• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorials
Die folgenden Tutorials unterstützen Sie bei der Verwendung von AWS Systems Manager Automation zur Bewältigung gängiger Anwendungsfälle. Diese Tutorials veranschaulichen, wie Sie eigene Runbooks, von Automation bereitgestellte Runbooks und andere Systems-Manager-Tools mit anderen AWS-Services verwenden.
**Contents**
+ [Aktualisieren von AMIs](automation-tutorial-update-ami.md)
+ [Aktualisieren eines Linux AMI](automation-tutorial-update-patch-linux-ami.md)
+ [Aktualisieren eines Linux AMI (AWS CLI)](automation-tutorial-update-ami.md#update-patch-linux-ami-cli)
+ [Aktualisieren eines Windows Server-AMI](automation-tutorial-update-patch-windows-ami.md)
+ [Aktualisieren Sie ein Golden AMI mithilfe von Automation, AWS Lambda, und Parameter Store](automation-tutorial-update-patch-golden-ami.md)
+ [Aufgabe 1: Erstellen eines Parameters im Systems Manager-Parameter Store](automation-tutorial-update-patch-golden-ami.md#create-parameter-ami)
+ [Aufgabe 2: Erstellen Sie eine IAM-Rolle für AWS Lambda](automation-tutorial-update-patch-golden-ami.md#create-lambda-role)
+ [Aufgabe 3: Eine AWS Lambda Funktion erstellen](automation-tutorial-update-patch-golden-ami.md#create-lambda-function)
+ [Aufgabe 4: Erstellen eines Runbooks und Patchen des AMI](automation-tutorial-update-patch-golden-ami.md#create-custom-ami-update-runbook)
+ [Aktualisierung von AMIs mithilfe von Automation und Jenkins](automation-tutorial-update-patch-ami-jenkins-integration.md)
+ [Aktualisieren von AMIs für Auto-Scaling-Gruppen](automation-tutorial-update-patch-windows-ami-autoscaling.md)
+ [Erstellen Sie das **Patch AMIAnd UpdateASG-Runbook**](automation-tutorial-update-patch-windows-ami-autoscaling.md#create-autoscaling-update-runbook)
+ [AWS Support Self-Service-Runbooks verwenden](automation-tutorial-support-runbooks.md)
+ [Führen Sie das EC2 Rescue-Tool auf nicht erreichbaren Instanzen aus](automation-ec2rescue.md)
+ [Funktionsweise](automation-ec2rescue.md#automation-ec2rescue-how)
+ [Bevor Sie beginnen](automation-ec2rescue.md#automation-ec2rescue-begin)
+ [Gewähren von `AWSSupport-EC2Rescue`-Berechtigungen zum Durchführen von Aktionen auf Ihren Instances](automation-ec2rescue.md#automation-ec2rescue-access)
+ [Erteilen von Berechtigungen mithilfe von IAM-Richtlinien](automation-ec2rescue.md#automation-ec2rescue-access-iam)
+ [Erteilen von Berechtigungen mithilfe einer CloudFormation Vorlage](automation-ec2rescue.md#automation-ec2rescue-access-cfn)
+ [Ausführen der Automation](automation-ec2rescue.md#automation-ec2rescue-executing)
+ [Zurücksetzen von Passwörtern und SSH-Schlüsseln auf EC2-Instances](automation-ec2reset.md)
+ [Funktionsweise](automation-ec2reset.md#automation-ec2reset-how)
+ [Bevor Sie beginnen](automation-ec2reset.md#automation-ec2reset-begin)
+ [Erteilen Sie AWSSupport-EC 2Rescue-Berechtigungen zur Durchführung von Aktionen auf Ihren Instances](automation-ec2reset.md#automation-ec2reset-access)
+ [Erteilen von Berechtigungen mithilfe von IAM-Richtlinien](automation-ec2reset.md#automation-ec2reset-access-iam)
+ [Erteilen von Berechtigungen mithilfe einer CloudFormation Vorlage](automation-ec2reset.md#automation-ec2reset-access-cfn)
+ [Ausführen der Automation](automation-ec2reset.md#automation-ec2reset-executing)
+ [Übergabe von Daten an Automation mithilfe von Eingangstransformatoren](automation-tutorial-eventbridge-input-transformers.md)
# Aktualisieren von AMIs
Die folgenden Tutorials erläutern, wie Sie Amazon Machine Image (AMIs) aktualisieren, um die neuesten Patches einzubeziehen.
**Topics**
+ [Aktualisieren eines Linux AMI](automation-tutorial-update-patch-linux-ami.md)
+ [Aktualisieren eines Linux AMI (AWS CLI)](#update-patch-linux-ami-cli)
+ [Aktualisieren eines Windows Server-AMI](automation-tutorial-update-patch-windows-ami.md)
+ [Aktualisieren Sie ein Golden AMI mithilfe von Automation, AWS Lambda, und Parameter Store](automation-tutorial-update-patch-golden-ami.md)
+ [Aktualisierung von AMIs mithilfe von Automation und Jenkins](automation-tutorial-update-patch-ami-jenkins-integration.md)
+ [Aktualisieren von AMIs für Auto-Scaling-Gruppen](automation-tutorial-update-patch-windows-ami-autoscaling.md)
# Aktualisieren eines Linux AMI
Diese Vorgehensweise für Systems Manager Automation zeigt Ihnen, wie Sie die Konsole oder das AWS CLI - und das `AWS-UpdateLinuxAmi`-Runbook verwenden, um ein Linux-AMI mit den neuesten Patches der von Ihnen angegebenen Pakete zu aktualisieren. Automation ist ein Tool in AWS Systems Manager. Das `AWS-UpdateLinuxAmi`-Runbook automatisiert auch die Installation zusätzlicher websitespezifischer Pakete und Konfigurationen. Sie können mit dieser Anleitung eine Vielzahl von Linux-Distributionen aktualisieren, einschließlich Ubuntu Server, Red Hat Enterprise Linux (RHEL) oder Amazon Linux AMIs. Eine vollständige Liste der unterstützten Linux-Versionen finden Sie unter [Patch Manager-Voraussetzungen](patch-manager-prerequisites.md).
Mit dem `AWS-UpdateLinuxAmi`-Runbook können Sie Aufgaben zur Imagewartung automatisieren, ohne das Runbook in JSON oder YAML erstellen zu müssen. Sie können das Runbook `AWS-UpdateLinuxAmi` verwenden, um die folgenden Arten von Aufgaben auszuführen.
+ Aktualisieren Sie alle Distributionspakete und jegliche Amazon-Software in einem Amazon Machine Image (AMI) mit Amazon Linux, Red Hat Enterprise Linux oder Ubuntu Server. Dies ist das Runbook-Standardverhalten.
+ Installieren Sie es AWS Systems Manager SSM Agent auf einem vorhandenen Image, um Systems Manager Manager-Tools zu aktivieren, z. B. das Ausführen von Remotebefehlen mithilfe von AWS Systems Manager Run Command oder die Softwareinventurerfassung mithilfe von Inventar.
+ Installieren Sie zusätzliche Softwarepakete.
**Bevor Sie beginnen**
Bevor Sie mit der Arbeit mit Runbooks beginnen, konfigurieren Sie Rollen und optional die Funktionen EventBridge für die Automatisierung. Weitere Informationen finden Sie unter [Einrichten der Automatisierung](automation-setup.md). Für diese exemplarische Vorgehensweise müssen Sie außerdem den Namen eines AWS Identity and Access Management (IAM-) Instanzprofils angeben. Weitere Informationen zum Erstellen eines IAM-Instance-Profils finden Sie unter [Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md).
Das Runbook `AWS-UpdateLinuxAmi` akzeptiert die folgenden Eingabeparameter.
****
| Parameter | Typ | Description |
| --- | --- | --- |
| SourceAmiId | Zeichenfolge | (Erforderlich) Die Quell-AMI-ID. |
| IamInstanceProfileName | Zeichenfolge | (Erforderlich) Der Name der IAM-Instance-Profilrolle, die Sie unter [Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md) erstellt haben. Die Instance-Profilrolle erteilt der Automation die Berechtigung, auf Ihren Instances Aktionen durchzuführen, wie etwa das Ausführen von Befehlen oder das Starten und Beenden von Services. Das Runbook verwendet nur den Namen der Instance-Profilrolle. Wenn Sie den Amazon-Ressourcennamen (ARN) angeben, schlägt die Automatisierung fehl. |
| AutomationAssumeRole | Zeichenfolge | (Erforderlich) Der Name der IAM-Servicerolle, die Sie in [Einrichten der Automatisierung](automation-setup.md) erstellt haben. Mit der Servicerolle (auch als assume-Rolle bezeichnet) gestatten Sie der Automatisierung, Ihre IAM-Rolle zu übernehmen und in Ihrem Auftrag Aktionen auszuführen. Mit der Servicerolle gestatten Sie der Automation beispielsweise beim Ausführen der Aktion `aws:createImage` in einem Runbook, ein neues AMI zu erstellen. Für diesen Parameter muss der vollständige ARN angegeben werden. |
| TargetAmiName | Zeichenfolge | (Optional) Der Name des neuen AMI nach seiner Erstellung. Der Standardname ist eine systemgenerierte Zeichenfolge, die die Quell-AMI-ID sowie Uhrzeit und Datum der Erstellung enthält. |
| InstanceType | Zeichenfolge | (Optional) Der Typ der zu startenden Instance als Arbeitsbereich hosten. Die Instance-Typen sind je nach Region unterschiedlich. Der Standardtyp ist t2.micro. |
| PreUpdateScript | Zeichenfolge | (Optional) Die URL eines Skripts, das ausgeführt werden muss, bevor Updates übernommen werden. Standard („none“) ist die Ausführung keines Skripts. |
| PostUpdateScript | Zeichenfolge | (Optional) Die URL eines Skripts, das ausgeführt werden muss, nachdem Paketupdates angewendet werden. Standard („none“) ist die Ausführung keines Skripts. |
| IncludePackages | Zeichenfolge | (Optional) Aktualisieren Sie nur diese benannten Pakete. Standardmäßig werden alle (\$1"all\$1") verfügbaren Updates übernommen. |
| ExcludePackages | Zeichenfolge | (Optional) Namen der Pakete, die bei Updates unter allen Umständen zurückgehalten werden müssen. Standardmäßig wird kein (\$1"none\$1") Paket ausgeschlossen. |
**Automation-Schritte**
Das `AWS-UpdateLinuxAmi`-Runbook umfasst standardmäßig die folgenden Automatisierungsaktionen.
**Schritt 1: launchInstance (`aws:runInstances`-Aktion) **
Dieser Schritt startet eine Instance mit Amazon Elastic Compute Cloud (Amazon EC2)-Benutzerdaten und eine IAM-Instance-Profilrolle. Userdata installiert je nach Betriebssystem den entsprechenden SSM Agent. Durch Installieren von SSM Agent können Sie Systems-Manager-Tools wie Run Command, State Manager und Inventory verwenden.
**Schritt 2: Aktualisieren OSSoftware (Aktion) `aws:runCommand` **
Dieser Schritt führt die folgenden Befehle auf der gestarteten Instance aus:
+ Lädt ein Update-Skript aus Amazon S3 herunter.
+ Führt ein optionales Pre-Update-Skript aus.
+ Aktualisiert Verteilungspakete und Amazon-Software.
+ Führt ein optionales Post-Update-Skript aus.
Das Ausführungsprotokoll wird im Ordner /tmp gespeichert, damit es der Benutzer zu einem späteren Zeitpunkt ansehen kann.
Falls Sie eine bestimmte Reihe von Paketen aktualisieren möchten, können Sie die Liste mithilfe des `IncludePackages`-Parameters bereitstellen. Bei der Bereitstellung versucht das System nur diese Pakete und deren abhängige Objekte zu aktualisieren. Es werden keine weiteren Updates vorgenommen. Wenn standardmäßig keine *include*-Pakete festgelegt sind, aktualisiert das Programm alle verfügbaren Pakete.
Falls Sie eine bestimmte Reihe von Paketen von der Aktualisierung ausschließen möchten, können Sie die Liste mithilfe des `ExcludePackages`-Parameters bereitstellen. Wenn diese Pakete bereitgestellt werden, bleiben sie in ihrer aktuellen Version, unabhängig von anderen festgelegten Optionen. Wenn keine *exclude*-Pakete festgelegt sind, werden standardmäßig keine Pakete ausgeschlossen.
**Schritt 3: StopInstance (`aws:changeInstanceState`-Aktion)**
Dieser Schritt stoppt die aktualisierte Instance.
**Schritt 4: CreateImage (`aws:createImage`-Aktion) **
Dieser Schritt erstellt ein neues AMI mit einem aussagekräftigen Namen, der es mit der Quell-ID und dem Zeitpunkt der Erstellung verknüpft. Zum Beispiel: „AMIGeneriert von EC2 Automation am \$1\$1global:Date\$1Time\$1\$1 von \$1\$1\$1SourceAmiId\$1“, wobei DATE\$1TIME und SourceID Automatisierungsvariablen darstellen.
