某公司的 AWS 管理员在日常例行运维工作过程中,收到几十条安全合规警告信息,该信息提示正在管理的数十台Amazon EC2 Windows 实例的安全补丁需要更新,该管理员希望批量对所有的 Windows EC2 实例应用最新的补丁和安全更新。
使用 Amazon Systems Manager 补丁管理器补丁策略在目标 EC2 实例上,批量自动进行 Windows EC2 实例的补丁和更新安装作业。AWS Systems Manager 补丁管理器补丁策略功能会自动扫描和安装 EC2 实例的补丁。默认情况下,Patch Manager 使用预定义补丁策略来更新 EC2 实例中的软件包。要进行更精细的控制,可以使用自定义补丁基准。
本次采用AWS Console界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行(CLI)部署、代码部署 (CloudFomation、Terraform等)、以及其它开发语言(SDK)完成作业。
步骤一:确保目标 EC2 Windows 实例做好必要的准备
1. SSM Agent 版本 2.0.834.0 或更高版本在要用 Patch Manager 管理的托管式节点上运行。2. 必须在实例上安装 Windows PowerShell 3.0 或更高版本。
3. 实例子网必须具有通向互联网的出站连接,这样可以访问 Amazon S3 等 Amazon Web Services 服务 以及从 Microsoft 下载补丁
步骤二:使用指定的 IAM policy 创建 IAM 角色
通过该步骤,允许 Systems Manager 在 Amazon EC2 实例上执行自动化任务,并验证是否满足使用 Systems Manager 的先决条件
步骤三:配置自动化选项
选择希望如何运行自动化的选项。执行选项包括简单执行、速率控制、多账户和区域以及手动执行。
步骤四:执行自动升级
1. 从Amazon管理控制台打开 Systems Manager,从左侧导航窗格中,在 Change Management(变更管理)下,选择 Automation,选择执行自动化。
2. 搜索名为 AWSEC2-CloneInstanceAndUpgradeWindows 的自动化文档,在显示该文档名称时,选择该文档。选择 Execute automation(执行自动化)以输入此文档的参数。在页面顶部选择简单执行。
3. 在输入这些参数后,选择执行。在自动化开始时,可以监控执行进度。
在自动化完成时,您会看到 AMI ID,然后使用 AMI ID 启动 Amazon EC2 实例以检查升级是否完成。