AWS关于适用于修补实例的SSM文档

zzgzyyz

AWS-ConfigureWindowsUpdate
　　支持配置基本的 Windows 更新功能，并使用它们来自动安装更新 (或禁用自动更新)。在所有 AWS 区域中可用。
　　此 SSM 文档将提示 Windows 更新下载并安装指定的更新，并根据需要重启实例。请将此文档与 状态管理器 结合使用，确保 Windows 更新保持其配置。您也可以使用 Run Command 手动运行它，以更改 Windows 更新配置。
　　本文档中的可用参数支持指定要安装的更新类别 (或是否禁用自动更新)，还支持指定在星期几的什么时间运行修补操作。如果您不需要对 Windows 更新进行严格控制，也不需要收集合规性信息，则此 SSM 文档最为有用。
AWS-InstallWindowsUpdates
　　在 Windows 实例上安装更新。在所有 AWS 区域中可用。
　　如果您希望安装指定更新 (使用 Include Kbs 参数)，或希望安装特定类别或分类的补丁，但不需要补丁合规性信息，则此 SSM 文档可提供基本修补功能。
AWS-RunPatchBaseline
　　在实例上安装补丁，或扫描实例以确定是否缺少任何符合条件的补丁。在所有 AWS 区域中可用。
　　可通过 AWS-RunPatchBaseline 使用补丁基准控制对补丁的审批。报告补丁合规性信息，您可以使用 Systems Manager 合规性工具进行查看。您可使用这些工具深入了解您的实例的补丁合规性状态，例如哪些实例缺少补丁，以及缺少哪些补丁。对于 Linux 操作系统，为来自实例上配置的默认源存储库和来自您在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。
　　当设定完成维护计划后，可以看历史纪录，每次执行结果是否为成功 (SUCCESS) 与输出结果。    在 Windows 系统中，您可以参考 Event Viewer 中的日志，看到 WindowsUpdateClient 检查更新的结果。
　　AWS自动维护补丁修补逻辑
　　在相关的EC2环境下，安装AmzzonSSMAgent（代理相关任务），为进入“托管实例”的前提条件；
　　对于EC2的标签，增加“Patch Group，值为自定义”；
　　创建IAM角色“Maintenance_Window”，并对需要自动修补的EC2赋予该角色；
　　AWS Systems Manager下，查看Patch Manager，查看浏览符合环境的补丁包；
　　使用Maintenance Windows，创建任务、目标等相关操作。
　　最后做某台EC2的测试。