Walkthrough: Buat jendela pemeliharaan untuk memperbarui secara otomatis SSM Agent (konsol) - AWS Systems Manager
Langkah 1: Membuat jendela pemeliharaan (konsol)Langkah 2: Mendaftarkan target jendela pemeliharaan (konsol)Langkah 3: Daftarkan Run Command tugas untuk jendela pemeliharaan untuk memperbarui SSM Agent (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Walkthrough: Buat jendela pemeliharaan untuk memperbarui secara otomatis SSM Agent (konsol)

Panduan berikut menunjukkan cara menggunakan AWS Systems Manager konsol untuk membuat jendela pemeliharaan. Panduan ini juga menjelaskan cara mendaftarkan node terkelola Anda sebagai target dan mendaftarkan Run Command tugas Systems Manager untuk diperbarui. SSM Agent

Sebelum Anda mulai

Sebelum Anda menyelesaikan prosedur berikut, Anda harus memiliki izin administrator pada node yang ingin Anda konfigurasi atau Anda harus telah diberikan izin yang sesuai di AWS Identity and Access Management (IAM). Selain itu, verifikasi bahwa Anda memiliki setidaknya satu node terkelola yang berjalan untuk Linux atau Windows Server dalam lingkungan hybrid dan multicloud yang dikonfigurasi untuk Systems Manager. Untuk informasi selengkapnya, lihat Menyiapkan AWS Systems Manager.

Langkah 1: Membuat jendela pemeliharaan (konsol)

Untuk membuat jendela pemeliharaan (konsol)

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Maintenance Windows.

  3. Pilih Buat jendela pemeliharaan.

  4. Untuk Nama, masukkan nama deskriptif untuk membantu Anda mengidentifikasi jendela pemeliharaan ini.

  5. (Opsional) Untuk Deskripsi, masukkan deskripsi.

  6. Pilih Izinkan target yang tidak terdaftar jika Anda ingin mengizinkan tugas jendela pemeliharaan berjalan pada node terkelola, bahkan jika Anda belum mendaftarkan node tersebut sebagai target. Jika Anda memilih opsi ini, maka Anda dapat memilih node yang tidak terdaftar (dengan ID node) saat Anda mendaftarkan tugas dengan jendela pemeliharaan.

    Jika Anda tidak memilih pilihan ini, maka Anda harus memilih target yang terdaftar sebelumnya saat mendaftarkan tugas dengan jendela pemeliharaan.

  7. Tentukan jadwal untuk jendela pemeliharaan dengan menggunakan salah satu dari tiga pilihan penjadwalan.

    Untuk informasi tentang pembangunan ekspresi cron/rate, lihat Referensi: Ekspresi cron dan rate untuk Systems Manager.

  8. Untuk Durasi, masukkan jumlah jam yang harus dijalankan oleh jendela pemeliharaan.

  9. Untuk Berhenti memulai tugas, masukkan jumlah jam sebelum akhir jendela pemeliharaan di mana sistem harus berhenti menjadwalkan tugas baru untuk dijalankan.

  10. (Opsional) Untuk tanggal mulai Window - opsional, tentukan tanggal dan waktu, dalam format ISO-8601 Extended, untuk saat Anda ingin jendela pemeliharaan menjadi aktif. Ini memungkinkan Anda menunda aktivasi jendela pemeliharaan hingga tanggal yang ditentukan di masa depan.

    catatan

    Anda tidak dapat menentukan tanggal dan waktu mulai yang terjadi di masa lalu.

  11. (Opsional) Untuk tanggal akhir Jendela - opsional, tentukan tanggal dan waktu, dalam format diperpanjang ISO-8601, untuk saat Anda ingin jendela pemeliharaan menjadi tidak aktif. Hal ini memungkinkan Anda untuk mengatur tanggal dan waktu di masa depan setelah jendela pemeliharaan tidak lagi berjalan.

  12. (Opsional) Untuk zona waktu Jadwal - opsional, tentukan zona waktu untuk mendasarkan eksekusi jendela pemeliharaan terjadwal, dalam format Internet Assigned Numbers Authority (IANA). Sebagai contoh: "Amerika/Los_Angeles", "etc/UTC", atau "Asia/Seoul".

    Untuk informasi lebih lanjut tentang format yang valid, lihat Basis Data Zona Waktu di situs web IANA.

  13. (Opsional) Di area Kelola tanda, terapkan satu atau beberapa pasangan nama/nilai kunci tanda ke jendela pemeliharaan.

    Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai jendela pemeliharaan untuk mengidentifikasi jenis tugas yang dijalankannya, jenis target, dan lingkungan tempat ia berjalan. Dalam hal ini, Anda dapat menentukan pasangan nama/nilai kunci berikut:

    • Key=TaskType,Value=AgentUpdate

    • Key=OS,Value=Windows

    • Key=Environment,Value=Production

  14. Pilih Buat jendela pemeliharaan. Sistem mengembalikan Anda ke halaman jendela pemeliharaan. Jendela pemeliharaan yang baru saja Anda buat berada di tahapan Diaktifkan.

Langkah 2: Mendaftarkan target jendela pemeliharaan (konsol)

Gunakan prosedur berikut untuk mendaftarkan target dengan jendela pemeliharaan yang Anda buat di Langkah 1. Dengan mendaftarkan target, Anda menentukan node mana yang akan diperbarui.

Untuk menetapkan target ke jendela pemeliharaan (konsol)

  1. Di daftar windows pemeliharaan, pilih jendela pemeliharaan yang baru Anda buat.

  2. Pilih Tindakan, lalu pilih Daftarkan target.

  3. (Opsional) Untuk nama Target, masukkan nama untuk target.

  4. (Opsional) Untuk Deskripsi, masukkan deskripsi.

  5. (Opsional) Untuk Informasi pemilik, tentukan nama anda atau alias di tempat kerja. Informasi pemilik disertakan dalam setiap EventBridge peristiwa Amazon yang muncul saat menjalankan tugas untuk target ini di jendela pemeliharaan ini.

    Untuk informasi tentang penggunaan EventBridge untuk memantau peristiwa Systems Manager, lihatPemantauan peristiwa Systems Manager dengan Amazon EventBridge.

  6. Di area Target, pilih salah satu pilihan yang dijelaskan di tabel berikut.

    Opsi Deskripsi

    Tentukan tag contoh

    Untuk kotak Tentukan tag instance, tentukan satu atau beberapa kunci tag dan nilai (opsional) yang telah atau akan ditambahkan ke node terkelola di akun Anda. Ketika jendela pemeliharaan berjalan, ia mencoba untuk melakukan tugas pada semua node terkelola yang tag ini telah ditambahkan.

    Jika Anda menentukan lebih dari satu kunci tag, sebuah node harus ditandai dengan semua kunci tag dan nilai yang Anda tentukan untuk dimasukkan dalam grup target.

    Pilih node secara manual

    Dari daftar, pilih kotak untuk setiap node yang ingin Anda sertakan dalam target jendela pemeliharaan.

    Daftar ini mencakup semua node di akun Anda yang dikonfigurasi untuk digunakan dengan Systems Manager.

    Jika node terkelola yang Anda harapkan tidak terdaftar, lihat Memecahkan masalah ketersediaan node terkelola untuk tips pemecahan masalah.

    Untuk server lokal perangkat edge, dan mesin virtual (VM), lihat Menggunakan Systems Manager di lingkungan hybrid dan multicloud

    Pilih grup sumber daya

    Untuk Grup sumber daya, pilih nama grup sumber daya yang ada di akun Anda dari daftar.

    Untuk informasi tentang pembuatan dan penggunaan grup sumber daya, lihat topik berikut:

    Untuk Jenis sumber daya, pilih hingga lima jenis sumber daya yang tersedia, atau pilih Semua jenis sumber daya.

    Jika tugas yang Anda tetapkan ke jendela pemeliharaan tidak berfungsi pada salah satu jenis sumber daya yang ditambahkan ke target, sistem mungkin akan melaporkan kesalahan. Tugas di mana jenis sumber daya yang didukung ditemukan akan terus berjalan meskipun ada kesalahan ini.

    Misalnya, anggap saja Anda menambahkan jenis sumber daya berikut ke target ini:

    • AWS::S3::Bucket

    • AWS::DynamoDB::Table

    • AWS::EC2::Instance

    Namun kemudian, ketika Anda menambahkan tugas ke jendela pemeliharaan, Anda hanya menyertakan tugas yang melakukan tindakan pada node, seperti menerapkan baseline patch atau me-reboot node. Di log jendela pemeliharaan, kesalahan mungkin dilaporkan karena tidak ada bucket Amazon Simple Storage Service (Amazon S3) atau tabel Amazon DynamoDB yang ditemukan. Namun, jendela pemeliharaan masih menjalankan tugas pada node di grup sumber daya Anda.

