某公司的 AWS 管理員在日常例行運維工作過程中,收到幾十條安全合規(guī)警告信息,該信息提示正在管理的數(shù)十臺Amazon EC2 Windows 實例的安全補丁需要更新,該管理員希望批量對所有的 Windows EC2 實例應(yīng)用最新的補丁和安全更新。
使用 Amazon Systems Manager 補丁管理器補丁策略在目標(biāo) EC2 實例上,批量自動進行 Windows EC2 實例的補丁和更新安裝作業(yè)。AWS Systems Manager 補丁管理器補丁策略功能會自動掃描和安裝 EC2 實例的補丁。默認情況下,Patch Manager 使用預(yù)定義補丁策略來更新 EC2 實例中的軟件包。要進行更精細的控制,可以使用自定義補丁基準。
本次采用AWS Console界面完成作業(yè)。
注意:根據(jù)項目的具體情況,可以采用不同的實施方法。比如使用命令行(CLI)部署、代碼部署 (CloudFomation、Terraform等)、以及其它開發(fā)語言(SDK)完成作業(yè)。
步驟一:確保目標(biāo) EC2 Windows 實例做好必要的準備
1. SSM Agent 版本 2.0.834.0 或更高版本在要用 Patch Manager 管理的托管式節(jié)點上運行。2. 必須在實例上安裝 Windows PowerShell 3.0 或更高版本。
3. 實例子網(wǎng)必須具有通向互聯(lián)網(wǎng)的出站連接,這樣可以訪問 Amazon S3 等 Amazon Web Services 服務(wù) 以及從 Microsoft 下載補丁
步驟二:使用指定的 IAM policy 創(chuàng)建 IAM 角色
通過該步驟,允許 Systems Manager 在 Amazon EC2 實例上執(zhí)行自動化任務(wù),并驗證是否滿足使用 Systems Manager 的先決條件
步驟三:配置自動化選項
選擇希望如何運行自動化的選項。執(zhí)行選項包括簡單執(zhí)行、速率控制、多賬戶和區(qū)域以及手動執(zhí)行。
步驟四:執(zhí)行自動升級
1. 從Amazon管理控制臺打開 Systems Manager,從左側(cè)導(dǎo)航窗格中,在 Change Management(變更管理)下,選擇 Automation,選擇執(zhí)行自動化。
2. 搜索名為 AWSEC2-CloneInstanceAndUpgradeWindows 的自動化文檔,在顯示該文檔名稱時,選擇該文檔。選擇 Execute automation(執(zhí)行自動化)以輸入此文檔的參數(shù)。在頁面頂部選擇簡單執(zhí)行。
3. 在輸入這些參數(shù)后,選擇執(zhí)行。在自動化開始時,可以監(jiān)控執(zhí)行進度。
在自動化完成時,您會看到 AMI ID,然后使用 AMI ID 啟動 Amazon EC2 實例以檢查升級是否完成。