本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 AMS Accelerate 中的补丁通知和补丁故障
<a name="acc-patch-mon-remediate"></a>

**重要**  
从 2025 年 2 月 1 日起，AMS 客户将不再在其托管账户中收到补丁维护窗口为空的通知。

## 补丁服务请求和电子邮件通知
<a name="acc-patch-notification"></a>

AMS 在下一个补丁维护窗口之前四天创建新的服务请求。例如，在名为 App1 PROD 的补丁维护窗口运行前四天，AMS 为 **App1 Prod** for Account **[账户 ID] 创建了一个名为 “四月补丁维护窗口” 的**服务请求。如果您需要调整计划补丁或跳过即将发布的补丁，请使用补丁服务请求与 AMS 沟通。创建服务请求后，系统会向您的补丁通知地址发送一封包含服务请求链接的电子邮件。每当 AMS 更新服务请求时，您都会收到一封额外的电子邮件。

**注意**  
即使补丁维护窗口是在计划运行前不到四天创建的，AMS 也会创建新的服务请求。  
[修补程序维护窗口必须处于 “启用” 状态](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-disable.html)才能接收服务请求通知。

在修补开始前一小时，AMS 会通过补丁服务请求通知您。修补完成后，AMS 会使用指向 Patch Manager 控制台的链接更新补丁服务请求。使用该链接查看补丁维护窗口所针对的实例的补丁合规性。

**注意**  
Patch Manager 控制台中的链接显示了实例的当前合规性。如果在 AMS 完成修补和您访问链接之间发布了新补丁，则补丁管理器会将实例显示为不合规。

## 通过 CloudWatch 事件发送补丁通知
<a name="acc-patch-event-notification"></a>

在补丁过程中，AMS 会发送三次 CloudWatch 事件，包括：
+ 在补丁维护窗口运行前四天。
+ 补丁维护窗口运行前一小时。
+ 补丁维护窗口结束时。

以下是补丁维护窗口高级通知事件架构：

```
{
    "version": "0",
    "id": "37004d81-458d-2cef-fe1c-8afa8af30406",
    "detail-type": "AMS Patch Window Execution State Change",
    "source": "aws.managedservices",
    "account": "145917996532",
    "time": "2021-05-20T02:00:00Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaab"
    ],
    "detail": {
        "State": "PREEMPTIVE",
        "StartTime": "2021-05-24T02:00:00.000000",
        "WindowArn": "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "Results": "[{\"instanceId\": \"i-0000000aaaaaaaaaa\"}, {\"instanceId\": \"i-0000000aaaaaaaaab\"}]"
    }
}
```

下表描述了补丁维护窗口预先通知事件架构：


**补丁通知详情**  

| 属性名称 | 说明 | 样本值 | 
| --- | --- | --- | 
| 状态 | 修补维护时段的状态 | PREEMPTIVE-补丁窗口计划很快开始 | 
| 状态 | 修补维护窗口的状态 | 成功-所有实例均已修补完毕，未出现故障<br />失败 — 至少有一个实例无法修补 | 
| StartTime | 修补维护时段的开始时间，采用 ISO 格式 | 2021-02-03T 22:14:05 .814 308 | 
| WindowArn | 修补维护窗口的唯一标识符 | arn: aws: ssm: us-east-1:123456789012: maintancewindow/mw-00000001235 | 
| 结果 | 补丁窗口所针对的实例列表 | InstanceId — 目标实例的实例 ID | 

以下是补丁维护窗口结束事件架构：

```
{"version": "0",
    "id": "0f25add5-44a9-0702-d2bc-bd2102affefe",
    "detail-type": "AMS Patch Window Execution State Change",
    "source": "aws.managedservices",
    "account": "123456789012",
    "time": "2021-02-03T22:14:06Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaab"
    ],
    "detail": {"State": "[COMPLETED]",
        "Status": "SUCCESS",
        "StartTime": "2021-02-03T22:12:00.814308",
        "EndTime": "2021-02-03T22:14:05.814309",
        "WindowArn": "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "WindowExecutionId": "e32088eb-c05f-4c63-b766-6866e163c818",
        "Results": "[{\"instanceId\": \"i-0000000aaaaaaaaaa\", \"status\": \"Success\", \"missing_critical_patch_count\": 0, \"missing_total_patch_count\": 0} }, {\"instanceId\": \"i-0000000aaaaaaaaab\", \"status\": Success}, \"missing_critical_patch_count\": 0, \"missing_total_patch_count\": 0}]"
    }
}
```

下表描述了补丁维护窗口结束事件架构：


**补丁窗口结束细节**  

| 属性名称 | 说明 | 样本值 | 
| --- | --- | --- | 
| 状态 | 修补维护时段的状态 | 已完成-修补窗口已完成 | 
| 状态 | 修补维护窗口的状态 | 成功-所有实例都已修补完毕，没有出现故障<br />失败 — 至少有一个实例无法修补 | 
| StartTime | 修补维护时段的开始时间，采用 ISO 格式 | 2021-02-03T 22:14:05 .814 308 | 
| EndTime | 修补维护时段的结束时间，采用 ISO 格式 | 2021-02-03T 23:14:05 .814 308 | 
| WindowArn | 修补维护时段的唯一标识符。 | arn: aws: ssm: us-east-1:123456789012: maintancewindow/mw-00000001235 | 
| WindowExecutionId | 窗口执行 ID，可以从 SSM 维护窗口控制台中看到 | e32088eb-c05f-4c63-b766-6866e163c818 | 
| 结果 | 补丁窗口将瞄准的实例列表 | InstanceId — 目标实例 ID<br />状态 — 实例补丁状态<br />missing\_critical\_patch\_count-实例上缺少的关键补丁数量<br />missing\_total\_patch\_count-实例上缺失的补丁总数 | 

您可以使用 Events CloudWatch 事件来触发一条 CloudWatch 规则，该规则会在发送修补维护窗口预先通知时通知您。为此，请使用以下配置配置 CloudWatch 规则：

```
{
    "source": [
        "aws.managedservices"
    ],
    "detail-type": [
        "AMS Patch Window Execution State Change"
    ],
    "detail": {
        "State": ["PREEMPTIVE"]
    }
}
```

**注意**  
不会为操作系统不支持的实例创建补丁失败警报，也不会为在维护时段内停止的实例创建补丁失败警报。

## AMS 中的补丁失败调查
<a name="acc-patch-remediation"></a>

AWS Managed Services (AMS) 负责管理补丁并包括补丁故障修复。修补失败时，AMS 运营部门会收到警报，并尝试按照 AWS AMS 最佳实践进行补救以解决问题。

<instance-id>如果补丁失败，AMS 会在账户 OpsItem 中创建一个 SSM，标题如下：**AWS Managed Services — 例如补丁实例故障**。

然后，AMS进行调查. OpsItem 如果 AMS 可以在没有您干预的情况下纠正故障，那么 AMS 就会解决。 OpsItem如果需要您的干预，AMS 会通过包含调查结果和建议补救步骤的服务请求通知您。如果您不采取措施来解决问题，AMS 会尝试在下一个预定的补丁维护窗口期间修补实例。

**注意**  
对于操作系统 OpsItems 不支持的实例，或者在补丁维护时段内处于 “已停止” 状态的实例，不会造成补丁失败。