Spiegazione passo per passo: creazione di una finestra di manutenzione per aggiornare automaticamente l'SSM Agent (console) - AWS Systems Manager
Fase 1: creazione della finestra di manutenzione (console)Fase 2: registrazione di destinazioni nella finestra di manutenzione (console)Fase 3: registrazione di un'attività Run Command per la finestra di manutenzione in modo da aggiornare l'SSM Agent (console)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Spiegazione passo per passo: creazione di una finestra di manutenzione per aggiornare automaticamente l'SSM Agent (console)

La procedura dettagliata seguente mostra come utilizzare la AWS Systems Manager console per creare una finestra di manutenzione. La procedura guidata descrive anche come registrare i tuoi nodi gestiti come destinazioni e come registrare un'attività Run Command di Systems Manager per l'aggiornamento dell'SSM Agent.

Prima di iniziare

Prima di completare la procedura seguente, è necessario disporre delle autorizzazioni di amministratore sui nodi che si desidera configurare oppure è necessario disporre delle autorizzazioni appropriate in AWS Identity and Access Management (IAM). Inoltre, verifica che almeno un nodo gestito per Linux sia in esecuzione o che Windows Server in un ambiente ibrido e multicloud sia configurato per Systems Manager. Per ulteriori informazioni, consulta Configurazione AWS Systems Manager.

Fase 1: creazione della finestra di manutenzione (console)

Per creare una finestra di manutenzione (console)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Maintenance Windows.

  3. Scegliere Create maintenance window (Crea finestra di manutenzione).

  4. Nel campo Name (Nome), inserire un nome descrittivo che aiuti a identificare questa finestra di manutenzione.

  5. (Facoltativo) In Description (Descrizione), immettere una descrizione.

  6. Scegli Allow unregistered targets (Consenti destinazioni non registrate) per consentire a un'attività di una finestra di manutenzione di essere eseguita su nodi gestiti, anche se tali nodi non sono stati registrati come destinazioni. Se si sceglie questa opzione, è possibile scegliere i nodi non registrati (per ID nodo) quando si registra un'attività sulla finestra di manutenzione.

    Se non si sceglie questa opzione, è necessario scegliere destinazioni precedentemente registrate quando si registra un'attività sulla finestra di manutenzione.

  7. Specifica una pianificazione per la finestra di manutenzione utilizzando una delle tre opzioni di pianificazione.

    Per ulteriori informazioni sulla definizione di espressioni cron/rate, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  8. Nel campo Duration (Durata), inserire il numero di ore di esecuzione della finestra di manutenzione.

  9. In Stop initiating tasks (Interrompi l'avvio delle attività), inserire il numero di ore prima del termine della finestra di manutenzione a partire dalle quali il sistema deve interrompere la pianificazione dell'esecuzione di nuove attività.

  10. (Facoltativo) In Window start date (optional) (Data di inizio finestra, facoltativo), specificare una data e un'ora nel formato ISO-8601 Extended che indichi il momento dell'attivazione della finestra di manutenzione. In questo modo è possibile ritardare l'attivazione della finestra di manutenzione fino alla data futura indicata.

    Nota

    Non è possibile specificare una data e un'ora di inizio precedenti.

  11. (Facoltativo) In Window end date (optional) (Data di fine finestra, facoltativo), specificare una data e un'ora nel formato ISO-8601 Extended che indichi il momento della disattivazione della finestra di manutenzione. In questo modo è possibile impostare una data e un'ora nel futuro in cui la finestra di manutenzione non sarà più in esecuzione.

  12. (Facoltativo) In Schedule time zone (optional) (Pianificazione fuso orario, facoltativo), specificare il fuso orario su cui deve essere basata la pianificazione delle esecuzioni della finestra di manutenzione, nel formato IANA (Internet Assigned Numbers Authority). Ad esempio: "America/Los_Angeles", "etc/UTC" o "Asia/Seul".

    Per ulteriori informazioni sui formati validi, consulta il Database dei fusi orari sul sito web IANA.

  13. (Facoltativo) Nell'area Manage tags (Gestisci tag), applicare una o più coppie nome chiave tag-valore alla finestra di manutenzione.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare un tag a una finestra di manutenzione per identificare il tipo di attività eseguito, i tipi di destinazioni e l'ambiente in cui viene eseguita. In questo caso, è possibile specificare le coppie nome chiave-valore seguenti:

    • Key=TaskType,Value=AgentUpdate

    • Key=OS,Value=Windows

    • Key=Environment,Value=Production

  14. Scegliere Create maintenance window (Crea finestra di manutenzione). Il sistema reindirizza alla pagina della finestra di manutenzione. Lo stato della finestra di manutenzione appena creata è Abilitata.

