• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Systems Manager Alat simpul
<a name="systems-manager-instances-and-nodes"></a>

AWS Systems Manager menyediakan alat berikut untuk mengakses, mengelola, dan mengonfigurasi node *terkelola* Anda. Node terkelola adalah mesin apa pun yang dikonfigurasi untuk digunakan dengan Systems Manager di [lingkungan hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).

**Topics**
+ [AWS Systems Manager Kepatuhan](systems-manager-compliance.md)
+ [AWS Systems Manager Distributor](distributor.md)
+ [AWS Systems Manager Fleet Manager](fleet-manager.md)
+ [AWS Systems Manager Aktivasi Hibrida](activations.md)
+ [AWS Systems Manager Inventaris](systems-manager-inventory.md)
+ [AWS Systems Manager Patch Manager](patch-manager.md)
+ [AWS Systems Manager Run Command](run-command.md)
+ [AWS Systems Manager Session Manager](session-manager.md)
+ [AWS Systems Manager State Manager](systems-manager-state.md)

# AWS Systems Manager Kepatuhan
<a name="systems-manager-compliance"></a>

Anda dapat menggunakan Compliance, alat di AWS Systems Manager, untuk memindai armada node terkelola Anda untuk kepatuhan patch dan inkonsistensi konfigurasi. Anda dapat mengumpulkan dan mengumpulkan data dari beberapa Akun AWS dan Wilayah, lalu menelusuri sumber daya tertentu yang tidak sesuai. Secara default, Kepatuhan menampilkan data kepatuhan saat ini tentang penambalan Patch Manager dan asosiasi diState Manager. (Patch Managerdan State Manager juga keduanya alat di AWS Systems Manager.) Untuk memulai dengan Kepatuhan, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/compliance). Di panel navigasi, pilih **Kepatuhan**.

Data kepatuhan tambalan dari Patch Manager dapat dikirim ke AWS Security Hub CSPM. Security Hub CSPM memberi Anda pandangan komprehensif tentang peringatan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 

Kepatuhan menawarkan manfaat dan fitur tambahan berikut: 
+ Lihat riwayat kepatuhan dan pelacakan perubahan untuk Patch Manager menambal data dan State Manager asosiasi dengan menggunakan AWS Config.
+ Sesuaikan layanan untuk membuat jenis kepatuhan Anda sendiri berdasarkan persyaratan IT atau bisnis Anda.
+ Perbaiki masalah dengan menggunakanRun Command, alat lain di AWS Systems ManagerState Manager, atau Amazon EventBridge.
+ Port data ke Amazon Athena dan Amazon Quick untuk menghasilkan laporan di seluruh armada.

**EventBridge dukungan**  
Alat Systems Manager ini didukung sebagai jenis *peristiwa* dalam EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md) dan [Referensi: Pola dan jenis EventBridge acara Amazon untuk Systems Manager](reference-eventbridge-events.md).

**Integrasi Chef InSpec**  
Systems Manager terintegrasi dengan [https://www.chef.io/inspec/](https://www.chef.io/inspec/). InSpec adalah kerangka kerja runtime open-source yang memungkinkan Anda membuat profil yang dapat dibaca manusia di atau GitHub Amazon Simple Storage Service (Amazon S3). Anda kemudian dapat menggunakan Systems Manager untuk menjalankan pemindaian kepatuhan dan melihat node terkelola yang sesuai dan tidak sesuai. Untuk informasi selengkapnya, lihat [Menggunakan Chef InSpec profil dengan Kepatuhan Systems Manager](integration-chef-inspec.md).

**Harga**  
Kepatuhan ditawarkan tanpa biaya tambahan. Anda hanya membayar untuk AWS sumber daya yang Anda gunakan.

**Topics**
+ [Memulai dengan Kepatuhan](compliance-prerequisites.md)
+ [Mengkonfigurasi izin untuk Kepatuhan](compliance-permissions.md)
+ [Membuat sinkronisasi data sumber daya untuk Kepatuhan](compliance-datasync-create.md)
+ [Pelajari detail tentang Kepatuhan](compliance-about.md)
+ [Menghapus sinkronisasi data sumber daya untuk Kepatuhan](systems-manager-compliance-delete-RDS.md)
+ [Memulihkan masalah kepatuhan menggunakan EventBridge](compliance-fixing.md)
+ [Tetapkan metadata kepatuhan khusus menggunakan AWS CLI](compliance-custom-metadata-cli.md)

# Memulai dengan Kepatuhan
<a name="compliance-prerequisites"></a>

Untuk memulai dengan Kepatuhan, alat di AWS Systems Manager, selesaikan tugas-tugas berikut.


****  

| Tugas | Untuk informasi selengkapnya | 
| --- | --- | 
|  Kepatuhan bekerja dengan data tambalan di Patch Manager dan asosiasi di State Manager. (Patch Manager and State Manager keduanya juga merupakan alat di AWS Systems Manager.) Kepatuhan juga berfungsi dengan jenis kepatuhan khusus pada node terkelola yang dikelola menggunakan Systems Manager. Pastikan Anda telah menyelesaikan persyaratan penyiapan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan EC2 non-mesin di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).  |  [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md)  | 
|  Perbarui peran AWS Identity and Access Management (IAM) yang digunakan oleh node terkelola untuk membatasi izin Kepatuhan.  |  [Mengkonfigurasi izin untuk Kepatuhan](compliance-permissions.md)  | 
|  Jika Anda berencana untuk memantau kepatuhan tambalan, verifikasi bahwa Anda telah mengonfigurasi Patch Manager. Anda harus melakukan operasi patching dengan menggunakan Patch Manager sebelum Kepatuhan dapat menampilkan data kepatuhan tambalan.  |  [AWS Systems Manager Patch Manager](patch-manager.md)  | 
|  Jika Anda berencana untuk memantau kepatuhan asosiasi, verifikasi bahwa Anda telah membuat State Manager asosiasi. Anda harus membuat asosiasi sebelum Kepatuhan dapat menampilkan data kepatuhan asosiasi.  |  [AWS Systems Manager State Manager](systems-manager-state.md)  | 
|  (Opsional) Konfigurasikan sistem untuk melihat riwayat kepatuhan dan pelacakan perubahan.   |  [Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan](compliance-about.md#compliance-history)  | 
|  (Opsional) Buat jenis kepatuhan kustom.   |  [Tetapkan metadata kepatuhan khusus menggunakan AWS CLI](compliance-custom-metadata-cli.md)  | 
|  (Opsional) Buat sinkronisasi data sumber daya untuk menggabungkan semua data kepatuhan di bucket Amazon Simple Storage Service (Amazon S3).  |  [Membuat sinkronisasi data sumber daya untuk Kepatuhan](compliance-datasync-create.md)  | 

# Mengkonfigurasi izin untuk Kepatuhan
<a name="compliance-permissions"></a>

Sebagai praktik keamanan terbaik, sebaiknya Anda memperbarui peran AWS Identity and Access Management (IAM) yang digunakan oleh node terkelola dengan izin berikut untuk membatasi kemampuan node dalam menggunakan aksi API. [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) Tindakan API ini mendaftarkan jenis kepatuhan dan detail kepatuhan lainnya pada sumber daya yang ditentukan, seperti EC2 instans Amazon atau node terkelola.

Jika node Anda adalah EC2 instans Amazon, Anda harus memperbarui profil instans IAM yang digunakan oleh instance dengan izin berikut. Untuk informasi selengkapnya tentang profil EC2 instans misalnya yang dikelola oleh Systems Manager, lihat[Konfigurasikan izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). Untuk jenis node terkelola lainnya, perbarui peran IAM yang digunakan oleh node dengan izin berikut. Untuk informasi selengkapnya, lihat [Memperbarui izin untuk peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html) dalam *Panduan Pengguna IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceInstanceARN": "${ec2:SourceInstanceARN}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutComplianceItems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ssm:SourceInstanceARN": "${ssm:SourceInstanceARN}"
                }
            }
        }
    ]
}
```

------

# Membuat sinkronisasi data sumber daya untuk Kepatuhan
<a name="compliance-datasync-create"></a>

Anda dapat menggunakan fitur sinkronisasi data sumber daya AWS Systems Manager untuk mengirim data kepatuhan dari semua node terkelola ke bucket Amazon Simple Storage Service (Amazon S3) target. Saat Anda membuat sinkronisasi, Anda dapat menentukan node terkelola dari beberapa Akun AWS, Wilayah AWS, dan lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda. Sinkronisasi data sumber daya kemudian secara otomatis memperbarui data terpusat saat data kepatuhan baru dikumpulkan. Dengan semua data kepatuhan yang disimpan dalam bucket S3 target, Anda dapat menggunakan layanan seperti Amazon Athena dan Amazon Quick untuk menanyakan dan menganalisis data gabungan. Mengonfigurasi sinkronisasi data sumber daya untuk Kepatuhan adalah operasi satu kali.

Gunakan prosedur berikut untuk membuat sinkronisasi data sumber daya untuk Kepatuhan dengan menggunakan Konsol Manajemen AWS.

**Untuk membuat dan mengonfigurasi bucket S3 untuk sinkronisasi data sumber daya (konsol)**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Buat bucket untuk menyimpan data kepatuhan gabungan Anda. Untuk informasi selengkapnya, lihat [Membuat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Catat nama bucket dan Wilayah AWS tempat Anda membuatnya.

1. Buka bucket, pilih tab **Izin**, dan kemudian pilih **Kebijakan Bucket**.

1. Salin dan tempelkan kebijakan bucket berikut ke dalam editor kebijakan. Ganti amzn-s3-demo-bucket dan *Account-ID* dengan nama bucket S3 yang Anda buat dan ID yang valid. Akun AWS Secara opsional, ganti *Bucket-Prefix* dengan nama awalan Amazon S3 (subdirektori). Jika Anda tidak membuat awalan, hapus*Bucket-Prefix*/dari ARN dalam kebijakan. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "SSMBucketPermissionsCheck",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:GetBucketAcl",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
           },
           {
               "Sid": " SSMBucketDelivery",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=111122223333/*"],
               "Condition": {
                   "StringEquals": {
                       "s3:x-amz-acl": "bucket-owner-full-control"
                   }
               }
           }
       ]
   }
   ```

------

**Untuk membuat sinkronisasi data sumber daya**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun**, **Sinkronisasi Data Sumber Daya**, lalu pilih **Buat sinkronisasi data sumber daya**.

1. Di bidang **Nama sinkronisasi**, masukkan nama untuk konfigurasi sinkronisasi.

1. Di bidang **Nama bucket**, masukkan nama bucket Amazon S3 yang Anda buat pada awal prosedur ini.

1. (Opsional) Di bidang **awalan Bucket**, masukkan nama awalan bucket S3 (subdirektori).

1. Di bidang **Bucket region**, pilih **Wilayah ini** jika bucket S3 yang Anda buat berada di saat ini Wilayah AWS. Jika ember terletak di tempat yang berbeda Wilayah AWS, pilih **Wilayah lain**, dan masukkan nama Wilayah.
**catatan**  
Jika sinkronisasi dan bucket S3 target berada di Wilayah yang berbeda, Anda mungkin akan dikenakan harga transfer data. Untuk informasi selengkapnya, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).

1. Pilih **Buat**.

# Pelajari detail tentang Kepatuhan
<a name="compliance-about"></a>

Kepatuhan, alat dalam AWS Systems Manager, mengumpulkan dan melaporkan data tentang status penambalan dalam penambalan dan Patch Manager asosiasi di. State Manager (Patch Managerdan State Manager juga keduanya alat di AWS Systems Manager.) Kepatuhan juga melaporkan jenis kepatuhan khusus yang telah Anda tentukan untuk node terkelola. Bagian ini mencakup detail tentang masing-masing jenis kepatuhan ini dan bagaimana cara melihat data kepatuhan Systems Manager. Bagian ini juga mencakup informasi tentang cara melihat riwayat kepatuhan dan pelacakan perubahan.

**catatan**  
Systems Manager terintegrasi dengan [https://www.chef.io/inspec/](https://www.chef.io/inspec/). InSpec adalah kerangka kerja runtime open-source yang memungkinkan Anda membuat profil yang dapat dibaca manusia di atau GitHub Amazon Simple Storage Service (Amazon S3). Kemudian Anda dapat menggunakan Systems Manager untuk menjalankan pemindaian kepatuhan dan melihat instans yang patuh dan tidak patuh. Untuk informasi selengkapnya, lihat [Menggunakan Chef InSpec profil dengan Kepatuhan Systems Manager](integration-chef-inspec.md).

## Tentang kepatuhan patch
<a name="compliance-monitor-patch"></a>

Setelah Anda menggunakan Patch Manager untuk menginstal tambalan pada instans Anda, informasi status kepatuhan segera tersedia untuk Anda di konsol atau sebagai respons terhadap AWS Command Line Interface (AWS CLI) perintah atau operasi API Systems Manager yang sesuai.

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Tentang kepatuhan State Manager asosiasi
<a name="compliance-about-association"></a>

Setelah Anda membuat satu atau beberapa State Manager asosiasi, informasi status kepatuhan akan segera tersedia untuk Anda di konsol atau sebagai respons terhadap AWS CLI perintah atau operasi API Systems Manager yang terkait. Untuk asosiasi, Kepatuhan menunjukkan status `Compliant` atau `Non-compliant` dan tingkat kepelikan ditetapkan untuk asosiasi, seperti `Critical` atau `Medium`.

Ketika State Manager mengeksekusi asosiasi pada node terkelola, itu memicu proses agregasi kepatuhan yang memperbarui status kepatuhan untuk semua asosiasi pada node tersebut. `ExecutionTime`Nilai dalam laporan kepatuhan menunjukkan kapan status kepatuhan ditangkap oleh Systems Manager, bukan saat asosiasi dijalankan pada node terkelola. Ini berarti beberapa asosiasi mungkin menampilkan `ExecutionTime` nilai yang identik bahkan jika mereka dieksekusi pada waktu yang berbeda. Untuk menentukan waktu eksekusi asosiasi aktual, lihat riwayat eksekusi asosiasi menggunakan AWS CLI perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association-execution-targets.html)atau dengan melihat detail eksekusi di konsol.

## Tentang kepatuhan kustom
<a name="compliance-custom"></a>

Anda dapat menetapkan metadata kepatuhan ke node terkelola. Metadata ini kemudian dapat digabungkan dengan data kepatuhan lainnya untuk tujuan pelaporan kepatuhan. Misalnya, katakan bahwa bisnis Anda menjalankan versi 2.0, 3.0, dan 4.0 perangkat lunak X pada node terkelola Anda. Perusahaan ingin melakukan standarisasi pada versi 4.0, yang berarti bahwa instans yang menjalankan versi 2.0 dan 3.0 tidak sesuai. Anda dapat menggunakan operasi [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API untuk secara eksplisit mencatat node terkelola mana yang menjalankan versi perangkat lunak X yang lebih lama. Anda hanya dapat menetapkan metadata kepatuhan dengan menggunakan,, atau. AWS CLI AWS Tools for Windows PowerShell SDKs Perintah sampel CLI berikut memberikan metadata kepatuhan ke instans terkelola dan menentukan jenis kepatuhan dalam format `Custom:` yang diperlukan. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

```
aws ssm put-compliance-items \
    --resource-id i-1234567890abcdef0 \
    --resource-type ManagedInstance \
    --compliance-type Custom:SoftwareXCheck \
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate \
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------
#### [ Windows ]

```
aws ssm put-compliance-items ^
    --resource-id i-1234567890abcdef0 ^
    --resource-type ManagedInstance ^
    --compliance-type Custom:SoftwareXCheck ^
    --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate ^
    --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT
```

------

**catatan**  
`ResourceType`Parameter hanya mendukung`ManagedInstance`. Jika Anda menambahkan kepatuhan khusus ke perangkat AWS IoT Greengrass inti terkelola, Anda harus menentukan `ResourceType` dari`ManagedInstance`.

Manajer kepatuhan kemudian dapat melihat ringkasan atau membuat laporan tentang node terkelola mana yang sesuai atau tidak. Anda dapat menetapkan maksimal 10 jenis kepatuhan kustom yang berbeda ke node terkelola.

Untuk contoh cara membuat jenis kepatuhan kustom dan melihat data kepatuhan, lihat [Tetapkan metadata kepatuhan khusus menggunakan AWS CLI](compliance-custom-metadata-cli.md).

## Melihat data kepatuhan saat ini
<a name="compliance-view-results"></a>

Bagian ini menjelaskan cara melihat data kepatuhan di konsol Systems Manager dan dengan menggunakan AWS CLI. Untuk informasi tentang cara melihat riwayat kepatuhan patch dan asosiasi serta pelacakan perubahan, lihat [Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan](#compliance-history).

**Topics**
+ [Melihat data kepatuhan saat ini (konsol)](#compliance-view-results-console)
+ [Melihat data kepatuhan saat ini (AWS CLI)](#compliance-view-data-cli)

### Melihat data kepatuhan saat ini (konsol)
<a name="compliance-view-results-console"></a>

Gunakan prosedur berikut ini untuk melihat data kepatuhan di konsol Systems Manager.

**Untuk melihat laporan kepatuhan saat ini di konsol Systems Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Kepatuhan**.

1. Di bagian **pemfilteran dasbor Kepatuhan**, pilih opsi untuk memfilter data kepatuhan. Bagian **Ringkasan sumber daya kepatuhan** menampilkan jumlah data kepatuhan berdasarkan filter yang Anda pilih.

1. Untuk menelusuri sumber daya untuk informasi selengkapnya, gulir ke bawah ke **ikhtisar Detail untuk area sumber daya** dan pilih ID node terkelola.

1. Pada halaman **Instance ID** atau **Name** details, pilih tab **Kepatuhan konfigurasi** untuk melihat laporan kepatuhan konfigurasi terperinci untuk node terkelola.

**catatan**  
Untuk informasi tentang memperbaiki masalah kepatuhan, lihat [Memulihkan masalah kepatuhan menggunakan EventBridge](compliance-fixing.md).

### Melihat data kepatuhan saat ini (AWS CLI)
<a name="compliance-view-data-cli"></a>

Anda dapat melihat ringkasan data kepatuhan untuk jenis patching, asosiasi, dan kepatuhan kustom di bagian dalam menggunakan AWS CLI perintah berikut. AWS CLI 

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html)  
Mengembalikan jumlah ringkasan status asosiasi yang sesuai dan tidak sesuai dengan filter yang Anda tentukan. (API: [ListComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html)  
Mengembalikan jumlah ringkasan tingkat sumber daya. Ringkasan tersebut mencakup informasi tentang status patuh dan tidak patuh serta jumlah kepelikan item kepatuhan yang mendetail, sesuai dengan kriteria filter yang Anda tentukan. (API: [ListResourceComplianceSummaries](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html))

Anda dapat melihat data kepatuhan tambahan untuk patching dengan menggunakan perintah AWS CLI berikut.

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html)  
Mengembalikan status kepatuhan patch agregat tingkat tinggi untuk grup patch. (API: [DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html))

[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html)  
Mengembalikan status patch tingkat tinggi untuk instans dalam grup patch yang ditentukan. (API: [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html))

**catatan**  
Untuk ilustrasi tentang cara mengonfigurasi patching dan melihat detail kepatuhan tambalan dengan menggunakan AWS CLI, lihat. [Tutorial: Menambal lingkungan server menggunakan AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md)

## Melihat riwayat dan pelacakan perubahan konfigurasi kepatuhan
<a name="compliance-history"></a>

Kepatuhan Systems Manager menampilkan data patching dan kepatuhan asosiasi *saat ini* untuk node terkelola Anda. Anda dapat melihat riwayat patching dan kepatuhan asosiasi serta mengubah pelacakan dengan menggunakan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/). AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu. Untuk melihat riwayat kepatuhan dan pelacakan perubahan patching dan asosiasi, Anda harus mengaktifkan sumber daya berikut di AWS Config: 
+ `SSM:PatchCompliance`
+ `SSM:AssociationCompliance`

Untuk informasi tentang cara memilih dan mengonfigurasi sumber daya ini di AWS Config, lihat [Memilih Catatan AWS Config Sumber Daya Mana](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) di *Panduan Developer AWS Config *.

**catatan**  
Untuk informasi tentang AWS Config harga, lihat [Harga](https://aws.amazon.com/config/pricing/).

# Menghapus sinkronisasi data sumber daya untuk Kepatuhan
<a name="systems-manager-compliance-delete-RDS"></a>

Jika Anda tidak ingin lagi menggunakan AWS Systems Manager Kepatuhan untuk melihat data kepatuhan, sebaiknya hapus sinkronisasi data sumber daya yang digunakan untuk pengumpulan data Kepatuhan.

**Untuk menghapus sinkronisasi data sumber daya Kepatuhan**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun**, **Sinkronisasi data sumber daya**.

1. Pilih sinkronisasi dalam daftar. 
**penting**  
Pastikan Anda memilih sinkronisasi yang digunakan untuk Kepatuhan. Systems Manager mendukung sinkronisasi data sumber daya untuk beberapa alat. Jika Anda memilih sinkronisasi yang salah, Anda dapat mengganggu agregasi data untuk Systems Manager Explorer atau Systems Manager Inventory.

1. Pilih **Hapus**.

1. Hapus bucket Amazon Simple Storage Service (Amazon S3) tempat data disimpan. Untuk informasi tentang menghapus bucket S3, lihat [Menghapus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) bucket.

# Memulihkan masalah kepatuhan menggunakan EventBridge
<a name="compliance-fixing"></a>

Anda dapat dengan cepat memperbaiki masalah kepatuhan patch dan asosiasi dengan menggunakan Run Command, alat di AWS Systems Manager. Anda dapat menargetkan instance atau perangkat AWS IoT Greengrass inti IDs atau tag dan menjalankan `AWS-RunPatchBaseline` dokumen atau `AWS-RefreshAssociation` dokumen. Jika menyegarkan asosiasi atau menjalankan kembali baseline tambalan gagal menyelesaikan masalah kepatuhan, maka Anda perlu menyelidiki asosiasi, garis dasar tambalan, atau konfigurasi instance Anda untuk memahami mengapa Run Command operasi tidak menyelesaikan masalah. 

Untuk informasi selengkapnya tentang patching, lihat [AWS Systems Manager Patch Manager](patch-manager.md) dan [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

Untuk informasi selengkapnya tentang asosiasi, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md).

Untuk informasi selengkapnya tentang menjalankan perintah, lihat [AWS Systems Manager Run Command](run-command.md).

**Tentukan Kepatuhan sebagai target suatu EventBridge peristiwa**  
Anda juga dapat mengonfigurasi Amazon EventBridge untuk melakukan tindakan sebagai respons terhadap peristiwa Kepatuhan Systems Manager. Misalnya, jika satu atau beberapa node terkelola gagal menginstal pembaruan patch kritis atau menjalankan asosiasi yang menginstal perangkat lunak anti-virus, maka Anda dapat mengonfigurasi EventBridge untuk menjalankan `AWS-RunPatchBaseline` dokumen atau `AWS-RefreshAssocation` dokumen saat peristiwa Kepatuhan terjadi. 

Gunakan prosedur berikut untuk mengonfigurasi Kepatuhan sebagai target suatu EventBridge peristiwa.

**Untuk mengonfigurasi Kepatuhan sebagai target EventBridge acara (konsol)**

1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Di panel navigasi, pilih **Aturan**.

1. Pilih **Buat aturan**.

1. Masukkan nama dan deskripsi aturan.

   Aturan tidak dapat memiliki nama yang sama dengan aturan lain di bus acara yang sama Wilayah AWS dan di bus acara yang sama.

1. Untuk **bus acara**, pilih bus acara yang ingin Anda kaitkan dengan aturan ini. Jika Anda ingin aturan ini merespons peristiwa pencocokan yang berasal dari Anda sendiri Akun AWS, pilih **default**. Ketika Layanan AWS di akun Anda memancarkan acara, itu selalu masuk ke bus acara default akun Anda.

1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.

1. Pilih **Selanjutnya**.

1. Untuk **sumber Acara**, pilih **AWS acara atau acara EventBridge mitra**.

1. Di bagian **Pola acara**, pilih **Formulir pola acara**.

1. Untuk **Sumber peristiwa**, pilih **Layanan AWS **.

1. Untuk **AWS layanan**, pilih **Systems Manager**.

1. Untuk **Jenis peristiwa**, pilih **Kepatuhan Konfigurasi**.

1. Untuk **jenis detail spesifik**, pilih **Perubahan Status Kepatuhan Konfigurasi**.

1. Pilih **Berikutnya**.

1. Untuk **Jenis target**, pilih **Layanan AWS **.

1. Untuk **Pilih target**, pilih ** Systems Manager Run Command**.

1. Di daftar **Dokumen**, pilih dokumen Systems Manager (dokumen SSM) untuk dijalankan ketika target Anda dipanggil. Misalnya, pilih `AWS-RunPatchBaseline` untuk peristiwa patch yang tidak sesuai, atau pilih `AWS-RefreshAssociation` untuk peristiwa asosiasi yang tidak sesuai.

1. Tentukan informasi untuk bidang dan parameter yang tersisa.
**catatan**  
Bidang dan parameter yang wajib diisi memiliki tanda bintang (\$1) di samping namanya. Untuk membuat target, Anda harus menentukan nilai untuk setiap parameter atau bidang yang diperlukan. Jika tidak, sistem akan membuat aturannya, tetapi aturan tersebut tidak akan dijalankan.

1. Pilih **Berikutnya**.

1. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat [Menandai EventBridge Sumber Daya Amazon Anda](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html) di *Panduan EventBridge Pengguna Amazon*.

1. Pilih **Berikutnya**.

1. Tinjau detail aturan dan pilih **Buat aturan**.

# Tetapkan metadata kepatuhan khusus menggunakan AWS CLI
<a name="compliance-custom-metadata-cli"></a>

Prosedur berikut memandu Anda melalui proses penggunaan AWS Command Line Interface (AWS CLI) untuk memanggil operasi AWS Systems Manager [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API guna menetapkan metadata kepatuhan khusus ke sumber daya. Anda juga dapat menggunakan operasi API ini untuk menetapkan metadata kepatuhan tambalan atau asosiasi secara manual ke node terkelola, seperti yang ditunjukkan dalam panduan berikut. Untuk informasi selengkapnya tentang kepatuhan kustom, lihat [Tentang kepatuhan kustom](compliance-about.md#compliance-custom).

**Untuk menetapkan metadata kepatuhan kustom ke instans terkelola (AWS CLI)**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk menetapkan metadata kepatuhan kustom ke node terkelola. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. `ResourceType`Parameter hanya mendukung nilai`ManagedInstance`. Tentukan nilai ini meskipun Anda menetapkan metadata kepatuhan khusus ke perangkat inti terkelola AWS IoT Greengrass .

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Custom:user-defined_string \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value \
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Custom:user-defined_string ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------

1. Ulangi langkah sebelumnya untuk menetapkan metadata kepatuhan khusus tambahan ke satu atau beberapa node. Anda juga dapat menetapkan metadata kepatuhan patch atau asosiasi secara manual ke node terkelola dengan menggunakan perintah berikut:

   Metadata kepatuhan asosiasi

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Association \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value \
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Association ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value ^
       --items Id=user-defined_ID,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT
   ```

