问题

需要给AWS的EC2水平自动扩展组AutoScaling Group（ASG）中的EC2自动定期打补丁。

创建自动化运行IAM角色

找到创建角色入口页面，如下图：

开始创建Systems Manager自动化运行的IAM角色，如下图：

设置AmazonSSMAutomationRole权限，如下图：

设置AmazonSSMAutomationRole角色名和角色描述，点击创建角色，如下图：

创建AWS-PatchAsgInstance自定义策略

找到策略入口页面，开始创建策略如下图：

AWS-PatchAsgInstance自动化文档，需要的权限内容，如下：

{"Version": "2012-10-17","Statement": [{"Sid": "Statement1","Effect": "Allow","Action": ["ssm:StartAutomationExecution","ssm:GetAutomationExecution","ssm:GetCommandInvocation","ssm:GetParameter","ssm:SendCommand","cloudformation:CreateStack","cloudformation:DeleteStack","cloudformation:DescribeStacks","ec2:CreateTags","ec2:DescribeInstances","ec2:RunInstances","iam:AttachRolePolicy","iam:CreateRole","iam:DeleteRole","iam:DeleteRolePolicy","iam:DetachRolePolicy","iam:GetRole","iam:PassRole","iam:PutRolePolicy","lambda:CreateFunction","lambda:DeleteFunction","lambda:GetFunction","lambda:InvokeFunction"],"Resource": "*"}]
}

将AWS-PatchAsgInstance需要的权限设置到策略中，如下图：

设置AWS-PatchAsgInstance策略名和描述，直接创建策略即可，如下图：

然后，将创建好的AWS-PatchAsgInstance自定义策略绑定给AmazonSSMAutomationRole自动化角色，结果如下图：

自动化角色设置PassRole权限角色为自己

找到自动化角色AmazonSSMAutomationRole，如下图：

策略内容如下：

{"Version": "2012-10-17","Statement": [{"Sid": "VisualEditor0","Effect": "Allow","Action": "iam:PassRole","Resource": "arn:aws-cn:iam::xxxxxxxxx:role/AmazonSSMAutomationRole"}]
}

将上述策略权限内容，复制策略编辑器中，如下图：

设置AmazonSSMAutomationRolePolicy策略名称，如下图：

最后AmazonSSMAutomationRole角色权限策略，如下图：

创建维护窗口

找到维护窗口创建页面入口，如下图：

设置维护窗口，如下图：

这里去掉“允许已注销目标”的勾选，意思没有被AWS SSM托管到的EC2目标，不会执行这个维护任务。
后面是设置每周六凌晨1点定时执行维护任务，维护窗持续时间为1个小时。如果在这1个小时内没有执行完，就不执行了（停止启动任务为0小时）。这里的时区为东八区。
最后点击“创建维护时段”。

注册维护目标

找到维护窗口，入口页面如下图：

找到注册目标入口页面，如下图：

设置注册目标，如下图：

这里主要通过EC2实例选择标签Name进行识别dev相关EC2实例。

注册维护任务

找到注册维护任务入口页面，如下图：

设置使用AWS-PatchAsgInstance自动注册任务，并且，设置上一步已经注册的目标组，而且，设置变量InstanceId为{{ TARGET_ID }}，并且，这个任务是一个一个执行，执行完一个没有错误就执行下一个。设置之前的IAM服务角色。最后，点击注册自动化任务。如下图：

查看历史记录

找到查询历史记录网页入口，如下图：

查看到成功结果，即可，如下图：

注意

加入了定时维护窗口的AutoScaling组，需要禁用自动缩容策略，不然，这个自动任务可能找不到EC2实例；还有就是AutoScaling组所需EC2实例数，需要大于AutoScaling组最小EC2实例数。只有这个两个AutoScaling组条件满足，才能使用自动维护窗口。

总结

使用自动化维护任务打补丁，还算简单，只是对AutoScaling有自动缩容限制。第一步合规性就是每天扫描一次所有EC2是否合规，定时自定化维护任务，就是每周六半天打补丁。

参考：

• 方法 2：使用 IAM 为自动化配置角色
• 创建维护时段（控制台）
• 为维护时段分配任务（控制台）
• 注册维护时段任务时使用伪参数
• AutoScalingで1台ずつ自動的にパッチを当てるSSM Automationやってみた