您可以在 AMS 標準修補中採取的動作 - AMS 進階使用者指南
變更修補/選擇退出的項目準備修補檢視修補程式設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您可以在 AMS 標準修補中採取的動作

除了測試新的 AMIs 之外,您還可以採取數種動作來管理基礎設施的修補:

  • 如果測試更新的時間超過允許的修補程式時段,您可以提交服務請求 (使用原始服務通知中的詳細資訊作為基礎),請求 AMS 套用當您準備好時取消的更新。

  • 您可以提交服務請求,視需要提供更新清單、適用的執行個體和其他詳細資訊,以請求在下一個自動更新時段之前套用重要的更新 (IU) 或其他更新 (OU)。由於此 CT 並非自動化,因此排程和執行需要更長的時間。檢查服務層級目標 SLOs) 是否有適當的時間。如需詳細資訊,請參閱AMS 服務水準目標 SLOs)

此外,您可以使用現有的修補 AMS AMIs 來建立自訂 AMIs。如需詳細資訊,請參閱 AMI | Create

注意

您無法在下一個維護時段之前根據重要更新或其他更新來請求新的 AMS AMI,因為 AMS AMI 發行程序會遵循一致的節奏,以造福所有 AMS 客戶。

變更修補/選擇退出的項目

使用 AMS 設定的修補,在修補服務通知的回應中或服務請求中,您可以變更要修補的資源。您可以執行下列作業:

  • 定義應該從修復、每個堆疊和每個作業系統中排除的修補程式清單。

  • 定義應從特定修補程式或所有修補中排除的資源清單。

  • 定義應一律從所有修補中排除的資源清單。

  • 定義應該在特定日期和特定時間修補的資源清單 (如果您尚未定義維護時段,則為佳)。

若要排除一或多個修補程式,請提交服務請求,或使用接下來提供的範本回應修補服務通知。請勿提交 RFC。在請求中包含您想要排除的修補程式名稱和原因。在服務請求中包含此資訊,如下所示:

  • 名稱:修補程式的名稱。對於 Windows 修補程式,這是 KB 名稱,例如 KB3145384。對於 Linux 修補程式,這是套件名稱,例如 openssh-6.6.1p1-25.61.amzn1.x86_64

  • 原因:指出為什麼要排除修補程式的註解。

  • 過期時間:排除過期的日期/時間。

如果已安裝排除的修補程式,則會將其移除。

如果排除這些修補程式會造成重大的安全風險,則 運算子會檢閱請求,並與您進行討論。也會交涉已排除修補程式的過期日期。在同意的過期日期之後,排除會過期,並在任何後續修補上安裝修補程式。

如果適用,排除清單上的修補程式仍會在掃描結果中傳回。

注意

與 Windows 不同,Linux 修補程式是版本特定的。此區別很重要,因為未自動排除已排除修補程式的新版本。如果這是您想要執行的動作,您有責任通知 AMS 排除 Linux 修補程式的新版本。

修補程式服務通知回覆範本

您必須使用指定的格式回覆修補服務通知,才能在執行個體上執行修補。如果您尚未使用 AMS 設定維護時段,則應執行此操作。

當您回覆服務通知時,請使用指定的格式。

如果未設定維護時段,請告訴我們何時修補內容,如下所示:

UTC                 StartTime       StackId                     InstanceId (Optional)
2019-04-01          15:00           stack-123456789012          i-1234566789
2019-04-01          15:00           stack-123456789013          i-1234566784
2019-04-01          15:00           stack-123456789014          i-1234566783
2019-04-01          15:00           stack-123456789015          i-1234566782

如果您有設定的維護時段,並希望從特定修補程式中排除特定資源,請使用下列格式:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                PATCH
stack-123456789013          i-1234566784                PATCH
stack-123456789014          i-1234566783                PATCH
stack-123456789015          i-1234566782                PATCH

如果您有設定的維護時段,且希望一律排除特定資源,請使用下列格式:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                ALL
stack-123456789015          i-1234566782                ALL

準備修補

若要準備您的環境進行自動修補,建議您執行下列動作:

  • 請確定您擁有所有要修補之執行個體的完整庫存。

  • 確保在業務持續性策略中定期備份您的資源。額外的備份會建立為修補程式序列的一部分,並根據設定的修補程式協調器保留政策自動刪除這些備份 (預設為 60 天)。

  • 確保所有相關的授權都是最新的。

  • 修改堆疊維護時段以交錯修補,以便在生產堆疊之前修補測試堆疊。如此一來,任何修補的錯誤都會在測試堆疊中找到,而且可以在修補生產堆疊之前識別。

檢視修補程式設定

若要了解您目前的修補組態,您可以執行下列動作:

  • 使用查詢向 AMS 提交服務請求。

  • 等待修補程式服務通知。修補通知會建議您要套用的所有修補程式和要修補的執行個體,並建議修補程式時段。

您可以提交服務請求來修改下列項目:

  • 掃描間隔:在此堆疊執行個體上執行的合規掃描之間的時間,以分鐘為單位。

    預設為 240(4 小時)。

  • NotificationWindow:應該提前多久 (以分鐘為單位) 傳送排定的變更 (修補) 通知給您。 
預設為 10080(7 天)。