------

   Metadata kepatuhan patch

------
#### [ Linux & macOS ]

   ```
   aws ssm put-compliance-items \
       --resource-id instance_ID \
       --resource-type ManagedInstance \
       --compliance-type Patch \
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command  \
       --items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
   ```

------
#### [ Windows ]

   ```
   aws ssm put-compliance-items ^
       --resource-id instance_ID ^
       --resource-type ManagedInstance ^
       --compliance-type Patch ^
       --execution-summary ExecutionTime=user-defined_time_and/or_date_value,ExecutionId=user-defined_ID,ExecutionType=Command  ^
       --items Id=for_example, KB12345,Title=user-defined_title,Severity=one_or_more_comma-separated_severities:CRITICAL, MAJOR, MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=name_of_group,PatchSeverity=the_patch_severity, for example, CRITICAL}"
   ```

------

1. Jalankan perintah berikut untuk melihat daftar item kepatuhan untuk node terkelola tertentu. Gunakan filter untuk menelusuri data kepatuhan tertentu.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-items \
       --resource-ids instance_ID \
       --resource-types ManagedInstance \
       --filters one_or_more_filters
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-items ^
       --resource-ids instance_ID ^
       --resource-types ManagedInstance ^
       --filters one_or_more_filters
   ```

------

   Contoh berikut menunjukkan kepada Anda cara menggunakan perintah ini dengan filter.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-items \
       --resource-ids i-02573cafcfEXAMPLE \
       --resource-type ManagedInstance \
       --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-items ^
       --resource-ids i-02573cafcfEXAMPLE ^
       --resource-type ManagedInstance ^
       --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88ccEXAMPLE Key=Severity,Values=UNSPECIFIED
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=OverallSeverity,Values=UNSPECIFIED
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=OverallSeverity,Values=UNSPECIFIED
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-02573cafcfEXAMPLE
   ```

------

1. Jalankan perintah berikut untuk melihat ringkasan status kepatuhan. Gunakan filter untuk menelusuri data kepatuhan tertentu.

   ```
   aws ssm list-resource-compliance-summaries --filters One or more filters.
   ```

   Contoh berikut menunjukkan kepada Anda cara menggunakan perintah ini dengan filter.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=ExecutionType,Values=Command
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=ExecutionType,Values=Command
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-resource-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
   ```

------
#### [ Windows ]

   ```
   aws ssm list-resource-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL
   ```

------

1. Jalankan perintah berikut untuk melihat jumlah ringkasan sumber daya yang sesuai dan tidak sesuai untuk jenis kepatuhan. Gunakan filter untuk menelusuri data kepatuhan tertentu.

   ```
   aws ssm list-compliance-summaries --filters One or more filters.
   ```

   Contoh berikut menunjukkan kepada Anda cara menggunakan perintah ini dengan filter.

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup
   ```

------

------
#### [ Linux & macOS ]

   ```
   aws ssm list-compliance-summaries \
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm list-compliance-summaries ^
       --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-14522EXAMPLE
   ```

------

# AWS Systems Manager Distributor
<a name="distributor"></a>

Distributor, alat di AWS Systems Manager, membantu Anda mengemas dan mempublikasikan perangkat lunak ke node yang AWS Systems Manager dikelola. Anda dapat mengemas dan mempublikasikan perangkat lunak Anda sendiri atau menggunakannya Distributor untuk menemukan dan menerbitkan paket perangkat lunak agen yang AWS disediakan, seperti **AmazonCloudWatchAgent**, atau paket pihak ketiga seperti **Trend Micro**.Menerbitkan paket mengiklankan versi tertentu dari dokumen paket ke node terkelola yang Anda identifikasi menggunakan node IDs Akun AWS IDs, tag, atau. Wilayah AWS Untuk memulaiDistributor, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/distributor). Di panel navigasi, pilih **Distributor**.

Setelah Anda membuat paket diDistributor, Anda dapat menginstal paket dengan salah satu cara berikut:
+ Satu kali dengan menggunakan [AWS Systems Manager Run Command](run-command.md)
+ Pada jadwal dengan menggunakan [AWS Systems Manager State Manager](systems-manager-state.md)

**penting**  
Paket yang didistribusikan oleh penjual pihak ketiga tidak dikelola oleh AWS dan dipublikasikan oleh vendor paket. Kami mendorong Anda untuk melakukan uji tuntas tambahan untuk memastikan kepatuhan terhadap kontrol keamanan internal Anda. Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Hal ini digambarkan sebagai model tanggung jawab bersama. Untuk mempelajari selengkapnya, lihat [model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/).

## Bagaimana bisa Distributor menguntungkan organisasi saya?
<a name="distributor-benefits"></a>

Distributormenawarkan manfaat ini:
+  **Satu paket, banyak platform** 

  Saat Anda membuat paketDistributor, sistem membuat AWS Systems Manager dokumen (dokumen SSM). Anda dapat melampirkan file.zip ke dokumen ini. Ketika Anda menjalankanDistributor, sistem memproses instruksi dalam dokumen SSM dan menginstal paket perangkat lunak dalam file.zip pada target yang ditentukan. Distributormendukung beberapa sistem operasi, termasuk Windows,Ubuntu Server,Debian Server, danRed Hat Enterprise Linux. Untuk informasi selengkapnya tentang platform yang didukung, lihat [Platform dan arsitektur paket yang didukung](#what-is-a-package-platforms).
+  **Kontrol akses paket di seluruh grup instance terkelola** 

  Anda dapat menggunakan Run Command atau State Manager mengontrol node terkelola mana yang mendapatkan paket dan versi paket mana. Run Commanddan State Manager adalah alat di dalamnya AWS Systems Manager. Node terkelola dapat dikelompokkan berdasarkan instance atau perangkat IDs, Akun AWS angka, tag, atau Wilayah AWS. Anda dapat menggunakan State Manager asosiasi untuk mengirimkan versi paket yang berbeda ke grup instance yang berbeda.
+  **Banyak paket AWS agen disertakan dan siap digunakan** 

  Distributortermasuk banyak paket AWS agen yang siap untuk Anda terapkan ke node terkelola. Cari paket di halaman Distributor `Packages` daftar yang diterbitkan oleh`Amazon`. Contohnya termasuk `AmazonCloudWatchAgent` dan `AWSPVDriver`.
+  **Mengotomatiskan penerapan** 

  Untuk menjaga lingkungan Anda tetap terkini, gunakan State Manager untuk menjadwalkan paket untuk penerapan otomatis pada node terkelola target saat mesin tersebut pertama kali diluncurkan.

## Siapa yang harus menggunakanDistributor?
<a name="distributor-who"></a>
+ Setiap AWS pelanggan yang ingin membuat baru atau menyebarkan paket perangkat lunak yang ada, termasuk paket yang AWS diterbitkan, ke beberapa node yang dikelola Systems Manager sekaligus.
+ Pengembang perangkat lunak yang membuat paket perangkat lunak.
+ Administrator yang bertanggung jawab untuk menjaga node terkelola Systems Manager saat ini dengan sebagian besar paket up-to-date perangkat lunak.

## Apa saja fitur-fiturnyaDistributor?
<a name="distributor-features"></a>
+  **Penyebaran paket ke instance Windows dan Linux** 

  DenganDistributor, Anda dapat menerapkan paket perangkat lunak ke AWS IoT Greengrass instans Elastic Compute Cloud (Amazon EC2) dan perangkat inti Amazon Elastic Compute Cloud (Amazon EC2) untuk Linux dan perangkat inti. Windows Server Untuk daftar jenis sistem operasi instand yang didukung, lihat [Platform dan arsitektur paket yang didukung](#what-is-a-package-platforms).
**catatan**  
Distributortidak didukung pada sistem macOS operasi.
+  **Menyebarkan paket satu kali, atau pada jadwal otomatis** 

  Anda dapat memilih untuk men-deploy paket satu kali, pada jadwal reguler, atau kapan pun versi paket default diubah ke versi yang berbeda. 
+  **Instal ulang paket sepenuhnya, atau lakukan pembaruan di tempat** 

  Untuk menginstal versi paket baru, Anda dapat sepenuhnya menghapus versi saat ini dan menginstal yang baru di tempatnya, atau hanya memperbarui versi saat ini dengan komponen baru dan diperbarui, menurut *skrip pembaruan* yang Anda berikan. Aplikasi paket Anda tidak tersedia selama instalasi ulang, tetapi dapat tetap tersedia selama pembaruan di tempat. Pembaruan di tempat sangat berguna untuk aplikasi pemantauan keamanan atau skenario lain di mana Anda perlu menghindari downtime aplikasi.
+  **Konsol, CLI PowerShell, dan akses SDK ke kemampuan Distributor** 

  Anda dapat bekerja Distributor dengan menggunakan konsol Systems Manager, AWS Command Line Interface (AWS CLI) Alat AWS untuk PowerShell, atau AWS SDK pilihan Anda.
+  **Kontrol akses IAM** 

  Dengan menggunakan kebijakan AWS Identity and Access Management (IAM), Anda dapat mengontrol anggota organisasi mana yang dapat membuat, memperbarui, menyebarkan, atau menghapus paket atau versi paket. Misalnya, Anda mungkin ingin memberikan izin administrator untuk men-deploy paket, tetapi tidak untuk mengubah paket atau membuat versi paket baru.
+  **Dukungan kemampuan logging dan audit** 

  Anda dapat mengaudit dan mencatat tindakan Distributor pengguna di dalam Anda Akun AWS melalui integrasi dengan yang lain Layanan AWS. Untuk informasi selengkapnya, lihat [Aktivitas audit dan pencatatan Distributor](distributor-logging-auditing.md).

## Apa itu paketDistributor?
<a name="what-is-a-package"></a>

*Paket* adalah kumpulan perangkat lunak atau aset yang dapat diinstal yang mencakup hal-hal berikut.
+ Sebuah file .zip perangkat lunak per platform sistem operasi target. Setiap file .zip harus mencakup hal-hal berikut.
  + Sebuah **install** dan **uninstall** naskah. Windows Servernode terkelola berbasis memerlukan PowerShell skrip (skrip bernama `install.ps1` dan`uninstall.ps1`). Node terkelola berbasis Linux memerlukan skrip shell (skrip bernama dan). `install.sh` `uninstall.sh` AWS Systems Manager SSM Agentmembaca dan melaksanakan instruksi dalam **install** dan **uninstall** skrip.
  + File yang dapat dieksekusi. SSM Agentharus menemukan executable ini untuk menginstal paket pada node terkelola target.
+ File manifes berformat JSON yang menjelaskan isi paket. Manifes tidak termasuk dalam file .zip, tetapi disimpan dalam bucket Amazon Simple Storage Service (Amazon S3) yang sama sebagai file .zip yang membentuk paket. Manifes mengidentifikasi versi paket dan memetakan file.zip dalam paket untuk menargetkan atribut node terkelola, seperti versi atau arsitektur sistem operasi. Untuk informasi tentang cara membuat manifes, lihat [Langkah 2: Buat manifes paket JSON](distributor-working-with-packages-create.md#packages-manifest).

Saat Anda memilih pembuatan paket **sederhana** di Distributor konsol, Distributor buat skrip instalasi dan penghapusan instalasi, hash file, dan manifes paket JSON untuk Anda, berdasarkan nama file yang dapat dieksekusi perangkat lunak dan platform serta arsitektur target.

### Platform dan arsitektur paket yang didukung
<a name="what-is-a-package-platforms"></a>

Anda dapat menggunakan Distributor untuk mempublikasikan paket ke platform node terkelola Systems Manager berikut. Nilai versi harus sesuai dengan versi rilis yang tepat Amazon Machine Image (AMI) sistem operasi yang Anda targetkan. Untuk informasi selengkapnya tentang cara menentukan versi ini, lihat langkah 4 [Langkah 2: Buat manifes paket JSON](distributor-working-with-packages-create.md#packages-manifest).

**catatan**  
Systems Manager tidak mendukung semua sistem operasi berikut untuk perangkat AWS IoT Greengrass inti. Untuk informasi selengkapnya, lihat [Menyiapkan perangkat AWS IoT Greengrass inti](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html) di *Panduan AWS IoT Greengrass Version 2 Pengembang*.


| Platform | Nilai kode dalam file manifest | Arsitektur yang didukung | 
| --- | --- | --- | 
| AlmaLinux | almalinux |  x86\$164 ARM64  | 
|  Amazon Linux 2 dan Amazon Linux 2023  |   `amazon`   |  x86\$164 atau x86 ARM64(Amazon Linux 2 dan AL2023, jenis instans A1)  | 
|  Debian Server  |   `debian`   |  x86\$164 atau x86  | 
|  openSUSE  |   `opensuse`   |  x86\$164  | 
|  openSUSE Leap  |   `opensuseleap`   |  x86\$164  | 
|  Oracle Linux  |   `oracle`   |  x86\$164  | 
|  Red Hat Enterprise Linux (RHEL)  |   `redhat`   |  x86\$164 ARM64 (RHEL 7.6 dan yang lebih baru, tipe instans A1)  | 
| Rocky Linux | rocky |  x86\$164 ARM64  | 
|  SUSE Linux Enterprise Server (SLES)  |   `suse`   |  x86\$164  | 
|  Ubuntu Server  |   `ubuntu`   |  x86\$164 atau x86 ARM64(Ubuntu Server16 dan yang lebih baru, jenis instans A1)  | 
|  Windows Server  |   `windows`   |  x86\$164  | 

**Topics**
+ [Bagaimana bisa Distributor menguntungkan organisasi saya?](#distributor-benefits)
+ [Siapa yang harus menggunakanDistributor?](#distributor-who)
+ [Apa saja fitur-fiturnyaDistributor?](#distributor-features)
+ [Apa itu paketDistributor?](#what-is-a-package)
+ [Menyiapkan Distributor](distributor-getting-started.md)
+ [Bekerja dengan Distributor paket](distributor-working-with.md)
+ [Aktivitas audit dan pencatatan Distributor](distributor-logging-auditing.md)
+ [Pemecahan masalah AWS Systems ManagerDistributor](distributor-troubleshooting.md)

# Menyiapkan Distributor
<a name="distributor-getting-started"></a>

Sebelum Anda menggunakanDistributor, alat dalam AWS Systems Manager, untuk membuat, mengelola, dan menyebarkan paket perangkat lunak, ikuti langkah-langkah ini.

## DistributorPrasyarat lengkap
<a name="distributor-prerequisites"></a>

Sebelum Anda menggunakanDistributor, alat masuk AWS Systems Manager, pastikan lingkungan Anda memenuhi persyaratan berikut.


**Prasyarat Distributor**  

| Persyaratan | Deskripsi | 
| --- | --- | 
|  SSM Agent  |  AWS Systems Manager SSM Agentversi 2.3.274.0 atau yang lebih baru harus diinstal pada node terkelola tempat Anda ingin menyebarkan atau dari mana Anda ingin menghapus paket. Untuk menginstal atau memperbaruiSSM Agent, lihat[Bekerja dengan SSM Agent](ssm-agent.md).  | 
|  AWS CLI  |  (Opsional) Untuk menggunakan AWS Command Line Interface (AWS CLI) alih-alih konsol Systems Manager untuk membuat dan mengelola paket, instal rilis terbaru AWS CLI di komputer lokal Anda. Untuk informasi tentang cara menginstal atau meningkatkan CLI, lihat [Menginstal AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) dalam *Panduan Pengguna AWS Command Line Interface *.  | 
|  Alat AWS untuk PowerShell  |  (Opsional) Untuk menggunakan Tools untuk PowerShell alih-alih konsol Systems Manager untuk membuat dan mengelola paket, instal rilis terbaru Tools for PowerShell di komputer lokal Anda. Untuk informasi selengkapnya tentang cara menginstal atau memutakhirkan Alat untuk PowerShell, lihat [Menyiapkan AWS Tools for Windows PowerShell atau AWS Tools for PowerShell Core](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html) di *Panduan Alat AWS untuk PowerShell Pengguna*.  | 

**catatan**  
Systems Manager tidak mendukung distribusi paket ke node Oracle Linux terkelola dengan menggunakanDistributor.

## Verifikasi atau buat profil instans IAM dengan izin Distributor
<a name="distributor-getting-started-instance-profile"></a>

Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instance Anda. Anda harus memberikan akses dengan menggunakan profil instans AWS Identity and Access Management (IAM). Profil instans adalah kontainer yang menyampaikan informasi IAM role ke instans Amazon Elastic Compute Cloud (Amazon EC2) saat peluncuran. Persyaratan ini berlaku untuk izin untuk semua alat Systems Manager, tidak hanyaDistributor.

**catatan**  
Saat mengonfigurasi perangkat edge untuk menjalankan perangkat lunak AWS IoT Greengrass Core danSSM Agent, Anda menentukan peran layanan IAM yang memungkinkan Systems Manager untuk mengubah tindakan di dalamnya. Anda tidak perlu mengonfigurasi perangkat edge terkelola dengan profil instance. 

Jika Anda sudah menggunakan alat Systems Manager lainnya, seperti Run Command danState Manager, profil instans dengan izin yang diperlukan untuk sudah Distributor dilampirkan ke instance Anda. Cara termudah untuk memastikan bahwa Anda memiliki izin untuk melakukan Distributor tugas adalah dengan melampirkan SSMManaged InstanceCore kebijakan **Amazon** ke profil instans Anda. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md).

## Kontrol akses pengguna ke paket
<a name="distributor-getting-started-restrict-access"></a>

Menggunakan kebijakan AWS Identity and Access Management (IAM), Anda dapat mengontrol siapa yang dapat membuat, menyebarkan, dan mengelola paket. Anda juga mengontrol operasi mana Run Command dan State Manager API yang dapat mereka lakukan pada node terkelola. SepertiDistributor, keduanya Run Command danState Manager, adalah alat di AWS Systems Manager.

**Format ARN**  
Paket yang ditentukan pengguna dikaitkan dengan dokumen Amazon Resource Names (ARNs) dan memiliki format berikut.

```
arn:aws:ssm:region:account-id:document/document-name
```

Berikut adalah contohnya.

```
arn:aws:ssm:us-west-1:123456789012:document/ExampleDocumentName
```

Anda dapat menggunakan sepasang kebijakan IAM default yang AWS disediakan, satu untuk pengguna akhir dan satu lagi untuk administrator, untuk memberikan izin untuk aktivitas. Distributor Atau Anda dapat membuat kebijakan IAM kustom yang sesuai dengan persyaratan izin Anda.

