• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol
**penting**
Anda dapat terus menggunakan topik warisan ini untuk membuat jendela pemeliharaan untuk patching. Namun, kami menyarankan Anda menggunakan kebijakan tambalan sebagai gantinya. Untuk informasi selengkapnya, lihat [Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md) dan [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md).
Untuk meminimalkan dampak pada ketersediaan server Anda, kami merekomendasikan Anda mengkonfigurasi jendela pemeliharaan untuk menjalankan patching pada waktu yang tidak akan mengganggu operasi bisnis Anda.
Anda harus mengonfigurasi peran dan izin untukMaintenance Windows, alat di AWS Systems Manager, sebelum memulai prosedur ini. Untuk informasi selengkapnya, lihat [Menyiapkan Maintenance Windows](setting-up-maintenance-windows.md).
**Untuk membuat jendela pemeliharaan untuk patching**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Maintenance Windows**.
1. Pilih **Buat jendela pemeliharaan**.
1. Untuk **Nama**, masukkan nama yang menunjuk ini sebagai jendela pemeliharaan untuk melakukan patching pada pembaruan kritis dan penting.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi.
1. Pilih **Izinkan target yang tidak terdaftar** jika Anda ingin mengizinkan tugas jendela pemeliharaan berjalan pada node terkelola, bahkan jika Anda belum mendaftarkan node tersebut sebagai target.
Jika Anda memilih opsi ini, maka Anda dapat memilih node yang tidak terdaftar (dengan ID node) saat Anda mendaftarkan tugas dengan jendela pemeliharaan.
Jika Anda tidak memilih pilihan ini, maka Anda harus memilih target yang terdaftar sebelumnya saat mendaftarkan tugas dengan jendela pemeliharaan.
1. Di bagian atas bagian **Jadwal**, tentukan jadwal untuk jendela pemeliharaan dengan menggunakan salah satu dari tiga opsi penjadwalan.
Untuk informasi tentang membangun cron/rate ekspresi, lihat[Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).
1. Untuk **Durasi**, masukkan jumlah jam yang akan dijalankan oleh jendela pemeliharaan. Nilai yang Anda tentukan menentukan waktu selesai tertentu untuk jendela pemeliharaan berdasarkan waktu dimulainya. Tidak ada tugas jendela pemeliharaan yang diizinkan untuk memulai setelah waktu selesai dikurangi jumlah jam yang Anda tentukan untuk **Berhenti memulai tugas** di langkah berikutnya.
Sebagai contoh, jika jendela pemeliharaan dimulai pada pukul 3 sore, durasinya tiga jam, dan nilai **Berhenti memulai tugas** adalah satu jam, tidak ada tugas jendela pemeliharaan yang dapat memulai setelah pukul 5 sore.
1. Untuk **Berhenti memulai tugas**, masukkan jumlah jam sebelum akhir jendela pemeliharaan dimana sistem harus berhenti menjadwalkan tugas baru untuk dijalankan.
1. (Opsional) Untuk **tanggal mulai Window**, tentukan tanggal dan waktu, dalam format ISO-8601 Extended, untuk saat Anda ingin jendela pemeliharaan menjadi aktif. Ini memungkinkan Anda menunda aktivasi jendela pemeliharaan hingga tanggal yang ditentukan di masa depan.
1. (Opsional) Untuk **tanggal akhir Window**, tentukan tanggal dan waktu, dalam format ISO-8601 Extended, untuk saat Anda ingin jendela pemeliharaan menjadi tidak aktif. Hal ini memungkinkan Anda untuk mengatur tanggal dan waktu di masa depan setelah jendela pemeliharaan tidak lagi berjalan.
1. (Opsional) Untuk **zona waktu Jadwal, tentukan zona** waktu yang menjadi dasar eksekusi jendela pemeliharaan terjadwal, dalam format Internet Assigned Numbers Authority (IANA). Misalnya: "America/Los\$1Angeles", "etc/UTC", or "Asia/Seoul”.
