Demonstração: Criar uma janela de manutenção para atualizar o SSM Agent (console) - AWS Systems Manager
Etapa 1: Criar a janela de manutenção (console)Etapa 2: Registrar destinos da janela de manutenção (console)Etapa 3: Registrar uma tarefa do Run Command para a janela de manutenção para atualizar o SSM Agent (console)

Demonstração: Criar uma janela de manutenção para atualizar o SSM Agent (console)

A demonstração a seguir explica como usar o console do AWS Systems Manager para criar uma janela de manutenção. A demonstração também descreve como registrar os nós gerenciados como destinos e registrar uma tarefa Run Command do Systems Manager para atualizar o SSM Agent.

Antes de começar

Antes de concluir o procedimento a seguir, você deve ter permissões de administrador em nós que deseja configurar ou deve ter recebido as permissões apropriadas no AWS Identity and Access Management (IAM). Além disso, verifique se você tem pelo menos um nó gerenciado para Linux ou para Windows Server em um ambiente híbrido e multinuvem que esteja configurado para o Systems Manager. Para ter mais informações, consulte Configurar o AWS Systems Manager.

Etapa 1: Criar a janela de manutenção (console)

Para criar uma janela de manutenção (console)

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Maintenance Windows.

  3. Escolha Create maintenance window (Criar janela de manutenção).

  4. Em Name (Nome), insira um nome descritivo para ajudar você a identificar essa janela de manutenção.

  5. (Opcional) Em Description (Descrição), insira uma descrição.

  6. Escolha Allow unregistered targets (Permitir destinos não registrados) se quiser permitir que uma tarefa da janela de manutenção seja executada em nós gerenciados, mesmo que você não tenha registrado esses nós como destinos. Se você escolher essa opção, poderá escolher os nós não registrados (por ID do nó) quando registrar uma tarefa na janela de manutenção.

    Se você não escolher essa opção, deverá escolher destinos anteriormente registrados quando registrar uma tarefa na janela de manutenção.

  7. Especifique uma programação para a janela de manutenção usando uma das opções de programação.

    Para obter mais informações sobre criar expressões cron/rate, consulte Referência: Expressões cron e rate para o Systems Manager.

  8. Em Duration (Duração), insira o número de horas que a janela de manutenção deve ser executada.

  9. Em Stop initiating tasks (Para de iniciar tarefas), insira o número de horas antes do final da janela de manutenção que o sistema deve parar de agendar novas tarefas para execução.

  10. (Opcional) Em Window start date - optional (Data de início da janela - opcional), especifique uma data e hora no formato ISO-8601 estendido para quando você deseja que a janela de manutenção se torne ativa. Isso permite que você atrase a ativação da janela de manutenção até a data futura especificada.

    nota

    Não é possível especificar uma data e hora de início que ocorreram no passado.

  11. (Opcional) Em Window end date (optional) (Data de término da janela - opcional), especifique uma data e hora no formato ISO-8601 estendido para quando você deseja que a janela de manutenção se torne inativa. Isso permite que você defina uma data e hora no futuro após a qual a janela de manutenção não será mais executada.

  12. (Opcional) Em Schedule time zone - opcional (Fuso horário do agendamento), especifique o fuso horário no qual as execuções da janela de manutenção devem se basear, no formato IANA (Internet Assigned Numbers Authority). Por exemplo: "America/Los_Angeles", "etc/UTC" ou "Ásia/Seul".

    Para obter mais informações sobre os formatos válidos, consulte o Banco de dados de fusos horários no site da IANA.

  13. (Opcional) Na área Manage tags (Gerenciar tags), aplique um ou mais pares de nome/valor de chave de tag à janela de manutenção.

    Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode querer marcar uma janela de manutenção para identificar o tipo de tarefa que ela executa, os tipos de destinos e o ambiente em que ela é executada. Nesse caso, você pode especificar os seguintes pares de nome/valor:

    • Key=TaskType,Value=AgentUpdate

    • Key=OS,Value=Windows

    • Key=Environment,Value=Production

  14. Escolha Create maintenance window (Criar janela de manutenção). O sistema fará com que você retorne para a página de janela de manutenção. A janela de manutenção que você acabou de criar está no estado Enabled (Habilitada).