**Schritt 5: TerminateInstance (`aws:changeInstanceState`-Aktion) **
Dieser Schritt bereinigt die Automatisierung durch Beenden der ausgeführten Instance.
**Ausgabe**
Die Automatisierung gibt die neue AMI-ID als Ausgabe zurück.
**Anmerkung**
Standardmäßig erstellt das System eine temporäre Instance in der Standard-VPC (172.30.0.0/16), wenn Automation das `AWS-UpdateLinuxAmi`-Runbook ausführt. Wenn Sie die Standard-VPC gelöscht haben, erhalten Sie den folgenden Fehler:
`VPC not defined 400`
Zur Behebung dieses Problems erstellen Sie eine Kopie des `AWS-UpdateLinuxAmi`-Runbooks und geben eine Subnetz-ID an. Weitere Informationen finden Sie unter [VPC nicht definiert 400](automation-troubleshooting.md#automation-trbl-common-vpc).
**So erstellen Sie ein gepatchtes AMImit der Automation (AWS Systems Manager)**
1. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)Öffnen Sie die Konsole unter.
1. Klicken Sie im Navigationsbereich auf **Automation**.
1. Wählen Sie **Automatisierung ausführen**.
1. Wählen Sie in der Liste **Automation-Dokument** `AWS-UpdateLinuxAmi`.
1. Überprüfen Sie im Abschnitt **Document details (Dokumentdetails)**, ob **Document version (Dokumentversion)** auf **Default version at runtime (Standardversion bei Laufzeit)** gesetzt ist.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie im Abschnitt **Execution mode (Ausführungsmodus)** die Option **Simple Execution (Einfache Ausführung)** aus.
1. Geben Sie im Abschnitt **Input parameters** (Eingabeparameter) die Informationen ein, die Sie im Abschnitt **Before You Begin** (Bevor Sie beginnen) erfasst haben.
1. Wählen Sie **Ausführen**. Die Konsole zeigt den Status der Automation-Ausführung an.
Nach dem Abschluss der Automatisierung starten Sie eine Test-Instance über das aktualisierte AMI, um die Änderungen zu überprüfen.
**Anmerkung**
Falls ein Schritt in der Automatisierung fehlschlägt, werden die Informationen zu dem Fehler auf der Seite **Automation Executions** (Automation-Ausführungen) aufgelistet. Die Automatisierung ist so konzipiert, dass sie die temporäre Instance nach erfolgreichem Abschluss aller Aufgaben beendet. Wenn ein Schritt fehlschlägt, beendet das System die Instance möglicherweise nicht. Wenn also ein Schritt fehlschlägt, beenden Sie die temporäre Instance manuell.
## Aktualisieren eines Linux AMI (AWS CLI)
Diese exemplarische Vorgehensweise zur AWS Systems Manager Automatisierung zeigt Ihnen, wie Sie das Runbook AWS Command Line Interface (AWS CLI) und das Systems Manager `AWS-UpdateLinuxAmi` Manager-Runbook verwenden, um ein Linux Amazon Machine Image (AMI) automatisch mit den neuesten Versionen der von Ihnen angegebenen Pakete zu patchen. Automation ist ein Tool in AWS Systems Manager. Das `AWS-UpdateLinuxAmi`-Runbook automatisiert auch die Installation zusätzlicher websitespezifischer Pakete und Konfigurationen. Sie können mit dieser Anleitung eine Vielzahl von Linux-Distributionen aktualisieren, einschließlich Ubuntu Server, Red Hat Enterprise Linux (RHEL) oder Amazon Linux AMIs. Eine vollständige Liste der unterstützten Linux-Versionen finden Sie unter [Patch Manager-Voraussetzungen](patch-manager-prerequisites.md).
Das `AWS-UpdateLinuxAmi`-Runbook ermöglicht Ihnen die Automatisierung von Image-Verwaltungsaufgaben ohne Erstellen des Runbooks in JSON oder YAML. Sie können das Runbook `AWS-UpdateLinuxAmi` verwenden, um die folgenden Arten von Aufgaben auszuführen.
+ Aktualisieren Sie alle Distributionspakete und jegliche Amazon-Software in einem Amazon Machine Image (AMI) mit Amazon Linux, RHEL oder Ubuntu Server. Dies ist das Runbook-Standardverhalten.
+ Installieren Sie AWS Systems Manager SSM Agent auf einem vorhandenen Image, um Systems Manager Manager-Funktionen zu aktivieren, z. B. das Ausführen von Remotebefehlen mithilfe von AWS Systems Manager Run Command oder die Erfassung von Softwareinventar mithilfe von Inventar.
+ Installieren Sie zusätzliche Softwarepakete.
**Bevor Sie beginnen**
Bevor Sie mit der Arbeit mit Runbooks beginnen, konfigurieren Sie Rollen und optional die Funktionen EventBridge für die Automatisierung. Weitere Informationen finden Sie unter [Einrichten der Automatisierung](automation-setup.md). Für diese exemplarische Vorgehensweise müssen Sie außerdem den Namen eines AWS Identity and Access Management (IAM-) Instanzprofils angeben. Weitere Informationen zum Erstellen eines IAM-Instance-Profils finden Sie unter [Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md).
Das Runbook `AWS-UpdateLinuxAmi` akzeptiert die folgenden Eingabeparameter.
****
| Parameter | Typ | Description |
| --- | --- | --- |
| SourceAmiId | String | (Erforderlich) Die Quell-AMI-ID. Mithilfe eines AWS Systems Manager Parameter Store *öffentlichen* Parameters können Sie automatisch auf die neueste ID eines Amazon EC2 AMI für Linux verweisen. Weitere Informationen finden Sie unter [Query for the latest Amazon Linux AMI IDs using AWS Systems ManagerParameter Store](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/). |
| IamInstanceProfileName | String | (Erforderlich) Der Name der IAM-Instance-Profilrolle, die Sie unter [Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md) erstellt haben. Die Instance-Profilrolle erteilt der Automation die Berechtigung, auf Ihren Instances Aktionen durchzuführen, wie etwa das Ausführen von Befehlen oder das Starten und Beenden von Services. Das Runbook verwendet nur den Namen der Instance-Profilrolle. |
| AutomationAssumeRole | String | (Erforderlich) Der Name der IAM-Servicerolle, die Sie in [Einrichten der Automatisierung](automation-setup.md) erstellt haben. Mit der Servicerolle (auch als assume-Rolle bezeichnet) gestatten Sie der Automatisierung, Ihre IAM-Rolle zu übernehmen und in Ihrem Auftrag Aktionen auszuführen. Mit der Servicerolle gestatten Sie der Automation beispielsweise beim Ausführen der Aktion `aws:createImage` in einem Runbook, ein neues AMI zu erstellen. Für diesen Parameter muss der vollständige ARN angegeben werden. |
| TargetAmiName | String | (Optional) Der Name des neuen AMI nach seiner Erstellung. Der Standardname ist eine systemgenerierte Zeichenfolge, die die Quell-AMI-ID sowie Uhrzeit und Datum der Erstellung enthält. |
| InstanceType | String | (Optional) Der Typ der zu startenden Instance als Arbeitsbereich hosten. Die Instance-Typen sind je nach Region unterschiedlich. Der Standardtyp ist t2.micro. |
| PreUpdateScript | String | (Optional) Die URL eines Skripts, das ausgeführt werden muss, bevor Updates übernommen werden. Standard („none“) ist die Ausführung keines Skripts. |
| PostUpdateScript | String | (Optional) Die URL eines Skripts, das ausgeführt werden muss, nachdem Paketupdates angewendet werden. Standard („none“) ist die Ausführung keines Skripts. |
| IncludePackages | String | (Optional) Aktualisieren Sie nur diese benannten Pakete. Standardmäßig werden alle (\$1"all\$1") verfügbaren Updates übernommen. |
| ExcludePackages | String | (Optional) Namen der Pakete, die bei Updates unter allen Umständen zurückgehalten werden müssen. Standardmäßig wird kein (\$1"none\$1") Paket ausgeschlossen. |
**Automation-Schritte**
Das `AWS-UpdateLinuxAmi`-Runbook enthält standardmäßig die folgenden Schritte.
**Schritt 1: launchInstance (`aws:runInstances`-Aktion) **
In diesem Schritt wird eine Instance mit Amazon Elastic Compute Cloud (Amazon EC2) -Benutzerdaten und einer IAM-Instance-Profilrolle gestartet. Userdata installiert je nach Betriebssystem den entsprechenden SSM-Agent. Durch Installieren von SSM Agent können Sie Systems-Manager-Tools wie Run Command, State Manager und Inventory verwenden.
**Schritt 2: Aktualisieren OSSoftware (`aws:runCommand`Aktion) **
Dieser Schritt führt die folgenden Befehle auf der gestarteten Instance aus:
+ Lädt ein Update-Skript von Amazon Simple Storage Service (Amazon S3) herunter.
+ Führt ein optionales Pre-Update-Skript aus.
+ Aktualisiert Verteilungspakete und Amazon-Software.
+ Führt ein optionales Post-Update-Skript aus.
Das Ausführungsprotokoll wird im Ordner /tmp gespeichert, damit es der Benutzer zu einem späteren Zeitpunkt ansehen kann.
Falls Sie eine bestimmte Reihe von Paketen aktualisieren möchten, können Sie die Liste mithilfe des `IncludePackages`-Parameters bereitstellen. Bei der Bereitstellung versucht das System nur diese Pakete und deren abhängige Objekte zu aktualisieren. Es werden keine weiteren Updates vorgenommen. Wenn standardmäßig keine *include*-Pakete festgelegt sind, aktualisiert das Programm alle verfügbaren Pakete.
Falls Sie eine bestimmte Reihe von Paketen von der Aktualisierung ausschließen möchten, können Sie die Liste mithilfe des `ExcludePackages`-Parameters bereitstellen. Wenn diese Pakete bereitgestellt werden, bleiben sie in ihrer aktuellen Version, unabhängig von anderen festgelegten Optionen. Wenn keine *exclude*-Pakete festgelegt sind, werden standardmäßig keine Pakete ausgeschlossen.
**Schritt 3: StopInstance (`aws:changeInstanceState`-Aktion)**
Dieser Schritt stoppt die aktualisierte Instance.
**Schritt 4: CreateImage (`aws:createImage`-Aktion) **
Dieser Schritt erstellt ein neues AMI mit einem aussagekräftigen Namen, der es mit der Quell-ID und dem Zeitpunkt der Erstellung verknüpft. Zum Beispiel: „AMI, generiert durch EC2 Automatisierung am \$1\$1global:Date\$1Time\$1\$1 von \$1\$1\$1SourceAmiId\$1“, wobei DATE\$1TIME und SourceID Automatisierungsvariablen darstellen.
**Schritt 5: TerminateInstance (`aws:changeInstanceState`-Aktion) **
Dieser Schritt bereinigt die Automatisierung durch Beenden der ausgeführten Instance.
**Output**
Die Automatisierung gibt die neue AMI-ID als Ausgabe zurück.
**Anmerkung**
Standardmäßig erstellt das System eine temporäre Instance in der Standard-VPC (172.30.0.0/16), wenn Automation das `AWS-UpdateLinuxAmi`-Runbook ausführt. Wenn Sie die Standard-VPC gelöscht haben, erhalten Sie den folgenden Fehler:
`VPC not defined 400`
Zur Behebung dieses Problems erstellen Sie eine Kopie des `AWS-UpdateLinuxAmi`-Runbooks und geben eine Subnetz-ID an. Weitere Informationen finden Sie unter [VPC nicht definiert 400](automation-troubleshooting.md#automation-trbl-common-vpc).
**So erstellen Sie ein gepatchtes AMI mithilfe von Automation**
1. Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.
Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Führen Sie den folgenden Befehl aus, um das `AWS-UpdateLinuxAmi`-Runbook zu starten. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
```
aws ssm start-automation-execution \
--document-name "AWS-UpdateLinuxAmi" \
--parameters \
SourceAmiId=AMI ID, \
IamInstanceProfileName=IAM instance profile, \
AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole'
```
Der Befehl gibt eine Ausführungs-ID zurück. Kopieren Sie diese ID in die Zwischenablage. Sie werden diese ID zum Anzeigen des Status der Automatisierung verwenden.
```
{
"AutomationExecutionId": "automation execution ID"
}
```
1. Führen Sie den folgenden Befehl aus AWS CLI, um die Automatisierung mit dem anzuzeigen:
```
aws ssm describe-automation-executions
```
1. Führen Sie den folgenden Befehl aus, um Details über den Automatisierungsprozess anzuzeigen. *automation execution ID*Ersetzen Sie es durch Ihre eigenen Informationen.
```
aws ssm get-automation-execution --automation-execution-id automation execution ID
```
Die Aktualisierung kann 30 Minuten oder länger in Anspruch nehmen.
**Anmerkung**
Sie können auch den Status der Automatisierung in der Konsole überwachen. Wählen Sie in der Liste die Automatisierung, die Sie gerade ausgeführt haben, und wählen Sie dann die Registerkarte **Steps** (Schritte). Diese Registerkarte zeigt Ihnen den Status der Automatisierungsaktionen.
