Affectation de tâches à une fenêtre de maintenance à l’aide de la console - AWS Systems Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Affectation de tâches à une fenêtre de maintenance à l’aide de la console

Dans cette procédure, vous ajoutez une tâche à une fenêtre de maintenance. Les tâches sont les actions qui sont effectuées lors de l'exécution d'une fenêtre de maintenance.

Les quatre types de tâches peuvent être ajoutés à une fenêtre de maintenance :

  • Commandes de l'AWS Systems Manager Run Command

  • Flux de travail Systems Manager Automation

  • AWS Step Functions tâches

  • AWS Lambda fonctions

    Important

    La politique IAM pour Maintenance Windows exige que vous donniez un préfixe SSM à la fonction Lambda (ou alias). Avant de procéder à l'enregistrement de ce type de tâche, mettez à jour son nom AWS Lambda pour inclureSSM. Par exemple, si votre nom de fonction Lambda est MyLambdaFunction, remplacez-le par SSMMyLambdaFunction.

Pour attribuer des tâches à une fenêtre de maintenance

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Maintenance Windows.

  3. Dans la liste des fenêtres de maintenance, sélectionnez une fenêtre de maintenance.

  4. Sélectionnez Actions, puis sélectionnez l'option pour le type de tâche que vous voulez enregistrer avec la fenêtre de maintenance.

    • Enregistrer une tâche d'exécution de commande

    • Enregistrer la tâche Automation

    • Enregistrer une tâche Lambda

    • Enregistrer la tâche Step Functions

      Note

      Les tâches de fenêtre de maintenance prennent uniquement en charge les flux de travail de machine d’état Standard Step Functions. Elles ne prennent pas en charge les flux de travail de machine d’état Express. Pour plus d’informations sur les types de flux de travail de machine d’état, consultez Flux de travail Standard vs. Express dans le Guide du développeur AWS Step Functions .

  5. (Facultatif) Pour Name (Nom), saisissez un nom pour la tâche.

  6. (Facultatif) Sous Description, entrez une description.

  7. Dans New task invocation cutoff (Nouvelle limite d'appel de tâches), si vous ne souhaitez pas que de nouveaux appels de tâches soient lancés une fois le délai attribué à la fenêtre de maintenance écoulé, sélectionnez Enabled (Activé).

    Lorsque cette option n'est pas activée, la tâche continue de s'exécuter une fois le délai écoulé et lance de nouveaux appels de tâches jusqu'à ce que celles-ci soient accomplies.

    Note

    L'état des tâches qui ne sont pas terminées lorsque vous activez cette option est TIMED_OUT.

  8. Pour cette étape, choisissez l’onglet correspondant au type de tâche sélectionné.

    Fonctionnalité Exécuter la commande

    1. Dans la liste des documents Command, choisissez le document Command Systems Manager (document SSM) qui définit les tâches à exécuter.

    2. Pour Version du document, sélectionnez la version de document à utiliser.

    3. Pour Priorité de tâche, spécifiez la priorité de cette tâche. Zéro (0) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité des tâches qui ont la même priorité planifiée en parallèle.

    Automation

    1. Dans la liste des documents Automation, choisissez le dossier d’exploitation Automation qui définit les tâches à exécuter.

    2. Pour Document version (Version du document), sélectionnez la version du runbook à utiliser.

    3. Pour Priorité de tâche, spécifiez la priorité de cette tâche. Zéro (0) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité des tâches qui ont la même priorité planifiée en parallèle.

    Lambda

    1. Dans Paramètres Lambda, sélectionnez une fonction Lambda dans la liste.

    2. (Facultatif) Indiquez un contenu pour Payload (Charge utile), Client Context (Contexte client) ou Qualifier (Qualificateur) que vous souhaitez inclure.

      Note

      Dans certains cas, vous pouvez utiliser un pseudo‑paramètre dans votre valeur Payload. Une fois que la tâche de fenêtre de maintenance s’exécute, elle transmet les valeurs correctes au lieu des paramètres fictifs. Pour plus d'informations, consultez Utiliser des pseudo paramètres lors de l’enregistrement des tâches de la fenêtre de maintenance.

    3. Pour Priorité de tâche, spécifiez la priorité de cette tâche. Zéro (0) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité des tâches qui ont la même priorité planifiée en parallèle.

    Step Functions

    1. Dans Paramètres Step Functions, sélectionnez une machine d’état dans la liste.

    2. (Facultatif) Indiquez un nom pour l'exécution de la machine d'état et tout contenu pour Input (Entrée) que vous souhaitez inclure.

      Note

      Dans certains cas, vous pouvez utiliser un pseudo‑paramètre dans votre valeur Input. Une fois que la tâche de fenêtre de maintenance s’exécute, elle transmet les valeurs correctes au lieu des paramètres fictifs. Pour plus d'informations, consultez Utiliser des pseudo paramètres lors de l’enregistrement des tâches de la fenêtre de maintenance.

    3. Pour Priorité de tâche, spécifiez la priorité de cette tâche. Zéro (0) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité des tâches qui ont la même priorité planifiée en parallèle.

  9. Dans la zone Cibles, sélectionnez l'une des options suivantes :

    • Sélection de groupes cibles enregistrés : sélectionnez une ou plusieurs cibles de fenêtre de maintenance que vous avez enregistrées avec la fenêtre de maintenance actuelle.

    • Sélection de cibles non enregistrées : sélectionnez les ressources disponibles une par une comme cibles pour la tâche.

      Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez Résolution des problèmes de disponibilité des nœuds gérés pour obtenir des conseils de dépannage.