Etapa 2: Registrar destinos da janela de manutenção (console)

Use o procedimento a seguir para registrar um destino na janela de manutenção criada na Etapa 1. Ao registrar um destino, você especifica quais nós serão atualizados.

Para atribuir destinos a uma janela de manutenção (console)

  1. Na lista de janelas de manutenção, escolha o parâmetro que você acabou de criar.

  2. Escolha Actions (Ações) e depois Register targets (Registrar destinos).

  3. (Opcional) Em Target name (Nome do destino), insira um nome para o destino.

  4. (Opcional) Em Description (Descrição), insira uma descrição.

  5. (Opcional) Em Owner information (Informações do proprietário), especifique seu nome ou alias de trabalho. As informações do proprietário estão incluídas em qualquer evento do Amazon EventBridge gerado durante a execução de tarefas para esses destinos nesta janela de manutenção.

    Para obter informações sobre como usar o EventBridge para monitorar eventos do Systems Manager, consulte Monitorar eventos do Systems Manager com o Amazon EventBridge.

  6. Na área Targets (Destinos), escolha uma das opções descritas na tabela a seguir.

    Opção Descrição

    Especificar tags de instâncias

    Nas caixas Specify instance tags (Especificar tags de instâncias), especifique uma ou mais chaves de tags e valores (opcional) que foram ou serão adicionados aos nós gerenciados em sua conta. Quando a janela de manutenção for executada, ele tentará executar tarefas em todos os nós gerenciados aos quais essas tags foram adicionadas.

    Se você especificar mais de uma chave de tag, um nó deverá ser marcado com todas as chaves de tag e os valores especificados para serem incluídos no grupo de destino.

    Selecione os nós manualmente

    Na lista, marque a caixa de seleção para cada nó que você deseja incluir na janela de manutenção de destino.

    A lista inclui todos os nós da sua conta que estão configurados para uso com o Systems Manager.

    Se um nó gerenciado que você espera ver não estiver listado, consulte Solução de problemas de disponibilidade do nó gerenciado para obter dicas de solução de problemas.

    Para dispositivos de borda, servidores on-premises e máquinas virtuais (VMs), consulte Usar o Systems Manager em ambientes híbridos e multinuvem.

    Escolher um grupo de recursos

    Em Resource group (Grupo de recursos), escolha o nome de um grupo de recursos existente em sua conta na lista.

    Para obter informações sobre como criar e trabalhar com grupos de recursos, consulte os seguintes tópicos:

    Em Resource types (Tipos de recurso), selecione até cinco tipos de recurso disponíveis ou escolha All resource types (Todos os tipos de recurso).

    Se as tarefas que você atribui para a janela de manutenção não atuar em um dos tipos de recurso que você adicionou ao destino, o sistema poderá relatar um erro. As tarefas para as quais um tipo de recurso compatível é encontrado continuam a ser executadas apesar desses erros.

    Por exemplo, suponha que você adicione os seguintes tipos de recurso para este destino:

    • AWS::S3::Bucket

    • AWS::DynamoDB::Table

    • AWS::EC2::Instance

    Mas posteriormente, quando você adicionar tarefas à janela de manutenção, você incluirá apenas as tarefas que executam ações em nós, como a aplicação de uma lista de referência de patches ou a reinicialização de um nó. No log da janela de manutenção, um erro poderá ser relatado sobre os buckets do Amazon Simple Storage Service (Amazon S3) ou as tabelas do Amazon DynamoDB que foram encontrados. No entanto, a janela de manutenção ainda executará tarefas em nós do grupo de recursos.

  7. Escolha Register target.

Etapa 3: Registrar uma tarefa do Run Command para a janela de manutenção para atualizar o SSM Agent (console)

Use o procedimento a seguir para registrar uma tarefa do Run Command para a janela de manutenção que você criou na Etapa 1. A tarefa de Run Command atualiza o SSM Agent nos destinos registrados.