Nach dem Abschluss der Automatisierung starten Sie eine Test-Instance über das aktualisierte AMI, um die Änderungen zu überprüfen.
**Anmerkung**
Falls ein Schritt in der Automatisierung fehlschlägt, werden die Informationen zu dem Fehler auf der Seite **Automation Executions** (Automation-Ausführungen) aufgelistet. Die Automatisierung ist so konzipiert, dass sie die temporäre Instance nach erfolgreichem Abschluss aller Aufgaben beendet. Wenn ein Schritt fehlschlägt, beendet das System die Instance möglicherweise nicht. Wenn also ein Schritt fehlschlägt, beenden Sie die temporäre Instance manuell.
# Aktualisieren eines Windows Server-AMI
Das Runbook `AWS-UpdateWindowsAmi` ermöglicht die Automatisierung von Image-Verwaltungsaufgaben auf Ihrem Amazon Windows Amazon Machine Image (AMI), ohne dass Sie das Runbook in JSON oder YAML erstellen müssen. Dieses Runbook wird unterstützt für Windows Server 2008 R2 oder höher. Sie können das Runbook `AWS-UpdateWindowsAmi` verwenden, um die folgenden Arten von Aufgaben auszuführen.
+ Installieren Sie alle Windows-Updates und aktualisieren Sie die Amazon-Software (Standardverhalten).
+ Installieren Sie spezifische Windows-Updates und aktualisieren Sie die Amazon-Software.
+ Passen Sie ein AMI mithilfe Ihrer Skripts an.
**Bevor Sie beginnen**
Bevor Sie mit Runbooks arbeiten, [konfigurieren Sie Rollen für Automation](automation-setup-iam.md), um eine `iam:PassRole`-Richtlinie hinzuzufügen, die auf den ARN des Instance-Profils verweist, dem Sie den Zugriff gewähren möchten. Konfigurieren Sie optional Amazon EventBridge for Automation, ein Tool in AWS Systems Manager. Weitere Informationen finden Sie unter [Einrichten der Automatisierung](automation-setup.md). Für diese exemplarische Vorgehensweise müssen Sie außerdem den Namen eines AWS Identity and Access Management (IAM-) Instance-Profils angeben. Weitere Informationen zum Erstellen eines IAM-Instance-Profils finden Sie unter [Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md).
**Anmerkung**
Updates für AWS Systems Manager SSM Agent werden in der Regel für verschiedene Regionen zu verschiedenen Zeiten angeboten. Wenn Sie ein AMI anpassen oder aktualisieren, verwenden Sie nur die Quelle, die für die Region AMIs veröffentlicht wurde, in der Sie arbeiten. Auf diese Weise stellen Sie sicher, dass Sie mit dem neuesten SSM Agent für diese Region arbeiten und vermeiden Kompatibilitätsprobleme.
Das Runbook `AWS-UpdateWindowsAmi` akzeptiert die folgenden Eingabeparameter.
****
| Parameter | Typ | Description |
| --- | --- | --- |
| SourceAmiId | Zeichenfolge | (Erforderlich) Die Quell-AMI-ID. Sie können automatisch auf die neueste Windows Server-AMI mithilfe eines Systems ManagerParameter Store *öffentlich*-Parameter verweisen. Weitere Informationen finden Sie unter [Query for the latest Windows AMI IDs using AWS Systems ManagerParameter Store](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/). |
| SubnetId | Zeichenfolge | (Optional) Das Subnetz, in dem Sie die temporäre Instance starten möchten. Sie müssen einen Wert für diesen Parameter angeben, wenn Sie Ihre Standard-VPC gelöscht haben. |
| IamInstanceProfileName | Zeichenfolge | (Erforderlich) Der Name der IAM-Instance-Profilrolle, die Sie unter [Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md) erstellt haben. Die Instance-Profilrolle erteilt der Automation die Berechtigung, auf Ihren Instances Aktionen durchzuführen, wie etwa das Ausführen von Befehlen oder das Starten und Beenden von Services. Das Runbook verwendet nur den Namen der Instance-Profilrolle. |
| AutomationAssumeRole | Zeichenfolge | (Erforderlich) Der Name der IAM-Servicerolle, die Sie in [Einrichten der Automatisierung](automation-setup.md) erstellt haben. Mit der Servicerolle (auch als assume-Rolle bezeichnet) gestatten Sie der Automatisierung, Ihre IAM-Rolle zu übernehmen und in Ihrem Auftrag Aktionen auszuführen. Mit der Servicerolle gestatten Sie der Automation beispielsweise beim Ausführen der Aktion `aws:createImage` in einem Runbook, ein neues AMI zu erstellen. Für diesen Parameter muss der vollständige ARN angegeben werden. |
| TargetAmiName | Zeichenfolge | (Optional) Der Name des neuen AMI nach seiner Erstellung. Der Standardname ist eine systemgenerierte Zeichenfolge, die die Quell-AMI-ID sowie Uhrzeit und Datum der Erstellung enthält. |
| InstanceType | Zeichenfolge | (Optional) Der Typ der zu startenden Instance als Arbeitsbereich hosten. Die Instance-Typen sind je nach Region unterschiedlich. Der Standardtyp ist t2.medium. |
| PreUpdateScript | Zeichenfolge | (Optional) Ein Skript, das ausgeführt werden muss, bevor das AMI aktualisiert wird. Geben Sie ein Skript im Runbook oder zur Laufzeit als Parameter an. |
| PostUpdateScript | Zeichenfolge | (Optional) Ein Skript, das ausgeführt werden muss, nachdem das AMI aktualisiert wird. Geben Sie ein Skript im Runbook oder zur Laufzeit als Parameter an. |
| IncludeKbs | Zeichenfolge | (Optional) Geben Sie einen oder mehrere Microsoft Knowledge Base-Artikel (KB) IDs an, die aufgenommen werden sollen. Sie können mehrere IDs mit kommagetrennten Werten installieren. Gültige Formate: KB9876543 oder 9876543. |
| ExcludeKbs | Zeichenfolge | (Optional) Geben Sie einen oder mehrere Microsoft Knowledge Base-Artikel (KB) IDs an, die ausgeschlossen werden sollen. Sie können mehrere IDs durch Kommas getrennte Werte ausschließen. Gültige Formate: KB9876543 oder 9876543. |
| Kategorien | Zeichenfolge | (Optional) Geben Sie mindestens eine Updatekategorie an. Sie können Kategorien anhand kommaseparierter Werte filtern. Optionen: Wichtiges Update, Sicherheitsupdate, Definitionsupdate, Update-Rollup, Service Pack, Tool, Update oder Treiber. Zu den gültigen Formaten gehört ein einzelner Eintrag. Beispiel: Wichtiges Update. Sie können auch eine kommaseparierte Liste angeben: Wichtiges Update,Sicherheitsupdate,Definitionsupdate. |
| SeverityLevels | Zeichenfolge | (Optional) Geben Sie mindestens eine MSRC-Ebene an, die einem Update zugeordnet ist. Sie können Dringlichkeitsstufen anhand kommaseparierter Werte filtern. Optionen: Kritisch, Wichtig, Niedrige, Mittel oder Nicht angegeben. Zu den gültigen Formaten gehört ein einzelner Eintrag. Beispiel: Wichtig. Sie können auch eine kommaseparierte Liste angeben: Kritisch,Wichtig,Niedrig. |
**Automation-Schritte**
Das `AWS-UpdateWindowsAmi`-Runbook enthält standardmäßig die folgenden Schritte.
**Schritt 1: launchInstance (`aws:runInstances`-Aktion)**
Dieser Schritt startet eine Instance mit einer IAM-Instance-Profilrolle über das angegebene `SourceAmiID`.
**Schritt 2: runPreUpdate Skript (Aktion) `aws:runCommand`**
Mit diesem Schritt können Sie ein Skript als Zeichenfolge angeben, das ausgeführt wird, bevor Updates installiert werden.
**Schritt 3: EC2 Config aktualisieren (`aws:runCommand`Aktion)**
In diesem Schritt wird das `AWS-InstallPowerShellModule` Runbook verwendet, um ein AWS öffentliches PowerShell Modul herunterzuladen. Systems Manager überprüft die Integrität des Modul mithilfe eines SHA-256-Hash. Systems Manager überprüft dann das Betriebssystem, um festzustellen, ob EC2 Config oder EC2 Launch aktualisiert werden soll. EC2Config läuft auf Windows Server 2008 R2 bis Windows Server 2012 R2. EC2Launch läuft auf Windows Server 2016.
**Schritt 4: Update SSMAgent (`aws:runCommand`Aktion)**
Dieser Schritt aktualisiert SSM Agent mithilfe des `AWS-UpdateSSMAgent`-Runbooks.
**Schritt 5: Update AWSPVDriver (`aws:runCommand`Aktion)**
In diesem Schritt werden die AWS PV-Treiber mithilfe des `AWS-ConfigureAWSPackage` Runbooks aktualisiert.
**Schritt 6: updateAwsEna NetworkDriver (`aws:runCommand`Aktion)**
In diesem Schritt werden die AWS ENA-Netzwerktreiber mithilfe des `AWS-ConfigureAWSPackage` Runbooks aktualisiert.
**Schritt 7: installWindowsUpdates (`aws:runCommand`Aktion) **
Dieser Schritt installiert Windows-Updates mithilfe des `AWS-InstallWindowsUpdates`-Runbooks. Standardmäßig sucht und installiert Systems Manager alle fehlenden Updates. Sie können das Standardverhalten ändern, indem Sie einen der folgenden Parameter festlegen: `IncludeKbs`, `ExcludeKbs`, `Categories` oder `SeverityLevels`.
**Schritt 8: runPostUpdate Script (`aws:runCommand`Aktion)**
Mit diesem Schritt können Sie ein Skript als Zeichenfolge angeben, das ausgeführt wird, nachdem Updates installiert wurden.
**Schritt 9: runSysprepGeneralize (`aws:runCommand`Aktion) **
In diesem Schritt wird das `AWS-InstallPowerShellModule` Runbook verwendet, um ein AWS öffentliches PowerShell Modul herunterzuladen. Systems Manager überprüft die Integrität des Modul mithilfe eines SHA-256-Hash. Systems Manager führt dann Sysprep mit AWS unterstützten Methoden für EC2 Launch (Windows Server 2016) oder EC2 Config (Windows Server 2008 R2 bis 2012 R2) aus.
**Schritt 10: stopInstance (`aws:changeInstanceState`-Aktion) **
Dieser Schritt stoppt die aktualisierte Instance.
**Schritt 11: createImage (`aws:createImage`-Aktion) **
Dieser Schritt erstellt ein neues AMI mit einem aussagekräftigen Namen, der es mit der Quell-ID und dem Zeitpunkt der Erstellung verknüpft. Zum Beispiel: „AMI, generiert von EC2 Automation am \$1\$1global:Date\$1Time\$1\$1 von \$1\$1\$1SourceAmiId\$1“, wobei DATE\$1TIME und SourceID Automatisierungsvariablen darstellen.
** TerminateInstance `aws:changeInstanceState`Schritt 12: (Aktion) **
Dieser Schritt bereinigt die Automatisierung durch Beenden der ausgeführten Instance.
**Ausgabe**
In diesem Abschnitt können Sie die Ausgabe verschiedener Schritte oder Werte eines beliebigen Parameters als die Automation-Ausgabe bestimmen. Standardmäßig ist die Ausgabe die ID des aktualisierten Windows-AMI, das von der Automatisierung erstellt wurde.
**Anmerkung**
Standardmäßig verwendet das System die Standard-VPC (172.30.0.0/16), wenn Automation das `AWS-UpdateWindowsAmi`-Runbbok ausführt und eine temporäre Instance erstellt. Wenn Sie die Standard-VPC gelöscht haben, erhalten Sie den folgenden Fehler:
VPC nicht definiert 400
Zur Behebung dieses Problems erstellen Sie eine Kopie des `AWS-UpdateWindowsAmi`-Runbooks und geben eine Subnetz-ID an. Weitere Informationen finden Sie unter [VPC nicht definiert 400](automation-troubleshooting.md#automation-trbl-common-vpc).
**So erstellen Sie ein gepatchtes Windows-AMI mit der Automation**
1. Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.
Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Führen Sie den folgenden Befehl aus, um das `AWS-UpdateWindowsAmi`-Runbook zu starten. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen. Der Beispielbefehl unten verwendet ein aktuelles Amazon EC2 AMI zum Minimieren der Anzahl von Patches, die angewendet werden müssen. Wenn Sie diesen Befehl mehrmals ausführen, müssen Sie einen eindeutigen Wert für `targetAMIname` angeben. AMI-Namen müssen einzigartig sein.
```
aws ssm start-automation-execution \
--document-name="AWS-UpdateWindowsAmi" \
--parameters SourceAmiId='AMI ID',IamInstanceProfileName='IAM instance profile',AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole'
```
Der Befehl gibt eine Ausführungs-ID zurück. Kopieren Sie diese ID in die Zwischenablage. Sie werden diese ID zum Anzeigen des Status der Automatisierung verwenden.