    • Cible de tâche non requise : les cibles de la tâche peuvent déjà être spécifiées dans d'autres fonctions pour toutes les tâches à l'exception des tâches de type Run Command.

      Spécifiez une ou plusieurs cibles pour des tâches de fenêtre de maintenance de type Run Command. En fonction de la tâche, les cibles sont facultatives pour les autres types de tâches de la fenêtre de maintenance (Automation AWS Lambda, et AWS Step Functions). Pour de plus amples informations sur l'exécution de tâches qui ne spécifient pas de cibles, consultez Enregistrement de tâches de fenêtre de maintenance sans cibles.

      Note

      Dans la plupart des cas, il est inutile de spécifier explicitement une cible pour une tâche d'automatisation. Par exemple, supposons que vous créiez une tâche de type Automation pour mettre à jour une Amazon Machine Image (AMI) pour Linux à l'aide du runbook AWS-UpdateLinuxAmi. Lorsque la tâche s'exécute, l'AMI est mise à jour avec les derniers packages de distribution Linux et les logiciels Amazon disponibles. Ces mises à jour sont déjà installées sur les nouvelles instances créées à partir de l'AMI. Comme l'ID de l'AMI à mettre à jour est spécifié dans les paramètres d'entrée du runbook, il est inutile de spécifier à nouveau une cible dans la tâche de la fenêtre de maintenance.

  10. Tâches Automation uniquement :

    Dans Paramètres d'entrée, fournissez des valeurs pour tous les paramètres requis ou facultatifs nécessaires à l'exécution de votre tâche.

    Note

    Dans certains cas, vous pouvez utiliser un pseudo‑paramètre pour certaines valeurs de paramètres d’entrée. Une fois que la tâche de fenêtre de maintenance s’exécute, elle transmet les valeurs correctes au lieu des paramètres fictifs. Pour plus d'informations, consultez Utiliser des pseudo paramètres lors de l’enregistrement des tâches de la fenêtre de maintenance.

  11. Pour Rate control (Contrôle de débit) :

    • Dans Concurrency (Simultanéité), spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.

      Note

      Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.

    • Dans Error threshold (Seuil d'erreur), indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

  12. (Facultatif) Pour rôle de service IAM, choisissez un rôle pour permettre à Systems Manager d’exécuter les tâches de fenêtre de maintenance.

    Si vous ne spécifiez pas d’ARN de rôle de service, Systems Manager utilise un rôle lié à un service dans votre compte. Ce rôle n’apparaît pas dans le menu déroulant. S’il n’existe aucun rôle lié au service approprié pour Systems Manager dans votre compte, il sera créé lors de l’enregistrement de la tâche.

    Note

    Pour améliorer la posture de sécurité, nous vous recommandons vivement de créer une politique personnalisée et un rôle de service personnalisé pour exécuter les tâches de votre fenêtre de maintenance. La politique peut être conçue de manière à fournir uniquement les autorisations nécessaires pour les tâches spécifiques de votre fenêtre de maintenance. Pour de plus amples informations, veuillez consulter Configuration de Maintenance Windows.

  13. Tâches Run Command uniquement :

    (Facultatif) Pour Output options (Options de sortie), procédez de l'une des manières suivantes :

    • Cochez la case Activer l'écriture dans S3 pour enregistrer la sortie de la commande dans un fichier. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.

    • Cochez la case CloudWatch de sortie pour écrire la sortie complète dans Amazon CloudWatch Logs. Entrez le nom d'un groupe de CloudWatch journaux Logs.

      Note

      Les autorisations qui permettent d'écrire des données dans un compartiment S3 ou dans CloudWatch des journaux sont celles du profil d'instance attribué au nœud, et non celles de l'utilisateur IAM effectuant cette tâche. Pour plus d’informations, consultez la section Configurer des autorisations d’instance requises pour Systems Manager. En outre, si le compartiment ou le groupe de journaux S3 spécifié se trouve dans un autre compartiment Compte AWS, vérifiez que le profil d'instance associé au nœud dispose des autorisations nécessaires pour écrire dans ce compartiment.

  14. Tâches Run Command uniquement :

    Dans la section SNS notifications (Notifications SNS), si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case Enable SNS notifications (Activer les notifications SNS).

    Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS.

  15. Tâches Run Command uniquement :

    Dans la section Parameters (Paramètres), spécifiez les paramètres du document.

    Note

    Dans certains cas, vous pouvez utiliser un pseudo‑paramètre pour certaines valeurs de paramètres d’entrée. Une fois que la tâche de fenêtre de maintenance s’exécute, elle transmet les valeurs correctes au lieu des paramètres fictifs. Pour plus d'informations, consultez Utiliser des pseudo paramètres lors de l’enregistrement des tâches de la fenêtre de maintenance.

  16. Tâches Automation et Run Command uniquement :

    (Facultatif) Dans la zone CloudWatch d'alarme, pour Nom de l'alarme, choisissez une CloudWatch alarme existante à appliquer à votre tâche de surveillance.

    Si l’alarme s’active, la tâche est arrêtée.

    Note

    Pour associer une CloudWatch alarme à votre tâche, le principal IAM qui exécute la tâche doit être autorisé à effectuer l'iam:createServiceLinkedRoleaction. Pour plus d'informations sur les CloudWatch alarmes, consultez la section Utilisation des CloudWatch alarmes Amazon.

  17. En fonction de votre type de tâche, choisissez l’une des options suivantes :

    • Enregistrer une tâche d'exécution de commande

    • Enregistrer la tâche Automation

    • Enregistrer une tâche Lambda

    • Enregistrer la tâche Step Functions