Démonstration : Créer une fenêtre de maintenance pour mettre automatiquement à jour l'SSM Agent (console) - AWS Systems Manager
Étape 1 : Création de la fenêtre de maintenance (console)Étape 2 : Enregistrement des cibles de fenêtre de maintenance (console)Étape 3 : Enregistrement d'une tâche Run Command pour que la fenêtre de maintenance mette à jour SSM Agent (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démonstration : Créer une fenêtre de maintenance pour mettre automatiquement à jour l'SSM Agent (console)

La procédure pas à pas suivante explique comment utiliser la AWS Systems Manager console pour créer une fenêtre de maintenance. La démonstration explique également comment enregistrer des nœuds gérés en tant que cibles et comment enregistrer une tâche Systems Manager Run Command pour procéder à la mise à jour de SSM Agent.

Avant de commencer

Avant de terminer la procédure suivante, vous devez disposer des autorisations d'administrateur sur les nœuds que vous souhaitez configurer ou avoir obtenu les autorisations appropriées dans AWS Identity and Access Management (IAM). Vérifiez en outre que vous avez au moins un nœud exécuté géré pour Linux ou Windows Server, dans un environnement hybride et multicloud, qui est configuré pour Systems Manager. Pour plus d’informations, consultez Con AWS Systems Manager figuration.

Étape 1 : Création de la fenêtre de maintenance (console)

Créer une fenêtre de maintenance (console)

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Maintenance Windows.

  3. Sélectionnez Create maintenance window (Créer une fenêtre de maintenance).

  4. Pour Name (Nom), saisissez un nom évocateur pour vous aider à identifier cette fenêtre de maintenance.

  5. (Facultatif) Sous Description, entrez une description.

  6. Sélectionnez Allow unregistered targets (Autoriser les cibles non enregistrées) si vous souhaitez autoriser l'exécution d'une tâche de fenêtre de maintenance sur des nœuds gérés, même si vous n'avez pas enregistré ces nœuds comme cibles. Lorsque vous sélectionnez cette option, vous pouvez sélectionner les nœuds non enregistrés (par ID de nœud) lorsque vous enregistrez une tâche auprès de la fenêtre de maintenance.

    Si vous ne sélectionnez pas cette option, vous devez choisir des cibles enregistrées au préalable lorsque vous enregistrez une tâche avec la fenêtre de maintenance.

  7. Spécifiez un programme pour la fenêtre de maintenance à l'aide d'une des trois options de programmation.

    Pour plus d'informations sur la génération d'expressions cron/rate, consultez Référence : Expressions Cron et Rate pour Systems Manager.

  8. Pour Durée, entrez le nombre d'heures pendant lequel la fenêtre de maintenance doit s'exécuter.

  9. Dans le champ Stop initiating tasks (Arrêter le lancement des tâches), entrez le nombre d'heures avant la fin de la fenêtre de maintenance pendant lequel le système doit cesser de planifier l'exécution de nouvelles tâches.

  10. (Facultatif) Pour Window start date (optional) [Fenêtre de date de début (facultatif)], spécifiez la date et l'heure, au format ISO-8601 étendu, où vous voulez que la fenêtre de maintenance devienne active. Cela vous permet de retarder l'activation de la fenêtre de maintenance jusqu'à la date ultérieure spécifiée.

    Note

    Vous ne pouvez pas spécifier une date et une heure de début antérieures.

  11. (Facultatif) Pour Window start date (optional) [Fenêtre de date de début (facultatif)], spécifiez la date et l'heure, au format ISO-8601 étendu, où vous voulez que la fenêtre de maintenance devienne inactive. Cela vous permet de définir une date et une heure futures après lesquelles la fenêtre de maintenance ne s'exécutera plus.

  12. (Facultatif) Pour Schedule time zone (optional) [Fuseau horaire (facultatif)], spécifiez le fuseau horaire sur lequel baser les exécutions de fenêtre de maintenance planifiées, au format IANA (Internet Assigned Numbers Authority). Par exemple : « Amérique/Los_Angeles », « etc/UTC » ou « Asie/Séoul ».

    Pour plus d'informations sur les formats valides, consultez Time Zone Database sur le site web de l'IANA.

  13. (Facultatif) Dans la zone Manage tags (Gérer les balises), appliquez une ou plusieurs paires nom/valeur de clé de balise à la fenêtre de maintenance.

    Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser une fenêtre de maintenance pour identifier le type de tâches qu'elle exécute, les types de cibles et l'environnement dans lequel elle s'exécute. Dans ce cas, vous pouvez spécifier les paires nom/valeur de clé suivantes :

    • Key=TaskType,Value=AgentUpdate

    • Key=OS,Value=Windows

    • Key=Environment,Value=Production

  14. Sélectionnez Create maintenance window (Créer une fenêtre de maintenance). Le système vous renvoie à la page de la fenêtre de maintenance. La fenêtre de maintenance que vous venez de créer possède l'état Enabled (Activé).

Étape 2 : Enregistrement des cibles de fenêtre de maintenance (console)

Utilisez la procédure suivante pour enregistrer une cible avec la fenêtre de maintenance que vous avez créée à l'étape 1. En enregistrant une cible, vous spécifiez les nœuds à mettre à jour.

Affecter des cibles à une fenêtre de maintenance (console)

  1. Dans la liste des fenêtres de maintenance, sélectionnez la fenêtre de maintenance que vous venez de créer.

  2. Sélectionnez Actions, puis Register targets (Enregistrer les cibles).

  3. (Facultatif) Pour Target Name (Nom de cible), saisissez un nom pour la cible.

  4. (Facultatif) Sous Description, entrez une description.

  5. (Facultatif) Pour Owner information (Informations sur le propriétaire), précisez votre nom ou alias de travail. Les informations sur le propriétaire sont incluses dans tout EventBridge événement Amazon déclenché lors de l'exécution de tâches pour ces cibles dans cette fenêtre de maintenance.

    Pour plus d'informations sur l'utilisation EventBridge pour surveiller les événements de Systems Manager, consultezSurveillance d'événements Systems Manager avec Amazon EventBridge.

  6. Dans la zone Targets (Cibles), sélectionnez l'une des options décrites dans le tableau suivant.

    Option Description

    Spécification de balises d'instance

    Dans les zones Specify instance tags (Spécifier les balises d'instance), spécifiez une ou plusieurs clés de balise et (facultatif) des valeurs de balise qui ont été ou seront ajoutées aux nœuds gérés de votre compte. Lorsqu'elle s'exécute, la fenêtre de maintenance tente d'exécuter des tâches sur tous les nœuds gérés auxquels ces balises ont été ajoutées.

    Si vous spécifiez plusieurs clés de balise, un nœud doit être balisé avec toutes les clés et valeurs de balise que vous décidez d'inclure dans le groupe cible.

    Choix manuel des nœuds

    Dans la liste, cochez la case située en regard de chaque nœud que vous souhaitez inclure dans la cible de fenêtre de maintenance.

    La liste inclut tous les nœuds de votre compte qui sont configurés pour être utilisés avec Systems Manager.

    Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez Résolution des problèmes de disponibilité des nœuds gérés pour obtenir des conseils de dépannage.

    Pour les appareils de périphérie, les serveurs sur site et les machines virtuelles (VM), consultez Utilisation de Systems Manager dans des environnements hybrides et multicloud.

    Pour choisir un groupe de ressources

    Pour Resource group (Groupe de ressources), sélectionnez dans la liste le nom d'un groupe de ressources existant dans votre compte.

    Pour plus d'informations sur la création et l'utilisation de groupes de ressources, consultez les rubriques suivantes :

    Pour Resource types (Types de ressource), sélectionnez jusqu'à cinq types de ressources disponibles, ou sélectionnez All resource types (Tous les types de ressource).

    Si les tâches que vous attribuez à la fenêtre de maintenance n'agissent pas sur l'un des types de ressources que vous avez ajoutés à la cible, le système peut signaler une erreur. Les tâches pour lesquelles un type de ressource pris en charge est trouvé continuent de s'exécuter malgré ces erreurs.

    Par exemple, supposons que vous ajoutez les types de ressource suivants pour cette cible :

    • AWS::S3::Bucket

    • AWS::DynamoDB::Table

    • AWS::EC2::Instance

    Mais plus tard, lorsque vous ajoutez des tâches à la fenêtre de maintenance, vous incluez uniquement des tâches qui exécutent des actions sur les nœuds, comme l'application d'un référentiel de correctifs ou le redémarrage d'un nœud. Dans le journal de fenêtre de maintenance, une erreur peut signaler qu'aucun compartiment Amazon Simple Storage Service (Amazon S3) ou table Amazon DynamoDB n'a été trouvé. Toutefois, la fenêtre de maintenance continue d'exécuter des tâches sur les nœuds de votre groupe de ressources.

  7. Sélectionnez Register target (Enregistrer la cible).

Étape 3 : Enregistrement d'une tâche Run Command pour que la fenêtre de maintenance mette à jour SSM Agent (console)

Utilisez la procédure suivante pour enregistrer une tâche Run Command pour la fenêtre de maintenance que vous avez créée à l'étape 1. La tâche Run Command met à jour l'SSM Agent sur les cibles enregistrées.