```
{
"AutomationExecutionId": "automation execution ID"
}
```
1. Führen Sie den folgenden Befehl aus AWS CLI, um die Automatisierung mit dem anzuzeigen:
```
aws ssm describe-automation-executions
```
1. Führen Sie den folgenden Befehl aus, um Details über den Automatisierungsprozess anzuzeigen.
```
aws ssm get-automation-execution
--automation-execution-id automation execution ID
```
**Anmerkung**
Abhängig von der Anzahl der angewendeten Patches kann der Windows-Patch-Vorgang in dieser Beispielautomatisierung 30 Minuten oder länger in Anspruch nehmen.
# Aktualisieren Sie ein Golden AMI mithilfe von Automation, AWS Lambda, und Parameter Store
Im folgenden Beispiel wird das Modell verwendet, bei dem eine Organisation ihre eigenen, proprietären AMIs verwaltet und regelmäßig patcht, anstatt aus Amazon Elastic Compute Cloud (Amazon EC2)-AMIs aufzubauen.
Das folgende Verfahren zeigt, wie Betriebssystem-Patches automatisch auf ein Betriebssystem angewendet werdenAMI, das bereits als die *aktuellsten up-to-date oder aktuellsten* giltAMI. In diesem Beispiel `SourceAmiId` wird der Standardwert des Parameters durch einen AWS Systems Manager Parameter Store Parameter definiert, der aufgerufen wird`latestAmi`. Der Wert von `latestAmi` wird durch eine AWS Lambda Funktion aktualisiert, die am Ende der Automatisierung aufgerufen wird. Durch diesen Automatisierungsprozess werden der Zeit- und Arbeitsaufwand für das Patchen minimiert, da AMIs das Patchen immer auf die meisten angewendet wird. up-to-date AMI Parameter Storeund Automatisierung sind Werkzeuge von. AWS Systems Manager
**Bevor Sie beginnen**
Konfigurieren Sie Automatisierungsrollen und optional Amazon EventBridge for Automation. Weitere Informationen finden Sie unter [Einrichten der Automatisierung](automation-setup.md).
**Topics**
+ [Aufgabe 1: Erstellen eines Parameters im Systems Manager-Parameter Store](#create-parameter-ami)
+ [Aufgabe 2: Erstellen Sie eine IAM-Rolle für AWS Lambda](#create-lambda-role)
+ [Aufgabe 3: Eine AWS Lambda Funktion erstellen](#create-lambda-function)
+ [Aufgabe 4: Erstellen eines Runbooks und Patchen des AMI](#create-custom-ami-update-runbook)
## Aufgabe 1: Erstellen eines Parameters im Systems Manager-Parameter Store
Erstellen Sie einen Zeichenfolgen-Parameter in Parameter Store, der die folgenden Informationen verwendet:
+ **Name**: `latestAmi`.
+ **Value** (Wert): Eine AMI-ID. Zum Beispiel:` ami-188d6e0e`.
Informationen zur Erstellung eines Parameter Store-Zeichenfolgenparameters finden Sie unter [Parameter Store-Parameter im Systems Manager erstellen](sysman-paramstore-su-create.md).
## Aufgabe 2: Erstellen Sie eine IAM-Rolle für AWS Lambda
Gehen Sie wie folgt vor, um eine IAM-Dienstrolle für zu erstellen. AWS Lambda Diese Richtlinien erteilen Lambda die Berechtigung zum Aktualisieren des Werts des `latestAmi`-Parameters mithilfe einer Lambda-Funktion und von Systems Manager.
**So erstellen Sie eine IAM-Service-Rolle für Lambda**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**.
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Standardinhalt durch die folgende Richtlinie. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:111122223333:*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/lambda/function name:*"
]
}
]
}
```
------
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Richtlinie zu organisieren, zu verfolgen oder zu steuern.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **amiLambda**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wiederholen Sie die Schritte 2 und 3.
1. Fügen Sie die folgende Richtlinie ein. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:PutParameter",
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/latestAmi"
},
{
"Effect": "Allow",
"Action": "ssm:DescribeParameters",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Richtlinie zu organisieren, zu verfolgen oder zu steuern.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **amiParameter**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Wählen Sie direkt unter **Anwendungsfall** die Option **Lambda** und dann **Weiter** aus.
1. Suchen Sie auf der Seite **Berechtigungsrichtlinien anfügen** im Feld **Suche** die beiden Richtlinien, die Sie zuvor erstellt haben.
1. Aktivieren Sie das Kontrollkästchen neben den Richtlinien und wählen Sie anschließend **Weiter** aus.
1. Geben Sie unter **Role name (Rollenname)** einen Namen für Ihre neue Rolle, wie z. B. **lambda-ssm-role**, oder einen anderen von Ihnen bevorzugten Namen ein.
**Anmerkung**
Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht geändert werden.
1. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern, und wählen Sie dann **Rolle erstellen** aus.
## Aufgabe 3: Eine AWS Lambda Funktion erstellen
Führen Sie die folgenden Schritte zum Erstellen einer Lambda-Funktion aus, die den Wert des `latestAmi`-Parameters automatisch aktualisiert.
**So erstellen Sie eine Lambda-Funktion**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Lambda Konsole unter [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Wählen Sie **Funktion erstellen**.
1. Wählen Sie auf der Seite **Create function** die Option **Author from scratch**.
1. Geben Sie für **Function name** (Funktionsname) **Automation-UpdateSsmParam** ein.
1. Wählen Sie für **Runtime** **Python 3.11**.
1. Wählen Sie unter **Architektur** den Computerprozessortyp aus, den Lambda zum Ausführen der Funktion verwenden soll, **x86\$164** oder **arm64**,
1. Erweitern Sie im Abschnitt **Berechtigungen** die Option **Standardausführungsrolle ändern**.
1. Wählen Sie **Use an existing role** (Vorhandene Rolle verwenden) aus und wählen Sie dann die Servicerolle für Lambda aus, die Sie in Aufgabe 2 erstellt haben.
1. Wählen Sie **Funktion erstellen**.
1. Löschen Sie im Bereich **Code-Quelle** in der Registerkarte **lambda\$1function** den vorab ausgefüllten Code im Feld und fügen Sie das folgende Codebeispiel ein.
```
from __future__ import print_function
import json
import boto3
print('Loading function')
#Updates an SSM parameter
#Expects parameterName, parameterValue
def lambda_handler(event, context):
print("Received event: " + json.dumps(event, indent=2))
# get SSM client
client = boto3.client('ssm')
#confirm parameter exists before updating it
response = client.describe_parameters(
Filters=[
{
'Key': 'Name',
'Values': [ event['parameterName'] ]
},
]
)
if not response['Parameters']:
print('No such parameter')
return 'SSM parameter not found.'
#if parameter has a Description field, update it PLUS the Value
if 'Description' in response['Parameters'][0]:
description = response['Parameters'][0]['Description']
response = client.put_parameter(
Name=event['parameterName'],
Value=event['parameterValue'],
Description=description,
Type='String',
Overwrite=True
)
#otherwise just update Value
else:
response = client.put_parameter(
Name=event['parameterName'],
Value=event['parameterValue'],
Type='String',
Overwrite=True
)
responseString = 'Updated parameter %s with value %s.' % (event['parameterName'], event['parameterValue'])
return responseString
```
1. Klicken Sie auf **Datei, Speichern**.
1. Um die Lambda-Funktion zu testen, wählen Sie im Menü **Test** die Option **Testereignis konfigurieren** aus.
1. Geben Sie für **Event name (Ereignisname)** einen Namen für das Testereignis ein, z. B. **MyTestEvent**.
1. Ersetzen Sie den vorhandenen Text durch folgendes JSON-Objekt. *AMI ID*Ersetzen Sie es durch Ihre eigenen Informationen, um Ihren `latestAmi` Parameterwert festzulegen.
```
{
"parameterName":"latestAmi",
"parameterValue":"AMI ID"
}
```
1. Wählen Sie **Speichern**.
1. Wählen Sie **Test** aus, um die Funktion zu testen. Auf der Registerkarte **Ausführungsergebnis** sollte der Status als **Erfolgreich** gemeldet werden, zusammen mit anderen Details zur Aktualisierung.
## Aufgabe 4: Erstellen eines Runbooks und Patchen des AMI
Verwenden Sie die folgende Vorgehensweise zum Erstellen und Ausführen eines Runbooks, das das von Ihnen angegebene AMI für den **latestAmi**-Parameter patcht. Nach dem Abschluss der Automatisierung wird der Wert **latestAmi** mit der ID des neu gepatchten AMI aktualisiert. Bei nachfolgenden Automatisierungen verwenden Sie das AMI, das in der vorherigen Ausführung erstellt wurde.
**Erstellen und Ausführen des Runbooks**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Dokumente** aus.
1. Wählen Sie für **Dokument erstellen** die Option **Automatisierung** aus.
1. Geben Sie unter **Name** **UpdateMyLatestWindowsAmi** ein.
1. Wählen Sie die Registerkarte **Editor** und wählen Sie **Edit (Bearbeiten)** aus.
1. Wählen Sie bei Aufforderung **OK** aus.
1. Ersetzen Sie im Feld **Dokument-Editor** den Standardinhalt durch den folgenden Inhalt des YAML-Beispiel-Runbooks.
```
---
description: Systems Manager Automation Demo - Patch AMI and Update ASG
schemaVersion: '0.3'
assumeRole: '{{ AutomationAssumeRole }}'
parameters:
AutomationAssumeRole:
type: String
description: '(Required) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to execute this document.'
default: ''
SourceAMI:
type: String
description: The ID of the AMI you want to patch.
default: '{{ ssm:latestAmi }}'
SubnetId:
type: String
description: The ID of the subnet where the instance from the SourceAMI parameter is launched.
SecurityGroupIds:
type: StringList
description: The IDs of the security groups to associate with the instance that's launched from the SourceAMI parameter.
NewAMI:
type: String
description: The name of of newly patched AMI.
default: 'patchedAMI-{{global:DATE_TIME}}'
InstanceProfile:
type: String
description: The name of the IAM instance profile you want the source instance to use.
SnapshotId:
type: String
description: (Optional) The snapshot ID to use to retrieve a patch baseline snapshot.
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: (Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.
allowedValues:
- Install
- Scan
default: Install
mainSteps:
- name: startInstances
action: 'aws:runInstances'
timeoutSeconds: 1200
maxAttempts: 1
onFailure: Abort
inputs:
ImageId: '{{ SourceAMI }}'
InstanceType: m5.large
MinInstanceCount: 1
MaxInstanceCount: 1
IamInstanceProfileName: '{{ InstanceProfile }}'
SubnetId: '{{ SubnetId }}'
SecurityGroupIds: '{{ SecurityGroupIds }}'
- name: verifyInstanceManaged
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 600
inputs:
Service: ssm
Api: DescribeInstanceInformation
InstanceInformationFilterList:
- key: InstanceIds
valueSet:
- '{{ startInstances.InstanceIds }}'
PropertySelector: '$.InstanceInformationList[0].PingStatus'
DesiredValues:
- Online
onFailure: 'step:terminateInstance'
- name: installPatches
action: 'aws:runCommand'
timeoutSeconds: 7200
onFailure: Abort
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
InstanceIds:
- '{{ startInstances.InstanceIds }}'
- name: stopInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: stopped
- name: createImage
action: 'aws:createImage'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceId: '{{ startInstances.InstanceIds }}'
ImageName: '{{ NewAMI }}'
NoReboot: false
ImageDescription: Patched AMI created by Automation
- name: terminateInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: terminated
- name: updateSsmParam
action: aws:invokeLambdaFunction
timeoutSeconds: 1200
maxAttempts: 1
onFailure: Abort
inputs:
FunctionName: Automation-UpdateSsmParam
Payload: '{"parameterName":"latestAmi", "parameterValue":"{{createImage.ImageId}}"}'
outputs:
- createImage.ImageId
```
1. Wählen Sie **Create automation (Automation erstellen)**.
1. Wählen Sie im Navigationsbereich **Automatisierung** und **Automatisierung ausführen** aus.
1. Wählen Sie auf der Seite **Choose document** (Dokument wählen), die Registerkarte **Owned by me** (In meinem Besitz).
1. Suchen Sie nach dem **UpdateMyLatestWindowsAmi**Runbook und wählen Sie die Schaltfläche auf der **UpdateMyLatestWindowsAmi**Karte aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Simple execution (Einfache Ausführung)** aus.
1. Geben Sie Werte für die Eingabeparameter an.
1. Wählen Sie **Ausführen**.
1. Wählen Sie nach dem Abschluss der Automatisierung **Parameter Store** im Navigationsbereich und bestätigen Sie, dass der neue Wert für `latestAmi`-Treffer, die von der Automatisierung zurückgegeben werden. Sie können auch überprüfen, ob die neue AMI ID mit der Automation-Ausgabe im **AMIs**Bereich der Amazon EC2 EC2-Konsole übereinstimmt.