Untuk informasi selengkapnya tentang penggunaan variabel dalam kebijakan IAM, lihat [Elemen Kebijakan IAM: Variabel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html). 

Untuk informasi tentang cara membuat kebijakan dan melampirkannya ke pengguna atau grup, lihat [Membuat Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dan [Menambahkan dan Menghapus Kebijakan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Pengguna *IAM*.

## Buat atau pilih bucket Amazon S3 untuk menyimpan paket Distributor
<a name="distributor-getting-s3-bucket"></a>

Saat membuat paket menggunakan alur kerja **Simple** di AWS Systems Manager konsol, Anda memilih bucket Amazon Simple Storage Service (Amazon S3) yang sudah ada untuk mengunggah perangkat lunak Anda. Distributor Distributoradalah alat di AWS Systems Manager. Pada alur kerja **Lanjutan**, Anda harus mengunggah file .zip perangkat lunak atau aset Anda ke bucket Amazon S3 sebelum Anda mulai. Apakah Anda membuat paket dengan menggunakan alur kerja **Sederhana** atau **Lanjutan** di konsol, atau dengan menggunakan API, Anda harus memiliki bucket Amazon S3 sebelum Anda mulai membuat paket Anda. Sebagai bagian dari proses pembuatan paket, salin Distributor perangkat lunak dan aset yang dapat diinstal dari bucket ini ke toko Systems Manager internal. Karena aset disalin ke toko internal, Anda dapat menghapus atau menggunakan kembali bucket Amazon S3 Anda ketika pembuatan paket selesai.

Untuk informasi selengkapnya tentang cara membuat bucket, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Memulai Amazon Simple Storage Service*. Untuk informasi selengkapnya tentang cara menjalankan AWS CLI perintah untuk membuat bucket, lihat [https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html](https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html)di *AWS CLI Command Reference*.

# Bekerja dengan Distributor paket
<a name="distributor-working-with"></a>

Anda dapat menggunakan AWS Systems Manager konsol, alat baris AWS perintah (AWS CLI dan Alat AWS untuk PowerShell), dan AWS SDKs untuk menambahkan, mengelola, atau menyebarkan paket di Distributor. Distributor adalah alat di AWS Systems Manager. Sebelum Anda menambahkan paket ke Distributor:
+ Buat dan zip aset yang dapat diinstal.
+ (Opsional) Buat file manifest JSON untuk paket. Ini tidak diperlukan untuk menggunakan proses pembuatan paket **Sederhana** di Distributor konsol. Pembuatan paket sederhana menghasilkan file manifes JSON untuk Anda.

  Anda dapat menggunakan AWS Systems Manager konsol atau teks atau editor JSON untuk membuat file manifes.
+ Siapkan bucket Amazon Simple Storage Service (Amazon S3) untuk menyimpan aset atau perangkat lunak yang dapat diinstal Anda. Jika Anda menggunakan proses pembuatan paket **Lanjutan**, unggah aset Anda ke bucket Amazon S3 sebelum Anda mulai.
**catatan**  
Anda dapat menghapus atau menggunakan kembali bucket ini setelah Anda selesai membuat paket Anda karena Distributor memindahkan isi paket ke bucket Systems Manager internal sebagai bagian dari proses pembuatan paket.

AWS paket yang diterbitkan sudah dikemas dan siap untuk digunakan. Untuk menerapkan paket AWS-published ke node terkelola, lihat. [Instal atau perbarui Distributor paket](distributor-working-with-packages-deploy.md)

Anda dapat berbagi Distributor paket antara Akun AWS. Saat menggunakan paket yang dibagikan dari akun lain dalam AWS CLI perintah, gunakan paket Amazon Resource Name (ARN) alih-alih nama paket.

**Topics**
+ [Lihat paket di Distributor](distributor-view-packages.md)
+ [Buat paket di Distributor](distributor-working-with-packages-create.md)
+ [Edit izin Distributor paket di konsol](distributor-working-with-packages-ep.md)
+ [Edit tag Distributor paket di konsol](distributor-working-with-packages-tags.md)
+ [Tambahkan versi ke Distributor paket](distributor-working-with-packages-version.md)
+ [Instal atau perbarui Distributor paket](distributor-working-with-packages-deploy.md)
+ [Copot pemasangan paket Distributor](distributor-working-with-packages-uninstall.md)
+ [Hapus Distributor paket](distributor-working-with-packages-dpkg.md)

# Lihat paket di Distributor
<a name="distributor-view-packages"></a>

Untuk melihat paket yang tersedia untuk instalasi, Anda dapat menggunakan AWS Systems Manager konsol atau alat baris AWS perintah pilihan Anda. Distributoradalah alat di AWS Systems Manager. Untuk mengaksesDistributor, buka AWS Systems Manager konsol dan pilih **Distributor**di panel navigasi kiri. Anda akan melihat semua paket yang tersedia untuk Anda.

Bagian berikut menjelaskan bagaimana Anda dapat melihat Distributor paket menggunakan alat baris perintah pilihan Anda.

## Lihat paket menggunakan baris perintah
<a name="distributor-view-packages-cmd"></a>

Bagian ini berisi informasi tentang bagaimana Anda dapat menggunakan alat baris perintah pilihan Anda untuk melihat Distributor paket menggunakan perintah yang disediakan.

------
#### [ Linux & macOS ]

**Untuk melihat paket menggunakan AWS CLI di Linux**
+ Untuk melihat semua paket, tidak termasuk paket bersama, jalankan perintah berikut.

  ```
  aws ssm list-documents \
      --filters Key=DocumentType,Values=Package
  ```
+ Untuk melihat semua paket yang dimiliki Amazon, jalankan perintah berikut.

  ```
  aws ssm list-documents \
      --filters Key=DocumentType,Values=Package Key=Owner,Values=Amazon
  ```
+ Untuk melihat semua paket yang dimiliki pihak ketiga, jalankan perintah berikut.

  ```
  aws ssm list-documents \
      --filters Key=DocumentType,Values=Package Key=Owner,Values=ThirdParty
  ```

------
#### [ Windows ]

**Untuk melihat paket menggunakan AWS CLI pada Windows**
+ Untuk melihat semua paket, tidak termasuk paket bersama, jalankan perintah berikut.

  ```
  aws ssm list-documents ^
      --filters Key=DocumentType,Values=Package
  ```
+ Untuk melihat semua paket yang dimiliki Amazon, jalankan perintah berikut.

  ```
  aws ssm list-documents ^
      --filters Key=DocumentType,Values=Package Key=Owner,Values=Amazon
  ```
+ Untuk melihat semua paket yang dimiliki pihak ketiga, jalankan perintah berikut.

  ```
  aws ssm list-documents ^
      --filters Key=DocumentType,Values=Package Key=Owner,Values=ThirdParty
  ```

------
#### [ PowerShell ]

**Untuk melihat paket menggunakan Alat untuk PowerShell**
+ Untuk melihat semua paket, tidak termasuk paket bersama, jalankan perintah berikut.

  ```
  $filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
  $filter.Key = "DocumentType"
  $filter.Values = "Package"
  
  Get-SSMDocumentList `
      -Filters @($filter)
  ```
+ Untuk melihat semua paket yang dimiliki Amazon, jalankan perintah berikut.

  ```
  $typeFilter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
  $typeFilter.Key = "DocumentType"
  $typeFilter.Values = "Package"
  
  $ownerFilter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
  $ownerFilter.Key = "Owner"
  $ownerFilter.Values = "Amazon"
  
  Get-SSMDocumentList `
      -Filters @($typeFilter,$ownerFilter)
  ```
+ Untuk melihat semua paket yang dimiliki pihak ketiga, jalankan perintah berikut.

  ```
  $typeFilter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
  $typeFilter.Key = "DocumentType"
  $typeFilter.Values = "Package"
  
  $ownerFilter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
  $ownerFilter.Key = "Owner"
  $ownerFilter.Values = "ThirdParty"
  
  Get-SSMDocumentList `
      -Filters @($typeFilter,$ownerFilter)
  ```

------

# Buat paket di Distributor
<a name="distributor-working-with-packages-create"></a>

Untuk membuat paket, siapkan perangkat lunak atau aset yang dapat diinstal Anda, satu file per platform sistem operasi. Setidaknya satu file diperlukan untuk membuat paket.

Platform yang berbeda terkadang menggunakan file yang sama, namun semua file yang Anda lampirkan ke paket harus tercantum dalam bagian `Files` manifes. Jika Anda membuat paket dengan menggunakan alur kerja sederhana di konsol, manifes akan dibuat untuk Anda. Jumlah maksimum file yang dapat Anda lampirkan ke dokumen tunggal adalah 20. Ukuran maksimum setiap file adalah 1 GB. Untuk informasi selengkapnya tentang platform yang didukung, lihat [Platform dan arsitektur paket yang didukung](distributor.md#what-is-a-package-platforms).

Saat Anda membuat paket, sistem membuat [dokumen SSM](documents.md) baru. Dokumen ini memungkinkan Anda untuk menyebarkan paket ke node terkelola.

Untuk tujuan demonstrasi saja, paket contoh, [ExamplePackage.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/ExamplePackage.zip), tersedia untuk Anda unduh dari situs web kami. Paket contoh mencakup manifes JSON lengkap dan tiga file.zip yang berisi installer untuk v7.0.0. PowerShell Skrip instalasi dan penghapusan instalasi tidak berisi perintah yang valid. Meskipun Anda harus men-zip setiap perangkat lunak yang dapat diinstal dan skrip ke file .zip untuk membuat paket di alur kerja **Lanjutan**, Anda tidak men-zip aset yang dapat diinstal di alur kerja **Sederhana**.

**Topics**
+ [Buat paket menggunakan alur kerja Sederhana](#distributor-working-with-packages-create-simple)
+ [Membuat paket menggunakan alur kerja Advanced](#distributor-working-with-packages-create-adv)

## Buat paket menggunakan alur kerja Sederhana
<a name="distributor-working-with-packages-create-simple"></a>

Bagian ini menjelaskan cara membuat paket Distributor dengan memilih alur kerja pembuatan paket **sederhana** di Distributor konsol. Distributoradalah alat di AWS Systems Manager. Untuk membuat paket, siapkan aset yang dapat diinstal Anda, satu file per platform sistem operasi. Setidaknya satu file diperlukan untuk membuat paket. Proses pembuatan paket **Sederhana** menghasilkan skrip instalasi dan penghapusan instalasi, hash file, dan manifes yang diformat JSON untuk Anda. Alur kerja **Sederhana** menangani proses unggah dan pen-zip-an file yang dapat diinstal, serta membuat paket baru dan [Dokumen SSM](documents.md) terkait. Untuk informasi selengkapnya tentang platform yang didukung, lihat [Platform dan arsitektur paket yang didukung](distributor.md#what-is-a-package-platforms).

Bila Anda menggunakan metode Simple untuk membuat paket, Distributor membuat `install` dan `uninstall` skrip untuk Anda. Namun, ketika Anda membuat paket untuk pembaruan di tempat, Anda harus menyediakan konten skrip `update` Anda sendiri pada tab **Memperbarui skrip**. Saat Anda menambahkan perintah input untuk `update` skrip, Distributor sertakan skrip ini dalam paket.zip yang dibuatnya untuk Anda, bersama dengan `uninstall` skrip `install` dan.

**catatan**  
Gunakan opsi pembaruan `In-place` untuk menambahkan file baru atau yang diperbarui ke instalasi paket yang ada tanpa mengambil aplikasi terkait secara offline.

**Untuk membuat paket menggunakan alur kerja Sederhana**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di Distributor halaman beranda, pilih **Buat paket**, lalu pilih **Sederhana**.

1. Pada halaman **Buat paket**, masukkan nama untuk paket Anda. Nama hanya dapat berisi huruf, angka, titik, tanda hubung, dan garis bawah. Nama harus cukup generik untuk diterapkan ke semua versi lampiran paket, tetapi cukup spesifik untuk mengidentifikasi tujuan paket.

1. (Opsional) Untuk **Nama versi**, masukkan nama versi. Nama versi dapat maksimal 512 karakter, dan tidak dapat berisi karakter khusus.

1. Untuk **Lokasi**, pilih bucket dengan menggunakan nama bucket dan awalan atau dengan menggunakan URL bucket.

1. Untuk **Unggah perangkat lunak**, pilih **Tambahkan perangkat lunak**, lalu pergi ke file perangkat lunak yang dapat diinstal dengan ekstensi `.rpm`, `.msi`, atau `.deb`. Jika nama file berisi spasi, pengunggahan gagal. Anda dapat mengunggah lebih dari satu file perangkat lunak dalam satu tindakan.

1. Untuk **Platform target**, verifikasikan bahwa platform sistem operasi target yang ditampilkan untuk setiap file yang dapat diinstal benar. Jika sistem operasi yang ditampilkan tidak benar, pilih sistem operasi yang benar dari daftar dropdown.

   Untuk alur kerja pembuatan paket **Sederhana**, karena Anda mengunggah setiap file yang dapat diinstal hanya sekali, langkah-langkah tambahan diperlukan untuk menginstruksikan Distributor menargetkan satu file di beberapa sistem operasi. Misalnya, jika Anda mengunggah file perangkat lunak yang dapat diinstal bernama`Logtool_v1.1.1.rpm`, Anda harus mengubah beberapa default dalam alur kerja **Simple** untuk menargetkan perangkat lunak yang sama pada versi yang didukung dari Amazon Linux dan sistem operasi. Ubuntu Server Saat menargetkan beberapa platform, lakukan salah satu hal berikut ini.
   + Gunakan alur kerja **Lanjutan** sebagai gantinya, zip setiap file yang dapat diinstal ke dalam file .zip sebelum Anda memulai, dan secara manual tulis manifest sehingga satu file yang dapat diinstal dapat ditargetkan pada beberapa versi atau platform sistem operasi. Untuk informasi selengkapnya, lihat [Membuat paket menggunakan alur kerja Advanced](#distributor-working-with-packages-create-adv).
   + Edit file manifes secara manual di alur kerja **Sederhana** sehingga file .zip Anda ditargetkan pada beberapa versi atau platform sistem operasi. Untuk informasi selengkapnya tentang cara melakukan ini, lihat akhir langkah 4 di [Langkah 2: Buat manifes paket JSON](#packages-manifest).

1. Untuk **Versi platform**, verifikasi bahwa versi platform sistem operasi yang ditampilkan adalah **\$1any**, versi rilis utama diikuti dengan wildcard (7.\$1), atau versi rilis sistem operasi yang tepat yang Anda ingin perangkat lunak Anda diterapkan padanya. Untuk informasi selengkapnya tentang menentukan versi platform sistem operasi, lihat langkah 4 di [Langkah 2: Buat manifes paket JSON](#packages-manifest).

1. Untuk **Arsitektur**, pilih arsitektur prosesor yang benar untuk setiap file yang dapat diinstal dari daftar dropdown. Untuk informasi selengkapnya tentang arsitektur prosesor yang didukung, lihat [Platform dan arsitektur paket yang didukung](distributor.md#what-is-a-package-platforms).

1. (Opsional) Perluas **Skrip**, dan tinjau skrip yang Distributor dihasilkan untuk perangkat lunak yang dapat diinstal.

1. (Opsional) Guna menyediakan skrip pembaruan untuk digunakan dengan pembaruan di tempat, perluas **Skrip**, pilih tab **Memperbarui skrip**, dan masukkan perintah skrip pembaruan Anda.

   Systems Manager tidak membuat skrip pembaruan atas nama Anda.

1. Untuk menambahkan lebih banyak file perangkat lunak yang dapat diinstal, pilih **Tambahkan perangkat lunak**. Jika tidak, lanjutkan ke langkah berikutnya.

1. (Opsional) Perluas **Manifest**, dan tinjau manifes paket JSON yang Distributor menghasilkan perangkat lunak yang dapat diinstal. Jika Anda mengubah informasi tentang perangkat lunak Anda sejak Anda memulai prosedur ini, seperti versi platform atau platform target, pilih **Buat manifes** untuk menampilkan manifes paket yang diperbarui.

   Anda dapat mengedit manifes secara manual jika Anda ingin menargetkan perangkat lunak yang dapat diinstal di lebih dari satu sistem operasi, seperti yang dijelaskan pada langkah 8. Untuk informasi selengkapnya tentang manifest, lihat [Langkah 2: Buat manifes paket JSON](#packages-manifest).

1. Pilih **Buat paket**.

Tunggu Distributor hingga selesai mengunggah perangkat lunak Anda dan membuat paket Anda. Distributormenampilkan status unggahan untuk setiap file yang dapat diinstal. Tergantung pada jumlah dan ukuran paket yang Anda tambahkan, ini bisa memakan waktu beberapa menit. DistributorSecara otomatis mengarahkan Anda ke halaman **Package details** untuk paket baru, tetapi Anda dapat memilih untuk membuka halaman ini sendiri setelah perangkat lunak diunggah. Halaman **Package details** tidak menampilkan semua informasi tentang paket Anda sampai Distributor selesai proses pembuatan paket. Untuk menghentikan proses pengunggahan dan pembuatan paket, pilih **Batalkan**.

Jika tidak Distributor dapat mengunggah file yang dapat diinstal perangkat lunak apa pun, ini akan menampilkan pesan **gagal Unggah**. Untuk mencoba lagi pengunggahan, pilih **Coba lagi pengunggahan**. Untuk informasi selengkapnya tentang cara memecahkan masalah kegagalan pembuatan paket, lihat [Pemecahan masalah AWS Systems ManagerDistributor](distributor-troubleshooting.md).

## Membuat paket menggunakan alur kerja Advanced
<a name="distributor-working-with-packages-create-adv"></a>

Di bagian ini, pelajari cara pengguna tingkat lanjut dapat membuat paket Distributor setelah mengunggah aset yang dapat diinstal yang di-zip dengan skrip penginstalan dan penghapusan instalasi, serta file manifes JSON, ke bucket Amazon S3.

Untuk membuat paket, siapkan file .zip aset yang dapat diinstal Anda, satu file .zip per platform sistem operasi. Setidaknya satu file .zip diperlukan untuk membuat sebuah paket. Selanjutnya, buatlah manifes JSON. Manifes menyertakan penunjuk ke file kode paket Anda. Ketika Anda sudah menambahkan file kode yang diperlukan ke folder atau direktori, dan manifes diisi dengan nilai-nilai yang benar, unggah paket Anda ke bucket S3.

Contoh paket, [ExamplePackage.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/ExamplePackage.zip), tersedia untuk Anda unduh dari situs web kami. Contoh paket termasuk manifes JSON yang sudah selesai dan tiga file .zip.

**Topics**
+ [Langkah 1: Membuat file ZIP](#packages-zip)
+ [Langkah 2: Buat manifes paket JSON](#packages-manifest)
+ [Langkah 3: Unggah paket dan manifes ke bucket Amazon S3](#packages-upload-s3)
+ [Langkah 4: Tambahkan paket ke Distributor](#distributor-working-with-packages-add)

### Langkah 1: Membuat file ZIP
<a name="packages-zip"></a>

Dasar paket Anda setidaknya satu file .zip perangkat lunak atau aset yang dapat diinstal. Sebuah paket mencakup satu file .zip per sistem operasi yang ingin Anda dukung, kecuali satu file .zip dapat diinstal pada beberapa sistem operasi. Misalnya, versi yang didukung Red Hat Enterprise Linux dan instans Amazon Linux biasanya dapat menjalankan file executable .RPM yang sama, jadi Anda hanya perlu melampirkan satu file.zip ke paket Anda untuk mendukung kedua sistem operasi.

**File yang diperlukan**  
Item berikut diperlukan dalam setiap file .zip:
+ Sebuah **install** dan **uninstall** naskah. Windows Servernode terkelola berbasis memerlukan PowerShell skrip (skrip bernama `install.ps1` dan`uninstall.ps1`). Node terkelola berbasis Linux memerlukan skrip shell (skrip bernama dan). `install.sh` `uninstall.sh` SSM Agentmenjalankan instruksi dalam **install** dan **uninstall** skrip.

  Misalnya, skrip instalasi Anda mungkin menjalankan penginstal (seperti .rpm atau .msi), mereka dapat menyalin file, atau mungkin mengatur konfigurasi.
+ File yang dapat dieksekusi, paket penginstal (.rpm, .deb, .msi, dll.), skrip lain, atau file konfigurasi.

**File opsional**  
Item berikut adalah opsional dalam masing-masing file .zip:
+ Skrip **update**. Menyediakan skrip pembaruan memungkinkan Anda untuk menggunakan opsi `In-place update` untuk menginstal sebuah paket. Saat Anda ingin menambahkan file baru atau yang diperbarui ke instalasi paket yang ada, `In-place update` opsi tidak membuat aplikasi paket offline saat pembaruan dilakukan. Windows Servernode terkelola berbasis memerlukan PowerShell skrip (skrip bernama`update.ps1`). Node terkelola berbasis Linux memerlukan skrip shell (skrip bernama). `update.sh` SSM Agentmenjalankan instruksi dalam **update** skrip.

Untuk informasi selengkapnya tentang menginstal atau memperbarui paket, lihat [Instal atau perbarui Distributor paket](distributor-working-with-packages-deploy.md).

[Untuk contoh file.zip, termasuk sampel **install** dan **uninstall** skrip, unduh paket contoh, ExamplePackage .zip.](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/ExamplePackage.zip)

### Langkah 2: Buat manifes paket JSON
<a name="packages-manifest"></a>

Setelah Anda mempersiapkan dan men-zip file yang dapat diinstal Anda, buatlah manifes JSON. Berikut ini adalah sebuah templat. Bagian-bagian templat manifes ini dijelaskan dalam prosedur di bagian ini. Anda dapat menggunakan editor JSON untuk membuat manifes ini dalam file terpisah. Atau, Anda dapat membuat manifes di AWS Systems Manager konsol saat membuat paket.

```
{
  "schemaVersion": "2.0",
  "version": "your-version",
  "publisher": "optional-publisher-name",
  "packages": {
    "platform": {
      "platform-version": {
        "architecture": {
          "file": ".zip-file-name-1.zip"
        }
      }
    },
    "another-platform": {
      "platform-version": {
        "architecture": {
          "file": ".zip-file-name-2.zip"
        }
      }
    },
    "another-platform": {
      "platform-version": {
        "architecture": {
          "file": ".zip-file-name-3.zip"
        }
      }
    }
  },
  "files": {
    ".zip-file-name-1.zip": {
      "checksums": {
        "sha256": "checksum"
      }
    },
    ".zip-file-name-2.zip": {
      "checksums": {
        "sha256": "checksum"
      }
    }
  }
}
```

**Untuk membuat manifes paket JSON**

1. Tambahkan versi skema ke manifes Anda. Dalam rilis ini, versi skema selalu `2.0`.

   ```
   { "schemaVersion": "2.0",
   ```

1. Tambahkan versi paket yang ditetapkan pengguna ke manifes Anda. Ini juga merupakan nilai **nama Versi** yang Anda tentukan saat Anda menambahkan paket AndaDistributor. Ini menjadi bagian dari AWS Systems Manager dokumen yang Distributor dibuat ketika Anda menambahkan paket Anda. Anda juga memberikan nilai ini sebagai input dalam dokumen `AWS-ConfigureAWSPackage` untuk menginstal versi paket selain yang terbaru. Nilai `version` dapat berisi huruf, angka, garis bawah, tanda hubung, dan titik, dengan panjang maksimum 128 karakter. Kami sarankan Anda menggunakan versi paket yang dapat dibaca manusia agar lebih mudah bagi Anda dan administrator lain dalam menentukan versi paket yang tepat ketika Anda men-deploy. Berikut adalah contoh.