Pour attribuer des tâches à une fenêtre de maintenance (console)

  1. Dans la liste des fenêtres de maintenance, sélectionnez la fenêtre de maintenance que vous venez de créer.

  2. Sélectionnez Actions, puis Register Run Command task (Enregistrer une tâche d'exécution de commande).

  3. (Facultatif) Pour Name (Nom), saisissez un nom pour la tâche, tel qu'UpdateSSMAgent.

  4. (Facultatif) Sous Description, entrez une description.

  5. Dans la zone Document de commande, sélectionnez le document de commande SSM AWS-UpdateSSMAgent.

    Note

    Si les cibles que vous avez enregistrées à l'étape précédente sont des cibles Windows Server 2012 R2 ou version antérieure, vous devez utiliser le document AWS-UpdateEC2Config.

  6. Pour Version du document, sélectionnez la version de document à utiliser.

  7. Pour Priorité de tâche, spécifiez la priorité de cette tâche. Zéro (0) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité des tâches qui ont la même priorité planifiée en parallèle.

  8. Dans la section Targets (Cibles), identifiez les nœuds sur lesquels vous souhaitez exécuter cette opération en choisissant Selecting registered target groups (Sélectionner des groupes cibles enregistrés) ou Selecting unregistered targets (Sélectionner des cibles non enregistrées).

  9. Pour Rate control (Contrôle de débit) :

    • Dans Concurrency (Simultanéité), spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.

      Note

      Si vous avez sélectionné des cibles en spécifiant les balises appliquées aux nœuds gérés ou en spécifiant des groupes de ressources AWS , et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles autorisées à exécuter simultanément le document en indiquant un pourcentage.

    • Dans Error threshold (Seuil d'erreur), indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

  10. (Facultatif) Pour le rôle de service IAM, choisissez un rôle qui fournira des autorisations à Systems Manager lors de l'exécution d'une tâche pendant la fenêtre de maintenance.

    Si vous ne spécifiez aucun ARN de rôle de service, Systems Manager utilise un rôle lié à un service dans votre compte. S'il n'existe aucun rôle lié à un service approprié pour Systems Manager dans votre compte, il est créé lorsque la tâche est enregistrée avec succès.

    Note

    Pour améliorer le niveau de sécurité, nous vous recommandons vivement de créer une politique personnalisée et un rôle de service personnalisé pour exécuter les tâches de votre fenêtre de maintenance. La politique peut être conçue pour fournir uniquement les autorisations nécessaires pour les tâches spécifiques de votre fenêtre de maintenance. Pour plus d’informations, consultez Utiliser la console pour configurer les autorisations pour les fenêtres de maintenance.

  11. (Facultatif) Pour Options de sortie, procédez de l'une des manières suivantes :

    • Cochez la case Activer l'écriture dans S3 pour enregistrer la sortie de la commande dans un fichier. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.

      Note

      Les autorisations S3 qui donnent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud, et non celles de l'utilisateur qui effectue cette tâche. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager. En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, vérifiez que le profil d'instance associé au nœud dispose des autorisations nécessaires pour écrire dans ce compartiment.

    • Cochez la case CloudWatch de sortie pour écrire la sortie complète dans Amazon CloudWatch Logs. Entrez le nom d'un groupe de CloudWatch journaux Logs.

  12. Dans la section Notifications SNS, vous pouvez éventuellement autoriser Systems Manager à envoyer des notifications à propos des statuts de commande en utilisant Amazon Simple Notification Service (Amazon SNS). Si vous choisissez d'activer cette option, vous devez spécifier les informations suivantes :

    1. Le rôle IAM pour démarrer les notifications Amazon SNS.

    2. La rubrique Amazon SNS à utiliser.

    3. Les types d'événement spécifiques dont vous souhaitez être averti.

    4. Le type de notification que vous souhaitez recevoir lors du changement de statut d'une commande. Pour les commandes envoyées à plusieurs nœuds, sélectionnez Invocation (Appel) pour recevoir une notification par appel (par nœud) lors du changement de statut de chaque appel.

  13. Dans la section Parameters (Paramètres), vous pouvez éventuellement fournir une version spécifique de l'SSM Agent à installer, ou vous pouvez autoriser la rétrogradation du service SSM Agent à une version antérieure. Toutefois, pour cette procédure pas à pas, nous n'indiquons aucune version. Par conséquent, l'SSM Agent est mis à jour vers la dernière version.

  14. Sélectionnez Register run command task (Enregistrer une tâche d'exécution de commande).