Aktionen, die Sie beim AMS-Standard-Patching ergreifen können - AMS-Benutzerhandbuch für Fortgeschrittene
Ändert, was rauskommt patched/opting Vorbereitung für das PatchenPatch-Einstellungen anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktionen, die Sie beim AMS-Standard-Patching ergreifen können

Sie können nicht nur neue Produkte testen AMIs, sondern auch verschiedene Maßnahmen ergreifen, um das Patchen Ihrer Infrastruktur zu verwalten:

  • Wenn das Testen der Updates länger gedauert hat, als es das Patchfenster erlaubt hat, können Sie AMS auffordern, die stornierten Updates zu installieren, wenn Sie bereit sind, indem Sie eine Serviceanfrage einreichen (verwenden Sie die Details in der ursprünglichen Servicebenachricht als Grundlage).

  • Sie können beantragen, dass ein wichtiges Update (IU) oder ein anderes Update (OU) vor dem nächsten automatischen Aktualisierungsfenster installiert wird, indem Sie eine Serviceanfrage mit einer Liste der Updates, der entsprechenden Instanzen und gegebenenfalls weiteren Details einreichen. Da dieser CT nicht automatisiert ist, dauert es länger, ihn zu planen und auszuführen. Überprüfen Sie die Service-Level-Ziele (SLOs) für den entsprechenden Zeitpunkt. Weitere Informationen finden Sie unter AMS-Servicelevel-Ziele (SLOs).

Darüber hinaus können Sie vorhandene, gepatchte AMS verwenden, um benutzerdefinierte AMIs AMIs zu erstellen. Weitere Informationen finden Sie unter AMI | Create.

Anmerkung

Sie können vor dem nächsten Wartungsfenster kein neues AMS-AMI auf der Grundlage eines wichtigen Updates oder eines anderen Updates anfordern, da der AMS-AMI-Freigabeprozess zum Vorteil aller AMS-Kunden einem einheitlichen Rhythmus folgt.

Ändert, was rauskommt patched/opting

Wenn das Patchen von AMS konfiguriert ist, können Sie in Ihrer Antwort auf die Benachrichtigung zum Patch-Service oder in einer Serviceanfrage ändern, welche Ressourcen gepatcht werden. Sie haben die folgenden Möglichkeiten:

  • Definieren Sie pro Stack und Betriebssystem eine Liste von Patches, die von der Problembehebung ausgeschlossen werden sollen.

  • Definieren Sie eine Liste von Ressourcen, die von bestimmten Patches oder allen Patches ausgeschlossen werden sollen.

  • Definieren Sie eine Liste von Ressourcen, die immer von allen Patches ausgeschlossen werden sollen.

  • Definieren Sie eine Liste von Ressourcen, die an einem bestimmten Tag und zu einer bestimmten Uhrzeit gepatcht werden sollen (gut, wenn Sie kein Wartungsfenster definiert haben).

Um einen oder mehrere Patches auszuschließen, reichen Sie eine Serviceanfrage ein oder antworten Sie mithilfe der im Folgenden bereitgestellten Vorlage auf die Benachrichtigung über den Patch-Service. Reichen Sie keinen RFC ein. Geben Sie in der Anfrage den oder die Patch-Namen an, die Sie ausschließen möchten, und warum. Nehmen Sie diese Informationen wie folgt in eine Serviceanfrage auf:

  • Name: Der Name des Patches. Bei Windows-Patches ist dies der KB-Name, z. KB3145384 B. Bei Linux-Patches ist dies der Paketname, z. openssh-6.6.1p1-25.61.amzn1.x86_64 B.

  • Grund: Ein Kommentar, der angibt, warum der Patch ausgeschlossen wurde.

  • Ablaufzeit: Der date/time Zeitpunkt, an dem der Ausschluss abläuft.

Wenn ein ausgeschlossener Patch bereits installiert ist, wird er entfernt.

Die Anfrage wird von einem Mitarbeiter geprüft, der mit Ihnen darüber spricht, ob der Ausschluss dieser Patches ein erhebliches Sicherheitsrisiko darstellt. Das Ablaufdatum ausgeschlossener Patches wird ebenfalls ausgehandelt. Nach dem vereinbarten Ablaufdatum läuft der Ausschluss ab und der Patch wird bei allen nachfolgenden Patches installiert.