# Aktualisierung von AMIs mithilfe von Automation und Jenkins
Wenn Ihr Unternehmen Jenkins Software in einer CI/CD Pipeline verwendet, können Sie Automatisierung als Post-Build-Schritt hinzufügen, um Anwendungsversionen in Amazon Machine Images () vorzuinstallieren. AMIs Automation ist ein Tool in AWS Systems Manager. Sie können auch die Jenkins-Funktion zum Planen verwenden, um Automation aufzurufen, und Ihr eigenes Patchingintervall für das Betriebssystem erstellen.
Im folgenden Beispiel wird gezeigt, wie Sie Automation über einen Jenkins-Server aufrufen, der entweder On-Premises oder in Amazon Elastic Compute Cloud (Amazon EC2) ausgeführt wird. Für die Authentifizierung verwendet der Jenkins Server AWS Anmeldeinformationen, die auf einer IAM-Richtlinie basieren, die Sie im Beispiel erstellen und an Ihr Instanzprofil anhängen.
**Anmerkung**
Befolgen Sie beim Konfigurieren Ihrer Instance die bewährten Methoden von Jenkins für die Sicherheit.
**Bevor Sie beginnen**
Schließen Sie die folgenden Aufgaben ab, bevor Sie Automation mit Jenkins konfigurieren:
+ Schließen Sie das [Aktualisieren Sie ein Golden AMI mithilfe von Automation, AWS Lambda, und Parameter Store](automation-tutorial-update-patch-golden-ami.md)-Beispiel ab. Im folgenden Beispiel wird das in diesem Beispiel erstellte **UpdateMyLatestWindowsAmi**Runbook verwendet.
+ Konfigurieren Sie IAM-Rollen für Automation. Systems Manager benötigt eine Instance-Profilrolle und einen Servicerollen-ARN zur Verarbeitung von Automatisierungen. Weitere Informationen finden Sie unter [Einrichten der Automatisierung](automation-setup.md).
**So erstellen Sie eine IAM-Richtlinie für den Jenkins-Server**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**.
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/UpdateMyLatestWindowsAmi",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **JenkinsPolicy**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie das Instance-Profil aus, das Ihrem Jenkins-Server angefügt ist.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen**, **Richtlinien anfügen**.
1. Geben Sie im Abschnitt **Andere Berechtigungsrichtlinien** den Namen der Richtlinie ein, die Sie in den vorherigen Schritten erstellt haben. Beispiel, **JenkinsPolicy**.
1. Aktivieren Sie das Kontrollkästchen neben Ihrer Richtlinie, und wählen Sie **Richtlinien anfügen** aus.
Gehen Sie wie folgt vor, um das AWS CLI auf Ihrem Jenkins Server zu konfigurieren.
**So konfigurieren Sie den Jenkins-Server für Automation**
1. Verbinden Sie sich mit Ihrem Jenkins-Server auf Port 8080 über Ihren bevorzugten Browser, um auf die Verwaltungsschnittstelle zuzugreifen.
1. Geben Sie das Passwort ein, welches Sie unter `/var/lib/jenkins/secrets/initialAdminPassword` finden. Um Ihr Kennwort anzuzeigen, führen Sie den folgenden Befehl aus.
```
sudo cat /var/lib/jenkins/secrets/initialAdminPassword
```
1. Das Jenkins-Installationsskript leitet Sie zur Seite **Anpassen von Jenkins** weiter. Wählen Sie **Installieren von empfohlenen Plugins**.
1. Nach abgeschlossener Installation wählen Sie **Administrator-Zugangsdaten**, wählen Sie dann **Zugansdaten speichern** und klicken Sie dann auf **Verwendung von Jenkins beginnen** aus.
1. Wählen Sie im linken Navigationsbereich **Jenkins verwalten** und dann **Plugins verwalten**.
1. Wählen Sie die Registerkarte **Available** (Verfügbar) und geben Sie dann **Amazon EC2 plugin** ein.
1. Aktivieren Sie das Kontrollkästchen für **Amazon EC2 plugin** und klicken Sie dann auf **Installation ohne Neustart**.
1. Nach abgeschlossener Installation wählen Sie **Zurück zur oberen Seite**.
1. Wählen Sie **Jenkins verwalten** und anschließend **Knoten und Clouds verwalten** aus.
1. Wählen Sie im Abschnitt **Clouds konfigurieren** die Option **Neue Cloud hinzufügen** und dann **Amazon EC2** aus.
1. Geben Sie Ihre Daten in die verbleibenden Felder ein. Stellen Sie sicher, dass Sie die Option **EC2-Instance-Profil zum Abrufen von Anmeldeinformationen verwenden**, ausgewählt haben.
Führen Sie die folgenden Schritte zum Konfigurieren Ihres Jenkins-Projekts aus, um Automation zu konfigurieren.
**So konfigurieren Sie Ihren Jenkins-Server zum Aufrufen von Automation**
1. Öffnen Sie die Jenkins-Konsole in einem Webbrowser.
1. Wählen Sie das Projekt, das Sie mit Automation konfigurieren möchten, und wählen Sie dann **Configure** (Konfigurieren).
1. Wählen Sie auf der Registerkarte **Build** **Add Build Step** (Build-Schritt hinzufügen) aus.
1. Wählen Sie je nach Betriebssystem **Execute shell** (Shell ausführen) oder **Execute Windows batch command** (Windows-Batchbefehl ausführen).
1. Führen **Sie im Feld Befehl** einen AWS CLI Befehl wie den folgenden aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
```
aws ssm start-automation-execution \
--document-name runbook name \
--region AWS-Region of your source AMI \
--parameters runbook parameters
```
Der folgende Beispielbefehl verwendet das **UpdateMyLatestWindowsAmi**Runbook und den Systems Manager Manager-Parameter, die in `latestAmi` [Aktualisieren Sie ein Golden AMI mithilfe von Automation, AWS Lambda, und Parameter Store](automation-tutorial-update-patch-golden-ami.md) erstellt wurden.
```
aws ssm start-automation-execution \
--document-name UpdateMyLatestWindowsAmi \
--parameters \
"sourceAMIid='{{ssm:latestAmi}}'"
--region region
```
In Jenkins sieht der Befehl wie im Beispiel im folgenden Screenshot aus.
![\[Ein Beispielbefehl in Jenkins Software.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/sysman-ami-jenkins2.png)
1. Wählen Sie im Jenkins-Projekt **Build Now** aus. Jenkins gibt etwa die folgende Ausgabe zurück.
![\[Beispiel für eine Befehlsausgabe in Jenkins-Software.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/sysman-ami-jenkins.png)
# Aktualisieren von AMIs für Auto-Scaling-Gruppen
Im folgenden Beispiel wird eine Auto-Scaling-Gruppe mit einem neu gepatchten AMI aktualisiert. Dieser Ansatz gewährleistet, dass neue Images automatisch den verschiedenen Computing-Umgebungen zur Verfügung gestellt werden, die Auto–Scaling-Gruppen verwenden.
Der letzte Schritt der Automatisierung in diesem Beispiel verwendet eine Python-Funktion, um eine neue Startvorlage zu erstellen, die das neu gepatchte AMI verwendet. Anschließend wird die Auto-Scaling-Gruppe aktualisiert, um die neue Startvorlage zu verwenden. In diesem Auto–Scaling-Szenariotyp können Benutzer vorhandene Instances in der Auto–Scaling-Gruppe beenden, um den Start einer neuen Instance zu erzwingen, die das neue Image verwendet. Andernfalls konnten Benutzer warten und das Skalieren der Ereignisse nach oben oder unten zulassen, um auf natürliche Weise neuere Instances zu starten.
**Bevor Sie beginnen**
Bevor Sie mit diesem Beispiel beginnen, führen Sie die folgenden Aufgaben aus.
+ Konfigurieren Sie IAM-Rollen für Automation, ein Tool in AWS Systems Manager. Systems Manager benötigt eine Instance-Profilrolle und einen Servicerollen-ARN zur Verarbeitung von Automatisierungen. Weitere Informationen finden Sie unter [Einrichten der Automatisierung](automation-setup.md).
## Erstellen Sie das **Patch AMIAnd UpdateASG-Runbook**
**Gehen Sie wie folgt vor, um das **Patch AMIAnd UpdateAsg-Runbook zu erstellen, das die Patches** durchführt, die AMI Sie für den SourceAMI-Parameter angeben.** Das Runbook aktualisiert auch eine Auto-Scaling-Gruppe, um das neueste, gepatchte AMI zu verwenden.
**Erstellen und Ausführen des Runbooks**
1. Öffnen Sie die Konsole unter. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich die Option **Dokumente** aus.
1. Wählen Sie **Automation** im Dropdown-Menü **Erstellen eines Dokuments**.
1. Geben Sie im Feld **Name** **PatchAMIAndUpdateASG** ein.
1. Wählen Sie die Registerkarte **Editor** und wählen Sie **Edit** (Bearbeiten) aus.
1. Wählen Sie **OK** aus, wenn Sie dazu aufgefordert werden, und löschen Sie den Inhalt im Feld **Document editor** (Dokumenteditor).
1. Fügen Sie im Feld **Document editor** (Dokumenteditor) den folgenden Inhalt des YAML-Beispiel-Runbooks ein.
```
---
description: Systems Manager Automation Demo - Patch AMI and Update ASG
schemaVersion: '0.3'
assumeRole: '{{ AutomationAssumeRole }}'
parameters:
AutomationAssumeRole:
type: String
description: '(Required) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to execute this document.'
default: ''
SourceAMI:
type: String
description: '(Required) The ID of the AMI you want to patch.'
SubnetId:
type: String
description: '(Required) The ID of the subnet where the instance from the SourceAMI parameter is launched.'
SecurityGroupIds:
type: StringList
description: '(Required) The IDs of the security groups to associate with the instance launched from the SourceAMI parameter.'
NewAMI:
type: String
description: '(Optional) The name of of newly patched AMI.'
default: 'patchedAMI-{{global:DATE_TIME}}'
TargetASG:
type: String
description: '(Required) The name of the Auto Scaling group you want to update.'
InstanceProfile:
type: String
description: '(Required) The name of the IAM instance profile you want the source instance to use.'
SnapshotId:
type: String
description: (Optional) The snapshot ID to use to retrieve a patch baseline snapshot.
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: (Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.
allowedValues:
- Install
- Scan
default: Install
mainSteps:
- name: startInstances
action: 'aws:runInstances'
timeoutSeconds: 1200
maxAttempts: 1
onFailure: Abort
inputs:
ImageId: '{{ SourceAMI }}'
InstanceType: m5.large
MinInstanceCount: 1
MaxInstanceCount: 1
IamInstanceProfileName: '{{ InstanceProfile }}'
SubnetId: '{{ SubnetId }}'
SecurityGroupIds: '{{ SecurityGroupIds }}'
- name: verifyInstanceManaged
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 600
inputs:
Service: ssm
Api: DescribeInstanceInformation
InstanceInformationFilterList:
- key: InstanceIds
valueSet:
- '{{ startInstances.InstanceIds }}'
PropertySelector: '$.InstanceInformationList[0].PingStatus'
DesiredValues:
- Online
onFailure: 'step:terminateInstance'
- name: installPatches
action: 'aws:runCommand'
timeoutSeconds: 7200
onFailure: Abort
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
InstanceIds:
- '{{ startInstances.InstanceIds }}'
- name: stopInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: stopped
- name: createImage
action: 'aws:createImage'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceId: '{{ startInstances.InstanceIds }}'
ImageName: '{{ NewAMI }}'
NoReboot: false
ImageDescription: Patched AMI created by Automation
- name: terminateInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: terminated
- name: updateASG
action: 'aws:executeScript'
timeoutSeconds: 300
maxAttempts: 1
onFailure: Abort
inputs:
Runtime: python3.11
Handler: update_asg
InputPayload:
TargetASG: '{{TargetASG}}'
NewAMI: '{{createImage.ImageId}}'
Script: |-
from __future__ import print_function
import datetime
import json
import time
import boto3
# create auto scaling and ec2 client
asg = boto3.client('autoscaling')
ec2 = boto3.client('ec2')
def update_asg(event, context):
print("Received event: " + json.dumps(event, indent=2))
target_asg = event['TargetASG']
new_ami = event['NewAMI']
# get object for the ASG we're going to update, filter by name of target ASG
asg_query = asg.describe_auto_scaling_groups(AutoScalingGroupNames=[target_asg])
if 'AutoScalingGroups' not in asg_query or not asg_query['AutoScalingGroups']:
return 'No ASG found matching the value you specified.'