   ```
   "version": "1.0.1",
   ```

1. (Opsional) Tambahkan nama penerbit. Berikut adalah contoh.

   ```
   "publisher": "MyOrganization",
   ```

1. Tambahkan paket. Bagian `"packages"` menjelaskan platform, versi rilis, dan arsitektur yang didukung oleh file .zip dalam paket Anda. Untuk informasi selengkapnya, lihat [Platform dan arsitektur paket yang didukung](distributor.md#what-is-a-package-platforms).

   Itu *platform-version* bisa menjadi nilai wildcard,`_any`. Gunakan ini untuk menunjukkan bahwa file .zip mendukung setiap rilis platform. Anda juga dapat menentukan versi rilis utama diikuti dengan wildcard sehingga semua versi minor didukung, misalnya 7.\$1. Jika Anda memilih untuk menentukan *platform-version* nilai untuk versi sistem operasi tertentu, pastikan bahwa itu cocok dengan versi rilis persis dari sistem operasi AMI yang Anda targetkan. Berikut ini adalah sumber daya yang disarankan untuk mendapatkan nilai sistem operasi yang benar.
   + Pada node terkelola Windows Server berbasis, versi rilis tersedia sebagai data Windows Management Instrumentation (WMI). Anda dapat menjalankan perintah berikut dari prompt perintah untuk mendapatkan informasi versi, lalu mengurai hasilnya. `version`

     ```
     wmic OS get /format:list
     ```
   + Pada node terkelola berbasis Linux, dapatkan versi dengan memindai terlebih dahulu untuk rilis sistem operasi (perintah berikut). Cari nilai `VERSION_ID`.

     ```
     cat /etc/os-release
     ```

     Jika itu tidak mengembalikan hasil yang Anda butuhkan, jalankan perintah berikut untuk mendapatkan informasi rilis LSB dari file `/etc/lsb-release`, dan cari nilai `DISTRIB_RELEASE`.

     ```
     lsb_release -a
     ```

     Jika metode ini gagal, Anda biasanya dapat menemukan rilis berdasarkan distribusi. Misalnya, padaDebian Server, Anda dapat memindai `/etc/debian_version` file, atau padaRed Hat Enterprise Linux, `/etc/redhat-release` file.

     ```
     hostnamectl
     ```

   ```
   "packages": {
       "platform": {
         "platform-version": {
           "architecture": {
             "file": ".zip-file-name-1.zip"
           }
         }
       },
       "another-platform": {
         "platform-version": {
           "architecture": {
             "file": ".zip-file-name-2.zip"
           }
         }
       },
       "another-platform": {
         "platform-version": {
           "architecture": {
             "file": ".zip-file-name-3.zip"
           }
         }
       }
     }
   ```

   Berikut adalah contohnya. Pada contoh ini, platform sistem operasi adalah `amazon`, versi rilis yang didukung adalah `2016.09`, arsitekturnya adalah `x86_64`, dan file .zip yang mendukung platform ini adalah `test.zip`.

   ```
   {
       "amazon": {
           "2016.09": {
               "x86_64": {
                   "file": "test.zip"
               }
           }
       }
   },
   ```

   Anda dapat menambahkan nilai wildcard `_any` untuk menunjukkan bahwa paket mendukung semua versi elemen induk. Misalnya, untuk menunjukkan bahwa paket didukung pada setiap versi rilis Amazon Linux, pernyataan paket Anda harus mirip dengan berikut ini. Anda dapat menggunakan wildcard `_any` di tingkat arsitektur atau versi untuk mendukung semua versi platform, atau semua arsitektur dalam versi, atau semua versi dan semua arsitektur platform.

   ```
   {
       "amazon": {
           "_any": {
               "x86_64": {
                   "file": "test.zip"
               }
           }
       }
   },
   ```

   Contoh berikut menambahkan `_any` untuk menunjukkan bahwa paket pertama, `data1.zip`, didukung untuk semua arsitektur Amazon Linux 2016.09. Paket kedua,`data2.zip`, didukung untuk semua rilis Amazon Linux, tetapi hanya untuk node terkelola dengan `x86_64` arsitektur. Baik versi `2023.8` dan `_any` adalah entri di bawah `amazon`. Ada satu platform (Amazon Linux), tetapi versi yang didukung, arsitektur, dan file .zip terkait berbeda.

   ```
   {
       "amazon": {
           "2023.8": {
               "_any": {
                   "file": "data1.zip"
               }
           },
           "_any": {
               "x86_64": {
                   "file": "data2.zip"
               }
           }
       }
   }
   ```

   Anda dapat merujuk ke file .zip lebih dari sekali dalam bagian `"packages"` manifes, jika file.zip mendukung lebih dari satu platform. Misalnya, jika Anda memiliki file.zip yang mendukung versi Red Hat Enterprise Linux 8.x dan Amazon Linux, Anda memiliki dua entri di `"packages"` bagian yang mengarah ke file.zip yang sama, seperti yang ditunjukkan pada contoh berikut.

   ```
   {
       "amazon": {
           "2023.8.20250715 ": {
               "x86_64": {
                   "file": "test.zip"
               }
           }
       },
       "redhat": {
           "8.*": {
               "x86_64": {
                   "file": "test.zip"
               }
           }
       }
   },
   ```

1. Tambahkan daftar file .zip yang merupakan bagian dari paket ini dari langkah 4. Setiap entri file memerlukan nama file dan checksum nilai hash `sha256`. Nilai checksum dalam manifes harus sesuai dengan nilai hash `sha256` dalam aset yang di-zip untuk mencegah instalasi paket gagal.

   Untuk mendapatkan checksum yang tepat dari file yang dapat diinstal Anda, Anda dapat menjalankan perintah berikut. Di Linux, jalankan `shasum -a 256 file-name.zip` atau `openssl dgst -sha256 file-name.zip`. Di Windows, jalankan `Get-FileHash -Path path-to-.zip-file` cmdlet di. [PowerShell](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-6)

   Bagian `"files"` manifes termasuk satu referensi ke masing-masing file .zip dalam paket Anda.

   ```
   "files": {
           "test-agent-x86.deb.zip": {
               "checksums": {
                   "sha256": "EXAMPLE2706223c7616ca9fb28863a233b38e5a23a8c326bb4ae241dcEXAMPLE"
               }
           },
           "test-agent-x86_64.deb.zip": {
               "checksums": {
                   "sha256": "EXAMPLE572a745844618c491045f25ee6aae8a66307ea9bff0e9d1052EXAMPLE"
               }
           },
           "test-agent-x86_64.nano.zip": {
               "checksums": {
                   "sha256": "EXAMPLE63ccb86e830b63dfef46995af6b32b3c52ce72241b5e80c995EXAMPLE"
               }
           },
           "test-agent-rhel8-x86.nano.zip": {
               "checksums": {
                   "sha256": "EXAMPLE13df60aa3219bf117638167e5bae0a55467e947a363fff0a51EXAMPLE"
               }
           },
           "test-agent-x86.msi.zip": {
               "checksums": {
                   "sha256": "EXAMPLE12a4abb10315aa6b8a7384cc9b5ca8ad8e9ced8ef1bf0e5478EXAMPLE"
               }
           },
           "test-agent-x86_64.msi.zip": {
               "checksums": {
                   "sha256": "EXAMPLE63ccb86e830b63dfef46995af6b32b3c52ce72241b5e80c995EXAMPLE"
               }
           },
           "test-agent-rhel8-x86.rpm.zip": {
               "checksums": {
                   "sha256": "EXAMPLE13df60aa3219bf117638167e5bae0a55467e947a363fff0a51EXAMPLE"
               }
           }
       }
   ```

1. Setelah Anda menambahkan informasi paket Anda, simpan dan tutup file manifes.

Berikut ini adalah contoh manifes yang telah selesai. Pada contoh ini, Anda memiliki file .zip, `NewPackage_LINUX.zip`, yang mendukung lebih dari satu platform, tetapi dirujuk dalam bagian `"files"` hanya sekali.

```
{
    "schemaVersion": "2.0",
    "version": "1.7.1",
    "publisher": "Amazon Web Services",
    "packages": {
        "windows": {
            "_any": {
                "x86_64": {
                    "file": "NewPackage_WINDOWS.zip"
                }
            }
        },
        "amazon": {
            "_any": {
                "x86_64": {
                    "file": "NewPackage_LINUX.zip"
                }
            }
        },
        "ubuntu": {
            "_any": {
                "x86_64": {
                    "file": "NewPackage_LINUX.zip"
                }
            }
        }
    },
    "files": {
        "NewPackage_WINDOWS.zip": {
            "checksums": {
                "sha256": "EXAMPLEc2c706013cf8c68163459678f7f6daa9489cd3f91d52799331EXAMPLE"
            }
        },
        "NewPackage_LINUX.zip": {
            "checksums": {
                "sha256": "EXAMPLE2b8b9ed71e86f39f5946e837df0d38aacdd38955b4b18ffa6fEXAMPLE"
            }
        }
    }
}
```

#### Contoh paket
<a name="package-manifest-examples"></a>

Contoh paket, [ExamplePackage.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/ExamplePackage.zip), tersedia untuk Anda unduh dari situs web kami. Contoh paket termasuk manifes JSON yang telah selesai dan tiga file .zip.

### Langkah 3: Unggah paket dan manifes ke bucket Amazon S3
<a name="packages-upload-s3"></a>

Siapkan paket Anda dengan menyalin atau memindahkan semua file .zip ke dalam folder atau direktori. Sebuah paket yang valid memerlukan manifes yang Anda buat di [Langkah 2: Buat manifes paket JSON](#packages-manifest) dan semua file .zip yang diidentifikasi dalam daftar file manifes.

**Untuk mengunggah paket dan manifes ke Amazon S3**

1. Salin atau pindahkan semua file arsip .zip yang Anda tentukan dalam manifes ke folder atau direktori. Jangan men-zip folder atau direktori tempat Anda memindahkan file arsip .zip dan file manifes Anda.

1. Buat bucket atau pilih bucket yang ada. Untuk informasi selengkapnya, lihat [Membuat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Memulai Amazon Simple Storage Service*. Untuk informasi selengkapnya tentang cara menjalankan AWS CLI perintah untuk membuat bucket, lihat [https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html](https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html)di *AWS CLI Command Reference*.

1. Unggah folder atau direktori ke bucket. Untuk instruksi, kunjungi [Menambah Objek ke Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PuttingAnObjectInABucket.html) dalam *Panduan Memulai Amazon Simple Storage Service*. Jika Anda berencana untuk menempelkan manifes JSON Anda ke AWS Systems Manager konsol, jangan unggah manifes. Untuk informasi selengkapnya tentang cara menjalankan AWS CLI perintah untuk mengunggah file ke bucket, lihat [https://docs.aws.amazon.com/cli/latest/reference/s3/mv.html](https://docs.aws.amazon.com/cli/latest/reference/s3/mv.html)di *AWS CLI Command Reference*.

1. Di halaman utama bucket, pilih folder atau direktori yang Anda unggah. Jika Anda mengunggah file Anda ke subfolder dalam bucket, pastikan untuk mencatat subfolder (juga dikenal sebagai *prefiks*). Anda memerlukan awalan untuk menambahkan paket Anda. Distributor

### Langkah 4: Tambahkan paket ke Distributor
<a name="distributor-working-with-packages-add"></a>

Anda dapat menggunakan AWS Systems Manager konsol, alat baris AWS perintah (AWS CLI dan Alat AWS untuk PowerShell), atau AWS SDKs untuk menambahkan paket baru keDistributor. Saat menambahkan sebuah paket, Anda menambahkan [Dokumen SSM](documents.md) baru. Dokumen ini memungkinkan Anda untuk menyebarkan paket ke node terkelola.

**Topics**
+ [Tambahkan paket menggunakan konsol](#create-pkg-console)
+ [Tambahkan paket menggunakan AWS CLI](#create-pkg-cli)

#### Tambahkan paket menggunakan konsol
<a name="create-pkg-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk membuat paket. Siapkan nama bucket tempat Anda mengunggah paket Anda di [Langkah 3: Unggah paket dan manifes ke bucket Amazon S3](#packages-upload-s3).

**Untuk menambahkan paket ke Distributor (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di Distributor halaman beranda, pilih **Buat paket**, lalu pilih **Advanced**.

1. Pada halaman **Buat paket**, masukkan nama untuk paket Anda. Nama hanya dapat berisi huruf, angka, titik, tanda hubung, dan garis bawah. Nama harus cukup generik untuk diterapkan ke semua versi lampiran paket, tetapi cukup spesifik untuk mengidentifikasi tujuan paket.

1. Untuk **Nama versi**, masukkan nilai yang tepat dari entri `version` dalam file manifes Anda.

1. Untuk **Nama bucket S3**, pilih nama bucket tempat Anda mengunggah file .zip dan manifes dalam [Langkah 3: Unggah paket dan manifes ke bucket Amazon S3](#packages-upload-s3).

1. Untuk **prefiks kunci S3**, masukkan subfolder bucket tempat file .zip dan manifes disimpan.

1. Untuk **Manifes**, pilih **Ekstrak dari paket** untuk menggunakan manifes yang telah Anda unggah ke bucket Amazon S3 dengan file .zip Anda.

   (Opsional) Jika Anda tidak mengunggah manifest JSON Anda ke bucket S3 tempat Anda menyimpan file .zip Anda, pilih **Manifes baru**. Anda dapat menulis atau menempelkan seluruh manifes di kolom editor JSON. Untuk informasi selengkapnya tentang cara membuat manifes JSON, lihat[Langkah 2: Buat manifes paket JSON](#packages-manifest).

1. Setelah Anda selesai dengan manifes, pilih **Buat paket**.

1. Tunggu Distributor untuk membuat paket Anda dari file.zip dan manifes Anda. Tergantung pada jumlah dan ukuran paket yang Anda tambahkan, ini bisa memakan waktu beberapa menit. DistributorSecara otomatis mengarahkan Anda ke halaman **Package details** untuk paket baru, tetapi Anda dapat memilih untuk membuka halaman ini sendiri setelah perangkat lunak diunggah. Halaman **Package details** tidak menampilkan semua informasi tentang paket Anda sampai Distributor selesai proses pembuatan paket. Untuk menghentikan proses pengunggahan dan pembuatan paket, pilih **Batalkan**.

#### Tambahkan paket menggunakan AWS CLI
<a name="create-pkg-cli"></a>

Anda dapat menggunakan AWS CLI untuk membuat paket. Siapkan URL dari bucket tempat Anda mengunggah paket Anda di [Langkah 3: Unggah paket dan manifes ke bucket Amazon S3](#packages-upload-s3).

**Untuk menambahkan paket ke Amazon S3 menggunakan AWS CLI**

1. Untuk menggunakan file AWS CLI untuk membuat paket, jalankan perintah berikut, ganti *package-name* dengan nama paket Anda dan *path-to-manifest-file* dengan jalur file untuk file manifes JSON Anda. amzn-s3-demo-bucket adalah URL bucket Amazon S3 tempat seluruh paket disimpan. Ketika Anda menjalankan **create-document** perintah diDistributor, Anda menentukan `Package` nilai untuk`--document-type`.

   Jika Anda tidak menambahkan file manifes Anda ke bucket Amazon S3, nilai parameter `--content` adalah jalur file ke file manifes JSON.

   ```
   aws ssm create-document \
       --name "package-name" \
       --content file://path-to-manifest-file \
       --attachments Key="SourceUrl",Values="amzn-s3-demo-bucket" \
       --version-name version-value-from-manifest \
       --document-type Package
   ```

   Berikut adalah contohnya.

   ```
   aws ssm create-document \
       --name "ExamplePackage" \
       --content file://path-to-manifest-file \
       --attachments Key="SourceUrl",Values="https://s3.amazonaws.com/amzn-s3-demo-bucket/ExamplePackage" \
       --version-name 1.0.1 \
       --document-type Package
   ```

1. Verifikasi bahwa paket Anda telah ditambahkan dan tampilkan manifes paket dengan menjalankan perintah berikut, ganti *package-name* dengan nama paket Anda. Untuk mendapatkan versi tertentu dari dokumen (tidak sama dengan versi paket), Anda dapat menambahkan parameter `--document-version`.

   ```
   aws ssm get-document \
       --name "package-name"
   ```

Untuk informasi tentang pilihan lain yang dapat Anda gunakan dengan perintah **create-document**, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-document.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-document.html) di bagian AWS Systems Manager *Referensi Perintah AWS CLI *. Untuk informasi tentang pilihan lain yang dapat Anda gunakan dengan perintah **get-document**, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-document.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-document.html).

# Edit izin Distributor paket di konsol
<a name="distributor-working-with-packages-ep"></a>

Setelah menambahkan paket ke alat Distributor AWS Systems Manager, Anda dapat mengedit izin paket di konsol Systems Manager. Anda dapat menambahkan izin lain Akun AWS ke paket. Paket dapat dibagikan dengan akun lain di Wilayah AWS yang sama saja. Berbagi lintas wilayah tidak didukung. Secara default, paket diatur ke **Private**, artinya hanya mereka yang memiliki akses ke pembuat paket yang Akun AWS dapat melihat informasi paket dan memperbarui atau menghapus paket. Jika izin **Privat** dapat diterima, Anda dapat melewati prosedur ini.

**catatan**  
Anda dapat memperbarui izin paket yang dibagikan dengan 20 akun atau lebih sedikit. 

**Untuk mengedit izin paket di konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Pada halaman **Paket**, pilih paket yang ingin Anda edit izinnya.

1. Pada tab **Detail paket**, pilih **Mengedit izin** untuk mengubah izin.

1. Untuk **Mengedit izin**, pilih **Dibagikan dengan akun tertentu**.

1. Di bawah **Dibagikan dengan akun tertentu** tambahkan, tambahkan nomor Akun AWS , satu per satu. Setelah selesai, pilih **Simpan**.

# Edit tag Distributor paket di konsol
<a name="distributor-working-with-packages-tags"></a>

Setelah Anda menambahkan paket keDistributor, alat di AWS Systems Manager, Anda dapat mengedit tag paket di konsol Systems Manager. Tag ini diterapkan ke paket, dan tidak terhubung ke tag pada node terkelola tempat Anda ingin menerapkan paket. Tanda adalah pasangan kunci dan nilai yang sensitif huruf yang dapat membantu Anda mengelompokkan dan memfilter paket berdasarkan kriteria yang relevan dengan organisasi Anda. Jika Anda tidak ingin menambahkan tanda, Anda siap untuk menginstal paket atau menambahkan versi baru.

**Untuk mengedit tag paket di konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Pada halaman **Paket**, pilih paket yang ingin Anda edit tandanya.

1. Di tab **Detail paket**, pilih **Tanda**, pilih **Edit**.

1. Untuk **Tambahkan tanda**, masukkan kunci tanda, atau pasangan kunci tanda dan nilai, lalu pilih **Tambahkan**. Ulangi jika Anda ingin menambahkan lebih banyak tanda. Untuk menghapus tanda, pilih **X** di tanda pada bagian bawah jendela.

1. Setelah selesai menambahkan tanda ke paket Anda, pilih **Simpan**.

# Tambahkan versi ke Distributor paket
<a name="distributor-working-with-packages-version"></a>

Untuk menambahkan versi paket, [buat paket](distributor-working-with-packages-create.md), lalu gunakan Distributor untuk menambahkan versi paket dengan menambahkan entri ke dokumen AWS Systems Manager (SSM) yang sudah ada untuk versi yang lebih lama. Distributoradalah alat di AWS Systems Manager. Untuk menghemat waktu, perbarui manifes untuk versi paket yang lebih lama, ubah nilai entri `version` dalam manifes (sebagai contoh, dari `Test_1.0` ke `Test_2.0`) dan simpan sebagai manifes untuk versi baru. Alur kerja **Tambahkan versi** sederhana di Distributor konsol memperbarui file manifes untuk Anda.

Versi paket baru dapat:
+ Ganti setidaknya satu file yang dapat diinstal yang terlampir ke versi saat ini.
+ Tambahkan file baru yang dapat diinstal untuk mendukung platform tambahan.
+ Hapus file untuk menghentikan dukungan untuk platform tertentu.

Versi yang lebih baru dapat menggunakan bucket Amazon Simple Storage Service (Amazon S3) yang sama, tetapi harus memiliki URL dengan nama file yang berbeda ditampilkan di bagian akhir. Anda dapat menggunakan konsol Systems Manager atau AWS Command Line Interface (AWS CLI) untuk menambahkan versi baru. Mengunggah file yang dapat diinstal dengan nama yang tepat sama seperti file yang dapat diinstal yang ada di bucket Amazon S3 akan menimpa file yang ada. File yang dapat diinstal tidak akan disalin dari versi lama ke versi baru; Anda harus mengunggah file yang dapat diinstal dari versi lama agar mereka menjadi bagian dari versi baru. Setelah Distributor selesai membuat versi paket baru, Anda dapat menghapus atau menggunakan kembali bucket Amazon S3, Distributor karena menyalin perangkat lunak Anda ke bucket Systems Manager internal sebagai bagian dari proses pembuatan versi.

**catatan**  
Setiap paket disimpan hingga maksimal 25 versi. Anda dapat menghapus versi yang tidak diperlukan lagi.

**Topics**
+ [Menambahkan versi paket menggunakan konsol](#add-pkg-version)
+ [Menambahkan versi paket menggunakan AWS CLI](#add-pkg-version-cli)

## Menambahkan versi paket menggunakan konsol
<a name="add-pkg-version"></a>

Sebelum Anda melakukan langkah-langkah ini, ikuti petunjuk di [Buat paket di Distributor](distributor-working-with-packages-create.md) untuk membuat paket baru untuk versi tersebut. Kemudian, gunakan konsol Systems Manager untuk menambahkan versi paket baru keDistributor.

