, que la durée est de trois heures et que la valeur de **Stop initiating tasks (Arrêt de l'initialisation de tâches)** est d'une heure, aucune tâche de fenêtre de maintenance ne peut commencer après 17 h.
1. Dans le champ **Stop initiating tasks (Arrêter le lancement des tâches)**, entrez le nombre d'heures avant la fin de la fenêtre de maintenance pendant lequel le système doit cesser de planifier l'exécution de nouvelles tâches.
1. (Facultatif) Pour **Window start date** (Fenêtre de date de début), spécifiez la date et l'heure, au format ISO-8601 étendu, où vous voulez que la fenêtre de maintenance devienne active. Cela vous permet de retarder l'activation de la fenêtre de maintenance jusqu'à la date ultérieure spécifiée.
1. (Facultatif) Pour **Window start date** (Fenêtre de date de début), spécifiez la date et l'heure, au format ISO-8601 étendu, où vous voulez que la fenêtre de maintenance devienne inactive. Cela vous permet de définir une date et une heure futures après lesquelles la fenêtre de maintenance ne s'exécutera plus.
1. (Facultatif) Pour **Fuseau horaire de la planification**, spécifiez le fuseau horaire sur lequel baser les exécutions de fenêtre de maintenance planifiées, au format IANA (Internet Assigned Numbers Authority). Par exemple : « America/Los\$1Angeles", "etc/UTC", or "Asia/Seoul ».
Pour plus d'informations sur les formats valides, consultez [Time Zone Database](https://www.iana.org/time-zones) sur le site web de l'IANA.
1. (Facultatif) Dans la zone **Gérer les balises**, appliquez une ou plusieurs name/value paires de clés de balise à la fenêtre de maintenance.
Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pourriez vouloir baliser cette fenêtre de maintenance pour identifier le type de tâches qu’elle exécute. Dans ce cas, vous pouvez spécifier la name/value paire de clés suivante :
+ `Key=TaskType,Value=Patching`
1. Sélectionnez **Create maintenance window (Créer une fenêtre de maintenance)**.
1. Dans la liste des fenêtres de maintenance, sélectionnez la fenêtre de maintenance que vous venez de créer, puis sélectionnez **Actions**, **Register targets (Enregistrer les cibles)**.
1. (Facultatif) Dans la section **Maintenance window target details (Détails de la cible de la fenêtre de maintenance)**, fournissez un nom, une description et des informations sur le propriétaire (votre nom ou pseudo) pour cette cible.
1. Pour **Sélection de la cible**, choisissez **Spécifier les balises d’instance**.
1. Dans **Spécification de balises d’instance**, saisissez une clé et une valeur de balise pour identifier les nœuds à enregistrer auprès de la fenêtre de maintenance, puis sélectionnez **Ajouter**.
1. Sélectionnez **Register target (Enregistrer la cible)**. Le système crée une cible de fenêtre de maintenance.
1. Dans la page des détails de la fenêtre de maintenance que vous avez créée, sélectionnez **Actions**, **Register run command task (Enregistrer une tâche d'exécution de commande)**.
1. (Facultatif) Dans **Maintenance window task details (Détails de la tâche de fenêtre de maintenance)**, attribuez un nom et une description à cette tâche.
1. Pour **Command document (Document de commande)**, sélectionnez `AWS-RunPatchBaseline`.
1. Pour **Task priority (Priorité de tâche)**, sélectionnez une priorité. Zéro (`0`) est la priorité la plus élevée.
1. Dans **Targets (Cibles)**, sous **Target by (Cible par)**, sélectionnez la cible de fenêtre de maintenance que vous avez créée précédemment dans cette procédure.
1. Pour **Rate control (Contrôle de débit)** :
+ Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
+ Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.
1. (Facultatif) Pour **rôle de service IAM**, choisissez un rôle pour permettre à Systems Manager d’exécuter les tâches de fenêtre de maintenance.
Si vous ne spécifiez pas d’ARN de rôle de service, Systems Manager utilise un rôle lié à un service dans votre compte. S’il n’existe aucun rôle lié au service approprié pour Systems Manager dans votre compte, il sera créé lors de l’enregistrement de la tâche.
**Note**
Pour améliorer la posture de sécurité, nous vous recommandons vivement de créer une politique personnalisée et un rôle de service personnalisé pour exécuter les tâches de votre fenêtre de maintenance. La politique peut être conçue de manière à fournir uniquement les autorisations nécessaires pour les tâches spécifiques de votre fenêtre de maintenance. Pour de plus amples informations, veuillez consulter [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).
1. (Facultatif) Dans **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, sélectionnez **Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3)** Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**
Les autorisations S3 qui donnent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, vérifiez que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
Pour diffuser la sortie vers un groupe de CloudWatch journaux Amazon Logs, cochez la case **CloudWatch de sortie**. Saisissez le nom du groupe de journaux dans la zone.