Untuk informasi lebih lanjut tentang format yang valid, lihat [Basis Data Zona Waktu](https://www.iana.org/time-zones) di situs web IANA.
1. (Opsional) Di area **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke jendela pemeliharaan.
Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai jendela pemeliharaan ini untuk mengidentifikasi jenis tugas yang dijalankannya. Dalam hal ini, Anda dapat menentukan name/value pasangan kunci berikut:
+ `Key=TaskType,Value=Patching`
1. Pilih **Buat jendela pemeliharaan**.
1. Dalam daftar jendela pemeliharaan, pilih jendela pemeliharaan yang baru saja Anda buat, lalu pilih **Tindakan**, **Daftarkan target**.
1. (Opsional) Di bagian **Detail target jendela pemeliharaan**, berikan nama, deskripsi, dan informasi pemilik (nama atau alias Anda) untuk target ini.
1. Untuk **pemilihan Target**, pilih **Tentukan tag instance**.
1. Untuk **Tentukan tag instance**, masukkan kunci tag dan nilai tag untuk mengidentifikasi node yang akan didaftarkan dengan jendela pemeliharaan, lalu pilih **Tambah**.
1. Pilih **Daftarkan target**. Sistem ini membuat target jendela pemeliharaan.
1. Di halaman detail jendela pemeliharaan yang Anda buat, pilih **Tindakan**, **Daftarkan tugas Run Command**.
1. (Opsional) Untuk **Detail tugas jendela pemeliharaan**, berikan nama dan deskripsi untuk tugas ini.
1. Untuk **Dokumen perintah**, pilih `AWS-RunPatchBaseline`.
1. Untuk **Prioritas tugas**, pilih prioritas. Nol (`0`) adalah prioritas tertinggi.
1. Untuk **Target**, di bawah **Target berdasarkan**, pilih target jendela pemeliharaan yang Anda buat sebelumnya dalam prosedur ini.
1. Untuk **Pengendalian rate**:
+ Untuk **Konkurensi**, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.
**catatan**
Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.
+ Untuk **Ambang kesalahan**, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.
1. (Opsional) Untuk **peran layanan IAM**, pilih peran untuk memberikan izin bagi Systems Manager untuk mengasumsikan saat menjalankan tugas jendela pemeliharaan.
Jika Anda tidak menentukan ARN peran layanan, Systems Manager menggunakan peran terkait layanan di akun Anda. Jika tidak ada peran terkait layanan yang sesuai untuk Systems Manager di akun Anda, peran tersebut dibuat saat tugas berhasil didaftarkan.
**catatan**
Untuk meningkatkan postur keamanan, kami sangat menyarankan untuk membuat kebijakan khusus dan peran layanan khusus untuk menjalankan tugas jendela pemeliharaan Anda. Kebijakan ini dapat dibuat untuk hanya memberikan izin yang diperlukan untuk tugas jendela pemeliharaan khusus Anda. Untuk informasi selengkapnya, lihat [Menyiapkan Maintenance Windows](setting-up-maintenance-windows.md).
1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.
Untuk mengalirkan output ke grup CloudWatch log Amazon Logs, pilih kotak **CloudWatch output**. Masukkan nama grup log di kotak.
1. Di bagian **Notifikasi SNS**, jika Anda menginginkan notifikasi tentang status eksekusi perintah dikirimkan, pilih kotak centang **Mengaktifkan notifikasi SNS**.
Untuk informasi selengkapnya tentang mengonfigurasi notifikasi Run Command Amazon SNS, lihat. [Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS](monitoring-sns-notifications.md)
1. Untuk **Parameter**:
+ Untuk **Operasi**, pilih **Pindai** untuk memindai patch yang hilang, atau pilih **Instal** untuk memindai dan menginstal patch yang hilang.