# gets details of an instance from the ASG that we'll use to model the new launch template after
source_instance_id = asg_query.get('AutoScalingGroups')[0]['Instances'][0]['InstanceId']
instance_properties = ec2.describe_instances(
InstanceIds=[source_instance_id]
)
source_instance = instance_properties['Reservations'][0]['Instances'][0]
# create list of security group IDs
security_groups = []
for group in source_instance['SecurityGroups']:
security_groups.append(group['GroupId'])
# create a list of dictionary objects for block device mappings
mappings = []
for block in source_instance['BlockDeviceMappings']:
volume_query = ec2.describe_volumes(
VolumeIds=[block['Ebs']['VolumeId']]
)
volume_details = volume_query['Volumes']
device_name = block['DeviceName']
volume_size = volume_details[0]['Size']
volume_type = volume_details[0]['VolumeType']
device = {'DeviceName': device_name, 'Ebs': {'VolumeSize': volume_size, 'VolumeType': volume_type}}
mappings.append(device)
# create new launch template using details returned from instance in the ASG and specify the newly patched AMI
time_stamp = time.time()
time_stamp_string = datetime.datetime.fromtimestamp(time_stamp).strftime('%m-%d-%Y_%H-%M-%S')
new_template_name = f'{new_ami}_{time_stamp_string}'
try:
ec2.create_launch_template(
LaunchTemplateName=new_template_name,
LaunchTemplateData={
'BlockDeviceMappings': mappings,
'ImageId': new_ami,
'InstanceType': source_instance['InstanceType'],
'IamInstanceProfile': {
'Arn': source_instance['IamInstanceProfile']['Arn']
},
'KeyName': source_instance['KeyName'],
'SecurityGroupIds': security_groups
}
)
except Exception as e:
return f'Exception caught: {str(e)}'
else:
# update ASG to use new launch template
asg.update_auto_scaling_group(
AutoScalingGroupName=target_asg,
LaunchTemplate={
'LaunchTemplateName': new_template_name
}
)
return f'Updated ASG {target_asg} with new launch template {new_template_name} which uses AMI {new_ami}.'
outputs:
- createImage.ImageId
```
1. Wählen Sie **Create automation (Automation erstellen)**.
1. Wählen Sie im Navigationsbereich **Automatisierung** und **Automatisierung ausführen** aus.
1. Wählen Sie auf der Seite **Choose document** (Dokument wählen), die Registerkarte **Owned by me** (In meinem Besitz).
1. Suchen Sie nach dem Runbook **Patch AMIAnd UpdateAsg** und wählen Sie die Schaltfläche auf der Karte **Patch AMIAnd** UpdateAsg aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Simple execution (Einfache Ausführung)** aus.
1. Geben Sie Werte für die Eingabeparameter an. Stellen Sie sicher, dass die von Ihnen angegebenen `SubnetId` und `SecurityGroupIds` den Zugriff auf die öffentlichen Systems-Manager-Endpunkte oder Ihre Schnittstellenendpunkte für Systems Manager zulassen.
1. Wählen Sie **Ausführen**.
1. Wählen Sie nach Abschluss der Automatisierung in der Amazon-EC2-Konsole **Auto Scaling** und dann **Launch Templates** (Startvorlagen) aus. Stellen Sie sicher, dass die neue Startvorlage angezeigt wird und dass sie das neue AMI verwendet.
1. Klicken Sie auf **Auto Scaling** und wählen Sie dann **Auto-Scaling-Gruppen**. Stellen Sie sicher, dass die Auto-Scaling-Gruppe die neue Startkonfiguration verwendet.
1. Beenden Sie mindestens eine Instance in Ihrer Auto–Scaling-Gruppe. Ersatz-Instances werden unter Verwendung der neuen AMI gestartet.
# AWS Support Self-Service-Runbooks verwenden
In diesem Abschnitt wird beschrieben, wie Sie einige der vom Team erstellten Self-Service-Automatisierungen verwenden können. AWS Support Diese Automatisierungen helfen Ihnen bei der Verwaltung Ihrer Ressourcen. AWS
**Support Automation Workflows**
Support Automation Workflows (SAW) sind Automatisierungs-Runbooks, die vom AWS Support Team geschrieben und verwaltet werden. Diese Runbooks helfen Ihnen dabei, häufig auftretende Probleme mit Ihren AWS Ressourcen zu beheben, Netzwerkprobleme proaktiv zu überwachen und zu identifizieren, Protokolle zu sammeln und zu analysieren und vieles mehr.
SAW-Runbooks verwenden das **`AWSSupport`**-Präfix. Beispiel, [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html).
Darüber hinaus haben Kunden mit Business Support\$1 und höheren AWS Support-Plänen auch Zugriff auf Runbooks, die das Präfix verwenden. **`AWSPremiumSupport`** Beispiel, [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awspremiumsupport-troubleshootEC2diskusage.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awspremiumsupport-troubleshootEC2diskusage.html).
Weitere Informationen dazu finden Sie AWS Support unter [Erste Schritte mit](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). AWS Support
**Topics**
+ [Führen Sie das EC2 Rescue-Tool auf nicht erreichbaren Instanzen aus](automation-ec2rescue.md)
+ [Zurücksetzen von Passwörtern und SSH-Schlüsseln auf EC2-Instances](automation-ec2reset.md)
# Führen Sie das EC2 Rescue-Tool auf nicht erreichbaren Instanzen aus
EC2Rescue kann Ihnen bei der Diagnose und Behebung von Problemen auf Amazon Elastic Compute Cloud (Amazon EC2)-Instances für Linux und Windows Server helfen. Sie können das Tool manuell ausführen, wie [unter EC2 Rescue für Linux Server verwenden](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Linux-Server-EC2Rescue.html) und [ EC2Rescue für Windows Server verwenden](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html) beschrieben. Sie können das Tool auch automatisch mit der Systems Manager Automation und dem **`AWSSupport-ExecuteEC2Rescue`**-Runbook ausführen. Automation ist ein Tool in AWS Systems Manager. Das **`AWSSupport-ExecuteEC2Rescue`**Runbook ist für die Ausführung einer Kombination von Systems Manager Manager-Aktionen, CloudFormation Aktionen und Lambda-Funktionen konzipiert, mit denen die Schritte automatisiert werden, die normalerweise für die Verwendung EC2 von Rescue erforderlich sind.
Sie können das **`AWSSupport-ExecuteEC2Rescue`**-Runbook verwenden, um verschiedene Arten von Problemen bei Betriebssystemen (OS) zu behandeln und möglicherweise zu lösen. Instances mit verschlüsselten Root-Volumes werden nicht unterstützt. Eine vollständige Liste finden Sie in den folgenden Themen:
**Windows**: Weitere Informationen finden *Sie* [unter EC2 Rescue für Windows Server über die Befehlszeile verwenden](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-cli.html#ec2rw-rescue).
**Linux** und **macOS**: Einige Module von EC2 Rescue for Linux erkennen Probleme und versuchen, sie zu beheben. Weitere Informationen finden Sie in der [https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs](https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs)-Dokumentation für jedes Modul auf GitHub.
## Funktionsweise
Die Fehlerbehebung bei einer Instance mit Automation und dem **`AWSSupport-ExecuteEC2Rescue`**-Runbook funktioniert folgendermaßen:
+ Sie geben die ID der nicht erreichbaren Instance an und starten das Runbook.
+ Das System erstellt eine temporäre VPC und führt dann eine Reihe von Lambda-Funktionen aus, um die VPC zu konfigurieren.
+ Das System identifiziert ein Subnetz für Ihre temporäre VPC in derselben Availability Zone wie die ursprüngliche Instance.
+ Das System startet eine temporäre, SSM-fähige Helferobjekt-Instance.
+ Das System stoppt Ihre ursprüngliche Instance und erstellt einen Backup. Anschließend fügt es das ursprüngliche Stamm-Volume an die Helferobjekt-Instance an.
+ Das System verwendetRun Command, um EC2 Rescue auf der Helper-Instanz auszuführen. EC2Rescue identifiziert Probleme auf dem angehängten, ursprünglichen Root-Volume und versucht, diese zu beheben. Wenn der Vorgang abgeschlossen ist, fügt EC2 Rescue das Root-Volume wieder der ursprünglichen Instanz hinzu.
+ Das System startet die ursprüngliche Instance neu und beendet die temporäre Instance. Das System beendet ebenso die temporäre VPC und die Lambda-Funktionen, die zu Beginn der Automatisierung erstellt wurden.
## Bevor Sie beginnen
Bevor Sie die folgende Automation ausführen, führen Sie die folgenden Schritte aus:
+ Kopieren Sie die Instance-ID der nicht erreichbaren Instance. Sie legen diese ID im Verfahren fest.
+ Erfassen Sie optional die ID eines Subnetzes in derselben Availability Zone wie Ihre unerreichbare Instance. Die EC2 Rescue-Instanz wird in diesem Subnetz erstellt. Wenn Sie kein Subnetz angeben, erstellt Automation eine neue temporäre VPC in Ihrem. AWS-Konto Stellen Sie sicher, AWS-Konto dass mindestens eine VPC verfügbar ist. Standardmäßig können Sie fünf VPCs in einer Region erstellen. Wenn Sie VPCs in der Region bereits fünf erstellt haben, schlägt die Automatisierung fehl, ohne dass Änderungen an Ihrer Instanz vorgenommen werden. Weitere Informationen zu Amazon VPC-Kontingenten finden Sie unter [VPC und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets) im *Amazon VPC-Benutzerhandbuch*.
+ Optional können Sie eine AWS Identity and Access Management (IAM-) Rolle für die Automatisierung erstellen und angeben. Falls Sie diese Rolle nicht festlegen, wird die Automatisierung im Kontext des Benutzers ausgeführt, der die Automatisierung ausgeführt hat.
### Gewähren von `AWSSupport-EC2Rescue`-Berechtigungen zum Durchführen von Aktionen auf Ihren Instances
EC2Rescue benötigt die Erlaubnis, während der Automatisierung eine Reihe von Aktionen auf Ihren Instances durchzuführen. Diese Aktionen rufen die AWS Lambda Dienste IAM und Amazon EC2 auf, um sicher und geschützt zu versuchen, Probleme mit Ihren Instances zu beheben. Wenn Sie in Ihrer AWS-Konto und/oder Ihrer VPC über Administratorberechtigungen verfügen, können Sie die Automatisierung möglicherweise ausführen, ohne Berechtigungen zu konfigurieren, wie in diesem Abschnitt beschrieben. Falls Sie keine Administratorberechtigungen besitzen, müssen Sie oder ein Administrator Berechtigungen anhand einer der folgenden Optionen konfigurieren.
+ [Erteilen von Berechtigungen mithilfe von IAM-Richtlinien](#automation-ec2rescue-access-iam)
+ [Erteilen von Berechtigungen mithilfe einer CloudFormation Vorlage](#automation-ec2rescue-access-cfn)
#### Erteilen von Berechtigungen mithilfe von IAM-Richtlinien
Sie können entweder die folgende IAM-Richtlinie als eingebundene Richtlinie an Ihren Benutzer, Ihre Gruppe oder Ihre Rolle anfügen. Sie können aber auch eine neue verwaltete IAM-Richtlinie erstellen und diese an Ihren Benutzer, Ihre Gruppe oder Ihre Rolle anfügen. Weitere Informationen zum Hinzufügen einer eingebundenen Richtlinie zu Ihrem Benutzerkonto, Ihrer Gruppe oder Ihrer Rolle finden Sie unter [Verwenden von eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html). Weitere Informationen zum Erstellen einer neuen verwalteten Richtlinien finden Sie unter [Verwenden von eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html).
**Anmerkung**
Wenn Sie eine neue IAM-verwaltete Richtlinie erstellen, müssen Sie ihr auch die verwaltete **Amazon SSMAutomation Role** Policy hinzufügen, damit Ihre Instances mit der Systems Manager Manager-API kommunizieren können.
**IAM-Richtlinie für 2Rescue AWSSupport-EC**
Ersetzen Sie es *account ID* durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*",
"autoscaling:DescribeAutoScalingInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
#### Erteilen von Berechtigungen mithilfe einer CloudFormation Vorlage
CloudFormation automatisiert den Prozess der Erstellung von IAM-Rollen und -Richtlinien mithilfe einer vorkonfigurierten Vorlage. Gehen Sie wie folgt vor, um die erforderlichen IAM-Rollen und -Richtlinien für EC2 Rescue Automation zu erstellen, indem Sie CloudFormation
**So erstellen Sie die erforderlichen IAM-Rollen und -Richtlinien für Rescue EC2**
1. Laden Sie [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) herunter und extrahieren Sie die `AWSSupport-EC2RescueRole.json`-Datei in ein Verzeichnis auf Ihrem lokalen Computer.
1. Wenn Sie AWS-Konto sich in einer speziellen Partition befinden, bearbeiten Sie die Vorlage, um die ARN-Werte in die für Ihre Partition zu ändern.
Ändern Sie beispielsweise für `arn:aws` alle Fälle von in `arn:aws-cn`.
1. Melden Sie sich bei [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole.
1. Klicken Sie auf **Create stack (Stack erstellen)**, **With new resources (standard) (Mit neuen Ressourcen (Standard))**.
1. Wählen Sie auf der Seite **Create stack (Stack erstellen)** unter **Prerequisite - Prepare template (Voraussetzung – Vorlage vorbereiten)** die Option **Template is ready (Vorlage ist bereit)** aus.