### Menambahkan versi paket menggunakan alur kerja Sederhana
<a name="add-pkg-version-simple"></a>

Untuk menambahkan versi paket dengan menggunakan alur kerja **Sederhana**, siapkan file yang dapat diinstal yang telah diperbarui atau tambahkan file yang dapat diinstal untuk mendukung lebih banyak platform dan arsitektur. Kemudian, gunakan Distributor untuk mengunggah file yang dapat diinstal baru dan diperbarui dan tambahkan versi paket. Alur kerja **Tambah versi** yang disederhanakan di Distributor konsol memperbarui file manifes dan dokumen SSM terkait untuk Anda.

**Untuk menambahkan versi paket menggunakan alur kerja Sederhana**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di Distributor halaman beranda, pilih paket yang ingin Anda tambahkan versi lain.

1. Pada halaman **Tambahkan versi**, pilih **Sederhana**.

1. Untuk **Nama versi**, masukkan nama versi. Nama versi untuk versi baru harus berbeda dengan nama versi lama. Nama versi dapat maksimal 512 karakter, dan tidak dapat berisi karakter khusus.

1. Untuk **Nama bucket S3**, pilih bucket S3 yang ada dari daftar. Ini bisa bucket yang sama yang Anda gunakan untuk menyimpan file yang dapat diinstal untuk versi yang lebih lama, tetapi nama file yang dapat diinstal harus berbeda untuk menghindari menimpa file yang dapat diinstal yang ada di dalam bucket.

1. Untuk **prefiks kunci S3**, masukkan subfolder bucket tempat aset yang dapat diinstal Anda disimpan.

1. Untuk **Unggah perangkat lunak**, arahkan ke file perangkat lunak yang dapat diinstal yang ingin Anda lampirkan ke versi baru. File yang dapat diinstal dari versi yang ada tidak secara otomatis disalin ke versi baru; Anda harus mengunggah file yang dapat diinstal dari versi paket yang lebih lama jika Anda ingin salah satu file yang dapat diinstal yang sama menjadi bagian dari versi baru. Anda dapat mengunggah lebih dari satu file perangkat lunak dalam satu tindakan.

1. Untuk **Platform target**, verifikasikan bahwa platform sistem operasi target yang ditampilkan untuk setiap file yang dapat diinstal benar. Jika sistem operasi yang ditampilkan tidak benar, pilih sistem operasi yang benar dari daftar dropdown.

   Di alur kerja versioning **Sederhana**, karena Anda mengunggah setiap file yang dapat diinstal hanya sekali, langkah tambahan diperlukan untuk menargetkan satu file di beberapa sistem operasi. Misalnya, jika Anda mengunggah file perangkat lunak yang dapat diinstal bernama`Logtool_v1.1.1.rpm`, Anda harus mengubah beberapa default dalam alur kerja **Sederhana** untuk menginstruksikan Distributor agar menargetkan perangkat lunak yang sama di Amazon Linux dan sistem operasi. Ubuntu Server Anda dapat melakukan salah satu hal berikut untuk mengatasi keterbatasan ini.
   + Gunakan alur kerja versioning **Lanjutan** sebagai gantinya, zip setiap file yang dapat diinstal ke dalam file .zip sebelum Anda memulai, dan secara manual menulis manifes sehingga satu file yang dapat diinstal dapat ditargetkan pada beberapa platform atau versi sistem operasi . Untuk informasi selengkapnya, lihat [Menambahkan versi paket menggunakan alur kerja Lanjutan](#add-pkg-version-adv).
   + Edit file manifes secara manual di alur kerja **Sederhana** sehingga file .zip Anda ditargetkan pada beberapa versi atau platform sistem operasi. Untuk informasi selengkapnya tentang cara melakukan ini, lihat akhir langkah 4 di [Langkah 2: Buat manifes paket JSON](distributor-working-with-packages-create.md#packages-manifest).

1. Untuk **versi Platform**, verifikasi bahwa versi platform sistem operasi yang ditampilkan adalah versi rilis utama yang diikuti oleh wildcard (8.\$1), atau versi rilis sistem operasi yang tepat yang Anda inginkan untuk diterapkan oleh perangkat lunak Anda. **\$1any** Untuk informasi selengkapnya tentang bagaimana cara menentukan versi platform, lihat langkah 4 di [Langkah 2: Buat manifes paket JSON](distributor-working-with-packages-create.md#packages-manifest).

1. Untuk **Arsitektur**, pilih arsitektur prosesor yang benar untuk setiap file yang dapat diinstal dari daftar drop-down. Untuk informasi selengkapnya tentang arsitektur yang didukung, lihat [Platform dan arsitektur paket yang didukung](distributor.md#what-is-a-package-platforms).

1. (Opsional) Perluas **Skrip**, dan tinjau skrip instalasi dan penghapusan instalasi yang Distributor dihasilkan untuk perangkat lunak yang dapat diinstal.

1. Untuk menambahkan lebih banyak file perangkat lunak yang dapat diinstal ke versi baru, pilih **Tambahkan perangkat lunak**. Jika tidak, lanjutkan ke langkah berikutnya.

1. (Opsional) Perluas **Manifest**, dan tinjau manifes paket JSON yang Distributor menghasilkan perangkat lunak yang dapat diinstal. Jika Anda mengubah informasi tentang perangkat lunak yang dapat diinstal sejak Anda memulai prosedur ini, seperti versi platform atau platform target, pilih **Buat manifes** untuk menampilkan manifes paket yang diperbarui.

   Anda dapat mengedit manifest secara manual jika Anda ingin menargetkan perangkat lunak yang dapat diinstal di lebih dari satu sistem operasi, seperti yang dijelaskan pada langkah 9. Untuk informasi selengkapnya tentang mengedit manifes, lihat [Langkah 2: Buat manifes paket JSON](distributor-working-with-packages-create.md#packages-manifest).

1. Setelah selesai menambahkan perangkat lunak dan meninjau platform target, versi, dan data arsitektur, pilih **Tambahkan versi**.

1. Tunggu Distributor hingga selesai mengunggah perangkat lunak Anda dan membuat versi paket baru. Distributormenampilkan status unggahan untuk setiap file yang dapat diinstal. Tergantung pada jumlah dan ukuran paket yang Anda tambahkan, ini bisa memakan waktu beberapa menit. Distributorsecara otomatis mengarahkan Anda ke halaman **Package details** untuk paket, tetapi Anda dapat memilih untuk membuka halaman ini sendiri setelah perangkat lunak diunggah. Halaman **Package details** tidak menampilkan semua informasi tentang paket Anda sampai Distributor selesai membuat versi paket baru. Untuk menghentikan pengunggahan dan pembuatan versi paket, pilih **Hentikan pengunggahan**.

1. Jika tidak Distributor dapat mengunggah file yang dapat diinstal perangkat lunak apa pun, ini akan menampilkan pesan **gagal Unggah**. Untuk mencoba lagi pengunggahan, pilih **Coba unggah lagi**. Untuk informasi selengkapnya tentang cara memecahkan masalah kegagalan pembuatan versi paket, lihat [Pemecahan masalah AWS Systems ManagerDistributor](distributor-troubleshooting.md).

1. Setelah Distributor selesai membuat versi paket baru, pada halaman **Detail** paket, pada tab **Versi**, lihat versi baru dalam daftar versi paket yang tersedia. Tetapkan versi default paket dengan memilih versi, dan kemudian memilih **Tetapkan versi default**.

   Jika Anda tidak menetapkan versi default, versi paket terbaru adalah versi default.

### Menambahkan versi paket menggunakan alur kerja Lanjutan
<a name="add-pkg-version-adv"></a>

Untuk menambahkan versi paket, [buat paket](distributor-working-with-packages-create.md), lalu gunakan Distributor untuk menambahkan versi paket dengan menambahkan entri ke dokumen SSM yang ada untuk versi yang lebih lama. Untuk menghemat waktu, perbarui manifes untuk versi paket yang lebih lama, ubah nilai entri `version` dalam manifes (sebagai contoh, dari `Test_1.0` ke `Test_2.0`) dan simpan itu sebagai manifes untuk versi baru. Anda harus memiliki manifest yang diperbarui untuk menambahkan versi paket baru dengan menggunakan alur kerja **Lanjutan**.

**Untuk menambahkan versi paket menggunakan alur kerja Advanced**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di Distributor halaman beranda, pilih paket yang ingin Anda tambahkan versi lain, lalu pilih **Tambahkan versi**.

1. Untuk **Nama versi**, masukkan nilai yang tepat yang ada di entri `version` file manifes Anda.

1. Untuk **Nama bucket S3**, pilih bucket S3 yang ada dari daftar. Ini bisa bucket yang sama yang Anda gunakan untuk menyimpan file yang dapat diinstal untuk versi yang lebih lama, tetapi nama file yang dapat diinstal harus berbeda untuk menghindari menimpa file yang dapat diinstal yang ada di dalam bucket.

1. Untuk **Prefiks kunci S3**, masukkan subfolder bucket tempat aset yang dapat diinstal Anda disimpan.

1. Untuk **Manifes**, pilih **Ekstrak dari paket** untuk menggunakan manifes yang Anda unggah ke bucket S3 dengan file .zip Anda.

   (Opsional) Jika Anda tidak mengunggah manifest JSON yang telah direvisi ke bucket Amazon S3 tempat Anda menyimpan file .zip, pilih **Manifes baru**. Anda dapat menulis atau menempelkan seluruh manifes di kolom editor JSON. Untuk informasi selengkapnya tentang cara membuat manifes JSON, lihat [Langkah 2: Buat manifes paket JSON](distributor-working-with-packages-create.md#packages-manifest).

1. Setelah Anda selesai dengan manifes, pilih **Tambah versi paket**.

1. Pada halaman **Detail** paket, pada tab **Versi**, lihat versi baru dalam daftar versi paket yang tersedia. Tetapkan versi default paket dengan memilih versi, dan kemudian memilih **Tetapkan versi default**.

   Jika Anda tidak menetapkan versi default, versi paket terbaru adalah versi default.

## Menambahkan versi paket menggunakan AWS CLI
<a name="add-pkg-version-cli"></a>

Anda dapat menggunakan AWS CLI untuk menambahkan versi paket baru keDistributor. Sebelum menjalankan perintah ini, Anda harus membuat versi paket baru dan mengunggahnya ke S3, seperti yang dijelaskan pada awal topik ini.

**Untuk menambahkan versi paket menggunakan AWS CLI**

1. Jalankan perintah berikut untuk mengedit AWS Systems Manager dokumen dengan entri untuk versi paket baru. Ganti *document-name* dengan nama dokumen Anda. Ganti *amzn-s3-demo-bucket* dengan URL manifes JSON yang Anda salin. [Langkah 3: Unggah paket dan manifes ke bucket Amazon S3](distributor-working-with-packages-create.md#packages-upload-s3) *S3-bucket-URL-of-package*adalah URL bucket Amazon S3 tempat seluruh paket disimpan. Ganti *version-name-from-updated-manifest* dengan nilai `version` dalam manifes. Tetapkan parameter `--document-version` ke `$LATEST` untuk membuat dokumen yang terkait dengan versi paket ini menjadi versi terbaru dokumen.

   ```
   aws ssm update-document \
       --name "document-name" \
       --content "S3-bucket-URL-to-manifest-file" \
       --attachments Key="SourceUrl",Values="amzn-s3-demo-bucket" \
       --version-name version-name-from-updated-manifest \
       --document-version $LATEST
   ```

   Berikut adalah contoh.

   ```
   aws ssm update-document \
       --name ExamplePackage \
       --content "https://s3.amazonaws.com/amzn-s3-demo-bucket/ExamplePackage/manifest.json" \
       --attachments Key="SourceUrl",Values="https://s3.amazonaws.com/amzn-s3-demo-bucket/ExamplePackage" \
       --version-name 1.1.1 \
       --document-version $LATEST
   ```

1. Jalankan perintah berikut untuk memverifikasi bahwa paket Anda telah diperbarui dan menampilkan manifes paket. Ganti *package-name* dengan nama paket Anda, dan secara opsional, *document-version* dengan nomor versi dokumen (tidak sama dengan versi paket) yang Anda perbarui. Jika versi paket ini terkait dengan versi terbaru dokumen, Anda dapat menentukan `$LATEST` untuk nilai parameter `--document-version` opsional.

   ```
   aws ssm get-document \
       --name "package-name" \
       --document-version "document-version"
   ```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **update-document** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-document.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-document.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*.

# Instal atau perbarui Distributor paket
<a name="distributor-working-with-packages-deploy"></a>

Anda dapat menerapkan paket ke node AWS Systems Manager terkelola Anda dengan menggunakanDistributor, alat di AWS Systems Manager. Untuk menyebarkan paket, gunakan Konsol Manajemen AWS atau AWS Command Line Interface (AWS CLI). Anda dapat men-deploy satu versi dari satu paket per perintah. Anda dapat menginstal paket baru atau memperbarui instalasi yang ada di tempat. Anda dapat memilih untuk menggunakan versi tertentu atau memilih untuk selalu men-deploy versi terbaru paket untuk deployment. Kami merekomendasikan menggunakanState Manager, alat di AWS Systems Manager, untuk menginstal paket. Menggunakan State Manager membantu memastikan bahwa node terkelola Anda selalu menjalankan sebagian besar up-to-date versi paket Anda.

**penting**  
Paket yang Anda instal menggunakan Distributor harus dihapus instalasinya hanya dengan menggunakan Distributor. Jika tidak, Systems Manager masih dapat mendaftarkan aplikasi sebagai `INSTALLED` dan mengarah ke hasil lain yang tidak diinginkan.


| Preferensi | AWS Systems Manager aksi | Info selengkapnya | 
| --- | --- | --- | 
|  Instal atau perbarui paket segera.  |  Run Command  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/distributor-working-with-packages-deploy.html)  | 
|  Menginstal atau memperbarui paket menurut jadwal, sehingga instalasi selalu menyertakan versi default.  |  State Manager  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/distributor-working-with-packages-deploy.html)  | 
|  Instal paket secara otomatis pada node terkelola baru yang memiliki tag atau kumpulan tag tertentu. Misalnya, menginstal CloudWatch agen Amazon pada instance baru.  |  State Manager  |  Salah satu cara untuk melakukannya adalah dengan menerapkan tag ke node terkelola baru, lalu tentukan tag sebagai target dalam State Manager asosiasi Anda. State Managersecara otomatis menginstal paket dalam asosiasi pada node terkelola yang memiliki tag yang cocok. Lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).  | 

**Topics**
+ [Menginstal atau memperbarui paket satu kali menggunakan konsol](#distributor-deploy-pkg-console)
+ [Menjadwalkan instalasi paket atau pembaruan menggunakan konsol](#distributor-deploy-sm-pkg-console)
+ [Menginstal paket satu kali menggunakan AWS CLI](#distributor-deploy-pkg-cli)
+ [Memperbarui paket satu kali menggunakan AWS CLI](#distributor-update-pkg-cli)
+ [Menjadwalkan instalasi paket menggunakan AWS CLI](#distributor-smdeploy-pkg-cli)
+ [Menjadwalkan pembaruan paket menggunakan AWS CLI](#distributor-smupdate-pkg-cli)

## Menginstal atau memperbarui paket satu kali menggunakan konsol
<a name="distributor-deploy-pkg-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk menginstal atau memperbarui paket satu kali. Ketika Anda mengkonfigurasi instalasi satu kali, Distributor menggunakan[AWS Systems Manager Run Command](run-command.md), alat di AWS Systems Manager, untuk melakukan instalasi.

**Untuk menginstal atau memperbarui paket satu kali menggunakan konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di Distributor halaman beranda, pilih paket yang ingin Anda instal.

1. Pilih **Instal satu kali**.

   Perintah ini terbuka Run Command dengan dokumen perintah `AWS-ConfigureAWSPackage` dan Distributor paket Anda sudah dipilih.

1. Untuk **Versi dokumen**, pilih versi dokumen `AWS-ConfigureAWSPackage` yang ingin Anda jalankan.

1. Untuk **Tindakan**, pilih **Instal**.

1. Untuk **Jenis Instalasi**, pilih salah satu dari berikut ini: 
   + **Menghapus instalasi dan instalasi ulang**: Paket benar-benar dihapus instalasinya, dan kemudian diinstal ulang. Aplikasi ini tidak tersedia sampai instalasi ulang selesai.
   + **Pembaruan di tempat**: Hanya file baru atau diubah ditambahkan ke instalasi yang ada sesuai dengan petunjuk yang Anda berikan dalam skrip `update`. Aplikasi tetap tersedia selama proses pembaruan. Opsi ini tidak didukung untuk paket yang AWS diterbitkan kecuali `AWSEC2Launch-Agent` paket.

1. Untuk **Nama**, verifikasi bahwa nama paket yang Anda pilih telah dimasukkan.

1. (Opsional) Untuk **Versi**, masukkan nilai nama versi paket. Jika Anda membiarkan bidang ini kosong, Run Command instal versi default yang Anda pilih. Distributor

1. Di bagian **Target**, pilih node terkelola tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih instance atau perangkat secara manual, atau dengan menentukan grup sumber daya.
**catatan**  
Jika Anda tidak melihat node terkelola dalam daftar, lihat[Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md).

1. Untuk **Parameter lainnya**:
   + Untuk **Komentar**, ketik informasi tentang perintah ini.
   + Untuk **Waktu habis (detik)**, tentukan jumlah detik untuk menunggu sistem sebelum gagal menjalankan perintah keseluruhan. 

1. Untuk **Rate Control**:
   + Untuk **Konkurensi**, tentukan angka atau persentase target untuk menjalankan perintah pada saat yang bersamaan.
**catatan**  
Jika Anda memilih target dengan menentukan tag atau grup sumber daya dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.
   + Untuk **ambang kesalahan**, tentukan kapan harus berhenti menjalankan perintah pada target lain setelah gagal pada angka atau persentase node terkelola. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan. 

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Tuliskan output perintah ke bucket S3**. Masukkan nama bucket dan prefiks (folder) di kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instans (untuk instans EC2) atau peran layanan IAM (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Di bagian **Notifikasi SNS**, jika Anda ingin notifikasi dikirim tentang status eksekusi perintah, pilih kotak centang **Aktifkan notifikasi SNS**.

   Untuk informasi selengkapnya tentang mengonfigurasi notifikasi Run Command Amazon SNS, lihat. [Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS](monitoring-sns-notifications.md)

1. Saat Anda siap menginstal paket, pilih **Jalankan**.

1. Area **Status perintah** melaporkan kemajuan eksekusi. Jika perintah masih berlangsung, pilih ikon segarkan di pojok kiri atas konsol sampai kolom **Status keseluruhan** atau **Status terperinci** menampilkan **Sukses** atau **Gagal**.

1. Di area **Target dan output**, pilih tombol di sebelah nama node terkelola, lalu pilih **Lihat output**.

   Halaman output perintah menampilkan hasil eksekusi perintah Anda. 

1. (Opsional) Jika Anda memilih menulis output perintah ke bucket Amazon S3, pilih **Amazon S3** untuk melihat data log output.

## Menjadwalkan instalasi paket atau pembaruan menggunakan konsol
<a name="distributor-deploy-sm-pkg-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk menjadwalkan instalasi atau pembaruan paket. Saat Anda menjadwalkan instalasi atau pembaruan paket, Distributor gunakan [AWS Systems Manager State Manager](systems-manager-state.md) untuk menginstal atau memperbarui.

**Untuk menjadwalkan instalasi paket menggunakan konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di Distributor halaman beranda, pilih paket yang ingin Anda instal atau perbarui.

1. Untuk **Paket** pilih **Instal menurut jadwal**.

   Perintah ini terbuka State Manager untuk asosiasi baru yang dibuat untuk Anda.

1. Untuk **Nama** masukkan sebuah nama (misalnya, **Deploy-test-agent-package**). Ini memang opsional, tetapi direkomendasikan. Spasi tidak diperbolehkan dalam nama.

1. Pada daftar **Dokumen**, nama dokumen `AWS-ConfigureAWSPackage` telah dipilih. 

1. Untuk **Tindakan**, verifikasi bahwa **Instal** telah dipilih.

1. Untuk **Jenis instalasi**, lakukan hal berikut: 
   + **Menghapus instalasi dan instalasi ulang**: Paket benar-benar dihapus instalasinya, dan kemudian diinstal ulang. Aplikasi ini tidak tersedia sampai instalasi ulang selesai.
   + **Pembaruan di tempat**: Hanya file baru atau diubah ditambahkan ke instalasi yang ada sesuai dengan petunjuk yang Anda berikan dalam skrip `update`. Aplikasi tetap tersedia selama proses pembaruan.

1. Untuk **Nama**, verifikasi bahwa nama paket Anda dimasukkan.

1. Untuk **Versi**, jika Anda ingin menginstal versi paket selain versi terbaru yang dipublikasikan, masukkan pengenal versi.

1. Untuk **Target** pilih **Memilih semua instans terkelola di akun ini**, **Menentukan tanda**, atau **Memilih Instans Secara Manual**. Jika Anda menargetkan sumber daya dengan menggunakan tanda, masukkan kunci tanda dan nilai tanda di kolom yang disediakan.
**catatan**  
Anda dapat memilih perangkat AWS IoT Greengrass inti terkelola dengan memilih **memilih semua instans terkelola di akun ini** atau **Memilih Instans Secara Manual**.

1. Untuk **Tentukan jadwal** pilih **Menurut Jadwal** untuk menjalankan asosiasi menurut jadwal reguler, atau **Tanpa Jadwal**untuk menjalankan asosiasi sekali. Untuk informasi selengkapnya tentang opsi ini, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md). Gunakan kontrol untuk membuat `cron` atau jadwal tingkat untuk asosiasi.

1. Pilih **Buat Asosiasi**.

1. Pada halaman **Asosiasi**, pilih tombol di sebelah asosiasi yang Anda buat, lalu pilih **Terapkan asosiasi sekarang**.

   State Managermembuat dan segera menjalankan asosiasi pada target yang ditentukan. Untuk informasi selengkapnya tentang hasil asosiasi yang berjalan, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md) dalam panduan ini.

Untuk informasi selengkapnya tentang bekerja dengan opsi di **Opsi lanjutan**, **Pengendalian rate**, dan **Opsi output**, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md). 

## Menginstal paket satu kali menggunakan AWS CLI
<a name="distributor-deploy-pkg-cli"></a>

Anda dapat menjalankan **send-command** AWS CLI untuk menginstal Distributor paket satu kali. Jika paket sudah terinstal, aplikasi akan diambil secara offline saat paket dihapus instalasinya dan versi baru diinstal di tempatnya.