Patches auf der Ausschlussliste werden weiterhin in den Scanergebnissen angezeigt, sofern zutreffend.

Anmerkung

Im Gegensatz zu Windows sind Linux-Patches versionsspezifisch. Diese Unterscheidung ist wichtig, da neue Versionen eines ausgeschlossenen Patches nicht automatisch ausgeschlossen werden. Es liegt in Ihrer Verantwortung, AMS darüber zu informieren, dass neue Versionen eines Linux-Patches ausgeschlossen werden, falls Sie dies wünschen.

Vorlagen für Antworten auf Patchservice-Benachrichtigungen

Sie müssen auf Benachrichtigungen des Patching-Dienstes im angegebenen Format antworten, damit das Patchen auf Ihren Instances durchgeführt werden kann. Sie sollten dies tun, wenn Sie bei AMS noch kein Wartungsfenster festgelegt haben.

Wenn Sie auf eine Servicemeldung antworten, verwenden Sie das angegebene Format.

Wenn kein Wartungsfenster festgelegt ist, teilen Sie uns wie folgt mit, wann ein Patch installiert werden muss:

UTC                 StartTime       StackId                     InstanceId (Optional)
2019-04-01          15:00           stack-123456789012          i-1234566789
2019-04-01          15:00           stack-123456789013          i-1234566784
2019-04-01          15:00           stack-123456789014          i-1234566783
2019-04-01          15:00           stack-123456789015          i-1234566782

Wenn Sie ein festgelegtes Wartungsfenster haben und möchten, dass bestimmte Ressourcen von bestimmten Patches ausgeschlossen werden, verwenden Sie das folgende Format:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                PATCH
stack-123456789013          i-1234566784                PATCH
stack-123456789014          i-1234566783                PATCH
stack-123456789015          i-1234566782                PATCH

Wenn Sie ein festgelegtes Wartungsfenster haben und möchten, dass bestimmte Ressourcen immer von allen Patches ausgeschlossen werden, verwenden Sie das folgende Format:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                ALL
stack-123456789015          i-1234566782                ALL

Vorbereitung für das Patchen

Um Ihre Umgebung auf automatisiertes Patchen vorzubereiten, empfehlen wir Folgendes:

  • Stellen Sie sicher, dass Sie über ein vollständiges Inventar aller Instanzen verfügen, die gepatcht werden sollen.

  • Stellen Sie sicher, dass Ihre Ressourcen im Rahmen Ihrer Geschäftskontinuitätsstrategie regelmäßig gesichert werden. Zusätzliche Backups werden als Teil der Patch-Sequenz erstellt und diese werden automatisch gemäß Ihrer konfigurierten Patch Orchestrator-Aufbewahrungsrichtlinie gelöscht (Standard ist 60 Tage).

  • Stellen Sie sicher, dass alle relevanten Lizenzen auf dem neuesten Stand sind.

  • Ändern Sie Ihre Stack-Wartungsfenster so, dass das Patchen gestaffelt wird, sodass Test-Stacks vor Produktionsstapeln gepatcht werden. Auf diese Weise werden alle Fehler beim Patchen in den Test-Stacks gefunden und können identifiziert werden, bevor die Produktions-Stacks gepatcht werden.

Patch-Einstellungen anzeigen

Um herauszufinden, wie Ihre aktuelle Patching-Konfiguration aussieht, können Sie wie folgt vorgehen:

  • Senden Sie zusammen mit der Anfrage eine Serviceanfrage an AMS.

  • Warten Sie auf eine Patch-Service-Benachrichtigung. Die Patching-Benachrichtigung informiert Sie über alle Patches, die installiert werden müssen, und über alle Instanzen, die gepatcht werden müssen, und schlägt außerdem ein Patch-Fenster vor.

Sie können eine Serviceanfrage einreichen, um Folgendes zu ändern:

  • Scan-Intervall: Die Zeitspanne in Minuten zwischen Konformitätsscans, die an Instanzen dieses Stacks durchgeführt wurden.

    Die Standardeinstellung ist 240 (4 Stunden).

  • NotificationWindow: Wie weit im Voraus (in Minuten) vor einer geplanten Änderung (Patch) die Benachrichtigung an Sie gesendet werden soll. Die Standardeinstellung ist 10080 (7 Tage).