+ Anda tidak perlu memasukkan apa pun di bidang **Snapshot Id**. Sistem ini secara otomatis membuat dan menyediakan parameter ini.
+ Anda tidak perlu memasukkan apa pun di bidang **Install Override List** kecuali Anda Patch Manager ingin menggunakan kumpulan tambalan yang berbeda dari yang ditentukan untuk baseline patch. Untuk informasi, lihat [Nama parameter: `InstallOverrideList`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist).
+ Untuk **RebootOption**, tentukan apakah Anda ingin node reboot jika tambalan diinstal selama `Install` operasi, atau jika Patch Manager mendeteksi tambalan lain yang diinstal sejak reboot node terakhir. Untuk informasi, lihat [Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).
+ (Opsional) Untuk **Komentar**, masukkan catatan pelacakan atau pengingat tentang perintah ini.
+ Untuk **Batas waktu (detik)**, masukkan jumlah detik sistem harus menunggu operasi selesai sebelum dianggap tidak berhasil.
1. Pilih **Register Run command task**.
Setelah tugas jendela pemeliharaan selesai, Anda dapat melihat detail kepatuhan tambalan di konsol Systems Manager di [Fleet Manager](fleet-manager.md)alat.
Anda juga dapat melihat informasi kepatuhan di [Patch Manager](patch-manager.md)alat, di tab **Pelaporan kepatuhan**.
Anda juga dapat menggunakan [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html)dan [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html) APIs untuk melihat detail kepatuhan. Untuk informasi tentang data kepatuhan patch, lihat [Tentang kepatuhan patch](compliance-about.md#compliance-monitor-patch).
# Jadwal penambalan menggunakan jendela pemeliharaan
Setelah Anda mengkonfigurasi baseline patch (dan opsional grup patch), Anda dapat menerapkan patch ke node Anda dengan menggunakan jendela pemeliharaan. Jendela pemeliharaan dapat mengurangi dampak pada ketersediaan server dengan membiarkan Anda menentukan waktu untuk melakukan proses patching yang tidak mengganggu operasi bisnis. Jendela pemeliharaan bekerja seperti ini:
1. Buat jendela pemeliharaan dengan sebuah jadwal untuk operasi patching Anda.
1. Pilih target untuk jendela pemeliharaan dengan menentukan `PatchGroup` tag `Patch Group` atau untuk nama tag, dan nilai apa pun yang telah Anda tentukan tag Amazon Elastic Compute Cloud (Amazon EC2), misalnya, “server web” atau “US-EAST-PROD. (Anda harus menggunakan`PatchGroup`, tanpa spasi, jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).
1. Buat tugas jendela pemeliharaan baru, dan tentukan dokumen `AWS-RunPatchBaseline`.
Saat Anda mengonfigurasi tugas, Anda dapat memilih untuk memindai node atau memindai dan menginstal tambalan pada node. Jika Anda memilih untuk memindai node,Patch Manager, alat di AWS Systems Manager, memindai setiap node dan menghasilkan daftar tambalan yang hilang untuk Anda tinjau.
Jika Anda memilih untuk memindai dan menginstal tambalan, Patch Manager memindai setiap node dan membandingkan daftar tambalan yang diinstal dengan daftar tambalan yang disetujui di baseline. Patch Managermengidentifikasi tambalan yang hilang, lalu mengunduh dan menginstal semua tambalan yang hilang dan disetujui.
Jika Anda ingin melakukan pemindaian satu kali atau menginstal untuk memperbaiki masalah, Anda dapat menggunakan Run Command untuk memanggil `AWS-RunPatchBaseline` dokumen secara langsung.
**penting**
Setelah menginstal patch, Systems Manager me-reboot setiap node. Reboot diperlukan untuk memastikan bahwa tambalan diinstal dengan benar dan untuk memastikan bahwa sistem tidak meninggalkan node dalam keadaan yang berpotensi buruk. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)