本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用补丁编排器
<a name="patch-orchestrator-using"></a>

提交包含以下详细信息的服务请求，为您的账户启用 AMS Patch Orchestrator：
+ **类别：**其他
+ **主题**：入门 Patch Orchestrator
+ **抄送电子邮件**：当此入职 RFC 的状态发生变化时，抄送电子邮件地址会收到通知
+ **详情**：将以下信息粘贴到电子邮件中并提供您的价值观。请注意， ThirdTagKey 是可选的。有关建议和示例，请参阅下表。

  ```
  Default maintenance window Schedule:
  Default Maintenance Window Schedule TimeZone:
  Default Maintenance Window Duration:
  Default Maintenance Window Cutoff:
  Default Patch Backup Retention In Days:
  Default Maintenance Window Notification Emails:
  First Tag Key:
  Second Tag Key:
  Third Tag Key:
  ```

下表描述了您提供的值的格式和建议。


**Patch Orchestrator 基于标签的修补配置**  

| 参数的名称 | 信息 | 推荐或示例 | 
| --- | --- | --- | 
| 默认维护时段计划 | 默认维护时段的计划，以 cron 或速率表达式的形式出现。例如： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/patch-orchestrator-using.html) 有关创建 cron 表达式以及指向 cron 和速率表达式资源的链接的更多信息，请参阅维护时段的 [Cron 和费率表达式](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html#reference-cron-and-rate-expressions-maintenance-window)。 | 我们建议在稳定的工作日每月至少运行一次窗口。 | 
| 默认维护时段计划时区 | 默认维护时段所基于的时区采用互联网号码分配机构 (IANA) 格式。 | 例如： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/patch-orchestrator-using.html) | 
| 默认维护时段持续时间 | 默认维护时段的持续时间（以小时为单位）。 | 每 50 个实例至少 1 小时，外加 2 小时的截止时间。 | 
| 默认维护时段截止时间 | 默认维护时段结束前没有启动任何新的修补命令的小时数。存在此间隔是为了留出足够的时间在窗口结束之前完成修补。 | 至少 2 小时。 | 
| 默认 Patch Backup 保留天数（可选） | 在修补实例之前保留创建的 EBS 还原点的默认时间（以天为单位）。 | 我们建议保留默认值，即 60。 | 
| 默认维护时段通知电子邮件 | 一到五个电子邮件地址或通讯组列表，用于接收有关默认维护时段修补状态的通知。 | 我们建议使用群组通讯组列表代替个人电子邮件。 | 
| 第一个标签密钥 | 用于创建 Patch Group 标签值的第一个标签密钥。 | 例如 AppId。如果您已经使用修补程序组标签定义了自己的修补程序组，请指定 **null**。 | 
| 第二个标签密钥 | 用于创建 Patch Group 标签值的第二个标签密钥。 | 例如，环境。如果您已经使用修补程序组标签定义了自己的修补程序组，请指定 **null**。 | 
| 第三个标签密钥（可选） | 用于创建 Patch Group 标签值的可选第三个标签键。 | 例如，群组。 | 

在您加入新的 Patch Orchestrator 修补服务模型后，您账户中所有经过适当标记的实例都属于带有补丁组标签的补丁组。Patch Orchestrator 使用你现有的补丁组标签，或者使用 AMS 创建的标签，该标签由你在 Patch Orchestrator 入职期间指定的两个或三个串联的标签值组成。例如，\$1*Tag Value 1*\$1-\$1*Tag Value 2*\$1-\$1*Tag Value 3*\$1。AMS 每 12 小时更新这些 AMS 应用的补丁组标签。如果需要，您可以使用标记 \$1 更新[（托管自动化）或标记 \$1 更新（托管自动化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-tag-update-review-required.html)[更改类型来更新补丁组标签](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-tag-update-review-required.html)值。

例如，如果您的 Amazon EC2 实例具有以下标签键:值对：
+ `AppId:MyApplication`
+ `Environment:Production`
+ `Group:1`

在入职期间，您指定了以下标签键：
+ `First Tag Key = AppId`
+ `Second Tag Key = Environment`
+ `Third Tag Key = Group`

AMS 创建以下补丁组标签并将其应用于您的实例:`Patch Group:MyApplication-Production-1`.

