了解 AMS Accelerate 中的补丁通知和补丁故障 - AMS 加速用户指南
补丁服务请求和电子邮件通知通过 CloudWatch 事件发送补丁通知补丁失败调查

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 AMS Accelerate 中的补丁通知和补丁故障

重要

从 2025 年 2 月 1 日起,AMS 客户将不再在其托管账户中收到补丁维护窗口为空的通知。

补丁服务请求和电子邮件通知

AMS 在下一个补丁维护窗口之前四天创建新的服务请求。例如,在名为 App1 PROD 的补丁维护窗口运行前四天,AMS 为 App1 Prod for Account [账户 ID] 创建了一个名为 “四月补丁维护窗口” 的服务请求。如果您需要调整计划补丁或跳过即将发布的补丁,请使用补丁服务请求与 AMS 沟通。创建服务请求后,系统会向您的补丁通知地址发送一封包含服务请求链接的电子邮件。每当 AMS 更新服务请求时,您都会收到一封额外的电子邮件。

注意

即使补丁维护窗口是在计划运行前不到四天创建的,AMS 也会创建新的服务请求。

修补程序维护窗口必须处于 “启用” 状态才能接收服务请求通知。

在修补开始前一小时,AMS 会通过补丁服务请求通知您。修补完成后,AMS 会使用指向 Patch Manager 控制台的链接更新补丁服务请求。使用该链接查看补丁维护窗口所针对的实例的补丁合规性。

注意

Patch Manager 控制台中的链接显示了实例的当前合规性。如果在 AMS 完成修补和您访问链接之间发布了新补丁,则补丁管理器会将实例显示为不合规。

通过 CloudWatch 事件发送补丁通知

在补丁过程中,AMS 会发送三次 CloudWatch 事件,包括:

  • 在补丁维护窗口运行前四天。

  • 补丁维护窗口运行前一小时。

  • 补丁维护窗口结束时。

以下是补丁维护窗口高级通知事件架构:

{
    "version": "0",
    "id": "37004d81-458d-2cef-fe1c-8afa8af30406",
    "detail-type": "AMS Patch Window Execution State Change",
    "source": "aws.managedservices",
    "account": "145917996532",
    "time": "2021-05-20T02:00:00Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaab"
    ],
    "detail": {
        "State": "PREEMPTIVE",
        "StartTime": "2021-05-24T02:00:00.000000",
        "WindowArn": "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "Results": "[{\"instanceId\": \"i-0000000aaaaaaaaaa\"}, {\"instanceId\": \"i-0000000aaaaaaaaab\"}]"
    }
}

下表描述了补丁维护窗口预先通知事件架构:

补丁通知详情
属性名称 说明 样本值

状态

修补维护时段的状态

PREEMPTIVE-补丁窗口计划很快开始

状态

修补维护窗口的状态

成功-所有实例均已修补完毕,未出现故障

失败 — 至少有一个实例无法修补

StartTime

修补维护时段的开始时间,采用 ISO 格式

2021-02-03T 22:14:05 .814 308

WindowArn

修补维护窗口的唯一标识符

arn: aws: ssm: us-east-1:123456789012: maintancewindow/mw-00000001235

结果

补丁窗口所针对的实例列表

InstanceId — 目标实例的实例 ID

以下是补丁维护窗口结束事件架构:

{"version": "0",
    "id": "0f25add5-44a9-0702-d2bc-bd2102affefe",
    "detail-type": "AMS Patch Window Execution State Change",
    "source": "aws.managedservices",
    "account": "123456789012",
    "time": "2021-02-03T22:14:06Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaab"
    ],
    "detail": {"State": "[COMPLETED]",
        "Status": "SUCCESS",
        "StartTime": "2021-02-03T22:12:00.814308",
        "EndTime": "2021-02-03T22:14:05.814309",
        "WindowArn": "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "WindowExecutionId": "e32088eb-c05f-4c63-b766-6866e163c818",
        "Results": "[{\"instanceId\": \"i-0000000aaaaaaaaaa\", \"status\": \"Success\", \"missing_critical_patch_count\": 0, \"missing_total_patch_count\": 0} }, {\"instanceId\": \"i-0000000aaaaaaaaab\", \"status\": Success}, \"missing_critical_patch_count\": 0, \"missing_total_patch_count\": 0}]"
    }
}

下表描述了补丁维护窗口结束事件架构:

补丁窗口结束细节
属性名称 说明 样本值

状态

修补维护时段的状态

已完成-修补窗口已完成

状态

修补维护窗口的状态

成功-所有实例都已修补完毕,没有出现故障

失败 — 至少有一个实例无法修补

StartTime

修补维护时段的开始时间,采用 ISO 格式

2021-02-03T 22:14:05 .814 308

EndTime

修补维护时段的结束时间,采用 ISO 格式

2021-02-03T 23:14:05 .814 308

WindowArn

修补维护时段的唯一标识符。

arn: aws: ssm: us-east-1:123456789012: maintancewindow/mw-00000001235

WindowExecutionId

窗口执行 ID,可以从 SSM 维护窗口控制台中看到

e32088eb-c05f-4c63-b766-6866e163c818

结果

补丁窗口将瞄准的实例列表

InstanceId — 目标实例 ID

状态 — 实例补丁状态

missing_critical_patch_count-实例上缺少的关键补丁数量

missing_total_patch_count-实例上缺失的补丁总数

您可以使用 Events CloudWatch 事件来触发一条 CloudWatch 规则,该规则会在发送修补维护窗口预先通知时通知您。为此,请使用以下配置配置 CloudWatch 规则:

{
    "source": [
        "aws.managedservices"
    ],
    "detail-type": [
        "AMS Patch Window Execution State Change"
    ],
    "detail": {
        "State": ["PREEMPTIVE"]
    }
}
注意

不会为操作系统不支持的实例创建补丁失败警报,也不会为在维护时段内停止的实例创建补丁失败警报。

AMS 中的补丁失败调查

AWS Managed Services (AMS) 负责管理补丁并包括补丁故障修复。修补失败时,AMS 运营部门会收到警报,并尝试按照 AWS AMS 最佳实践进行补救以解决问题。

<instance-id>如果补丁失败,AMS 会在账户 OpsItem 中创建一个 SSM,标题如下:AWS Managed Services — 例如补丁实例故障

然后,AMS进行调查. OpsItem 如果 AMS 可以在没有您干预的情况下纠正故障,那么 AMS 就会解决。 OpsItem如果需要您的干预,AMS 会通过包含调查结果和建议补救步骤的服务请求通知您。如果您不采取措施来解决问题,AMS 会尝试在下一个预定的补丁维护窗口期间修补实例。

注意

对于操作系统 OpsItems 不支持的实例,或者在补丁维护时段内处于 “已停止” 状态的实例,不会造成补丁失败。