Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol

penting

Anda dapat terus menggunakan topik warisan ini untuk membuat jendela pemeliharaan untuk patching. Namun, kami menyarankan Anda menggunakan kebijakan tambalan sebagai gantinya. Untuk informasi selengkapnya, silakan lihat Konfigurasi kebijakan tambalan di Quick Setup dan Konfigurasikan penambalan untuk instance dalam organisasi menggunakan Quick Setup.

Untuk meminimalkan dampak pada ketersediaan server Anda, kami merekomendasikan Anda mengkonfigurasi jendela pemeliharaan untuk menjalankan patching pada waktu yang tidak akan mengganggu operasi bisnis Anda.

Anda harus mengonfigurasi peran dan izin untuk Maintenance Windows, kemampuan AWS Systems Manager, sebelum memulai prosedur ini. Untuk informasi selengkapnya, lihat Menyiapkan Maintenance Windows.

Untuk membuat jendela pemeliharaan untuk patching
  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Maintenance Windows.

  3. Pilih Buat jendela pemeliharaan.

  4. Untuk Nama, masukkan nama yang menunjuk ini sebagai jendela pemeliharaan untuk melakukan patching pada pembaruan kritis dan penting.

  5. (Opsional) Untuk Deskripsi, masukkan deskripsi.

  6. Pilih Izinkan target yang tidak terdaftar jika Anda ingin mengizinkan tugas jendela pemeliharaan berjalan pada node terkelola, bahkan jika Anda belum mendaftarkan node tersebut sebagai target.

    Jika Anda memilih opsi ini, maka Anda dapat memilih node yang tidak terdaftar (dengan ID node) saat Anda mendaftarkan tugas dengan jendela pemeliharaan.

    Jika Anda tidak memilih pilihan ini, maka Anda harus memilih target yang terdaftar sebelumnya saat mendaftarkan tugas dengan jendela pemeliharaan.

  7. Di bagian atas bagian Jadwal, tentukan jadwal untuk jendela pemeliharaan dengan menggunakan salah satu dari tiga opsi penjadwalan.

    Untuk informasi tentang pembangunan ekspresi cron/rate, lihat Referensi: Ekspresi cron dan rate untuk Systems Manager.

  8. Untuk Durasi, masukkan jumlah jam yang akan dijalankan oleh jendela pemeliharaan. Nilai yang Anda tentukan menentukan waktu selesai tertentu untuk jendela pemeliharaan berdasarkan waktu dimulainya. Tidak ada tugas jendela pemeliharaan yang diizinkan untuk memulai setelah waktu selesai dikurangi jumlah jam yang Anda tentukan untuk Berhenti memulai tugas di langkah berikutnya.

    Sebagai contoh, jika jendela pemeliharaan dimulai pada pukul 3 sore, durasinya tiga jam, dan nilai Berhenti memulai tugas adalah satu jam, tidak ada tugas jendela pemeliharaan yang dapat memulai setelah pukul 5 sore.

  9. Untuk Berhenti memulai tugas, masukkan jumlah jam sebelum akhir jendela pemeliharaan dimana sistem harus berhenti menjadwalkan tugas baru untuk dijalankan.

  10. (Opsional) Untuk tanggal mulai Window, tentukan tanggal dan waktu, dalam format ISO -8601 Extended, untuk saat Anda ingin jendela pemeliharaan menjadi aktif. Ini memungkinkan Anda menunda aktivasi jendela pemeliharaan hingga tanggal yang ditentukan di masa depan.

  11. (Opsional) Untuk tanggal akhir Window, tentukan tanggal dan waktu, dalam format ISO -8601 Extended, untuk saat Anda ingin jendela pemeliharaan menjadi tidak aktif. Hal ini memungkinkan Anda untuk mengatur tanggal dan waktu di masa depan setelah jendela pemeliharaan tidak lagi berjalan.

  12. (Opsional) Untuk zona waktu Jadwal, tentukan zona waktu untuk mendasarkan eksekusi jendela pemeliharaan terjadwal, dalam format Internet Assigned Numbers Authority (IANA). Misalnya: “America/Los_Angeles”, “dll/”, atau “Asia/SeoulUTC”.

    Untuk informasi selengkapnya tentang format yang valid, lihat Database Zona Waktu di IANA situs web.

  13. (Opsional) Di area Kelola tanda, terapkan satu atau beberapa pasangan nama/nilai kunci tanda ke jendela pemeliharaan.

    Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai jendela pemeliharaan ini untuk mengidentifikasi jenis tugas yang dijalankannya. Dalam hal ini, Anda dapat menentukan pasangan nama/nilai kunci berikut:

    • Key=TaskType,Value=Patching

  14. Pilih Buat jendela pemeliharaan.

  15. Dalam daftar jendela pemeliharaan, pilih jendela pemeliharaan yang baru saja Anda buat, lalu pilih Tindakan, Daftarkan target.