Fase 2: registrazione di destinazioni nella finestra di manutenzione (console)

Utilizzare la procedura seguente per registrare una destinazione con la finestra di destinazione creata nella fase 1. Con la registrazione di una destinazione vengono specificate i nodi da aggiornare.

Per assegnare destinazioni a una finestra di manutenzione (console)

  1. Nell'elenco delle finestre di manutenzione, selezionare la finestra di manutenzione appena creata.

  2. Scegliere Actions (Operazioni) e successivamente Register targets (Registra destinazioni).

  3. (Facoltativo) In Target name (Nome destinazione), inserire un nome per la destinazione.

  4. (Facoltativo) In Description (Descrizione), immettere una descrizione.

  5. (Facoltativo) In Owner informazioni (Informazioni sul proprietario), specificare il nome o l'alias di lavoro dell'utente. Le informazioni sul proprietario sono incluse in qualsiasi EventBridge evento Amazon generato durante l'esecuzione di attività per questi obiettivi in questa finestra di manutenzione.

    Per informazioni sull'utilizzo per EventBridge monitorare gli eventi di Systems Manager, vedereMonitoraggio degli eventi di Systems Manager con Amazon EventBridge.

  6. Nell'area Targets (Destinazioni), scegliere una delle opzioni descritte nella tabella seguente.

    Opzione Descrizione

    Specifica tag delle istanze

    Nei riquadri Specify instance tags (Specifica tag delle istanze), specifica una o più chiavi di tag e valori (opzionali) che sono stati o verranno aggiunti ai nodi gestiti nel tuo account. Quando la finestra di manutenzione viene eseguita, tenta di eseguire attività su tutti i nodi gestiti a cui questi tag sono stati aggiunti.

    Se si specificano più chiavi di tag, un nodo deve essere contrassegnato con tutte le chiavi tag e i valori specificati per essere inclusi nel gruppo di destinazione.

    Scegli i nodi manualmente

    Dall'elenco, seleziona la casella per ogni nodo che desideri includere nella destinazione della finestra di manutenzione.

    L'elenco include tutti i nodi nel tuo account che sono configurati per l'uso con Systems Manager.

    Se un nodo Amazon EC2 che ti aspetti di vedere non è presente nell'elenco, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti per suggerimenti sulla risoluzione dei problemi.

    Per dispositivi edge, server on-premise e macchine virtuali (VM), consulta la pagina Utilizzo di Systems Manager in ambienti ibridi e multicloud

    Scelta di un gruppo di risorse

    In Resource group (Gruppo di risorse), scegli il nome di un gruppo di risorse esistente nel tuo account dall'elenco.

    Per informazioni sulla creazione e l'utilizzo di gruppi di risorse, consulta i seguenti argomenti:

    Per Resource types (Tipi di risorse), seleziona fino a cinque tipi di risorse disponibili o scegli All resource types (Tutti i tipi di risorse).

    Se le attività assegnate alla finestra di manutenzione non agiscono su uno dei tipi di risorse aggiunti alla destinazione, il sistema potrebbe segnalare un errore. Attività per le quali viene individuato un tipo di risorsa supportato continuano a essere eseguite nonostante questi errori.

    Ad esempio, supponiamo di aggiungere i seguenti tipi di risorse a questa destinazione:

    • AWS::S3::Bucket

    • AWS::DynamoDB::Table

    • AWS::EC2::Instance

    Ma in seguito, quando aggiungi attività alla finestra di manutenzione, includi solo attività che eseguono operazioni su nodi, ad esempio l'applicazione di una base di patch o il riavvio di un nodo. Nel log della finestra di manutenzione, potrebbe essere segnalato un errore di mancata individuazione di bucket Amazon Simple Storage Service (Amazon S3) o tabelle Amazon DynamoDB. Tuttavia, la finestra di manutenzione continua a eseguire attività sui nodi nel gruppo di risorse.

  7. Scegliere Register target (Registra destinazione).

Fase 3: registrazione di un'attività Run Command per la finestra di manutenzione in modo da aggiornare l'SSM Agent (console)

Utilizzare la procedura seguente per registrare un'attività Run Command per la finestra di manutenzione creata nella fase 1. L'attività Run Command aggiorna l'SSM Agent nelle destinazioni registrate.

Per assegnare attività a una finestra di manutenzione (console)

  1. Nell'elenco delle finestre di manutenzione, selezionare la finestra di manutenzione appena creata.

  2. Scegliere Actions (Operazioni) e successivamente Register Run command task (Registra attività di esecuzione comando).

  3. (Facoltativo) In Name (Nome), immettere un nome per l'attività, ad esempio UpdateSSMAgent.

