您可以在 AMS 标准修补中采取的操作 - AMS 高级用户指南
改变 patched/opting 出来的东西为修补做准备查看补丁设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可以在 AMS 标准修补中采取的操作

除了测试新版本外 AMIs,您还可以采取以下几项措施来管理基础架构的修补:

  • 如果测试更新的时间超过了补丁窗口允许的时间,您可以通过提交服务请求(使用原始服务通知中的详细信息作为基础),请求 AMS 应用在您准备就绪时取消的更新。

  • 您可以提交服务请求,提供更新列表、适用实例和其他相关详细信息,从而请求在下一个自动更新窗口之前应用重要更新 (IU) 或其他更新 (OU)。由于这个 CT 不是自动的,因此需要更长的时间来安排和运行。检查相应时间的服务级别目标 (SLOs)。有关更多信息,请参阅 AMS 服务级别目标 (SLOs)

此外,您还可以使用现有的、已修补的 AMS AMIs 来创建自定义 AMIs。有关信息,请参阅 AMI | 创建

注意

在下一个维护时段之前,您不能根据重要更新或其他更新请求新的 AMS AMI,因为 AMS AMI 的发布流程遵循统一的节奏,以造福所有 AMS 客户。

改变 patched/opting 出来的东西

在 AMS 配置了修补后,在您对修补服务通知的响应或服务请求中,您可以更改要修补的资源。您可执行以下操作:

  • 为每个堆栈和每个操作系统定义应排除在补救范围之外的补丁列表。

  • 定义应从某些补丁或所有修补程序中排除的资源列表。

  • 定义应始终排除在所有修补程序之外的资源列表。

  • 定义应在某一天和特定时间修补的资源列表(如果您尚未定义维护时段,则不错)。

要排除一个或多个补丁,请使用下文提供的模板提交服务请求或回复修补服务通知。不要提交 RFC。在请求中包含您想要排除的一个或多个补丁名称以及原因。在服务请求中包含此信息,如下所示:

  • 名称:补丁的名称。对于 Windows 补丁,这是知识库名称,例如KB3145384。对于 Linux 补丁,这是软件包名称,例如openssh-6.6.1p1-25.61.amzn1.x86_64

  • 原因:一条注释,说明为什么要排除补丁。

  • 到期时间:排除的 date/time 到期时间。

如果已安装排除的修补程序,则将其删除。

如果排除这些补丁会带来重大安全风险,运营商将对请求进行审查,运营商将与您讨论。除外补丁的到期日期也需要协商。在商定的到期日期之后,排除将过期,并且该修补程序将安装在任何后续补丁中。

如果适用,排除列表中的补丁仍会在扫描结果中返回。

注意

与 Windows 不同,Linux 补丁是特定版本的。这种区别很重要,因为排除的修补程序的新版本不会被自动排除在外。如果你想这样做,你有责任通知 AMS 排除新版本的 Linux 补丁。

补丁服务通知回复模板

您必须使用指定的格式回复修补服务通知,才能对您的实例执行修补。如果您尚未使用 AMS 设置维护时段,则应执行此操作。

回复服务通知时,请使用给定的格式。

如果未设置维护时段,请告诉我们何时需要修补内容,如下所示:

UTC                 StartTime       StackId                     InstanceId (Optional)
2019-04-01          15:00           stack-123456789012          i-1234566789
2019-04-01          15:00           stack-123456789013          i-1234566784
2019-04-01          15:00           stack-123456789014          i-1234566783
2019-04-01          15:00           stack-123456789015          i-1234566782

如果您设置了维护时段,并且希望将某些资源排除在某些补丁之外,请使用以下格式:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                PATCH
stack-123456789013          i-1234566784                PATCH
stack-123456789014          i-1234566783                PATCH
stack-123456789015          i-1234566782                PATCH

如果您设置了维护时段,并且希望始终将某些资源排除在所有补丁之外,请使用以下格式:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                ALL
stack-123456789015          i-1234566782                ALL

为修补做准备

为了让您的环境做好自动修补准备,我们建议您采取以下措施:

  • 请确保您有要修补的所有实例的完整清单。

  • 作为业务连续性战略的一部分,请确保定期备份您的资源。其他备份是作为补丁序列的一部分创建的,这些备份会根据您配置的 Patch Orchestrator 保留策略(默认为 60 天)自动删除。

  • 确保所有相关许可证都是最新的。

  • 修改堆栈维护窗口以错开修补程序,以便在生产堆栈之前先修补测试堆栈。这样,任何修补错误都可以在测试堆栈中找到,并且可以在修补生产堆栈之前进行识别。

查看补丁设置

要了解您当前的修补配置是什么,可以执行以下操作:

  • 使用查询向 AMS 提交服务请求。

  • 等待补丁服务通知。修补通知会告知您要应用的所有补丁和要修补的实例,还会建议您设置一个补丁窗口。

您可以提交服务请求来修改以下内容:

  • 扫描间隔:在此堆栈的实例上执行合规性扫描之间的间隔时间,以分钟为单位。

    默认为240(4 小时)。

  • NotificationWindow:应在计划更改(补丁)之前多长时间(以分钟为单位)将通知发送给您。 默认为10080(7 天)。