• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Tutorial: Create a maintenance window for patching using the console
**Importante**
Você pode continuar a usar esse tópico legado para criar uma janela de manutenção para aplicar patch. No entanto, recomendamos usar uma política de patch em vez disso. Para obter mais informações, consulte [Configurações de políticas de patches em Quick Setup](patch-manager-policies.md) e [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md).
Para minimizar o impacto na disponibilidade do seu servidor, recomendamos que você configure uma janela de manutenção para executar a aplicação de patch em horários que não interromperão suas operações de negócios.
É necessário configurar perfis e permissões para o Maintenance Windows, uma ferramenta do AWS Systems Manager, antes de começar este procedimento. Para obter mais informações, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).
**Para criar uma janela de manutenção para aplicação de patch**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Maintenance Windows**.
1. Escolha **Create maintenance window (Criar janela de manutenção)**.
1. No campo **Name (Nome)**, insira um nome que designe isso como uma janela de manutenção para aplicar patch a atualizações críticas e importantes.
1. (Opcional) Em **Description (Descrição)**, insira uma descrição.
1. Escolha **Allow unregistered targets** (Permitir destinos não registrados) se quiser permitir que uma tarefa da janela de manutenção seja executada em nós gerenciados, mesmo que você não tenha registrado esses nós como destinos.
Se você escolher essa opção, poderá escolher os nós não registrados (por ID do nó) quando registrar uma tarefa na janela de manutenção.
Se você não escolher essa opção, deverá escolher destinos anteriormente registrados quando registrar uma tarefa na janela de manutenção.
1. Na parte superior da seção **Schedule (Programar)** especifique uma programação para a janela de manutenção usando uma das três opções de agendamento.
Para obter mais informações sobre criar expressões cron/rate, consulte [Referência: Expressões cron e rate para o Systems Manager](reference-cron-and-rate-expressions.md).
1. Em **Duration (Duração)**, insira o número de horas que a janela de manutenção será executada. O valor especificado determina a hora de término específica para a janela de manutenção com base no horário em que ela começa. Nenhuma tarefa da janela de manutenção tem permissão para iniciar após a hora de término resultante menos o número de horas especificado para **Stop initiating tasks (Parar de iniciar tarefas)** na próxima etapa.
Por exemplo, se a janela de manutenção começar às 15h, a duração for de três horas e o valor **Stop initiating tasks (Parar de iniciar tarefas)** for uma hora, nenhuma tarefa da janela de manutenção poderá ser iniciada depois das 17h.
1. Em **Stop initiating tasks (Para de iniciar tarefas)**, insira o número de horas antes do final da janela de manutenção que o sistema deve parar de agendar novas tarefas para execução.
1. (Opcional) Em **Window start date** (Data de início da janela), especifique uma data e hora no formato ISO-8601 estendido para quando você deseja que a janela de manutenção se torne ativa. Isso permite que você atrase a ativação da janela de manutenção até a data futura especificada.
1. (Opcional) Em **Window end date** (Data de término da janela), especifique uma data e hora no formato ISO-8601 estendido para quando você deseja que a janela de manutenção se torne inativa. Isso permite que você defina uma data e hora no futuro após a qual a janela de manutenção não será mais executada.
1. (Opcional) Em **Fuso horário do agendamento**, especifique o fuso horário no qual as execuções da janela de manutenção devem se basear, no formato da IANA (Internet Assigned Numbers Authority). Por exemplo: "America/Los\$1Angeles", "etc/UTC" ou "Ásia/Seul".
Para obter mais informações sobre os formatos válidos, consulte o [Banco de dados de fusos horários](https://www.iana.org/time-zones) no site da IANA.
1. (Opcional) Na área **Manage tags (Gerenciar tags)**, aplique um ou mais pares de nome/valor de chave de tag à janela de manutenção.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você poderá marcar essa janela de manutenção para identificar o tipo de tarefa a ser executada. Nesse caso, você pode especificar o seguinte par de nome/valor:
+ `Key=TaskType,Value=Patching`
1. Escolha **Create maintenance window (Criar janela de manutenção)**.
1. Na lista da janela de manutenção, escolha a janela de manutenção que você acabou de criar e selecione **Actions (Ações)**, **Register targets (Registrar destinos)**.
1. (Opcional) Na seção **Maintenance window target details**, forneça um nome, uma descrição e informações sobre o proprietário (seu nome ou alias) para esse destino.
1. Em **Seleção de destinos**, escolha **Especificação de tags de instância**.
1. Em **Especificar tags de instância**, insira uma chave de tag e um valor de tag para identificar os nós a serem registrados na janela de manutenção, e escolha **Adicionar**.
1. Escolha **Register target**. O sistema cria um destino de janela de manutenção.
1. Na página de detalhes da janela de manutenção que você criou, selecione **Actions (Ações)**, **Register run command task (Registrar tarefa do Run Command)**.
1. (Opcional) Em **Maintenance window task details (Detalhes da janela de manutenção)**, forneça um nome e uma descrição para essa tarefa.