**注意**  
不会为操作系统不支持的实例创建补丁失败警报，也不会为在维护时段内停止的实例创建补丁失败警报。

## 补丁编排器先决条件
<a name="patch-o-prerequisites"></a>

Patch Orchestrator 工作流程针对的是由最新版本的系统管理器自动化文档修补的 Amazon EC2 实例：。 AWSManagedServices-PatchInstanceFromMaintenanceWindow

作为文档工作流程的一部分，运行命令文档 “AWS-RunPatchBaseline” 是针对补丁组成员中的每个 Amazon EC2 实例运行的。要了解更多信息，请参阅[关于 SSM 文档 AWS-RunPatchBaseline](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-about-aws-runpatchbaseline.html)。

**要求**：
+ 从 AMS 提供的亚马逊系统映像 (AMI) 部署的 Amazon EC2 实例，或者通过 “迁移合作伙伴迁移的实例堆栈” CT (ct-257p9zjk14ija) 在 AMI 上部署。
+ 已启用出口互联网连接。对于 firewall/proxy 解决方案，要求允许 Windows 更新终端节点 and/or Linux 存储库镜像终端节点、AWS 系统管理器代理设置和元数据代理配置。有关更多信息，请参阅[将 SSM 代理配置为使用代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-proxy-with-ssm-agent.html)和[使用 HTTP](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-proxy.html) 代理
+ IAM 角色与 IAM 角色的 SSM 服务的最低许可访问权限相匹配。`customer-mc-ec2-instance-profile`
+ 我们建议 10 GB 的可用根分区空间。对于 Linux 操作系统，该`/var`分区中至少有 2 GB 的可用空间。
+ 适用于更新下载的有效证书颁发机构。
+ Windows 服务器更新服务 (WSUS)-注册表包括但不限于： DisableWindowsUpdateAccess， NoWindowsUpdate；自动更新不得损害 Windows 更新过程的运行。

**验证**：
+ 对于使用 yum 包管理器的 Linux 操作系统实例，你可以通过运行来验证更新的可用性 `#yum check-update`
+ 对于 Linux OS RedHat 5.7 及更高版本、6.1 及更高版本以及 7.0 及更高版本；Amazon EC2 实例通过 “迁移伙伴迁移的实例堆栈” CT（ct-257p9zjk14ija）迁移到您的 AMS 账户，您需要验证订阅管理器状态以提高更新性能。
+ 在 Windows 操作系统上，启用 Windows 服务器更新服务 (WSUS)。任何本地策略都不应阻止 WSUS 扫描或安装更新的功能。以管理员身份登录后，您可以通过从 Windows 更新服务控制台扫描可用更新来对其进行验证。包括 2012R2、2016 和 2019 年在内的 Windows 服务器操作系统版本都有默认 Windows 更新设置可供下载和安装。您可以在扫描之前配置所需的设置。在更高版本的操作系统中，此操作可能会触发安装；请事先配置所需的行为。
+ 通过提交服务请求，请求 AMS 运营团队进行验证：“针对 Amazon EC2 实例运行以评估补丁准备情况的AWSManagedServices-CheckPatchingPrerequisites 自动化文档。”

**注意**  
不会为操作系统不支持的实例创建补丁失败警报，也不会为在维护时段内停止的实例创建补丁失败警报。

## 补丁 Orchestrator 保留标签
<a name="patch-reserved-tags"></a>

Patch Orchestrator 还会生成以下无法修改的标签：
+ **AMSPatch组**-此标签用于生成补丁组标签值。您不应修改群 AMSPatch组。如果要使用自定义 “修补程序组” 值，则可以修改 “修补程序组” 标签。Patch Orchestrator 会继续根据入职期间提供的标签键为 AMSPatch群组生成值，但如果您已将 “补丁组” 标签值设置为自定义值，则不会对其进行修改。要停止使用自定义 “修补程序组” 值，可以将 “修补程序组” 的值设置为与 AMSPatch组标签值相匹配。
+ **AMSDefaultPatchGroup**— 此标签指示实例是否属于默认维护时段，其值为 True 或 False。如果未将实例的补丁组分配给维护时段，则此值将设置为 True。