1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.
Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).
1. Pour **Parameters (Paramètres)** :
+ Pour **Operation (Opération)**, sélectionnez **Scan (Analyser)** afin de rechercher les correctifs manquants, ou sélectionnez **Install (Installer)** pour rechercher et installer les correctifs manquants.
+ Vous n'avez pas besoin de spécifier quoi que ce soit dans le champ **Snapshot Id (ID d'instantané)**. Ce système génère et fournit ce paramètre automatiquement.
+ Vous n'avez pas besoin de saisir quoi que ce soit dans le champ **Install Override List (Liste de remplacement d'installation)** sauf si vous souhaitez que Patch Manager utilise un jeu de correctifs différent de celui spécifié pour le référentiel de correctifs. Pour plus d'informations, consultez [Nom du paramètre: `InstallOverrideList`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist).
+ Pour **RebootOption**, spécifiez si vous souhaitez que les nœuds redémarrent si des correctifs sont installés pendant l'`Install`opération ou s'ils Patch Manager détectent d'autres correctifs installés depuis le dernier redémarrage du nœud. Pour plus d'informations, consultez [Nom du paramètre: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).
+ (Facultatif) Pour **Comment (Commentaire)**, entrez une note de suivi ou un rappel concernant cette commande.
+ Pour **Timeout (seconds) (Délai (secondes))**, entrez le nombre de secondes durant lesquelles le système doit attendre que l'opération se termine avant que celle-ci ne soit considérée comme ayant échoué.
1. Sélectionnez **Register run command task (Enregistrer une tâche d'exécution de commande)**.
Une fois la tâche de la fenêtre de maintenance terminée, vous pouvez afficher les détails de la conformité des correctifs dans la console Systems Manager, dans l’outil [Fleet Manager](fleet-manager.md).
Vous pouvez également consulter les informations de conformité dans l’outil [Patch Manager](patch-manager.md), dans l’onglet **Rapport de conformité**.
Vous pouvez également utiliser le [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html)et [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html) APIs pour consulter les détails de conformité. Pour plus d'informations sur les données de conformité des correctifs, consultez [A propos de la conformité des correctifs](compliance-about.md#compliance-monitor-patch).
# Planification d’application de correctifs à l’aide de fenêtres de maintenance
Une fois que vous avez configuré un référentiel de correctifs (et éventuellement un groupe de correctifs), vous pouvez appliquer des correctifs à votre nœud à l'aide d'une fenêtre de maintenance. Une fenêtre de maintenance peut réduire l'impact sur la disponibilité du serveur en vous permettant de spécifier une heure de réalisation du processus d'application des correctifs de manière à ne pas interrompre les opérations professionnelles. Une fenêtre de maintenance fonctionne comme suit :
1. Créez une fenêtre de maintenance avec un calendrier pour vos opérations d'application de correctifs.
1. Choisissez les cibles de la fenêtre de maintenance en indiquant la `Patch Group` ou `PatchGroup` balise pour le nom de celle-ci, et toute valeur pour laquelle vous avez défini des balises Amazon Elastic Compute Cloud (Amazon EC2), par exemple, "serveurs web" ou "US-EAST-PROD". (Utilisez `PatchGroup`, sans espace, si vous avez [ autorisé les balises dans les métadonnées d'instance EC2.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).
1. Créez une nouvelle tâche de fenêtre de maintenance et spécifiez le document `AWS-RunPatchBaseline`.
Lorsque vous configurez la tâche, vous pouvez choisir de procéder à une simple analyse des nœuds, ou bien de les analyser et d'y installer les correctifs. Si vous choisissez de procéder à une simple analyse des nœuds, l’outil Patch Manager d’ AWS Systems Manager analyse chaque nœud et génère une liste de correctifs manquants que vous devez passer en revue.
Si vous choisissez d'analyser les nœuds et d'y installer les correctifs, Patch Manager analyse chaque nœud et compare la liste des correctifs installés avec celle des correctifs approuvés dans le référentiel. Patch Manager identifie les correctifs manquants, puis télécharge et installe tous les correctifs manquants et approuvés.
Si vous souhaitez effectuer une analyse unique ou procéder à une installation pour résoudre un problème, vous pouvez utiliser la fonctionnalité Run Command afin d'appeler directement le document `AWS-RunPatchBaseline`.
**Important**
Une fois les correctifs installés, Systems Manager redémarre chaque nœud. Ce redémarrage est nécessaire pour vérifier que les correctifs sont correctement installés et que le système n'a pas laissé le nœud dans un état potentiellement incorrect. (Exception : si le paramètre `RebootOption` est défini sur `NoReboot` dans le document `AWS-RunPatchBaseline`, le nœud géré n'est pas redémarré après l'exécution de Patch Manager. Pour plus d'informations, consultez [Nom du paramètre: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption)).