Ações que você pode realizar na aplicação de patches padrão do AMS - Guia do usuário avançado do AMS
Mudando o que patched/opting saiPreparando-se para a aplicação de patchesVisualizando as configurações do patch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ações que você pode realizar na aplicação de patches padrão do AMS

Além de testar novas AMIs, há várias ações que você pode tomar para gerenciar a correção de sua infraestrutura:

  • Se o teste das atualizações demorou mais do que o permitido pela janela de patch, você pode solicitar que o AMS aplique as atualizações que foram canceladas quando você estiver pronto, enviando uma solicitação de serviço (use os detalhes na notificação de serviço original como base).

  • Você pode solicitar que uma atualização importante (IU) ou outra atualização (OU) seja aplicada antes da próxima janela de atualização automática enviando uma solicitação de serviço fornecendo uma lista das atualizações, das instâncias aplicáveis e outros detalhes, conforme apropriado. Como essa tomografia computadorizada não é automatizada, ela leva mais tempo para ser programada e executada. Verifique os objetivos do nível de serviço (SLOs) para saber o momento apropriado. Para obter mais informações, consulte Objetivos de nível de serviço do AMS (SLOs).

Além disso, você pode usar o AMS existente e corrigido AMIs para criar itens personalizados AMIs. Para obter informações, consulte AMI | Create.

nota

Você não pode solicitar uma nova AMI do AMS com base em uma atualização importante ou outra atualização antes da próxima janela de manutenção, pois o processo de lançamento do AMS AMS segue um ritmo uniforme para o benefício de todos os clientes do AMS.

Mudando o que patched/opting sai

Com o patch configurado pelo AMS, em sua resposta à notificação do serviço de patch ou em uma solicitação de serviço, você pode alterar quais recursos são corrigidos. Você pode fazer o seguinte:

  • Defina uma lista de patches que devem ser excluídos da correção, por pilha e por sistema operacional.

  • Defina uma lista de recursos que devem ser excluídos de determinados patches ou de todos os patches.

  • Defina uma lista de recursos que sempre devem ser excluídos de todas as correções.

  • Defina uma lista de recursos que devem ser corrigidos em um determinado dia e horário (bom se você não tiver definido uma janela de manutenção).

Para excluir um ou mais patches, envie uma solicitação de serviço ou responda à notificação do serviço de patches usando o modelo fornecido a seguir. Não envie um RFC. Inclua na solicitação o nome ou nomes do patch que você deseja excluir e por quê. Inclua essas informações em uma solicitação de serviço da seguinte forma:

  • Nome: O nome do patch. Para patches do Windows, esse é o nome do KB, comoKB3145384. Para patches do Linux, esse é o nome do pacote, comoopenssh-6.6.1p1-25.61.amzn1.x86_64.

  • Motivo: Um comentário indicando por que o patch está sendo excluído.

  • Tempo de expiração: o date/time momento em que a exclusão expira.

Se um patch excluído já estiver instalado, ele será removido.

A solicitação é analisada por um operador que discutirá o assunto com você se a exclusão desses patches representar um risco significativo de segurança. A data de validade dos patches excluídos também é negociada. Após a data de expiração acordada, a exclusão expira e o patch é instalado em qualquer patch subsequente.

Os patches na lista de exclusão ainda são retornados nos resultados da verificação, se aplicável.

nota

Diferentemente do Windows, os patches do Linux são específicos para cada versão. Essa distinção é importante porque novas versões de um patch excluído não são excluídas automaticamente. É sua responsabilidade notificar o AMS para excluir novas versões de um patch do Linux, se é isso que você deseja fazer.

Modelos de resposta de notificação do serviço de patch

Você deve responder às notificações do serviço de patches, usando o formato especificado, para que os patches sejam executados em suas instâncias. Você deve fazer isso se ainda não tiver definido uma janela de manutenção com o AMS.

Ao responder a uma notificação de serviço, use o formato fornecido.

Se nenhuma janela de manutenção estiver definida, informe-nos quando corrigir o que é mostrado a seguir:

UTC                 StartTime       StackId                     InstanceId (Optional)
2019-04-01          15:00           stack-123456789012          i-1234566789
2019-04-01          15:00           stack-123456789013          i-1234566784
2019-04-01          15:00           stack-123456789014          i-1234566783
2019-04-01          15:00           stack-123456789015          i-1234566782

Se você tiver uma janela de manutenção definida e quiser que determinados recursos sejam excluídos de determinados patches, use o seguinte formato:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                PATCH
stack-123456789013          i-1234566784                PATCH
stack-123456789014          i-1234566783                PATCH
stack-123456789015          i-1234566782                PATCH

Se você tiver uma janela de manutenção definida e quiser que determinados recursos sejam sempre excluídos de todas as correções, use o seguinte formato:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                ALL
stack-123456789015          i-1234566782                ALL

Preparando-se para a aplicação de patches

Para preparar seu ambiente para a aplicação automática de patches, recomendamos o seguinte:

  • Certifique-se de ter um inventário completo de todas as instâncias a serem corrigidas.

  • Garanta que seus recursos sejam copiados regularmente como parte de sua estratégia de continuidade de negócios. Backups adicionais são criados como parte da sequência de patches e excluídos automaticamente de acordo com sua política de retenção configurada do Patch Orchestrator (o padrão é 60 dias).

  • Certifique-se de que todas as licenças relevantes estejam atualizadas.

  • Modifique suas janelas de manutenção de pilhas para escalonar a aplicação de patches para que as pilhas de teste sejam corrigidas antes das pilhas de produção. Dessa forma, quaisquer erros com a correção são encontrados nas pilhas de teste e podem ser identificados antes que as pilhas de produção sejam corrigidas.

Visualizando as configurações do patch

Para descobrir qual é sua configuração atual de patches, você pode fazer o seguinte:

  • Envie uma solicitação de serviço ao AMS com a consulta.

  • Aguarde uma notificação do serviço de patch. O aviso de patch informa sobre todos os patches a serem aplicados e as instâncias a serem corrigidas, além de sugerir uma janela de patch.

Você pode enviar uma solicitação de serviço para modificar o seguinte:

  • Intervalo de verificação: a quantidade de tempo, em minutos, entre as verificações de conformidade realizadas em instâncias dessa pilha.

    O padrão é 240 (4 horas).

  • NotificationWindow: Com que antecedência (em minutos) de uma alteração programada (patch) a notificação deve ser enviada a você. O padrão é 10080 (7 dias).