1. Wählen Sie unter **Vorlage angeben** die Option **Vorlagendatei hochladen** aus.
1. Wählen Sie **Choose file** (Datei auswählen) aus, navigieren Sie dann zu der `AWSSupport-EC2RescueRole.json`-Datei aus dem Verzeichnis, in dem Sie sie extrahiert haben, und wählen Sie sie aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Specify stack details (Stack-Details angeben)** für das Feld **Stack name (Stack-Name)** einen Namen ein, um diesen Stack zu identifizieren. Wählen Sie dann **Next (Weiter)** aus.
1. (Optional) Wenden Sie im Bereich „**Tags**“ ein oder mehrere name/value Tag-Schlüsselpaare auf den Stack an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Beispielsweise können Sie einen Stack kennzeichnen, um den Typ der ausgeführten Aufgaben, die Typen von Zielen oder anderen Ressourcen und die Umgebung zu identifizieren, in der er ausgeführt wird.
1. Wählen Sie **Next** (Weiter)
1. Überprüfen Sie auf der Seite **Überprüfen** die Stack-Details, scrollen Sie dann nach unten und wählen Sie die Option **Ich bestätige, dass CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Stack erstellen** aus.
CloudFormation zeigt für einige Minuten den Status **CREATE\$1IN\$1PROGRESS** an. Nach dem Erstellen des Stacks ändert sich der Status in **CREATE\$1COMPLETE**. Sie können auch auf das Aktualisierungssymbol klicken, um den Status des Erstellungsprozesses zu überprüfen.
1. Wählen Sie in der **Stacks**-Liste die Option neben den Stack, den Sie gerade erstellt haben, und wählen Sie dann die Registerkarte **Outputs** (Ausgaben).
1. Notieren Sie sich den **Wert**. Das ist der ARN von AssumeRole. Sie geben diesen ARN an, wenn Sie die Automatisierung in der nächsten Prozedur ausführen, [Ausführen der Automation](#automation-ec2rescue-executing).
## Ausführen der Automation
**Wichtig**
Der folgende Automatisierung hält die nicht erreichbare Instance an. Das Anhalten der Instance kann zu Datenverlusten auf den angehängten Instance-Speicher-Volumes (sofern vorhanden) führen. Das Anhalten der Instance kann auch dazu führen, dass die öffentliche IP-Adresse geändert wird, wenn keine elastische IP-Adresse zugeordnet ist.
**Führen Sie die `AWSSupport-ExecuteEC2Rescue`-Automation aus.**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Klicken Sie im Navigationsbereich auf **Automation**.
1. Wählen Sie **Automatisierung ausführen**.
1. Wählen Sie im Abschnitt **Automation document (Automatisierungsdokument)** die Option **Owned by Amazon (Im Besitz von Amazon)** aus der Liste aus.
1. Wählen Sie in der Runbooks-Liste die Schaltfläche auf der Karte für `AWSSupport-ExecuteEC2Rescue` und wählen Sie danach **Weiter**.
1. Klicken Sie auf der Seite **Execute automation document (Automation-Dokument ausführen)** auf **Simple execution (Einfache Ausführung)**.
1. Überprüfen Sie im Abschnitt **Document details (Dokumentdetails)**, ob **Document version (Dokumentversion)** auf die höchste Standardversion gesetzt ist. Beispiel: **\$1DEFAULT** oder **3 (default) (3 (Standard))**.
1. Geben Sie im Abschnitt **Input Parameters** die folgenden Parameter an.
1. Geben Sie für **UnreachableInstanceId**die ID der nicht erreichbaren Instanz an.
1. (Optional) Geben Sie für **EC2RescueInstanceType**einen Instanztyp für die EC2 Rescue-Instanz an. Der Standard-Instance-Typ lautet `t2.medium`.
1. Denn **AutomationAssumeRole**wenn Sie Rollen für diese Automatisierung mithilfe des weiter oben in diesem Thema beschriebenen CloudFormation Verfahrens erstellt haben, wählen Sie den ARN aus AssumeRole , den Sie in der CloudFormation Konsole erstellt haben.
1. (Optional) Geben Sie für einen S3-Bucket an **LogDestination**, wenn Sie bei der Fehlerbehebung für Ihre Instance Protokolle auf Betriebssystemebene sammeln möchten. Protokolle werden automatisch in den angegebenen Bucket hochgeladen.
1. Geben Sie für **SubnetId**ein Subnetz in einer vorhandenen VPC in derselben Availability Zone wie die nicht erreichbare Instance an. Standardmäßig erstellt Systems Manager eine neue VPC, aber Sie können ein Subnetz in einer vorhandenen VPC angeben, wenn Sie möchten.
**Anmerkung**
Wenn Sie die Option zum Erstellen eines Buckets oder einer Subnetz-ID nicht sehen, überprüfen Sie, ob Sie die neueste **Default**-Version des Runbooks verwenden.
1. (Optional) Wenden Sie im Bereich „**Tags**“ ein oder mehrere name/value Tag-Schlüsselpaare an, um beispielsweise die Automatisierung leichter zu identifizieren. `Key=Purpose,Value=EC2Rescue`
1. Wählen Sie **Ausführen**.
Das Runbook erstellt ein Backup AMI als Teil der Automatisierung. Alle anderen von der Automatisierung erstellten Ressourcen werden automatisch gelöscht, aber dieses AMI verbleibt in Ihrem Konto. Der AMI-Name wird unter Verwendung der folgenden Konvention generiert:
Backup-AMI: AWSSupport-EC 2Rescue: *UnreachableInstanceId*
Sie finden dieses AMI in der Amazon EC2-Konsole, indem Sie nach der Automation-Ausführungs-ID suchen.
# Zurücksetzen von Passwörtern und SSH-Schlüsseln auf EC2-Instances
Sie können das `AWSSupport-ResetAccess`-Runbook verwenden, um die Generierung des lokalen Administratorkennworts auf Amazon Elastic Compute Cloud (Amazon EC2)-Instances für Windows Server automatisch wieder zu aktivieren und einen neuen SSH-Schlüssel auf EC2-Instances für Linux zu generieren. Das `AWSSupport-ResetAccess` Runbook ist so konzipiert, dass es eine Kombination von AWS Systems Manager Aktionen, AWS CloudFormation Aktionen und AWS Lambda Funktionen ausführt, die die Schritte automatisieren, die normalerweise zum Zurücksetzen des lokalen Administratorkennworts erforderlich sind.
Mithilfe von Automation, einem im `AWSSupport-ResetAccess` Runbook enthaltenen Tool AWS Systems Manager, können Sie die folgenden Probleme lösen:
**Windows**
*Sie haben das EC2-Schlüsselpaar verloren*: Um dieses Problem zu lösen, können Sie das **AWSSupport-ResetAccess**Runbook verwenden, um eine kennwortfähige Instance AMI aus Ihrer aktuellen Instance zu erstellen, eine neue Instance über das AMI zu starten und ein key pair auszuwählen, das Ihnen gehört.
*Sie haben das lokale Administratorpasswort verloren*: Um dieses Problem zu beheben, können Sie das `AWSSupport-ResetAccess`-Runbook verwenden, um ein neues Passwort zu generieren, das Sie mit dem aktuellen EC2-Schlüsselpaar entschlüsseln können.
**Linux**
*Sie haben Ihr EC2-Schlüsselpaar verloren oder Sie haben den SSH-Zugriff auf die Instance mit einem Schlüssel konfiguriert, den Sie verloren haben*: Um dieses Problem zu beheben, können Sie das `AWSSupport-ResetAccess`-Runbook verwenden, um einen neuen SSH-Schlüssel für Ihre aktuelle Instance zu erstellen, mit dem Sie erneut eine Verbindung mit der Instance herstellen können.
**Anmerkung**
Wenn Ihre EC2-Instance für für Systems Manager konfiguriert Windows Server ist, können Sie auch Ihr lokales Administratorkennwort mithilfe von EC2 Rescue und AWS Systems Manager Run Command zurücksetzen. Weitere Informationen finden Sie unter [Using EC2 Rescue for Windows Server with Systems Manager Run Command](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
**Ähnliche Informationen**
[Herstellen einer Verbindung zu Ihrer Linux-Instance von Windows mithilfe von PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) im *Amazon-EC2-Benutzerhandbuch*
## Funktionsweise
Die Fehlerbehebung bei einer Instance mit Automation und dem `AWSSupport-ResetAccess`-Runbook funktioniert folgendermaßen:
+ Sie geben die ID der Instance an und führen das Runbook aus.
+ Das System erstellt eine temporäre VPC und führt dann eine Reihe von Lambda-Funktionen aus, um die VPC zu konfigurieren.
+ Das System identifiziert ein Subnetz für Ihre temporäre VPC in derselben Availability Zone wie die ursprüngliche Instance.
+ Das System startet eine temporäre, SSM-fähige Helferobjekt-Instance.
+ Das System stoppt Ihre ursprüngliche Instance und erstellt einen Backup. Anschließend fügt es das ursprüngliche Stamm-Volume an die Helferobjekt-Instance an.
+ Das System verwendetRun Command, um EC2 Rescue auf der Helper-Instance auszuführen. Unter Windows ermöglicht EC2 Rescue die Passwortgenerierung für den lokalen Administrator mithilfe von EC2 Config oder EC2 Launch auf dem angehängten, ursprünglichen Root-Volume. Unter Linux generiert EC2 Rescue einen neuen SSH-Schlüssel, fügt ihn ein und speichert den privaten Schlüssel verschlüsselt unter. Parameter Store Wenn der Vorgang abgeschlossen ist, fügt EC2 Rescue das Root-Volume wieder der ursprünglichen Instanz hinzu.
+ Das System erstellt eine neue Amazon Machine Image (AMI) Ihrer Instance, nachdem die Kennwortgenerierung aktiviert wurde. Mit diesem AMI können Sie gegebenenfalls eine neue EC2-Instance erstellen und ein neues Schlüsselpaar zuordnen.
+ Das System startet die ursprüngliche Instance neu und beendet die temporäre Instance. Das System beendet ebenso die temporäre VPC und die Lambda-Funktionen, die zu Beginn der Automatisierung erstellt wurden.
+ **Windows**: Ihre Instance generiert ein neues Kennwort, das Sie unter Verwendung des aktuellen Schlüsselpaars, das der Instance zugewiesen ist, über die Amazon EC2-Konsole decodieren können.
**Linux**: Sie können eine SSH-Verbindung zur Instance herstellen, indem Sie den SSH-Schlüssel verwenden, der im Systems Manager Parameter Store als **/ec2rl/openssh/ *instance ID* /key** gespeichert ist.
## Bevor Sie beginnen
Bevor Sie die folgende Automation ausführen, führen Sie die folgenden Schritte aus:
+ Kopieren Sie die Instance-ID der Instance, auf der Sie das Administratorpasswort zurücksetzen möchten. Sie legen diese ID im Verfahren fest.
+ Erfassen Sie optional die ID eines Subnetzes in derselben Availability Zone wie Ihre unerreichbare Instance. Die Rescue-Instanz wird in diesem Subnetz erstellt. EC2 Wenn Sie kein Subnetz angeben, erstellt Automation eine neue temporäre VPC in Ihrem. AWS-Konto Stellen Sie sicher, AWS-Konto dass mindestens eine VPC verfügbar ist. Standardmäßig können Sie fünf VPCs in einer Region erstellen. Wenn Sie VPCs in der Region bereits fünf erstellt haben, schlägt die Automatisierung fehl, ohne dass Änderungen an Ihrer Instanz vorgenommen werden. Weitere Informationen zu Amazon VPC-Kontingenten finden Sie unter [VPC und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets) im *Amazon VPC-Benutzerhandbuch*.
+ Optional können Sie eine AWS Identity and Access Management (IAM-) Rolle für die Automatisierung erstellen und angeben. Falls Sie diese Rolle nicht festlegen, wird die Automatisierung im Kontext des Benutzers ausgeführt, der die Automatisierung ausgeführt hat.
### Erteilen Sie AWSSupport-EC 2Rescue-Berechtigungen zur Durchführung von Aktionen auf Ihren Instances
EC2Rescue benötigt die Erlaubnis, während der Automatisierung eine Reihe von Aktionen auf Ihren Instances durchzuführen. Diese Aktionen rufen die AWS Lambda Dienste IAM und Amazon EC2 auf, um sicher und geschützt zu versuchen, Probleme mit Ihren Instances zu beheben. Wenn Sie in Ihrer AWS-Konto und/oder Ihrer VPC über Administratorberechtigungen verfügen, können Sie die Automatisierung möglicherweise ausführen, ohne Berechtigungen zu konfigurieren, wie in diesem Abschnitt beschrieben. Falls Sie keine Administratorberechtigungen besitzen, müssen Sie oder ein Administrator Berechtigungen anhand einer der folgenden Optionen konfigurieren.