**Untuk menginstal paket satu kali menggunakan AWS CLI**
+ Jalankan perintah berikut di AWS CLI.

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureAWSPackage" \
      --instance-ids "instance-IDs" \
      --parameters '{"action":["Install"],"installationType":["Uninstall and reinstall"],"name":["package-name (in same account) or package-ARN (shared from different account)"]}'
  ```
**catatan**  
Perilaku default untuk `installationType` adalah `Uninstall and reinstall`. Anda dapat menghilangkan `"installationType":["Uninstall and reinstall"]` dari perintah ini ketika Anda menginstal paket lengkap.

  Berikut adalah contohnya.

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureAWSPackage" \
      --instance-ids "i-00000000000000" \
      --parameters '{"action":["Install"],"installationType":["Uninstall and reinstall"],"name":["ExamplePackage"]}'
  ```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **send-command** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*.

## Memperbarui paket satu kali menggunakan AWS CLI
<a name="distributor-update-pkg-cli"></a>

Anda dapat menjalankan **send-command** AWS CLI untuk memperbarui Distributor paket tanpa membuat aplikasi terkait offline. Hanya file baru atau yang diperbarui dalam paket yang diganti.

**Untuk memperbarui paket satu kali menggunakan AWS CLI**
+ Jalankan perintah berikut di AWS CLI.

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureAWSPackage" \
      --instance-ids "instance-IDs" \
      --parameters '{"action":["Install"],"installationType":["In-place update"],"name":["package-name (in same account) or package-ARN (shared from different account)"]}'
  ```
**catatan**  
Ketika Anda menambahkan file baru atau yang diubah, Anda harus menyertakan `"installationType":["In-place update"]` dalam perintah.

  Berikut adalah contohnya.

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureAWSPackage" \
      --instance-ids "i-02573cafcfEXAMPLE" \
      --parameters '{"action":["Install"],"installationType":["In-place update"],"name":["ExamplePackage"]}'
  ```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **send-command** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*.

## Menjadwalkan instalasi paket menggunakan AWS CLI
<a name="distributor-smdeploy-pkg-cli"></a>

Anda dapat menjalankan **create-association** AWS CLI untuk menginstal Distributor paket sesuai jadwal. Nilai `--name`, nama dokumen, selalu `AWS-ConfigureAWSPackage`. Perintah berikut menggunakan kunci `InstanceIds` untuk menentukan target node terkelola. Jika paket sudah terinstal, aplikasi akan diambil secara offline saat paket dihapus instalasinya dan versi baru diinstal di tempatnya.

```
aws ssm create-association \
    --name "AWS-ConfigureAWSPackage" \
    --parameters '{"action":["Install"],"installationType":["Uninstall and reinstall"],"name":["package-name (in same account) or package-ARN (shared from different account)"]}' \
    --targets [{\"Key\":\"InstanceIds\",\"Values\":[\"instance-ID1\",\"instance-ID2\"]}]
```

**catatan**  
Perilaku default untuk `installationType` adalah `Uninstall and reinstall`. Anda dapat menghilangkan `"installationType":["Uninstall and reinstall"]` dari perintah ini ketika Anda menginstal paket lengkap.

Berikut adalah contohnya.

```
aws ssm create-association \
    --name "AWS-ConfigureAWSPackage" \
    --parameters '{"action":["Install"],"installationType":["Uninstall and reinstall"],"name":["Test-ConfigureAWSPackage"]}' \
    --targets [{\"Key\":\"InstanceIds\",\"Values\":[\"i-02573cafcfEXAMPLE\",\"i-0471e04240EXAMPLE\"]}]
```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **create-association** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*.

## Menjadwalkan pembaruan paket menggunakan AWS CLI
<a name="distributor-smupdate-pkg-cli"></a>

Anda dapat menjalankan **create-association** AWS CLI untuk memperbarui Distributor paket sesuai jadwal tanpa membuat aplikasi terkait offline. Hanya file baru atau yang diperbarui dalam paket yang diganti. Nilai `--name`, nama dokumen, selalu `AWS-ConfigureAWSPackage`. Perintah berikut menggunakan kunci `InstanceIds` untuk menentukan instans target.

```
aws ssm create-association \
    --name "AWS-ConfigureAWSPackage" \
    --parameters '{"action":["Install"],"installationType":["In-place update"],"name":["package-name (in same account) or package-ARN (shared from different account)"]}' \
    --targets [{\"Key\":\"InstanceIds\",\"Values\":[\"instance-ID1\",\"instance-ID2\"]}]
```

**catatan**  
Ketika Anda menambahkan file baru atau yang diubah, Anda harus menyertakan `"installationType":["In-place update"]` dalam perintah.

Berikut adalah contohnya.

```
aws ssm create-association \
    --name "AWS-ConfigureAWSPackage" \
    --parameters '{"action":["Install"],"installationType":["In-place update"],"name":["Test-ConfigureAWSPackage"]}' \
    --targets [{\"Key\":\"InstanceIds\",\"Values\":[\"i-02573cafcfEXAMPLE\",\"i-0471e04240EXAMPLE\"]}]
```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **create-association** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*.

# Copot pemasangan paket Distributor
<a name="distributor-working-with-packages-uninstall"></a>

Anda dapat menggunakan Konsol Manajemen AWS or the AWS Command Line Interface (AWS CLI) untuk menghapus Distributor paket dari node AWS Systems Manager terkelola Anda dengan menggunakanRun Command. Distributordan Run Command adalah alat di AWS Systems Manager. Dalam rilis ini, Anda dapat menghapus instalasi satu versi dari satu paket per perintah. Anda dapat menghapus instalasi versi tertentu atau versi default.

**penting**  
Paket yang Anda instal menggunakan Distributor harus dihapus instalasinya hanya dengan menggunakan Distributor. Jika tidak, Systems Manager masih dapat mendaftarkan aplikasi sebagai `INSTALLED` dan mengarah ke hasil lain yang tidak diinginkan.

**Topics**
+ [Menghapus instalasi paket menggunakan konsol](#distributor-pkg-uninstall-console)
+ [Menghapus instalasi paket menggunakan AWS CLI](#distributor-pkg-uninstall-cli)

## Menghapus instalasi paket menggunakan konsol
<a name="distributor-pkg-uninstall-console"></a>

Anda dapat menggunakan Run Command di konsol Systems Manager untuk menghapus paket satu kali. Distributordigunakan [AWS Systems Manager Run Command](run-command.md) untuk menghapus paket.

**Untuk menghapus paket menggunakan konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Di Run Command halaman beranda, pilih **Jalankan perintah**.

1. Pilih dokumen perintah `AWS-ConfigureAWSPackage`.

1. Dari **Tindakan**, pilih **Menghapus instalasi** 

1. Untuk **Nama**, masukkan nama paket yang ingin Anda hapus instalasinya.

1. Untuk **Target**, pilih bagaimana Anda ingin menargetkan node terkelola Anda. Anda dapat menentukan kunci tag dan nilai yang dibagikan oleh target. Anda juga dapat menentukan target dengan memilih atribut, seperti ID, platform, dan SSM Agent versi.

1. Anda dapat menggunakan opsi lanjutan untuk menambahkan komentar tentang operasi, ubah nilai **Konkurensi** dan **Ambang kesalahan** dalam **Pengendalian rate**, tentukan opsi output atau konfigurasikan notifikasi Amazon Simple Notification Service (Amazon SNS). Untuk informasi selengkapnya, lihat [Menjalankan Perintah dari Konsol](https://docs.aws.amazon.com/systems-manager/latest/userguide/rc-console.html) dalam panduan ini.

1. Saat Anda siap menghapus instalasi paket, pilih **Run Command**, lalu pilih **Lihat hasil**.

1. Dalam daftar perintah, pilih opsi perintah `AWS-ConfigureAWSPackage` yang Anda jalankan. Jika perintah masih berlangsung, pilih ikon segarkan di sudut kanan atas konsol.

1. Saat kolom **Status** menampilkan **Sukses** atau **Gagal**, pilih tab **Output**.

1. Pilih **Tampilkan output**. Halaman output perintah menampilkkan hasil eksekusi perintah Anda.

## Menghapus instalasi paket menggunakan AWS CLI
<a name="distributor-pkg-uninstall-cli"></a>

Anda dapat menggunakan AWS CLI untuk menghapus Distributor paket dari node terkelola dengan menggunakanRun Command.

**Untuk menghapus paket menggunakan AWS CLI**
+ Jalankan perintah berikut di AWS CLI.

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureAWSPackage" \
      --instance-ids "instance-IDs" \
      --parameters '{"action":["Uninstall"],"name":["package-name (in same account) or package-ARN (shared from different account)"]}'
  ```

  Berikut adalah contohnya.

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureAWSPackage" \
      --instance-ids "i-02573cafcfEXAMPLE" \
      --parameters '{"action":["Uninstall"],"name":["Test-ConfigureAWSPackage"]}'
  ```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **send-command** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*.

# Hapus Distributor paket
<a name="distributor-working-with-packages-dpkg"></a>

Bagian ini menjelaskan cara menghapus paket. Anda tidak dapat menghapus versi paket, hanya seluruh paket.

## Menghapus paket menggunakan konsol
<a name="distributor-delete-pkg-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk menghapus paket atau versi paket dariDistributor, alat di AWS Systems Manager. Menghapus paket akan menghapus semua versi paket dari. Distributor

**Untuk menghapus paket menggunakan konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di **Distributor**halaman beranda, pilih paket yang ingin Anda hapus.

1. Pada halaman rincian paket, pilih **Hapus paket**.

1. Saat diminta mengonfirmasi penghapusan, pilih **Hapus paket**.

## Menghapus versi paket menggunakan konsol
<a name="distributor-delete-pkg-version-console"></a>

Anda dapat menggunakan konsol Systems Manager untuk menghapus versi paket dariDistributor.

**Untuk menghapus versi paket menggunakan konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Distributor**.

1. Di **Distributor**halaman beranda, pilih paket yang ingin Anda hapus versinya.

1. Pada halaman versi paket, pilih versi yang akan dihapus dan pilih **Hapus versi**.

1. Saat diminta mengonfirmasi penghapusan, pilih **Hapus versi paket**.

## Menghapus paket menggunakan baris perintah
<a name="distributor-delete-pkg-cli"></a>

Anda dapat menggunakan alat baris perintah pilihan Anda untuk menghapus paket dariDistributor.

------
#### [ Linux & macOS ]

**Untuk menghapus paket menggunakan AWS CLI**

1. Jalankan perintah berikut untuk membuat daftar dokumen paket tertentu. Pada hasil perintah tersebut, cari paket yang ingin Anda hapus.

   ```
   aws ssm list-documents \
       --filters Key=Name,Values=package-name
   ```

1. Jalankan perintah berikut untuk menghapus paket. Ganti *package-name* dengan nama paket.

   ```
   aws ssm delete-document \
       --name "package-name"
   ```

1. Jalankan perintah **list-documents** lagi untuk memverifikasi bahwa paket telah dihapus. Paket yang Anda hapus tidak boleh disertakan dalam daftar.

   ```
   aws ssm list-documents \
       --filters Key=Name,Values=package-name
   ```

------
#### [ Windows ]

**Untuk menghapus paket menggunakan AWS CLI**

1. Jalankan perintah berikut untuk membuat daftar dokumen paket tertentu. Pada hasil perintah tersebut, cari paket yang ingin Anda hapus.

   ```
   aws ssm list-documents ^
       --filters Key=Name,Values=package-name
   ```

1. Jalankan perintah berikut untuk menghapus paket. Ganti *package-name* dengan nama paket.

   ```
   aws ssm delete-document ^
       --name "package-name"
   ```

1. Jalankan perintah **list-documents** lagi untuk memverifikasi bahwa paket telah dihapus. Paket yang Anda hapus tidak boleh disertakan dalam daftar.

   ```
   aws ssm list-documents ^
       --filters Key=Name,Values=package-name
   ```

------
#### [ PowerShell ]

**Untuk menghapus paket menggunakan Alat untuk PowerShell**

1. Jalankan perintah berikut untuk membuat daftar dokumen paket tertentu. Pada hasil perintah tersebut, cari paket yang ingin Anda hapus.

   ```
   $filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
   $filter.Key = "Name"
   $filter.Values = "package-name"
   
   Get-SSMDocumentList `
       -Filters @($filter)
   ```

1. Jalankan perintah berikut untuk menghapus paket. Ganti *package-name* dengan nama paket.

   ```
   Remove-SSMDocument `
       -Name "package-name"
   ```

1. Jalankan perintah **Get-SSMDocumentList** lagi untuk memverifikasi bahwa paket telah dihapus. Paket yang Anda hapus tidak boleh disertakan dalam daftar.

   ```
   $filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
   $filter.Key = "Name"
   $filter.Values = "package-name"
   
   Get-SSMDocumentList `
       -Filters @($filter)
   ```

------

## Menghapus versi paket menggunakan baris perintah
<a name="distributor-delete-pkg-version-cli"></a>

Anda dapat menggunakan alat baris perintah pilihan Anda untuk menghapus versi paket dariDistributor.

------
#### [ Linux & macOS ]

**Untuk menghapus versi paket menggunakan AWS CLI**

1. Jalankan perintah berikut untuk menampilkan versi paket Anda. Pada hasil perintah tersebut, cari versi paket yang ingin Anda hapus.

   ```
   aws ssm list-document-versions \
       --name "package-name"
   ```

1. Jalankan perintah berikut untuk menghapus versi paket. Ganti *package-name* dengan nama paket dan *version* dengan nomor versi.

   ```
   aws ssm delete-document \
       --name "package-name" \
       --document-version version
   ```

1. Jalankan perintah **list-document-versions** untuk memverifikasi bahwa versi paket telah dihapus. Versi paket yang Anda hapus seharusnya tidak ditemukan.

   ```
   aws ssm list-document-versions \
       --name "package-name"
   ```

------
#### [ Windows ]

**Untuk menghapus versi paket menggunakan AWS CLI**

1. Jalankan perintah berikut untuk menampilkan versi paket Anda. Pada hasil perintah tersebut, cari versi paket yang ingin Anda hapus.

   ```
   aws ssm list-document-versions ^
       --name "package-name"
   ```

1. Jalankan perintah berikut untuk menghapus versi paket. Ganti *package-name* dengan nama paket dan *version* dengan nomor versi.

   ```
   aws ssm delete-document ^
       --name "package-name" ^
       --document-version version
   ```

1. Jalankan perintah **list-document-versions** untuk memverifikasi bahwa versi paket telah dihapus. Versi paket yang Anda hapus seharusnya tidak ditemukan.

   ```
   aws ssm list-document-versions ^
       --name "package-name"
   ```

------
#### [ PowerShell ]

**Untuk menghapus versi paket menggunakan Tools for PowerShell**

1. Jalankan perintah berikut untuk menampilkan versi paket Anda. Pada hasil perintah tersebut, cari versi paket yang ingin Anda hapus.

   ```
   Get-SSMDocumentVersionList `
       -Name "package-name"
   ```

1. Jalankan perintah berikut untuk menghapus versi paket. Ganti *package-name* dengan nama paket dan *version* dengan nomor versi.

   ```
   Remove-SSMDocument `
       -Name "package-name" `
       -DocumentVersion version
   ```

1. Jalankan perintah **Get-SSMDocumentVersionList** untuk memverifikasi bahwa versi paket telah dihapus. Versi paket yang Anda hapus seharusnya tidak ditemukan.

   ```
   Get-SSMDocumentVersionList `
       -Name "package-name"
   ```

------

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **list-documents** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/list-documents.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-documents.html)di AWS Systems Manager bagian *Referensi AWS CLI Perintah*. Untuk informasi tentang pilihan lain yang dapat Anda gunakan dengan perintah **delete-document**, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/delete-document.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/delete-document.html).

# Aktivitas audit dan pencatatan Distributor
<a name="distributor-logging-auditing"></a>

Anda dapat menggunakan AWS CloudTrail untuk mengaudit aktivitas yang terkait denganDistributor, alat di AWS Systems Manager. Untuk informasi selengkapnya tentang opsi pengauditan dan pencatatan untuk Systems Manager, lihat [Penebangan dan pemantauan di AWS Systems Manager](monitoring.md).

## DistributorAktivitas audit menggunakan CloudTrail
<a name="distributor-logging-auditing-cloudtrail"></a>

CloudTrail menangkap panggilan API yang dilakukan di AWS Systems Manager konsol, AWS Command Line Interface (AWS CLI), dan SDK Systems Manager. Informasi dapat dilihat di CloudTrail konsol atau disimpan di bucket Amazon Simple Storage Service (Amazon S3). Satu ember digunakan untuk semua CloudTrail log untuk akun Anda.

Log Run Command dan State Manager tindakan menunjukkan pembuatan dokumen, instalasi paket, dan aktivitas penghapusan instalasi paket. Run Commanddan State Manager adalah alat di dalamnya AWS Systems Manager. Untuk informasi selengkapnya tentang melihat dan menggunakan CloudTrail log aktivitas Systems Manager, lihat[Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).

# Pemecahan masalah AWS Systems ManagerDistributor
<a name="distributor-troubleshooting"></a>

Informasi berikut dapat membantu Anda memecahkan masalah yang mungkin terjadi saat Anda menggunakanDistributor, alat di. AWS Systems Manager

**Topics**
+ [Paket yang salah dengan nama yang sama telah diinstal](#distributor-tshoot-1)
+ [Kesalahan: Gagal mengambil manifes: Tidak dapat menemukan versi terbaru paket](#distributor-tshoot-2)
+ [Kesalahan: Gagal mengambil manifes: Pengecualian validasi](#distributor-tshoot-3)
+ [Paket tidak didukung (paket tidak memiliki tindakan instalasi)](#distributor-tshoot-4)
+ [Kesalahan: Gagal mengunduh manifes: Dokumen dengan nama tidak ada](#distributor-tshoot-5)
+ [Unggahan gagal.](#distributor-tshoot-6)
+ [Kesalahan: Gagal menemukan platform: tidak ada manifes yang ditemukan untuk platform: oracle, versi 8.9, arsitektur x86\$164](#distributor-tshoot-7)

## Paket yang salah dengan nama yang sama telah diinstal
<a name="distributor-tshoot-1"></a>

**Masalah:** Anda telah menginstal paket, tetapi Distributor menginstal paket yang berbeda sebagai gantinya.

**Penyebab:** Selama instalasi, Systems Manager menemukan paket AWS dipublikasikan sebagai hasil sebelum paket eksternal yang ditetapkan pengguna. Jika nama paket yang ditentukan pengguna Anda sama dengan nama paket yang AWS dipublikasikan, AWS paket diinstal alih-alih paket Anda.

**Solusi:** Untuk menghindari masalah ini, beri nama paket Anda sesuatu yang berbeda dari nama untuk paket yang AWS diterbitkan.

## Kesalahan: Gagal mengambil manifes: Tidak dapat menemukan versi terbaru paket
<a name="distributor-tshoot-2"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini.

```
Failed to retrieve manifest: ResourceNotFoundException: Could not find the latest version of package 
arn:aws:ssm:::package/package-name status code: 400, request id: guid
```

**Penyebab:** Anda menggunakan versi SSM Agent with Distributor yang lebih awal dari versi 2.3.274.0.

**Solusi:** Perbarui versi SSM Agent ke versi 2.3.274.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat [Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample) atau [Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI](state-manager-update-ssm-agent-cli.md).

## Kesalahan: Gagal mengambil manifes: Pengecualian validasi
<a name="distributor-tshoot-3"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini.

```
Failed to retrieve manifest: ValidationException: 1 validation error detected: Value 'documentArn'
at 'packageName' failed to satisfy constraint: Member must satisfy regular expression pattern:
arn:aws:ssm:region-id:account-id:package/package-name
```

**Penyebab:** Anda menggunakan versi SSM Agent with Distributor yang lebih awal dari versi 2.3.274.0.

**Solusi:** Perbarui versi SSM Agent ke versi 2.3.274.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat [Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample) atau [Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI](state-manager-update-ssm-agent-cli.md).

## Paket tidak didukung (paket tidak memiliki tindakan instalasi)
<a name="distributor-tshoot-4"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini.

```
Package is not supported (package is missing install action)
```

**Penyebab:** Struktur direktori paket tidak benar.

**Solusi:** Jangan zip direktori induk yang berisi perangkat lunak dan skrip yang diperlukan. Sebaliknya, buat file `.zip` semua isi yang diperlukan secara langsung di jalur absolut. Untuk memverifikasi file `.zip` dibuat dengan benar, unzip direktori platform target dan tinjau struktur direktori. Sebagai contoh, jalur absolut skrip instal harus `/ExamplePackage_targetPlatform/install.sh`.

## Kesalahan: Gagal mengunduh manifes: Dokumen dengan nama tidak ada
<a name="distributor-tshoot-5"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini. 

```
Failed to download manifest - failed to retrieve package document description: InvalidDocument: Document with name filename does not exist.
```

**Penyebab 1:** tidak Distributor dapat menemukan paket dengan nama paket saat berbagi Distributor paket dari akun lain.

**Solusi 1:** Saat berbagi paket dari akun lain, gunakan Nama Sumber Daya Amazon (ARN) lengkap untuk paket dan bukan hanya namanya.

**Penyebab 2:** Saat menggunakan VPC, Anda belum memberikan profil instans IAM Anda dengan akses ke bucket S3 AWS terkelola yang berisi dokumen `AWS-ConfigureAWSPackage` untuk penargetan Anda. Wilayah AWS 

**Solusi 2:** Pastikan profil instans IAM Anda menyediakan SSM Agent akses ke bucket S3 AWS terkelola yang berisi dokumen `AWS-ConfigureAWSPackage` untuk penargetan Wilayah AWS Anda, seperti yang dijelaskan di. [SSM Agentkomunikasi dengan bucket S3 AWS terkelola](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)

## Unggahan gagal.
<a name="distributor-tshoot-6"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini. 

```
Upload failed. At least one of your files was not successfully uploaded to your S3 bucket.
```

**Penyebab:** Nama paket perangkat lunak Anda termasuk spasi. Misalnya, `Hello World.msi` akan gagal mengunggah.

## Kesalahan: Gagal menemukan platform: tidak ada manifes yang ditemukan untuk platform: oracle, versi 8.9, arsitektur x86\$164
<a name="distributor-tshoot-7"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini.

```
Failed to find platform: no manifest found for platform: oracle, version 8.9, architecture x86_64
```

**Penyebab:** Kesalahan berarti manifes paket JSON tidak memiliki definisi apa pun untuk platform itu, dalam hal ini, Oracle Linux..

