本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS 標準修補的運作方式
AMS 使用 Systems Manager Run Command 服務定期排程每月和視需要的關鍵修補,具有兩種主要修補方法,即就地修補和替換 AMI,取決於您的基礎設施部署策略 (可變與不可變)。本節說明 AMS 修補服務、類型、方法和程序。
AMS 定義兩種修補程式類型,以不同方式排程:
關鍵修補:在接受通知後,會盡快套用更新。
標準修補:定期更新並每月套用作業系統廠商。
透過就地修補或 AMI 替換 (應請求) 套用修補程式。
更新掃描
AMS 使用 Amazon EC2 Run Command Service
每天使用 SSM 維護時段和 AMS 預設 AWS-RunPatchBaseline 文件執行掃描。每個可連線的 Amazon EC2 堆疊都會使用 Linux 和 Windows 的更新儲存庫進行掃描。AMS 修補程序會偵測所有可連線的 Amazon EC2 堆疊,然後在批次程序中執行掃描,讓堆疊始終保持良好狀態,即使執行掃描時發生故障。接著會為每個 Amazon EC2 堆疊儲存掃描結果。
若要檢視堆疊或執行個體的掃描結果,請使用堆疊 ID 或執行個體 ID 提交服務請求。
預設 AMS 修補程序是安裝所有可用的修補程式,無論修補程式分類或嚴重性為何 (例如,關鍵與標準)。例外狀況是您已明確排除堆疊的修補程式 (不應排除 AMS 定義為強制性的修補程式)。
您會在建議的維護時段前 14 天收到修補服務通知。這可讓您有時間測試提議的修補程式,並接受或拒絕它們。如果您未回覆修補服務通知,則不會修補您的執行個體。當安裝修補程式時,AMS 會為每個堆疊建立變更請求 (RFC),且該 RFC 會出現在您帳戶的 RFC 清單中。
AMS 設定的維護時段和通知
透過 AMS 設定的修補,每個帳戶都有每月維護時段,您可以在加入帳戶時定義此時段。AWS Managed Services 維護時段 (或維護時段) 會執行 AWS Managed Services (AMS) 的維護活動,並在每個月的第二個星期四太平洋時間下午 3 點至下午 4 點重複執行。AMS 可能會變更維護時段,但需提前 48 小時通知。
修補時段不同。修補傳出服務請求 (也稱為服務通知) 包含建議的修補時段。
注意
如需有關回覆修補服務通知的資訊,請參閱 您可以在 AMS 標準修補中採取的動作。
修補服務通知會透過電子郵件傳送至您帳戶存檔的聯絡電子郵件地址。通知包含 AWS Support 主控台的連結,您可以在其中回應它。您也可以使用 AMS 服務請求頁面來回應通知。服務通知包括:
套用到堆疊的更新 IDs (CSUs、IUs 和 OUs) 清單,以及您請求的更新不會修補 (如果有的話)。
將受影響的執行個體 IDs。
套用更新的提議修補時段。您可以請求不同的修補時段。
您接受提議修補的請求,或要求其他資訊。AMS 可讓您有時間測試更新的影響,並核准或拒絕修補,或要求排除特定更新。如果您需要更多時間進行測試,並希望在測試後套用更新,請回應服務通知並描述您想要的內容,或根據先前 RFC 的詳細資訊提交新修補程式 RFC 的服務請求。如果您完全不回覆服務通知,則不會採取修補動作並取消 RFC。
如果您核准服務通知,AMS 會根據服務承諾,在同意的修補程式時段內執行修補程式 RFC 並套用更新。
修補完成後,AMS 會在服務請求中傳送通訊給您,其中包含修補活動的結果摘要 (即成功或失敗)。