+ [Erteilen von Berechtigungen mithilfe von IAM-Richtlinien](#automation-ec2reset-access-iam)
+ [Erteilen von Berechtigungen mithilfe einer CloudFormation Vorlage](#automation-ec2reset-access-cfn)
#### Erteilen von Berechtigungen mithilfe von IAM-Richtlinien
Sie können entweder die folgende IAM-Richtlinie als eingebundene Richtlinie an Ihren Benutzer, Ihre Gruppe oder Ihre Rolle anfügen. Sie können aber auch eine neue verwaltete IAM-Richtlinie erstellen und diese an Ihren Benutzer, Ihre Gruppe oder Ihre Rolle anfügen. Weitere Informationen zum Hinzufügen einer eingebundenen Richtlinie zu Ihrem Benutzerkonto, Ihrer Gruppe oder Ihrer Rolle finden Sie unter [Verwenden von eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html). Weitere Informationen zum Erstellen einer neuen verwalteten Richtlinien finden Sie unter [Verwenden von eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html).
**Anmerkung**
Wenn Sie eine neue IAM-verwaltete Richtlinie erstellen, müssen Sie ihr auch die verwaltete **Amazon SSMAutomation Role** Policy hinzufügen, damit Ihre Instances mit der Systems Manager Manager-API kommunizieren können.
**IAM-Richtlinie für `AWSSupport-ResetAccess`**
Ersetzen Sie es *account ID* durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
#### Erteilen von Berechtigungen mithilfe einer CloudFormation Vorlage
CloudFormation automatisiert den Prozess der Erstellung von IAM-Rollen und -Richtlinien mithilfe einer vorkonfigurierten Vorlage. Gehen Sie wie folgt vor, um die erforderlichen IAM-Rollen und -Richtlinien für EC2 Rescue Automation zu erstellen, indem Sie CloudFormation
**So erstellen Sie die erforderlichen IAM-Rollen und -Richtlinien für Rescue EC2**
1. Laden Sie [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) herunter und extrahieren Sie die `AWSSupport-EC2RescueRole.json`-Datei in ein Verzeichnis auf Ihrem lokalen Computer.
1. Wenn Sie AWS-Konto sich in einer speziellen Partition befinden, bearbeiten Sie die Vorlage, um die ARN-Werte in die für Ihre Partition zu ändern.
Ändern Sie beispielsweise für `arn:aws` alle Fälle von in `arn:aws-cn`.
1. Melden Sie sich bei [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole.
1. Klicken Sie auf **Create stack (Stack erstellen)**, **With new resources (standard) (Mit neuen Ressourcen (Standard))**.
1. Wählen Sie auf der Seite **Create stack (Stack erstellen)** unter **Prerequisite - Prepare template (Voraussetzung – Vorlage vorbereiten)** die Option **Template is ready (Vorlage ist bereit)** aus.
1. Wählen Sie unter **Vorlage angeben** die Option **Vorlagendatei hochladen** aus.
1. Wählen Sie **Choose file** (Datei auswählen) aus, navigieren Sie dann zu der `AWSSupport-EC2RescueRole.json`-Datei aus dem Verzeichnis, in dem Sie sie extrahiert haben, und wählen Sie sie aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Specify stack details (Stack-Details angeben)** für das Feld **Stack name (Stack-Name)** einen Namen ein, um diesen Stack zu identifizieren. Wählen Sie dann **Next (Weiter)** aus.
1. (Optional) Wenden Sie im Bereich „**Tags**“ ein oder mehrere name/value Tag-Schlüsselpaare auf den Stack an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Beispielsweise können Sie einen Stack kennzeichnen, um den Typ der ausgeführten Aufgaben, die Typen von Zielen oder anderen Ressourcen und die Umgebung zu identifizieren, in der er ausgeführt wird.
1. Wählen Sie **Next** (Weiter)
1. Überprüfen Sie auf der Seite **Überprüfen** die Stack-Details, scrollen Sie dann nach unten und wählen Sie die Option **Ich bestätige, dass CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. CloudFormation zeigt für einige Minuten den Status **CREATE\$1IN\$1PROGRESS** an. Nach dem Erstellen des Stacks ändert sich der Status in **CREATE\$1COMPLETE**. Sie können auch auf das Aktualisierungssymbol klicken, um den Status des Erstellungsprozesses zu überprüfen.
1. Wählen Sie in der Stackliste die Option neben dem Stack, den Sie gerade erstellt haben, und wählen Sie dann die Registerkarte **Outputs** (Ausgaben) aus.
1. Kopieren Sie den **Value** (Wert). Das ist der ARN von AssumeRole. Sie geben diesen ARN bei der Ausführung der Automation an.
## Ausführen der Automation
Im folgenden Verfahren wird beschrieben, wie Sie mithilfe der AWS Systems Manager -Konsole das `AWSSupport-ResetAccess`-Runbook ausführen.
**Wichtig**
Die folgende Automatisierung hält die Instance an. Das Anhalten der Instance kann zu Datenverlusten auf den angehängten Instance-Speicher-Volumes (sofern vorhanden) führen. Das Anhalten der Instance kann auch dazu führen, dass die öffentliche IP-Adresse geändert wird, wenn keine elastische IP-Adresse zugeordnet ist. Um diese Konfigurationsänderungen zu vermeiden, verwenden Sie Run Command, um den Zugriff zurückzusetzen. Weitere Informationen finden Sie unter [Using EC2 Rescue for Windows Server with Systems Manager Run Command](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
**So führen Sie die Automatisierung aus AWSSupport-ResetAccess**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Klicken Sie im Navigationsbereich auf **Automation**.
1. Wählen Sie **Automatisierung ausführen**.
1. Wählen Sie im Abschnitt **Automation document (Automatisierungsdokument)** die Option **Owned by Amazon (Im Besitz von Amazon)** aus der Liste aus.
1. Wählen Sie in der Runbooks-Liste die Schaltfläche auf der Karte für **AWSSupport-ResetAccess** und wählen Sie danach **Weiter**.
1. Klicken Sie auf der Seite **Execute automation document (Automation-Dokument ausführen)** auf **Simple execution (Einfache Ausführung)**.
1. Überprüfen Sie im Abschnitt **Document details (Dokumentdetails)**, ob **Document version (Dokumentversion)** auf die höchste Standardversion gesetzt ist. Beispiel: **\$1DEFAULT** oder **3 (default) (3 (Standard))**.
1. Geben Sie im Abschnitt **Input Parameters** die folgenden Parameter an.
1. Geben Sie für **InstanceID** die ID der nicht erreichbaren Instance an.
1. Geben Sie für **SubnetId**ein Subnetz in einer vorhandenen VPC in derselben Availability Zone wie die angegebene Instance an. Standardmäßig erstellt Systems Manager eine neue VPC, aber Sie können ein Subnetz in einer vorhandenen VPC angeben, wenn Sie möchten.
**Anmerkung**
Wenn Sie die Option zur Angabe einer Subnetz-ID nicht sehen, überprüfen Sie, ob Sie die neueste **Default**-Version des Runbooks verwenden.
1. Geben Sie für **EC2RescueInstanceType**einen Instanztyp für die EC2 Rescue-Instanz an. Der Standard-Instance-Typ lautet `t2.medium`.
1. Denn **AssumeRole**wenn Sie Rollen für diese Automatisierung mithilfe des weiter oben in diesem Thema beschriebenen CloudFormation Verfahrens erstellt haben, geben Sie den AssumeRole ARN an, den Sie in der CloudFormation Konsole notiert haben.
1. (Optional) Wenden Sie im Bereich „**Tags**“ ein oder mehrere name/value Tag-Schlüsselpaare an, um beispielsweise die Automatisierung leichter zu identifizieren`Key=Purpose,Value=ResetAccess`.
1. Wählen Sie **Ausführen**.
1. Zur Überwachung des Fortschritts der Automatisierung wählen Sie die laufende Automatisierung und dann die Registerkarte **Steps** (Schritte). Wenn die Automatisierung abgeschlossen ist, wählen Sie die Registerkarte **Descriptions** (Beschreibungen) und dann **View output** (Ausgabe anzeigen), um die Ergebnisse anzuzeigen. Zum Anzeigen der Ausgabe der einzelnen Schritte wählen Sie die Registerkarte **Steps (Schritte)** und dann neben einem Schritt **View Outputs (Ausgabe anzeigen)** aus.
Das Runbook erstellt ein Backup AMI und ein kennwortaktiviertes AMI als Teil der Automatisierung. Alle anderen von der Automatisierung erstellten Ressourcen werden automatisch gelöscht, aber diese AMIs verbleiben in Ihrem Konto. Die AMIs-Namen werden unter Verwendung der folgenden Konvention generiert:
+ Backup AMI: `AWSSupport-EC2Rescue:InstanceID`
+ Passwort-fähiges AMI: AWSSupport-EC 2Rescue: Passwort-fähiges AMI von *Instance ID*
Sie finden diese AMIs, indem Sie nach der Automation-Ausführungs-ID suchen.
Für Linux wird der neue private SSH-Schlüssel für Ihre Instance verschlüsselt in Parameter Store gespeichert. **Der Parametername ist /ec2rl/openssh/ /key. *instance ID***
# Übergabe von Daten an Automation mithilfe von Eingangstransformatoren
Dieses AWS Systems Manager Automation-Tutorial zeigt, wie Sie die Input-Transformer-Funktion von Amazon verwenden EventBridge , um die Daten einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance aus einem Ereignis zur Änderung `instance-id` des Instance-Status zu extrahieren. Automation ist ein Tool in AWS Systems Manager. Wir verwenden den Eingangstransformator, um diese Daten als `InstanceId`-Eingabeparameter an das `AWS-CreateImage`-Runbook zu übergeben. Die Regel wird ausgelöst, wenn eine beliebige Instance in den Status „`stopped`“ übergeht.
Weitere Informationen zur Arbeit mit Eingangstransformatoren finden Sie unter [Tutorial: Use Input Transformer to Customize What to the Event Target](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-input-transformer-tutorial.html) im * EventBridge Amazon-Benutzerhandbuch*.
**Bevor Sie beginnen**
Stellen Sie sicher, dass Sie Ihrer Systems Manager Automation-Servicerolle EventBridge die erforderlichen Berechtigungen und Vertrauensrichtlinien für hinzugefügt haben. Weitere Informationen finden Sie unter [Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre EventBridge Ressourcen](https://docs.aws.amazon.com/eventbridge/latest/userguide/iam-access-control-identity-based-eventbridge.html) im * EventBridge Amazon-Benutzerhandbuch*.
**So verwenden Sie Eingangstransformatoren mit Automatisierung**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich **Regeln** aus.
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.
1. Wählen Sie für **Event Bus** den Event Bus aus, den Sie dieser Regel zuordnen möchten. Wenn Sie möchten, dass diese Regel auf entsprechende Ereignisse reagiert, die von Ihnen selbst stammen AWS-Konto, wählen Sie **Standard** aus. Wenn ein AWS-Service in Ihrem Konto ein Ereignis ausgibt, wird es immer an den Standard-Event-Bus Ihres Kontos weitergeleitet.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie als **Eventquelle AWS ** **Events oder EventBridge Partnerevents** aus.
1. Wählen Sie im Abschnitt **Ereignismuster** die Option **Musterformular verwenden** aus.
1. Als **Event source** (Ereignisquelle) wählen Sie **AWS -Services** aus.
1. Wählen Sie für **AWS -Service** **EC2** aus.
1. Wählen Sie in **Event Type (Ereignistyp)** **EC2 Instance State-change Notification (Benachrichtigung über die Statusänderung der EC2-Instance)** aus
1. Wählen Sie für **Ereignistyp-Spezifikation 1** die Option **Spezifische Zustände** und anschließend **Beendet** aus.
1. Wählen Sie für **Ereignistyp-Spezifikation 2** die Option **Beliebige Instanz** oder wählen Sie **Spezifische Instanz-ID (s)** IDs aus und geben Sie die zu überwachenden Instanzen ein.
1. Wählen Sie **Weiter** aus.
1. Bei **Zieltypen** wählen Sie **AWS -Service** aus.
1. Für **Select target** (Ziel auswählen), wählen Sie **Systems Manager Automation**.
1. Wählen Sie für **Dokument** die Option **AWS- CreateImage**.
1. Wählen Sie im Abschnitt **Configure automation parameter(s)** (Automatisierungsparameter konfigurieren) **Input Transformer** (Eingangstransformator) aus.
1. Geben Sie für **Input path** (Eingabepfad) den Wert **\$1"instance":"\$1.detail.instance-id"\$1** ein.
1. Geben Sie für **Template** (Vorlage) den Wert **\$1"InstanceId":[]\$1** ein.
1. Wählen Sie für **Execution role** (Ausführungsrolle) die Option **Use existing role** (Vorhandene Rolle) verwenden und wählen Sie Ihre Automation-Servicerolle.
1. Wählen Sie **Weiter** aus.
1. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter [Tagging Your Amazon EventBridge Resources](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html) im * EventBridge Amazon-Benutzerhandbuch*.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Details der Regel und wählen Sie dann **Regel erstellen** aus.