**Solusi:** Unduh paket yang ingin Anda distribusikan dari situs [Trend Micro Deep Security Software](https://help.deepsecurity.trendmicro.com/software.html). Buat paket `.rpm` perangkat lunak menggunakan[Buat paket menggunakan alur kerja Sederhana](distributor-working-with-packages-create.md#distributor-working-with-packages-create-simple). Tetapkan nilai-nilai berikut untuk paket dan lengkapi paket perangkat lunak upload menggunakan Distributor:

```
Platform version: _any
Target platform: oracle
Architecture: x86_64
```

# AWS Systems Manager Fleet Manager
<a name="fleet-manager"></a>

Fleet Manager, alat di AWS Systems Manager, adalah pengalaman antarmuka pengguna terpadu (UI) yang membantu Anda mengelola node Anda dari jarak jauh yang berjalan di AWS atau di tempat. Dengan Fleet Manager, Anda dapat melihat status kesehatan dan kinerja seluruh armada server Anda dari satu konsol. Anda juga dapat mengumpulkan data dari masing-masing node untuk melakukan pemecahan masalah umum dan tugas manajemen dari konsol. Ini termasuk menghubungkan ke instance Windows menggunakan Remote Desktop Protocol (RDP), melihat folder dan konten file, manajemen registri Windows, manajemen pengguna sistem operasi, dan banyak lagi. 

Untuk memulai dengan Fleet Manager, buka [konsol Systems Manager](https://console.aws.amazon.com/systems-manager/fleet-manager). Di panel navigasi, pilih **Fleet Manager**.

## Siapa yang harus menggunakan Fleet Manager?
<a name="fleet-who"></a>

Setiap AWS pelanggan yang menginginkan cara terpusat untuk mengelola armada node mereka harus menggunakan Fleet Manager.

## Bagaimana bisa Fleet Manager menguntungkan organisasi saya?
<a name="fleet-benefits"></a>

Fleet Manager menawarkan manfaat ini:
+ Lakukan berbagai tugas administrasi sistem umum tanpa harus terhubung secara manual ke node terkelola Anda.
+ Kelola node yang berjalan di beberapa platform dari satu konsol terpadu.
+ Kelola node yang menjalankan sistem operasi yang berbeda dari satu konsol terpadu.
+ Meningkatkan efisiensi administrasi sistem Anda.

## Apa saja fitur Fleet Manager?
<a name="fleet-features"></a>

Fitur utama Fleet Manager termasuk yang berikut:
+ **Akses Portal Pangkalan Pengetahuan Red Hat**

  Akses binari, berbagi pengetahuan, dan forum diskusi di Red Hat Knowledgebase Portal melalui situs Anda Red Hat Enterprise Linux (RHEL) contoh.
+ **Status simpul terkelola** 

  Lihat instance terkelola mana `running` dan mana`stopped`. Untuk informasi selengkapnya tentang instans yang dihentikan, lihat [Menghentikan dan memulai instans Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html) di *Panduan EC2 Pengguna Amazon*. Untuk perangkat AWS IoT Greengrass inti, Anda dapat melihat yang `online``offline`,, atau menampilkan status`Connection lost`.
**catatan**  
Jika Anda menghentikan instans terkelola sebelum 12 Juli 2021, itu tidak akan menampilkan `stopped` penanda. Untuk menunjukkan penanda, mulai dan hentikan instance.
+ **Lihat informasi contoh**

  Melihat informasi tentang folder dan data file yang disimpan pada volume yang dilampirkan pada instans terkelola, data kinerja tentang instans Anda secara real-time, dan data log yang disimpan pada instans Anda.
+ **Lihat informasi perangkat tepi**

  Lihat nama AWS IoT Greengrass Thing untuk perangkat, SSM Agent status ping dan versi, dan banyak lagi.
+ **Kelola akun dan registri**

  Kelola akun pengguna sistem operasi (OS) pada instans dan registri Anda pada instance Windows Anda.
+ **Kontrol akses ke fitur**

  Kontrol akses ke Fleet Manager fitur menggunakan kebijakan AWS Identity and Access Management (IAM). Dengan kebijakan ini, Anda dapat mengontrol pengguna atau grup individu mana di organisasi Anda yang dapat menggunakan berbagai Fleet Manager fitur, dan node terkelola mana yang dapat mereka kelola.

**Topics**
+ [Siapa yang harus menggunakan Fleet Manager?](#fleet-who)
+ [Bagaimana bisa Fleet Manager menguntungkan organisasi saya?](#fleet-benefits)
+ [Apa saja fitur Fleet Manager?](#fleet-features)
+ [Mengatur Fleet Manager](setting-up-fleet-manager.md)
+ [Bekerja dengan node terkelola](fleet-manager-managed-nodes.md)
+ [Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default](fleet-manager-default-host-management-configuration.md)
+ [Menghubungkan ke instance Windows Server terkelola menggunakan Remote Desktop](fleet-manager-remote-desktop-connections.md)
+ [Mengelola volume Amazon EBS di instans terkelola](fleet-manager-manage-amazon-ebs-volumes.md)
+ [Mengakses portal basis Pengetahuan Red Hat](fleet-manager-red-hat-knowledge-base-access.md)
+ [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md)

# Mengatur Fleet Manager
<a name="setting-up-fleet-manager"></a>

Sebelum pengguna di Anda Akun AWS dapat menggunakan Fleet Manager, alat di AWS Systems Manager, untuk memantau dan mengelola node terkelola Anda, mereka harus diberikan izin yang diperlukan. Selain itu, instans Amazon Elastic Compute Cloud (Amazon EC2) apa pun; perangkat AWS IoT Greengrass inti; dan server lokal, perangkat edge, dan mesin virtual (VMs) yang akan dipantau dan dikelola menggunakan Fleet Manager harus berupa *node yang dikelola* Systems Manager. Node terkelola adalah mesin apa pun yang dikonfigurasi untuk digunakan dengan Systems Manager di [lingkungan hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).

Ini berarti node Anda harus memenuhi prasyarat tertentu dan dikonfigurasi dengan Agen ( AWS Systems Manager SSM Agent).

Tergantung pada jenis mesin, lihat salah satu topik berikut untuk memastikan mesin Anda memenuhi persyaratan untuk node terkelola.
+  EC2 Contoh Amazon: [Mengelola EC2 instans dengan Systems Manager](systems-manager-setting-up-ec2.md)
**Tip**  
Anda juga dapat menggunakan Quick Setup, alat di AWS Systems Manager, untuk membantu Anda mengonfigurasi EC2 instans Amazon dengan cepat sebagai instans terkelola di akun individual. Jika bisnis atau organisasi Anda menggunakan AWS Organizations, Anda juga dapat mengonfigurasi instance di beberapa unit organisasi (OUs) dan Wilayah AWS. Untuk informasi lebih lanjut tentang penggunaan Quick Setup untuk mengonfigurasi instance terkelola, lihat[Siapkan manajemen host Amazon EC2 menggunakan Quick Setup](quick-setup-host-management.md).
+ Jenis server lokal dan lainnya di cloud: [Mengelola node di lingkungan hybrid dan multicloud dengan Systems Manager](systems-manager-hybrid-multicloud.md)
+ AWS IoT Greengrass perangkat (tepi): [Mengelola perangkat edge dengan Systems Manager](systems-manager-setting-up-edge-devices.md)

**Topics**
+ [Mengontrol akses ke Fleet Manager](configuring-fleet-manager-permissions.md)

# Mengontrol akses ke Fleet Manager
<a name="configuring-fleet-manager-permissions"></a>

Untuk menggunakannyaFleet Manager, alat di AWS Systems Manager, pengguna atau peran AWS Identity and Access Management (IAM) Anda harus memiliki izin yang diperlukan. Anda dapat membuat kebijakan IAM yang menyediakan akses ke semua Fleet Manager fitur, atau mengubah kebijakan Anda untuk memberikan akses ke fitur yang Anda pilih. Anda kemudian memberikan izin ini kepada pengguna, atau identitas, di akun Anda.

**Tugas 1: Buat kebijakan IAM untuk menentukan izin akses**  
Ikuti salah satu metode yang disediakan dalam topik followig di *Panduan Pengguna IAM* untuk membuat IAM untuk memberikan identitas (pengguna, peran, atau grup pengguna) dengan akses ke: Fleet Manager  
+ [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)
Anda dapat menggunakan salah satu contoh kebijakan yang kami sediakan di bawah ini, atau memodifikasinya sesuai dengan izin yang ingin Anda berikan. Kami menyediakan contoh kebijakan untuk Fleet Manager akses penuh dan akses hanya-baca. 

**Tugas 2: Lampirkan kebijakan IAM ke pengguna untuk memberikan izin**  
Setelah Anda membuat kebijakan IAM atau kebijakan yang menentukan izin aksesFleet Manager, gunakan salah satu prosedur berikut dalam *Panduan Pengguna IAM* untuk memberikan izin ini ke identitas di akun Anda:  
+ [Menambahkan izin identitas IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)
+ [Menambahkan izin identitas IAM ()AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-cli)
+ [Menambahkan izin identitas IAM (API)AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-api)

**Topics**
+ [Contoh kebijakan untuk akses Fleet Manager administrator](#admin-policy-sample)
+ [Contoh kebijakan untuk akses Fleet Manager hanya-baca](#read-only-policy-sample)

## Contoh kebijakan untuk akses Fleet Manager administrator
<a name="admin-policy-sample"></a>

Kebijakan berikut memberikan izin untuk semua Fleet Manager fitur. Ini berarti pengguna dapat membuat dan menghapus pengguna dan grup lokal, memodifikasi keanggotaan grup untuk grup lokal apa pun, dan memodifikasi kunci atau nilai Windows Server registri. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags",
                "ec2:DeleteTags",
                "ec2:DescribeInstances",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "General",
            "Effect": "Allow",
            "Action": [
                "ssm:AddTagsToResource",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:DescribeInstancePatches",
                "ssm:DescribeInstancePatchStates",
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetServiceSetting",
                "ssm:GetInventorySchema",
                "ssm:ListComplianceItems",
                "ssm:ListInventoryEntries",
                "ssm:ListTagsForResource",
                "ssm:ListCommandInvocations",
                "ssm:ListAssociations",
                "ssm:RemoveTagsFromResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DefaultHostManagement",
            "Effect": "Allow",
            "Action": [
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "SendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument",
                "ssm:SendCommand",
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*:111122223333:document/SSM-SessionManagerRunShell",
                "arn:aws:ssm:*:*:document/AWS-PasswordReset",
                "arn:aws:ssm:*:*:document/AWSFleetManager-AddUsersToGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CopyFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateDirectory",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateGroup",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateUser",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateUserInteractive",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateWindowsRegistryKey",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteGroup",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteUser",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryKey",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryValue",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-MountVolume",
                "arn:aws:ssm:*:*:document/AWSFleetManager-MoveFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-RemoveUsersFromGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-RenameFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-SetWindowsRegistryValue",
                "arn:aws:ssm:*:*:document/AWSFleetManager-StartProcess",
                "arn:aws:ssm:*:*:document/AWSFleetManager-TerminateProcess"
            ]
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        }
    ]
}
```

------

## Contoh kebijakan untuk akses Fleet Manager hanya-baca
<a name="read-only-policy-sample"></a>

Kebijakan berikut memberikan izin untuk fitur hanya-bacaFleet Manager. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "General",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:DescribeInstancePatches",
                "ssm:DescribeInstancePatchStates",
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetServiceSetting",
                "ssm:GetInventorySchema",
                "ssm:ListComplianceItems",
                "ssm:ListInventoryEntries",
                "ssm:ListTagsForResource",
                "ssm:ListCommandInvocations",
                "ssm:ListAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument",
                "ssm:SendCommand",
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*:111122223333:document/SSM-SessionManagerRunShell",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent"
            ]
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        }
    ]
}
```

------

# Bekerja dengan node terkelola
<a name="fleet-manager-managed-nodes"></a>

*Node terkelola* adalah mesin apa pun yang dikonfigurasi untuk AWS Systems Manager. Anda dapat mengonfigurasi jenis mesin berikut sebagai node terkelola: 
+ Instans Amazon Elastic Compute Cloud (Amazon EC2)
+ Server di tempat Anda sendiri (server lokal)
+ AWS IoT Greengrass perangkat inti
+ AWS IoT dan perangkat AWS non-edge
+ Mesin virtual (VMs), termasuk VMs di lingkungan cloud lainnya

Di konsol Systems Manager, mesin apa pun yang diawali dengan “mi-” telah dikonfigurasi sebagai node terkelola menggunakan [*aktivasi hibrida*](activations.md). Perangkat Edge menampilkan nama AWS IoT Thing mereka.

**catatan**  
Satu-satunya fitur yang didukung untuk instans macOS adalah melihat sistem file.

**Tentang tingkatan instans Systems Manager**  
AWS Systems Manager menawarkan tingkat instans standar dan tingkat instans lanjutan. Keduanya mendukung node terkelola di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda. Tingkat instans standar memungkinkan Anda mendaftarkan maksimum 1.000 mesin per per mesin. Akun AWS Wilayah AWS Jika Anda perlu mendaftarkan lebih dari 1.000 mesin dalam satu akun dan Wilayah, gunakan tingkat instance lanjutan. Anda dapat membuat node terkelola sebanyak yang Anda suka di tingkat instance lanjutan. Semua node terkelola yang dikonfigurasi untuk Systems Manager diberi harga pay-per-use berdasarkan. Untuk informasi selengkapnya tentang mengaktifkan tingkat instans lanjutan, lihat. [Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md) Untuk informasi selengkapnya tentang harga, lihat [AWS Systems Manager Harga](https://aws.amazon.com/systems-manager/pricing/).

Perhatikan informasi tambahan berikut tentang tingkat instans standar dan tingkat instans lanjutan:
+ Instans lanjutan juga memungkinkan Anda untuk terhubung ke EC2 non-node Anda di lingkungan [hybrid dan multicloud dengan](operating-systems-and-machine-types.md#supported-machine-types) menggunakan. AWS Systems Manager Session Manager Session Managermenyediakan akses shell interaktif ke instance Anda. Untuk informasi selengkapnya, lihat [AWS Systems Manager Session Manager](session-manager.md).
+ Kuota instans standar juga berlaku untuk EC2 instance yang menggunakan aktivasi lokal Systems Manager (yang bukan skenario umum).
+ Untuk menambal aplikasi yang dirilis oleh Microsoft pada mesin virtual (VMs) instance lokal, aktifkan tingkat instance lanjutan. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Tidak ada biaya tambahan untuk menambal aplikasi yang dirilis oleh Microsoft pada instans Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi selengkapnya, lihat [Aplikasi patching yang dirilis oleh Microsoft pada Windows Server](patch-manager-patching-windows-applications.md).

**Tampilkan node terkelola**  
Jika Anda tidak melihat node terkelola yang terdaftar di konsol, lakukan hal berikut:

1. Verifikasi bahwa konsol terbuka di Wilayah AWS tempat Anda membuat node terkelola. Anda dapat beralih Wilayah dengan menggunakan daftar di sudut kanan atas konsol. 

1. Verifikasi bahwa langkah penyiapan untuk node terkelola memenuhi persyaratan Systems Manager. Untuk informasi, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md).

1. Untuk EC2 non-mesin, verifikasi bahwa Anda menyelesaikan proses aktivasi hybrid. Untuk informasi selengkapnya, lihat [Mengelola node di lingkungan hybrid dan multicloud dengan Systems Manager](systems-manager-hybrid-multicloud.md).

Perhatikan informasi tambahan berikut:
+ Fleet ManagerKonsol tidak menampilkan EC2 node Amazon yang telah dihentikan.
+ Systems Manager memerlukan referensi waktu yang akurat untuk melakukan operasi pada mesin Anda. Jika tanggal dan waktu tidak disetel dengan benar pada node terkelola Anda, mesin mungkin tidak cocok dengan tanggal tanda tangan permintaan API Anda. Untuk informasi selengkapnya, lihat [Kasus penggunaan dan praktik terbaik](systems-manager-best-practices.md).
+ Saat Anda membuat atau mengedit tag, sistem dapat memakan waktu hingga satu jam untuk menampilkan perubahan dalam filter tabel.
+ Setelah status node terkelola setidaknya `Connection Lost` selama 30 hari, node mungkin tidak lagi terdaftar di Fleet Manager konsol. Untuk mengembalikannya ke daftar, masalah yang menyebabkan koneksi hilang harus diselesaikan. Untuk tips pemecahan masalah, lihat. [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md)

**Verifikasi dukungan Systems Manager pada node terkelola**  
AWS Config menyediakan Aturan AWS Terkelola, yang merupakan aturan yang telah ditentukan sebelumnya dan dapat disesuaikan yang AWS Config digunakan untuk mengevaluasi apakah konfigurasi AWS sumber daya Anda sesuai dengan praktik terbaik umum. AWS Config Aturan Terkelola mencakup aturan [ec2- instance-managed-by-systems -manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html). Aturan ini memeriksa apakah EC2 instans Amazon di akun Anda dikelola oleh Systems Manager. Untuk informasi selengkapnya, lihat [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html). 

**Meningkatkan postur keamanan pada node terkelola**  
Untuk informasi tentang meningkatkan postur keamanan Anda terhadap perintah tingkat root yang tidak sah pada node terkelola Anda, lihat. [Membatasi akses ke perintah tingkat root melalui SSM Agent](ssm-agent-restrict-root-level-commands.md)

**Node terkelola deregister**  
Anda dapat membatalkan pendaftaran node terkelola kapan saja. Misalnya, jika Anda mengelola beberapa node dengan peran AWS Identity and Access Management (IAM) yang sama dan Anda melihat segala jenis perilaku jahat, Anda dapat membatalkan pendaftaran sejumlah mesin kapan saja. (Untuk mendaftarkan ulang mesin yang sama, Anda harus menggunakan Kode Aktivasi hibrida dan ID Aktivasi yang berbeda dari yang sebelumnya digunakan untuk mendaftarkannya.) Untuk informasi tentang membatalkan pendaftaran node terkelola, lihat. [Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud](fleet-manager-deregister-hybrid-nodes.md)

**Topics**
+ [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md)
+ [Menyetel ulang kata sandi pada node terkelola](fleet-manager-reset-password.md)
+ [Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud](fleet-manager-deregister-hybrid-nodes.md)
+ [Bekerja dengan sistem file OS menggunakan Fleet Manager](fleet-manager-file-system-management.md)
+ [Memantau kinerja node terkelola](fleet-manager-monitoring-node-performance.md)
+ [Bekerja dengan proses](fleet-manager-manage-processes.md)
+ [Melihat log pada node terkelola](fleet-manager-view-node-logs.md)
+ [Mengelola akun pengguna OS dan grup pada node terkelola menggunakan Fleet Manager](fleet-manager-manage-os-user-accounts.md)
+ [Mengelola registri Windows pada node terkelola](fleet-manager-manage-windows-registry.md)

# Mengonfigurasi tingkat instans
<a name="fleet-manager-configure-instance-tiers"></a>

Topik ini menjelaskan skenario saat Anda harus mengaktifkan tingkatan instance lanjutan. 

AWS Systems Manager [menawarkan tingkat instans standar dan tingkat instans lanjutan untuk mesin non-EC2 di lingkungan hybrid dan multicloud.](operating-systems-and-machine-types.md#supported-machine-types) 

Anda dapat mendaftarkan hingga 1.000 [node standar yang diaktifkan hibrida](activations.md) per akun per akun tanpa Wilayah AWS biaya tambahan. Namun, mendaftarkan lebih dari 1.000 node hybrid mengharuskan Anda mengaktifkan tingkat instance lanjutan. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Untuk informasi selengkapnya, silakan lihat [Harga AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).

Bahkan dengan kurang dari 1.000 node yang diaktifkan hibrida terdaftar, dua skenario lain memerlukan tingkat instance lanjutan: 
+ Anda ingin menggunakan untuk terhubung Session Manager ke node non-EC2.
+ Anda ingin menambal aplikasi (bukan sistem operasi) yang dirilis oleh Microsoft pada node non-EC2.
**catatan**  
Tidak ada biaya untuk menambal aplikasi yang dirilis oleh Microsoft di instans Amazon EC2.

## Skenario rinci tingkat contoh lanjutan
<a name="systems-manager-managed-instances-tier-scenarios"></a>

Informasi berikut memberikan rincian tentang tiga skenario di mana Anda harus mengaktifkan tingkat instance lanjutan.

Skenario 1: Anda ingin mendaftarkan lebih dari 1.000 node yang diaktifkan hibrida  
Dengan menggunakan tingkat instans standar, Anda dapat mendaftarkan maksimum 1.000 node non-EC2 di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) per Wilayah AWS akun tertentu tanpa biaya tambahan. Jika Anda perlu mendaftarkan lebih dari 1.000 node non-EC2 di Wilayah, Anda harus menggunakan tingkat instance lanjutan. Anda kemudian dapat mengaktifkan sebanyak mungkin mesin untuk lingkungan hybrid dan multicloud yang Anda inginkan. Biaya untuk tingkat instance lanjutan didasarkan pada jumlah node lanjutan yang diaktifkan sebagai node terkelola Systems Manager dan jam kerja node tersebut.  
Semua node terkelola Systems Manager yang menggunakan proses aktivasi [yang dijelaskan dalam Membuat aktivasi hibrid untuk mendaftarkan node dengan Systems Manager](hybrid-activation-managed-nodes.md) kemudian dikenakan biaya jika Anda melebihi 1.000 node lokal di Wilayah di akun tertentu.   
Anda juga dapat mengaktifkan instans Amazon Elastic Compute Cloud (Amazon EC2) yang ada menggunakan aktivasi hybrid Systems Manager dan bekerja dengannya sebagai instans non-EC2, seperti untuk pengujian. Ini juga memenuhi syarat sebagai node hibrida. Ini bukan skenario umum.

Skenario 2: Menambal aplikasi yang dirilis Microsoft pada node yang diaktifkan hibrida  
Tingkat instance lanjutan juga diperlukan jika Anda ingin menambal aplikasi yang dirilis Microsoft pada node non-EC2 di lingkungan hybrid dan multicloud. Jika Anda mengaktifkan tingkat instans lanjutan untuk menambal aplikasi Microsoft pada node non-EC2, biaya akan dikenakan untuk semua node lokal, meskipun Anda memiliki kurang dari 1.000.  
Biaya tambahan dikenakan untuk menambal aplikasi yang dirilis oleh instans Microsoft Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi selengkapnya, lihat [Aplikasi patching yang dirilis oleh Microsoft pada Windows Server](patch-manager-patching-windows-applications.md).

Skenario 3: Menghubungkan ke node yang diaktifkan hibrida menggunakan Session Manager  
Session Managermenyediakan akses shell interaktif ke instance Anda. Untuk terhubung ke node terkelola yang diaktifkan hibrida menggunakanSession Manager, Anda harus mengaktifkan tingkat instance lanjutan. Biaya kemudian dikeluarkan untuk semua node yang diaktifkan hibrida, bahkan jika Anda memiliki kurang dari 1.000.

**Ringkasan: Kapan saya membutuhkan tingkat instance lanjutan?**  
Gunakan tabel berikut untuk meninjau kapan Anda harus menggunakan tingkat instans lanjutan, dan untuk skenario mana biaya tambahan berlaku.