  4. (Facoltativo) In Description (Descrizione), immettere una descrizione.

  5. Nell'area Documento di comando, scegliere il documento del comando SSM AWS-UpdateSSMAgent.

    Nota

    Se le destinazioni registrate nella fase precedente sono Windows Server 2012 R2 o versioni precedenti, è necessario utilizzare il documento AWS-UpdateEC2Config.

  6. In Document version (Versione del documento), scegliere la versione del documento da utilizzare.

  7. In Task priority (Priorità attività), specificare una priorità per questa attività. Zero (0) indica la priorità più elevata. Le attività di una finestra di manutenzione vengono pianificate in ordine di priorità con le attività che hanno la stessa priorità pianificate in parallelo.

  8. Nella sezione Targets (Destinazioni), identificare i nodi in cui si desidera eseguire questa operazione scegliendo Selecting registered target groups (Selezione di gruppi target registrati) o Selecting unregistered targets (Selezione di destinazioni non registrate).

  9. Per Rate control (Controllo velocità):

    • In Concurrency (Simultaneità), specificare un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.

      Nota

      Se sono state selezionate le destinazioni specificando i tag applicati ai nodi gestiti o specificando gruppi di risorse AWS , e non si conosce con certezza il numero di nodi gestiti di destinazione, limitare il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.

    • Per Error threshold (Soglia di errore) specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se ad esempio si specificano 3 errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.

  10. (Facoltativo) Per il ruolo di servizio IAM, scegli un ruolo per fornire le autorizzazioni a Systems Manager da assumere durante l'esecuzione di un'attività della finestra di manutenzione.

    Se non si specifica un ruolo di servizio ARN, Systems Manager utilizza un ruolo collegato al servizio nell'account. Se nell'account non esiste un ruolo collegato al servizio appropriato per Systems Manager, questo viene creato quando l'attività viene registrata correttamente.

    Nota

    Per migliorare il livello di sicurezza, consigliamo vivamente di creare una politica personalizzata e un ruolo di servizio personalizzato per l'esecuzione delle attività della finestra di manutenzione. La policy può essere creata per fornire solo le autorizzazioni necessarie per le specifiche attività della finestra di manutenzione. Per ulteriori informazioni, consulta Utilizzo della console per configurare le autorizzazioni per le finestre di manutenzione.

  11. (Facoltativo) Per Output options (Opzioni di output) esegui una delle seguenti operazioni:

    • Seleziona la casella di controllo Enable writing to S3 (Abilita scrittura in S3) per salvare l'output del comando in un file. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.

      Nota

      Le autorizzazioni S3 che concedono la possibilità di scrivere dati in un S3 Bucket sono quelle del profilo dell'istanza assegnato al nodo e non quelle dell'utente che esegue l'attività. Per ulteriori informazioni, vedere Configurazione delle autorizzazioni di istanza richieste per Systems Manager. Inoltre, se il bucket S3 specificato si trova in un Account AWS diverso, assicurarsi che il profilo dell'istanza associato al nodo disponga delle autorizzazioni necessarie per scrivere su quel bucket.

    • Seleziona la casella CloudWatch di controllo dell'output per scrivere l'output completo su Amazon CloudWatch Logs. Inserisci il nome di un gruppo di log di CloudWatch Logs.

  12. Nella sezione SNS notifications (Notifiche SNS), è inoltre possibile consentire a Systems Manager di inviare notifiche relative agli stati dei comandi utilizzando Amazon Simple Notification Service (Amazon SNS). Se si sceglie di attivare questa opzione, è necessario specificare quanto segue:

    1. Il ruolo IAM per avviare le notifiche Amazon SNS.

    2. L'argomento Amazon SNS da utilizzare.

    3. I tipi di eventi specifici per i quali ricevere una notifica.

    4. Il tipo di notifica che si desidera ricevere quando lo stato di un comando viene modificato. Per i comandi inviati a più nodi, scegli Invocation (Chiamata) per ricevere una notifica su una chiamata (per ogni nodo) quando lo stato di ogni chiamata viene modificato.

  13. Nell'area Parameters (Parametri), è possibile fornire una versione specifica di SSM Agent da installare oppure consentire il downgrade del servizio SSM Agent a una versione precedente. Per questa procedura guidata non viene fornita una versione. È necessario, quindi, aggiornare SSM Agent alla versione più recente.

  14. Scegliere Register Run command task (Registra attività di esecuzione comandi).