教學課程：使用主控台建立修補維護時段

建立維護時段以進行修補

1. 在 https：//https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

2. 在導覽窗格中，選擇 Maintenance Windows。

3. 選擇建立維護時段。

4. 針對 Name (名稱)，輸入名稱，並將其指定為維護時段以修補關鍵與重要的更新。

5. 在描述，請輸入描述。

6. 如果您想允許維護時段任務在受管節點上執行 (即使您尚未將這些節點註冊為目標)，請選擇 Allow unregistered targets (允許未註冊目標)。

   如果您選擇此選項，即可在向維護時段註冊任務時選擇未註冊的節點 (依據節點 ID)。

   如果您未選擇此選項，則必須在向維護時段註冊任務時選擇先前註冊過的目標。

7. 在 Schedule (排程) 區段頂端，使用三個排程選項之一來指定維護時段的排程。

   如需有關建立 Cron/Rate 運算式的詳細資訊，請參閱參考：Systems Manager 的 Cron 和 Rate 運算式。

8. 針對 Duration (持續時間)，輸入維護時段將執行的時數。您指定的值會根據維護時段的開始時間，決定維護時段的特定結束時間。在產生的結束時間減去您在下一個步驟中為 Stop initiating tasks (停止啟動任務) 指定的小時數過後，將不允許啟動任何維護時段任務。

   例如，如果維護時段從下午 3 點開始，持續時間為三小時，而 Stop initiating tasks (停止啟動任務) 的值為一小時，則在下午 5 點之後無法啟動任何維護時段任務。

9. 針對 Stop initiating tasks (停止初始任務)，輸入在維護時段執行結束之前，系統應該停止排程新任務的時數。

10. (選用) 對於 Window start date (時段開始日期)，依照 ISO-8601 Extended 格式，指定您希望開始啟用維護時段的日期和時間。這可讓您延遲啟用維護時段，直到指定的未來日期為止。

11. (選用) 對於 Window end date (時段結束日期)，依照 ISO-8601 Extended 格式，指定您希望停用維護時段的日期和時間。這可讓您設定不再執行維護時段的未來日期和時間點。

12. (選用) 對於排程時區，以網際網路號碼分配局 (IANA) 格式，指定排程的維護時段執行所依據的時區。例如："America/Los_Angeles"、"etc/UTC" 或 "Asia/Seoul"。

    如需有關有效格式的詳細資訊，請參閱 IANA 網站上的時區資料庫有效格式。

13. (選用) 在 Manage tags (管理標籤) 區域，將一或多個標籤金鑰名稱/值對套用到維護時段。

    標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如，您可能想要標記此維護時段，以識別其執行的任務類型。在這種情況下，您可以指定以下索引鍵名稱/值對：

    • Key=TaskType,Value=Patching

14. 選擇建立維護時段。

15. 在維護時段清單中，選擇您剛建立的維護時段，然後選擇 Actions (動作)、Register targets (註冊目標)。

16. (選用) 在 Maintenance window target details (維護時段目標詳細資訊) 部分，提供此目標的名稱、描述及擁有者資訊 (您的名稱或別名)。

17. 對於目標選擇，選擇指定執行個體標籤。

18. 對於指定執行個體標籤，輸入標籤鍵和標籤值，以識別要向維護時段註冊的節點，然後選擇新增。

19. 選擇 Register target (註冊目標)。系統會建立一個維護時段目標。

20. 在您建立的維護時段的詳細資訊頁面中，選擇 Actions (動作)、Register run command task (註冊執行命令任務)。

21. (選用) 在 Maintenance window task details (維護時段任務詳細資訊) 中提供此任務的名稱與描述。

22. 如需 Command document (命令文件)，請選擇 AWS-RunPatchBaseline。

23. 在 Task priority (任務優先順序) 中選擇優先順序。零 (0) 是最高的優先順序。

24. 針對 Targets (目標)，請在 Target by (目標依據) 下，選擇您之前在此程序建立的維護時段目標。

25. 對於速率控制：

    • 在並行中，指定可同時執行命令的受管節點數目或百分比。

      注意

      如果透過指定套用至受管節點的標籤或指定 AWS 資源群組選取了目標，且您不確定會以多少個受管節點為目標，則透過指定百分比限制可以同時執行文件之目標的數量。

    • 在 Error threshold (錯誤閾值) 中，指定在特定數目或百分比之節點上的命令失敗之後，停止在其他受管節點上執行命令。例如，如果您指定三個錯誤，則 Systems Manager 會在收到第四個錯誤時停止傳送命令。仍在處理命令的受管節點也可能會傳送錯誤。

26. (選用) 對於 IAM 服務角色，請選擇一個角色，以便為 Systems Manager 提供執行維護時段任務時承擔的許可。

    如果您未指定服務角色 ARN，則 Systems Manager 會使用帳戶中的服務連結角色。如果帳戶中不存在適當的 Systems Manager 服務連結角色，則會在成功註冊任務時建立該角色。

    注意

    為了改善安全狀態，強烈建議您建立自訂政策和自訂服務角色，以便執行維護時段任務。您可以制定政策，僅提供特定維護時段任務所需的許可。如需詳細資訊，請參閱設定 Maintenance Windows。

27. (選用) 針對輸出選項，若要將命令輸出儲存至檔案，請選取啟用將輸出寫入 S3 方塊。在方塊中輸入儲存貯體和字首 (資料夾) 名稱。

    注意

    授予能力以將資料寫入至 S3 儲存貯體的 S3 許可，會是指派給受管節點之執行個體設定檔的許可，而不是執行此任務之 IAM 使用者的許可。如需詳細資訊，請參閱設定 Systems Manager 所需的執行個體許可或建立混合環境的 IAM 服務角色。此外，如果指定的 S3 儲存貯體位於不同的 中 AWS 帳戶，請確認與受管節點相關聯的執行個體設定檔或 IAM 服務角色具有寫入該儲存貯體的必要許可。

    若要將輸出串流至 Amazon CloudWatch Logs 日誌群組，請選取 CloudWatch output (CloudWatch 輸出) 方塊。在方塊中輸入日誌群組名稱。

28. 在 SNS notifications (SNS 通知) 區段中，如果您要傳送有關命令執行狀態的通知，請選取 Enable SNS notifications (啟用 SNS 通知) 核取方塊。

    如需為 Run Command 設定 Amazon SNS 通知的詳細資訊，請參閱 使用 Amazon SNS 通知監控 Systems Manager 狀態變更。

29. 對於 Parameters (參數)：

    • 在 Operation (操作) 中選擇 Scan (掃描) 以掃描遺漏的修補程式，或選擇 Install (安裝) 以掃描並安裝遺漏的修補程式。

    • 您無需在 Snapshot Id (快照 ID) 欄位中輸入任何資訊。此系統會自動產生並提供此參數。

    • 除非您希望 Patch Manager 使用與修補基準不同的修補程式集，否則不需要在 Install Override List (安裝覆寫清單) 欄位中輸入任何內容。如需相關資訊，請參閱 參數名稱：InstallOverrideList。

    • 針對重新啟動選項，指定如果在 Install 操作期間安裝了修補程式，或是 Patch Manager 偵測到自上次節點重新啟動後安裝的其他修補程式，是否要重新啟動節點。如需相關資訊，請參閱 參數名稱：RebootOption。

    • (選用) 在 Comment (註解) 中輸入有關此命令的追蹤註記或提醒。

    • 在 Timeout (seconds) (逾時 (秒)) 中，輸入系統應等待操作完成的時間，超過此時間將視為失敗。

30. 選擇 Register run command task (註冊執行命令任務)。