  7. Pilih Daftarkan target.

Langkah 3: Daftarkan Run Command tugas untuk jendela pemeliharaan untuk memperbarui SSM Agent (konsol)

Gunakan prosedur berikut untuk mendaftarkan Run Command tugas untuk jendela pemeliharaan yang Anda buat di Langkah 1. Pembaruan Run Command tugas SSM Agent pada target yang terdaftar.

Untuk menetapkan tugas ke jendela pemeliharaan (konsol)

  1. Di daftar windows pemeliharaan, pilih jendela pemeliharaan yang baru Anda buat.

  2. Pilih Tindakan, lalu pilih Register Run command task.

  3. (Opsional) Untuk Nama, masukkan nama untuk tugas, seperti UpdatessMagent.

  4. (Opsional) Untuk Deskripsi, masukkan deskripsi.

  5. Di area dokumen Command, pilih dokumen AWS-UpdateSSMAgent SSM Command.

    catatan

    Jika target yang Anda daftarkan pada langkah sebelumnya adalahWindows Server 2012 R2 atau yang lebih lama, Anda harus menggunakan dokumen AWS-UpdateEC2Config.

  6. Untuk versi Dokumen, pilih versi dokumen yang akan digunakan.

  7. Untuk Prioritas tugas, tentukan prioritas untuk tugas ini. Nol (0) adalah prioritas tertinggi. Tugas di jendela pemeliharaan dijadwalkan dalam urutan prioritas dengan tugas yang memiliki prioritas yang sama dijadwalkan secara paralel.

  8. Di bagian Target, identifikasi node tempat Anda ingin menjalankan operasi ini dengan memilih Memilih grup target terdaftar atau Memilih target yang tidak terdaftar.

  9. Untuk Pengendalian rate:

    • Untuk Konkurensi, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.

      catatan

      Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.

    • Untuk Ambang kesalahan, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.

  10. (Opsional) Untuk peran layanan IAM, pilih peran untuk memberikan izin bagi Systems Manager untuk mengasumsikan saat menjalankan tugas jendela pemeliharaan.

    Jika Anda tidak menentukan ARN peran layanan, Systems Manager menggunakan peran terkait layanan di akun Anda. Jika tidak ada peran terkait layanan yang sesuai untuk Systems Manager di akun Anda, peran tersebut dibuat saat tugas berhasil didaftarkan.

    catatan

    Untuk meningkatkan postur keamanan, kami sangat menyarankan untuk membuat kebijakan khusus dan peran layanan khusus untuk menjalankan tugas jendela pemeliharaan Anda. Kebijakan ini dapat dibuat untuk hanya memberikan izin yang diperlukan untuk tugas jendela pemeliharaan khusus Anda. Untuk informasi selengkapnya, lihat Gunakan konsol untuk mengonfigurasi izin untuk jendela pemeliharaan.

  11. (Opsional) Untuk opsi Output, lakukan salah satu hal berikut:

    • Pilih kotak centang Aktifkan penulisan ke S3 untuk menyimpan output perintah ke file. Masukkan nama bucket dan prefiks (folder) di dalam kotak.

      catatan

      Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node, bukan izin pengguna yang melakukan tugas ini. Untuk informasi selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager. Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance yang terkait dengan node memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

    • Pilih kotak centang CloudWatch output untuk menulis output lengkap ke Amazon CloudWatch Logs. Masukkan nama grup CloudWatch log Log.

  12. Di bagian Notifikasi SNS, Anda dapat secara opsional mengizinkan Systems Manager untuk mengirimkan notifikasi tentang status perintah menggunakan Amazon Simple Notification Service (Amazon SNS). Jika Anda memilih untuk mengaktifkan opsi ini, Anda perlu menentukan hal berikut:

    1. IAM role untuk memulai notifikasi Amazon SNS.

    2. Topik Amazon SNS untuk digunakan.

    3. Jenis acara tertentu tentang hal mana yang ingin diberitahukan kepada Anda.

    4. Jenis notifikasi yang ingin Anda terima saat status perintah berubah. Untuk perintah yang dikirim ke beberapa node, pilih Invocation untuk menerima notifikasi berdasarkan pemanggilan (per-node) saat status setiap pemanggilan berubah.

  13. Di area Parameter, Anda dapat secara opsional menyediakan versi tertentu SSM Agent untuk menginstal, atau Anda dapat mengizinkan SSM Agent layanan diturunkan ke versi sebelumnya. Akan tetapi, untuk panduan ini kami tidak menyediakan versi. Oleh karena SSM Agent itu, diperbarui ke versi terbaru.

  14. Pilih Register Run command task.