So funktioniert das AMS-Standard-Patching - AMS-Benutzerhandbuch für Fortgeschrittene
Scannen aktualisierenAMS hat das Wartungsfenster und den Hinweis konfiguriert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert das AMS-Standard-Patching

AMS verwendet den Systems Manager Run Command-Service für regelmäßig geplante monatliche und nach Bedarf kritische Patches. Dabei gibt es je nach Ihrer Strategie zur Infrastrukturbereitstellung (veränderbar oder unveränderlich) zwei Hauptpatching-Methoden: direkt vor Ort und AMI-Ersatz. In diesem Abschnitt werden der AMS-Patch-Service, die Typen, Methoden und Prozesse beschrieben.

AMS definiert zwei Patch-Typen, die unterschiedlich geplant sind:

  • Kritisches Patchen: Updates werden so schnell wie möglich installiert, nachdem die Benachrichtigung akzeptiert wurde.

  • Standard-Patches: Regelmäßige Updates der Betriebssystemhersteller, die monatlich angewendet werden.

Patches werden entweder durch direktes Patchen oder durch AMI-Ersatz (auf Anfrage) installiert.

Scannen aktualisieren

AMS verwendet den Amazon EC2 Run Command Service, um Ihre EC2 Amazon-Stacks zu kontaktieren und die erforderlichen Scan- und Patch-Skripts bereitzustellen. AMS verwendet die native Paketverwaltungskomponente, die bereits auf dem unterstützten Betriebssystem installiert ist, um das gesamte erforderliche Scan- und Patching-Verhalten auf dem EC2 Amazon-Stack durchzuführen. Für Red Hat und Amazon Linux verwendet der Service yum. Für Windows verwendet der Dienst den Windows Update Agent.

Scans werden täglich mit SSM Maintenance Windows und dem RunPatchBaseline AMS-Standard-AWS-Dokument durchgeführt. Jeder erreichbare EC2 Amazon-Stack wird mithilfe der Update-Repositorys für Linux und Windows gescannt. Der AMS-Patching-Prozess erkennt alle erreichbaren EC2 Amazon-Stacks und führt dann die Scans in einem Batch-Prozess durch, sodass der Stack immer in einem fehlerfreien Zustand bleibt, auch wenn während der Ausführung des Scans ein Fehler auftritt. Die Scanergebnisse werden dann für jeden EC2 Amazon-Stapel gespeichert.

Um die Scanergebnisse für einen Stack oder eine Instance einzusehen, reichen Sie eine Serviceanfrage mit der Stack-ID oder Instance-ID ein.

Das standardmäßige AMS-Patching-Verfahren besteht darin, alle verfügbaren Patches unabhängig von der Patch-Klassifizierung oder dem Schweregrad (z. B. „Kritisch“ oder „Standard“) zu installieren. Eine Ausnahme bilden Patches, die Sie ausdrücklich für den Stack ausgeschlossen haben (Patches, die von AMS als obligatorisch definiert wurden, sollten nicht ausgeschlossen werden).

Sie erhalten 14 Tage vor dem geplanten Wartungsfenster eine Benachrichtigung über den Patch-Service. Auf diese Weise haben Sie Zeit, die vorgeschlagenen Patches zu testen und sie anzunehmen oder abzulehnen. Wenn Sie nicht auf die Benachrichtigung des Patching-Dienstes antworten, werden Ihre Instances nicht gepatcht. Wenn es an der Zeit ist, die Patches zu installieren, erstellt AMS einen Request for Change (RFC) für jeden Stack, und dieser RFC erscheint in der RFC-Liste Ihres Kontos.

AMS hat das Wartungsfenster und den Hinweis konfiguriert

Bei den von AMS konfigurierten Patches hat jedes Konto ein monatliches Wartungsfenster, das Sie beim Onboarding Ihres Kontos festlegen. Das AWS Managed Services Maintenance Window (oder Maintenance Window) führt Wartungsaktivitäten für AWS Managed Services (AMS) durch und findet jeden zweiten Donnerstag im Monat von 15:00 Uhr bis 16:00 Uhr pazifischer Zeit statt. AMS kann das Wartungsfenster mit einer Vorankündigung von 48 Stunden ändern.

Das Patch-Zeitfenster ist anders. Die ausgehende Serviceanfrage zum Patchen (auch als Servicebenachricht bezeichnet) enthält ein empfohlenes Patchfenster.

Anmerkung

Hinweise zur Beantwortung der Benachrichtigung über den Patchdienst finden Sie unter. Aktionen, die Sie beim AMS-Standard-Patching ergreifen können

Die Benachrichtigung über den Patchdienst wird per E-Mail an die für Ihr Konto hinterlegte Kontakt-E-Mail-Adresse gesendet. Die Benachrichtigung enthält einen Link zur AWS-Support-Konsole, über die Sie darauf antworten können. Sie können auf die Benachrichtigung auch über die AMS-Serviceanforderungsseite antworten. Die Servicemeldung beinhaltet:

  • Eine Liste der Updates IDs (CSUs, und OUs) IUs, die für den Stack gelten, und der Updates, die Sie angefordert haben, werden vom Patchen ausgeschlossen (falls vorhanden).

  • IDs der Instanzen, die betroffen sein werden.

  • Ein empfohlenes Patch-Zeitfenster, in dem die Updates installiert werden. Sie können ein anderes Patchfenster anfordern.

  • Eine Bitte, dass Sie das vorgeschlagene Patchen akzeptieren oder zusätzliche Informationen anfordern. AMS gibt Ihnen Zeit, um die Auswirkungen der Updates zu testen und das Patchen zu genehmigen oder abzulehnen oder um den Ausschluss bestimmter Updates zu bitten. Wenn Sie mehr Zeit zum Testen benötigen und möchten, dass die Updates nach dem Testen installiert werden, antworten Sie auf die Servicemeldung und beschreiben Sie, was Sie möchten, oder reichen Sie eine Serviceanfrage für einen neuen Patch-RFC ein, der auf den Details des vorherigen RFC basiert. Wenn Sie überhaupt nicht auf die Servicebenachricht antworten, wird keine Patch-Aktion ergriffen und der RFC wird storniert.

Wenn Sie die Servicebenachricht genehmigen, führt AMS den Patch-RFC aus und installiert die Updates innerhalb des vereinbarten Patchfensters gemäß der Serviceverpflichtung.

Wenn das Patchen abgeschlossen ist, sendet Ihnen AMS in der Serviceanfrage eine Nachricht mit einer Zusammenfassung des Ergebnisses der Patch-Aktivität (d. h. Erfolg oder Fehlschlag).