1. Para **Command document (Documento de comando)**, escolha `AWS-RunPatchBaseline`.
1. Em **Task priority (Prioridade de tarefa)**, escolha uma prioridade. Zero (`0`) é a prioridade mais alta.
1. Em **Targets (Destinos)**, em **Target by (Destino por)**, escolha o destino da janela de manutenção que você criou anteriormente neste procedimento.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Perfil de serviço do IAM**, escolha um perfil para fornecer permissões ao Systems Manager para assumir quando executar uma tarefa da janela de manutenção.
Se você não especificar um ARN de perfil de serviço, o Systems Manager usará um perfil vinculado ao serviço em sua conta. Se nenhum perfil vinculado ao serviço apropriado para Systems Manager existir em sua conta, ele será criado quando a tarefa for registrada com êxito.
**nota**
Para melhorar a postura de segurança, é altamente recomendável criar uma política personalizada e um perfil de serviço personalizado para executar as tarefas da janela de manutenção. A política pode ser criada para fornecer somente as permissões necessárias para as tarefas da sua janela de manutenção específica. Para obter mais informações, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).
1. (Opcional) Em **Opções de saída**, para salvar a saída de comando em um arquivo, selecione a caixa **Habilitar a gravação da saída no S3**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil da instância atribuído ao nó gerenciado, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço IAM associada ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
Para fazer streaming da saída para um grupo de logs do Amazon CloudWatch Logs, selecione a caixa **de resultado do CloudWatch**. Insira o nome do grupo de logs na caixa.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Em **Parameters (Parameters)**:
+ Em **Operation (Operação)**, escolha **Scan (Verificar)** para verificar se há patches ausentes ou escolha **Install (Instalar)** para verificar e instalar patches ausentes.
+ Não é necessário inserir nada no campo **Snapshot Id (ID do snapshot)**. Esse sistema gera e fornece esse parâmetro automaticamente.
+ Não é necessário inserir nada no campo **Install Override List** (Instalar a lista de substituição), a menos que você queira que o Patch Manager use um conjunto de patches diferente do especificado na lista de referência do patch. Para mais informações, consulte [Nome do parâmetro: `InstallOverrideList`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist).
+ Na opção **RebootOption**, especifique se deseja que os nós gerenciados sejam reinicializados se os patches forem instalados durante a operação `Install` ou se o Patch Manager detectar outros patches que foram instalados desde a última reinicialização do nó. Para mais informações, consulte [Nome do parâmetro: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).
+ (Opcional) Em **Comment (Comentário)**, insira uma nota de acompanhamento ou lembrete sobre esse comando.
+ Em **Timeout (segundos) (Tempo limite em segundos)**, insira o número de segundos que o sistema deve aguardar a conclusão da operação para que ela seja considerada malsucedida.
1. Selecione **Register run command task** (Registrar tarefa executar comando).
Após a conclusão da tarefa da janela de manutenção, você pode visualizar os detalhes de conformidade de patches no console do Systems Manager, na página da ferramenta [Fleet Manager](fleet-manager.md).
Também é possível visualizar as informações de conformidade na guia **Relatórios de conformidade** da ferramenta [Patch Manager](patch-manager.md).
Você também pode usar as APIs [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html) e [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html) para visualizar detalhes de conformidade. Para obter informações sobre dados de conformidade dos patches, consulte [Sobre a conformidade de patches](compliance-about.md#compliance-monitor-patch).
# Agendamentos de aplicação de patches usando janelas de manutenção
Depois de configurar uma lista de referência de patches (e opcionalmente um grupo de patches), você poderá aplicar patches ao nó usando uma janela de manutenção. Uma janela de manutenção pode reduzir o impacto na disponibilidade do servidor, permitindo especificar um tempo para executar o processo de aplicação de patch que não interrompa as operações de negócios. Uma janela de manutenção funciona assim:
1. Crie uma janela de manutenção com uma programação para suas operações de aplicação de patch.
1. Escolha os destinos para a janela de manutenção, especificando a tag `Patch Group` ou `PatchGroup` para o nome da tag e qualquer valor para o qual você tenha definido tags do Amazon Elastic Compute Cloud (Amazon EC2), p. ex., “web servers” ou “US-EAST-PROD”. (Você deve usar `PatchGroup`, sem espaço, se tiver [permissão para tags nos metadados da instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).)
1. Crie uma tarefa de janela de manutenção e especifique o documento `AWS-RunPatchBaseline`.
Ao configurar a tarefa, você pode optar por verificar os nós ou verificar e instalar patches nesses nós. Se você optar por verificar os nós, o Patch Manager, uma ferramenta do AWS Systems Manager, verificará cada um e gerará uma lista de patches ausentes para você examinar.
Se você optar por verificar e instalar patches, o Patch Manager verificará cada nó e comparará a lista de patches instalados com a lista de patches aprovados na lista de referência. O Patch Manager identifica patches ausentes e, em seguida, baixa e instala todos os patches ausentes e aprovados.
Se você quiser executar uma verificação ou instalação única para corrigir um problema, use o Run Command para chamar o documento `AWS-RunPatchBaseline` diretamente.
**Importante**
Depois de instalar os patches, o Systems Manager reinicia cada nó. A reinicialização é necessária para garantir que os patches sejam instalados corretamente e que o sistema não tenha deixado o nó em um estado potencialmente ruim. (Exceção: Se o parâmetro `RebootOption` estiver definido como `NoReboot` no documento `AWS-RunPatchBaseline`, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte [Nome do parâmetro: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption)).