如何使用 Systems Manager 配置维护时段，以便在多个环境中修补 Amazon EC2 和混合节点？

1 分钟阅读

我想在 AWS Systems Manager 中配置和保留多个环境的维护时段。

简短描述

要配置和维护 Windows 的修补工作，请使用补丁管理器，这是 AWS Systems Manager 的一项功能。

**注意：**对于 Windows，要修补 Microsoft 在虚拟机 (VM) 和本地实例上发布的应用程序，请启用高级实例层。

解决方法

先决条件

以下先决条件适用于 Amazon Elastic Compute Cloud (Amazon EC2) 和混合实例：

检查补丁管理器是否支持您的操作系统 (OS)。
Amazon EC2 实例或混合实例必须由 Systems Manager 管理。这意味着该实例必须列在托管实例下，并且 SSM Agent ping 状态必须为联机。
确保安装了最新版本的 AWS Systems Manager Agent (SSM Agent)。有关详细信息，请参阅自动更新 SSM Agent。
确保该实例可以访问 Windows Server Update Services (WSUS)、Microsoft 更新服务器或 Linux 存储库的补丁来源。

目标实例必须连接到以下端点：

Systems Manager 端点
ec2messages 端点
S3 端点

有关详细信息，请参阅步骤 2：创建 VPC 端点

配置修补操作方法

有关可用修补操作方法的概述，请参阅 AWS Systems Manager 补丁管理器并查看修补操作方法。

使用补丁管理器

首先，验证您使用的每种操作系统类型的 AWS 预定义补丁基准是否符合您的要求。如果预定义的补丁基准不符合您的要求，请创建自定义补丁基准。使用为您的托管节点类型定义了一组标准补丁的补丁基准，并将其设置为默认值。

**注意：**最好使用 Amazon EC2 标签将托管节点组织成补丁组。

然后，完成以下步骤之一：

在快速设置中配置补丁策略，这是 Systems Manager 的一项功能。使用快速设置按计划为整个组织、部分组织单位 (OU) 或单个 AWS 账户安装缺失的补丁。

-或者-

创建一个在 Run Command 中使用 Systems Manager 文档（SSM 文档）AWS-RunPatchBaseline 的维护时段，这是 AWS Systems Manager 的一种功能，也是一种任务类型。要使用维护时段进行修补，请在 Systems Manager 控制台中完成以下步骤：

创建维护时段。
将目标分配到维护时段。
将任务 (AWS-RunPatchBaseline) 分配到维护时段。
以 Run Command 操作手动运行 AWS-RunPatchBasline。
使用立即修补选项按需手动修补节点。

务必监控修补过程，以验证合规性并调查故障。