Para atribuir tarefas a uma janela de manutenção (console)

  1. Na lista de janelas de manutenção, escolha o parâmetro que você acabou de criar.

  2. Selecione Actions (Ações) e depois Register run command task (Registrar tarefa de comando de execução).

  3. Em Name (Nome), insira um nome para a tarefa, como UpdateSSMAgent.

  4. (Opcional) Em Description (Descrição), insira uma descrição.

  5. Na área Command document (Documento do comando), escolha o documento de comando do SSM, AWS-UpdateSSMAgent.

    nota

    Se os destinos registrados na etapa anterior forem o Windows Server 2012 R2 ou anterior, você deverá usar o documento AWS-UpdateEC2Config.

  6. Em Document version (Versão do documento), escolha a versão do documento a ser usada.

  7. Em Task priority (Prioridade da tarefa), especifique uma prioridade para essa tarefa. Zero (0) é a prioridade mais alta. As tarefas em uma janela de manutenção são programadas em ordem de prioridade, com as tarefas que têm a mesma prioridade programada em paralelo.

  8. Na seção Targets (Destinos), identifique os nós onde você deseja executar essa operação escolhendo Selecting registered target groups (Selecionar grupos de destino registrados) ou Selecting unregistered targets (Selecionar destinos não registrados).

  9. Para Rate control (Controle de taxa):

    • Em Concurrency (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.

      nota

      Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.

    • Em Error threshold (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.

  10. (Opcional) Em Perfil de serviço do IAM, escolha um perfil para fornecer permissões ao Systems Manager para assumir quando executar uma tarefa da janela de manutenção.

    Se você não especificar um ARN de perfil de serviço, o Systems Manager usará um perfil vinculado ao serviço em sua conta. Se nenhum perfil vinculado ao serviço apropriado para Systems Manager existir em sua conta, ele será criado quando a tarefa for registrada com êxito.

    nota

    Para melhorar a postura de segurança, é altamente recomendável criar uma política personalizada e um perfil de serviço personalizado para executar as tarefas da janela de manutenção. A política pode ser criada para fornecer somente as permissões necessárias para as tarefas da sua janela de manutenção específica. Para ter mais informações, consulte Use o console para configurar permissões para janelas de manutenção.

  11. (Opcional) Para Output options (Opções de saída), siga um destes procedimentos:

    • Selecione a opção Enable writing to S3 (Ativar gravação no S3) para salvar a saída do comando em um arquivo. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.

      nota

      As permissões do S3 que concedem a capacidade de gravar os dados em um bucket do S3 são as do perfil de instância atribuído ao nó, não as do usuário que executa esta tarefa. Para obter mais informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager. Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância associada ao nó tem as permissões necessárias para gravar nesse bucket.

    • Selecione a caixa de verificação saída do CloudWatch para gravar a saída completa no Amazon CloudWatch Logs Insira o nome do grupo de logs do CloudWatch Logs.

  12. Na seção SNS notifications (Notificações do SNS), você poderá opcionalmente permitir que o Systems Manager envie notificações sobre o status de comandos usando o Amazon Simple Notification Service (Amazon SNS). Se você ativar essa opção, precisará especificar o seguinte:

    1. A função do IAM para iniciar notificações do Amazon SNS.

    2. O tópico do Amazon SNS a ser usado.

    3. Os tipos de evento específicos sobre os quais você deseja ser notificado.

    4. O tipo de notificação que você deseja receber quando o status de um comando é alterado. Para comandos enviados para vários nós gerenciados, escolha Invocation (Invocação) para receber notificação por invocação (por nó) quando o status de cada invocação for alterado.

  13. Na área Input Parameters (Parâmetros de entrada), você pode opcionalmente fornecer uma versão específica do SSM Agent a ser instalada ou pode permitir que o serviço SSM Agent seja revertido para uma versão anterior. No entanto, para esta demonstração, não fornecemos uma versão. Portanto, o SSM Agent é atualizado para a versão mais recente.

  14. Selecione Register run command task (Registrar tarefa executar comando).