  16. (Opsional) Di bagian Detail target jendela pemeliharaan, berikan nama, deskripsi, dan informasi pemilik (nama atau alias Anda) untuk target ini.

  17. Untuk pemilihan Target, pilih Tentukan tag instance.

  18. Untuk Tentukan tag instance, masukkan kunci tag dan nilai tag untuk mengidentifikasi node yang akan didaftarkan dengan jendela pemeliharaan, lalu pilih Tambah.

  19. Pilih Daftarkan target. Sistem ini membuat target jendela pemeliharaan.

  20. Di halaman detail jendela pemeliharaan yang Anda buat, pilih Tindakan, Daftarkan tugas Run Command.

  21. (Opsional) Untuk Detail tugas jendela pemeliharaan, berikan nama dan deskripsi untuk tugas ini.

  22. Untuk Dokumen perintah, pilih AWS-RunPatchBaseline.

  23. Untuk Prioritas tugas, pilih prioritas. Nol (0) adalah prioritas tertinggi.

  24. Untuk Target, di bawah Target berdasarkan, pilih target jendela pemeliharaan yang Anda buat sebelumnya dalam prosedur ini.

  25. Untuk Pengendalian rate:

    • Untuk Konkurensi, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.

      catatan

      Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.

    • Untuk Ambang kesalahan, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.

  26. (Opsional) Untuk peran IAM layanan, pilih peran untuk memberikan izin bagi Systems Manager untuk mengasumsikan saat menjalankan tugas jendela pemeliharaan.

    Jika Anda tidak menentukan peran layananARN, Systems Manager menggunakan peran terkait layanan di akun Anda. Jika tidak ada peran terkait layanan yang sesuai untuk Systems Manager di akun Anda, peran tersebut dibuat saat tugas berhasil didaftarkan.

    catatan

    Untuk meningkatkan postur keamanan, kami sangat menyarankan untuk membuat kebijakan khusus dan peran layanan khusus untuk menjalankan tugas jendela pemeliharaan Anda. Kebijakan ini dapat dibuat untuk hanya memberikan izin yang diperlukan untuk tugas jendela pemeliharaan khusus Anda. Untuk informasi selengkapnya, lihat Menyiapkan Maintenance Windows.

  27. (Opsional) Untuk Opsi output, untuk menyimpan output perintah ke file, pilih kotak Aktifkan output penulisan ke S3. Masukkan nama bucket dan prefiks (folder) di dalam kotak.

    catatan

    Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin IAM pengguna yang melakukan tugas ini. Untuk informasi selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager atau Membuat peran IAM layanan untuk lingkungan hibrid. Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran IAM layanan yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

    Untuk mengalirkan output ke grup CloudWatch log Amazon Logs, pilih kotak CloudWatch output. Masukkan nama grup log di kotak.

  28. Di bagian SNSnotifikasi, jika Anda ingin pemberitahuan dikirim tentang status eksekusi perintah, pilih kotak centang Aktifkan SNS pemberitahuan.

    Untuk informasi selengkapnya tentang mengonfigurasi SNS notifikasi Amazon Run Command, lihat Perubahan status Monitoring Systems Manager menggunakan SNS notifikasi Amazon.

  29. Untuk Parameter:

    • Untuk Operasi, pilih Pindai untuk memindai patch yang hilang, atau pilih Instal untuk memindai dan menginstal patch yang hilang.

    • Anda tidak perlu memasukkan apa pun di bidang Snapshot Id. Sistem ini secara otomatis membuat dan menyediakan parameter ini.

    • Anda tidak perlu memasukkan apa pun di bidang Install Override List kecuali Anda mau Patch Manager untuk menggunakan set tambalan yang berbeda dari yang ditentukan untuk baseline patch. Untuk informasi, lihat Nama parameter: InstallOverrideList.

    • Untuk RebootOption, tentukan apakah Anda ingin node reboot jika tambalan diinstal selama Install operasi, atau jika Patch Manager mendeteksi tambalan lain yang diinstal sejak reboot node terakhir. Untuk informasi, lihat Nama parameter: RebootOption.

    • (Opsional) Untuk Komentar, masukkan catatan pelacakan atau pengingat tentang perintah ini.

    • Untuk Batas waktu (detik), masukkan jumlah detik sistem harus menunggu operasi selesai sebelum dianggap tidak berhasil.

  30. Pilih Register Run command task.

Setelah tugas jendela pemeliharaan selesai, Anda dapat melihat detail kepatuhan patch di konsol Systems Manager di Fleet Managerkemampuan.

Anda juga dapat melihat informasi kepatuhan di Patch Managerkemampuan, pada tab Pelaporan Kepatuhan.

Anda juga dapat menggunakan DescribePatchGroupStatedan DescribeInstancePatchStatesForPatchGroupAPIsuntuk melihat detail kepatuhan. Untuk informasi tentang data kepatuhan patch, lihat Tentang kepatuhan patch.