****  

| Skenario | Diperlukan tingkat instans lanjutan? | Biaya tambahan berlaku? | 
| --- | --- | --- | 
|  Jumlah node yang diaktifkan hibrida di Wilayah saya di akun tertentu lebih dari 1.000.  | Ya | Ya | 
|  Saya ingin menggunakan Patch Manager untuk menambal aplikasi yang dirilis Microsoft pada sejumlah node yang diaktifkan hibrida, bahkan kurang dari 1.000.  | Ya | Ya | 
|  Saya ingin menggunakan Session Manager untuk terhubung ke sejumlah node yang diaktifkan hibrida, bahkan kurang dari 1.000.  | Ya | Ya | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/fleet-manager-configure-instance-tiers.html)  | Tidak | Tidak | 

**Topics**
+ [Skenario rinci tingkat contoh lanjutan](#systems-manager-managed-instances-tier-scenarios)
+ [Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md)
+ [Mengembalikan dari tingkat instans lanjutan ke tingkat instans standar](fleet-manager-revert-to-standard-tier.md)

# Mengaktifkan tingkat instans lanjutan
<a name="fleet-manager-enable-advanced-instances-tier"></a>

AWS Systems Manager [menawarkan tingkat instans standar dan tingkat instans lanjutan untuk mesin non-EC2 di lingkungan hybrid dan multicloud.](operating-systems-and-machine-types.md#supported-machine-types) Tingkat instans standar memungkinkan Anda mendaftarkan maksimum 1.000 mesin yang diaktifkan hibrida per per per mesin. Akun AWS Wilayah AWS Tingkat instance lanjutan juga diperlukan untuk digunakan untuk menambal aplikasi yang dirilis Microsoft pada node non-EC2, dan Patch Manager untuk terhubung ke node non-EC2 menggunakan. Session Manager Untuk informasi selengkapnya, lihat [Mengaktifkan tingkat instans lanjutan](#fleet-manager-enable-advanced-instances-tier).

Bagian ini menjelaskan cara mengonfigurasi lingkungan hybrid dan multicloud Anda untuk menggunakan tingkat instance lanjutan.

**Sebelum Anda mulai**  
Tinjau detail harga untuk instans lanjutan. Instans lanjutan tersedia di file. per-use-basis Untuk informasi selengkapnya, lihat [AWS Systems Manager Harga](https://aws.amazon.com/systems-manager/pricing/). 

## Mengonfigurasi izin untuk mengaktifkan tingkat instans lanjutan
<a name="enable-advanced-instances-tier-permissions"></a>

Verifikasi bahwa Anda memiliki izin di AWS Identity and Access Management (IAM) untuk mengubah lingkungan Anda dari tingkat instans standar ke tingkat instance lanjutan. Anda harus memiliki kebijakan `AdministratorAccess` IAM yang dilampirkan ke pengguna, grup, atau peran Anda, atau Anda harus memiliki izin untuk mengubah setelan layanan tingkat aktivasi Systems Manager. Pengaturan tingkat aktivasi menggunakan operasi API berikut: 
+ [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)
+ [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)
+ [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)

Gunakan prosedur berikut untuk menambahkan kebijakan IAM inline ke sebuah akun pengguna. Kebijakan ini memungkinkan pengguna untuk melihat setelan tingkat instans terkelola saat ini. Kebijakan ini juga memungkinkan pengguna untuk mengubah atau mengatur ulang setelan saat ini dalam pengaturan yang ditentukan Akun AWS dan Wilayah AWS.

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna**.

1. Dari daftar, pilih nama pengguna untuk menanamkan kebijakan ke dalamnya.

1. Pilih tab **Izin**.

1. Di sisi kanan halaman, di bawah **Kebijakan izin**, pilih **Tambahkan kebijakan inline**. 

1. Pilih tab **JSON**.

1. Ganti konten default dengan yang berikut ini:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:GetServiceSetting"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ResetServiceSetting",
                   "ssm:UpdateServiceSetting"
               ],
               "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/activation-tier"
           }
       ]
   }
   ```

------

1. Pilih **Tinjau kebijakan**.

1. Di halaman **Tinjau Kebijakan**, untuk **Nama**, ketikkan nama untuk kebijakan inline tersebut. Sebagai contoh: **Managed-Instances-Tier**.

1. Pilih **Buat kebijakan**.

Administrator dapat menentukan izin hanya-baca dengan menetapkan kebijakan inline berikut kepada pengguna.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Untuk informasi selengkapnya tentang membuat dan mengedit kebijakan IAM, lihat [Membuat Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

## Mengaktifkan tingkat instans lanjutan (konsol)
<a name="enable-advanced-instances-tier-enabling"></a>

Prosedur berikut menunjukkan cara menggunakan konsol Systems Manager untuk mengubah *semua* node non-EC2 yang ditambahkan menggunakan aktivasi instans terkelola, di tingkat yang ditentukan Akun AWS dan Wilayah AWS, untuk menggunakan tingkat instance lanjutan.

**Sebelum Anda mulai**  
Verifikasi bahwa konsol terbuka di Wilayah AWS tempat Anda membuat instance terkelola. Anda dapat beralih Wilayah dengan menggunakan daftar di sudut kanan atas konsol. 

[Pastikan Anda telah menyelesaikan persyaratan penyiapan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan mesin non-EC2 di lingkungan hybrid dan multicloud.](operating-systems-and-machine-types.md#supported-machine-types) Untuk informasi, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md).

**penting**  
Prosedur berikut menjelaskan cara mengubah pengaturan tingkat akun. Perubahan ini mengakibatkan tagihan yang ditagih ke akun Anda.

**Untuk mengaktifkan tingkat instans lanjutan (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Pengaturan**, lalu pilih **Ubah pengaturan tingkat instans**.

1. Tinjau informasi di kotak dialog tentang mengubah pengaturan akun.

1. Jika Anda menyetujui, pilih opsi untuk menerima, lalu pilih **Ubah pengaturan**.

Sistem dapat memerlukan waktu beberapa menit untuk menyelesaikan proses pemindahan semua instans dari tingkat instans standar ke tingkat instans lanjutan.

**catatan**  
Untuk informasi tentang mengubah kembali ke tingkat instans standar, lihat [Mengembalikan dari tingkat instans lanjutan ke tingkat instans standar](fleet-manager-revert-to-standard-tier.md).

## Mengaktifkan tingkat instans lanjutan (AWS CLI)
<a name="enable-advanced-instances-tier-enabling-cli"></a>

Prosedur berikut menunjukkan cara menggunakan AWS Command Line Interface untuk mengubah *semua* server lokal dan VMs yang ditambahkan menggunakan aktivasi instans terkelola, di tingkat yang ditentukan Akun AWS dan Wilayah AWS, untuk menggunakan tingkat instance lanjutan.

**penting**  
Prosedur berikut menjelaskan cara mengubah pengaturan tingkat akun. Perubahan ini mengakibatkan tagihan yang ditagih ke akun Anda.

**Untuk mengaktifkan tingkat instance lanjutan menggunakan AWS CLI**

1. Buka AWS CLI dan jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \
       --setting-value advanced
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^
       --setting-value advanced
   ```

------

   Tidak ada output jika perintah berhasil.

1. Jalankan perintah berikut untuk melihat pengaturan layanan saat ini untuk node terkelola di saat ini Akun AWS dan Wilayah AWS.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------

   Perintah tersebut mengembalikan informasi seperti berikut.

   ```
   {
       "ServiceSetting": {
           "SettingId": "/ssm/managed-instance/activation-tier",
           "SettingValue": "advanced",
           "LastModifiedDate": 1555603376.138,
           "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
           "Status": "PendingUpdate"
       }
   }
   ```

## Mengaktifkan tingkat instans lanjutan (PowerShell)
<a name="enable-advanced-instances-tier-enabling-ps"></a>

Prosedur berikut menunjukkan cara menggunakan AWS Tools for Windows PowerShell untuk mengubah *semua* server lokal dan VMs yang ditambahkan menggunakan aktivasi instans terkelola, di tingkat yang ditentukan Akun AWS dan Wilayah AWS, untuk menggunakan tingkat instance lanjutan.

**penting**  
Prosedur berikut menjelaskan cara mengubah pengaturan tingkat akun. Perubahan ini mengakibatkan tagihan yang ditagih ke akun Anda.

**Untuk mengaktifkan tingkat instance lanjutan menggunakan PowerShell**

1. Buka AWS Tools for Windows PowerShell dan jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" `
       -SettingValue "advanced"
   ```

   Tidak ada output jika perintah berhasil.

1. Jalankan perintah berikut untuk melihat pengaturan layanan saat ini untuk node terkelola di saat ini Akun AWS dan Wilayah AWS.

   ```
   Get-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"
   ```

   Perintah tersebut mengembalikan informasi seperti berikut.

   ```
   ARN:arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
   LastModifiedDate : 4/18/2019 4:02:56 PM
   LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/User_1
   SettingId        : /ssm/managed-instance/activation-tier
   SettingValue     : advanced
   Status           : PendingUpdate
   ```

Sistem dapat memakan waktu beberapa menit untuk menyelesaikan proses pemindahan semua node dari tingkat instans standar ke tingkat instance lanjutan.

**catatan**  
Untuk informasi tentang mengubah kembali ke tingkat instans standar, lihat [Mengembalikan dari tingkat instans lanjutan ke tingkat instans standar](fleet-manager-revert-to-standard-tier.md).

# Mengembalikan dari tingkat instans lanjutan ke tingkat instans standar
<a name="fleet-manager-revert-to-standard-tier"></a>

Bagian ini menjelaskan cara mengubah node yang diaktifkan hibrida yang berjalan di tingkat instance lanjutan kembali ke tingkat instans standar. Konfigurasi ini berlaku untuk semua node yang diaktifkan hibrida dalam satu Akun AWS dan satu. Wilayah AWS

**Sebelum Anda mulai**  
Tinjau detail penting berikut.

**catatan**  
Anda tidak dapat kembali ke tingkat instans standar jika menjalankan lebih dari 1.000 node yang diaktifkan hibrida di akun dan Wilayah. Anda harus terlebih dahulu membatalkan pendaftaran node sampai Anda memiliki 1.000 atau kurang. Ini juga berlaku untuk instans Amazon Elastic Compute Cloud (Amazon EC2) yang menggunakan aktivasi hybrid Systems Manager (yang bukan skenario umum). Untuk informasi selengkapnya, lihat [Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud](fleet-manager-deregister-hybrid-nodes.md).
Setelah Anda kembali, Anda tidak akan dapat menggunakanSession Manager, alat di AWS Systems Manager, untuk secara interaktif mengakses node yang diaktifkan hibrida Anda.
Setelah Anda kembali, Anda tidak akan dapat menggunakanPatch Manager, alat di AWS Systems Manager, untuk menambal aplikasi yang dirilis oleh Microsoft pada node yang diaktifkan hibrida.
Proses mengembalikan semua node yang diaktifkan hibrida kembali ke tingkat instans standar dapat memakan waktu 30 menit atau lebih untuk menyelesaikannya.

Bagian ini menjelaskan cara mengembalikan semua node yang diaktifkan hibrida dalam Akun AWS dan Wilayah AWS dari tingkat instance lanjutan ke tingkat instans standar.

## Mengembalikan ke tingkat instans standar (konsol)
<a name="revert-to-standard-tier-console"></a>

Prosedur berikut menunjukkan kepada Anda cara menggunakan konsol Systems Manager untuk mengubah semua node yang diaktifkan hibrida di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda untuk menggunakan tingkat instans standar di yang ditentukan dan. Akun AWS Wilayah AWS

**Untuk mengembalikan ke tingkat instans standar (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih dropdown **Pengaturan akun**, lalu pilih **Pengaturan tingkat instans**.

1. Pilih **Mengubah pengaturan akun**.

1. Tinjau informasi di pop-up tentang mengubah pengaturan akun, lalu jika Anda menyetujui, pilih opsi untuk menerima dan melanjutkan.

## Mengembalikan ke tingkat instans standar (AWS CLI)
<a name="revert-to-standard-tier-cli"></a>

Prosedur berikut menunjukkan kepada Anda cara menggunakan AWS Command Line Interface untuk mengubah semua node yang diaktifkan hibrida di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda untuk menggunakan tingkat instans standar dalam yang ditentukan dan. Akun AWS Wilayah AWS

**Untuk kembali ke tingkat instans standar menggunakan AWS CLI**

1. Buka AWS CLI dan jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \
       --setting-value standard
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^
       --setting-value standard
   ```

------

   Tidak ada output jika perintah berhasil.

1. Jalankan perintah berikut 30 menit kemudian untuk melihat pengaturan untuk instance terkelola di saat ini Akun AWS dan Wilayah AWS.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------

   Perintah tersebut mengembalikan informasi seperti berikut.

   ```
   {
       "ServiceSetting": {
           "SettingId": "/ssm/managed-instance/activation-tier",
           "SettingValue": "standard",
           "LastModifiedDate": 1555603376.138,
           "LastModifiedUser": "System",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
           "Status": "Default"
       }
   }
   ```

   Status berubah menjadi *Default* setelah permintaan disetujui.

## Mengembalikan ke tingkat instans standar (PowerShell)
<a name="revert-to-standard-tier-ps"></a>

Prosedur berikut menunjukkan kepada Anda cara menggunakan AWS Tools for Windows PowerShell untuk mengubah node yang diaktifkan hibrida di lingkungan hybrid dan multicloud Anda untuk menggunakan tingkat instans standar dalam yang ditentukan dan. Akun AWS Wilayah AWS

**Untuk kembali ke tingkat instans standar menggunakan PowerShell**

1. Buka AWS Tools for Windows PowerShell dan jalankan perintah berikut.

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" `
       -SettingValue "standard"
   ```

   Tidak ada output jika perintah berhasil.

1. Jalankan perintah berikut 30 menit kemudian untuk melihat pengaturan untuk instance terkelola di saat ini Akun AWS dan Wilayah AWS.

   ```
   Get-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"
   ```

   Perintah tersebut mengembalikan informasi seperti berikut.

   ```
   ARN: arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
   LastModifiedDate : 4/18/2019 4:02:56 PM
   LastModifiedUser : System
   SettingId        : /ssm/managed-instance/activation-tier
   SettingValue     : standard
   Status           : Default
   ```

   Status berubah menjadi *Default* setelah permintaan disetujui.

# Menyetel ulang kata sandi pada node terkelola
<a name="fleet-manager-reset-password"></a>

Anda dapat mengatur ulang kata sandi untuk setiap pengguna pada node terkelola. Ini termasuk instans Amazon Elastic Compute Cloud (Amazon EC2); perangkat inti AWS IoT Greengrass ; dan server lokal, perangkat edge, dan mesin virtual () yang dikelola oleh. VMs AWS Systems Manager Fungsionalitas pengaturan ulang kata sandi dibangunSession Manager, alat di AWS Systems Manager. Anda dapat menggunakan fungsi ini untuk terhubung ke node terkelola tanpa membuka port masuk, memelihara host bastion, atau mengelola kunci SSH. 

Reset kata sandi berguna ketika pengguna lupa kata sandi, atau ketika Anda ingin memperbarui kata sandi dengan cepat tanpa membuat koneksi RDP atau SSH ke node yang dikelola.  

**Prasyarat**  
Sebelum Anda dapat mengatur ulang kata sandi pada node yang dikelola, persyaratan berikut harus dipenuhi:
+ Node terkelola tempat Anda ingin mengubah kata sandi harus berupa node terkelola Systems Manager. Juga, SSM Agent versi 2.3.668.0 atau yang lebih baru harus diinstal pada node yang dikelola.) Untuk informasi tentang menginstal atau memperbaruiSSM Agent, lihat[Bekerja dengan SSM Agent](ssm-agent.md).
+ Fungsionalitas pengaturan ulang kata sandi menggunakan Session Manager konfigurasi yang disiapkan agar akun Anda tersambung ke node terkelola. Oleh karena itu, prasyarat untuk menggunakan Session Manager harus telah diselesaikan untuk akun Anda saat ini. Wilayah AWS Untuk informasi selengkapnya, lihat [Mengatur Session Manager](session-manager-getting-started.md).
**catatan**  
Session Managerdukungan untuk node lokal disediakan hanya untuk tingkat instance lanjutan. Untuk informasi selengkapnya, lihat [Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md).
+  AWS Pengguna yang mengubah kata sandi harus memiliki `ssm:SendCommand` izin untuk node terkelola. Untuk informasi selengkapnya, lihat [Membatasi Run Command akses berdasarkan tag](run-command-setting-up.md#tag-based-access).

**Membatasi akses**  
Anda dapat membatasi kemampuan pengguna untuk mengatur ulang kata sandi ke node terkelola tertentu. Hal ini dilakukan dengan menggunakan kebijakan berbasis identitas untuk Session Manager `ssm:StartSession` operasi dengan dokumen SSM. `AWS-PasswordReset` Untuk informasi selengkapnya, lihat [Mengontrol akses sesi pengguna ke instans](session-manager-getting-started-restrict-access.md).

**Mengenkripsi data**  
Aktifkan AWS Key Management Service (AWS KMS) enkripsi lengkap untuk Session Manager data untuk menggunakan opsi reset kata sandi untuk node terkelola. Untuk informasi selengkapnya, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).

## Setel ulang kata sandi pada node terkelola
<a name="managed-instance-reset-a-password"></a>

Anda dapat mengatur ulang kata sandi pada node yang dikelola Systems Manager menggunakan **Fleet Manager**konsol Systems Manager atau AWS Command Line Interface (AWS CLI).

**Untuk mengubah kata sandi pada node terkelola (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node yang membutuhkan kata sandi baru.

1. Pilih **Tindakan instans, Setel ulang kata sandi**.

1. Untuk **Nama pengguna**, masukkan nama pengguna yang Anda gunakan untuk mengubah kata sandinya. Ini bisa berupa nama pengguna yang memiliki akun di node.

1. Pilih **Kirim**.

1. Ikuti petunjuk di jendela perintah **Masukkan kata sandi baru** untuk menentukan kata sandi baru.
**catatan**  
Jika versi SSM Agent pada node terkelola tidak mendukung penyetelan ulang kata sandi, Anda diminta untuk menginstal versi yang didukung menggunakanRun Command, alat di. AWS Systems Manager

**Untuk mengatur ulang kata sandi pada node terkelola (AWS CLI)**

1. Untuk mengatur ulang kata sandi untuk pengguna pada node terkelola, jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
**catatan**  
Untuk menggunakan AWS CLI untuk mengatur ulang kata sandi, Session Manager plugin harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).

------
#### [ Linux & macOS ]

   ```
   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       --parameters '{"username": ["user-name"]}'
   ```

------
#### [ Windows ]

   ```
   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"
   ```

------

1. Ikuti petunjuk di jendela perintah **Masukkan kata sandi baru** untuk menentukan kata sandi baru.

## Memecahkan masalah pengaturan ulang kata sandi pada node terkelola
<a name="password-reset-troubleshooting"></a>

Banyak masalah pengaturan ulang kata sandi dapat diselesaikan dengan memastikan bahwa Anda telah melengkapi [prasyarat pengaturan ulang kata sandi](#pw-reset-prereqs). Untuk masalah lain, gunakan informasi berikut untuk membantu Anda memecahkan masalah pengaturan ulang kata sandi.

**Topics**
+ [Node terkelola tidak tersedia](#password-reset-troubleshooting-instances)
+ [SSM Agenttidak up-to-date (konsol)](#password-reset-troubleshooting-ssmagent-console)
+ [Opsi pengaturan ulang kata sandi tidak tersedia (AWS CLI)](#password-reset-troubleshooting-ssmagent-cli)
+ [Tidak ada otorisasi untuk menjalankan `ssm:SendCommand`](#password-reset-troubleshooting-sendcommand)
+ [Session Managerpesan kesalahan](#password-reset-troubleshooting-session-manager)

### Node terkelola tidak tersedia
<a name="password-reset-troubleshooting-instances"></a>

**Masalah**: Anda ingin mengatur ulang kata sandi untuk node **terkelola di halaman konsol instans** terkelola, tetapi node tidak ada dalam daftar.
+ **Solusi**: Node terkelola yang ingin Anda sambungkan mungkin tidak dikonfigurasi untuk Systems Manager. Untuk menggunakan instans EC2 dengan Systems Manager, profil instans AWS Identity and Access Management (IAM) yang memberikan izin Systems Manager untuk melakukan tindakan pada instans Anda harus dilampirkan ke instans. Untuk selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). 

  Untuk menggunakan mesin non-EC2 dengan Systems Manager, buat peran layanan IAM yang memberikan izin kepada Systems Manager untuk melakukan tindakan pada node terkelola Anda. Untuk informasi selengkapnya, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md). (Session Managerdukungan untuk server lokal dan VMs disediakan hanya untuk tingkat instance lanjutan. Untuk informasi lebih lanjut, lihat[Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md).)

### SSM Agenttidak up-to-date (konsol)
<a name="password-reset-troubleshooting-ssmagent-console"></a>

**Masalah**: Pesan melaporkan bahwa versi SSM Agent tidak mendukung fungsi pengaturan ulang kata sandi.
+ **Solusi**: Versi 2.3.668.0 atau yang lebih baru SSM Agent diperlukan untuk melakukan reset kata sandi. Di konsol, Anda dapat memperbarui agen pada node terkelola dengan memilih **Perbarui SSM Agent**. 

  Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.

### Opsi pengaturan ulang kata sandi tidak tersedia (AWS CLI)
<a name="password-reset-troubleshooting-ssmagent-cli"></a>

**Masalah**: Anda berhasil terhubung ke node terkelola menggunakan AWS CLI `[https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)` perintah. Anda menentukan `AWS-PasswordReset` Dokumen SSM dan memberikan nama pengguna yang valid, tetapi permintaan untuk mengubah kata sandi tidak muncul.
+ **Solusi**: Versi SSM Agent pada node terkelola tidak up-to-date. Solusi: Versi 2.3.668.0 atau yang lebih baru diperlukan untuk melakukan pengaturan ulang kata sandi. 

  Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.

### Tidak ada otorisasi untuk menjalankan `ssm:SendCommand`
<a name="password-reset-troubleshooting-sendcommand"></a>

**Masalah**: Anda mencoba menyambung ke node terkelola untuk mengubah kata sandi tetapi menerima pesan kesalahan yang mengatakan bahwa Anda tidak berwenang untuk berjalan `ssm:SendCommand` di node terkelola.
+ **Solusi**: Kebijakan IAM Anda harus menyertakan izin untuk menjalankan `ssm:SendCommand` perintah. Untuk informasi, lihat [Membatasi Run Command akses berdasarkan tag](run-command-setting-up.md#tag-based-access).

### Session Managerpesan kesalahan
<a name="password-reset-troubleshooting-session-manager"></a>

**Masalah**: Anda menerima pesan kesalahan yang terkait denganSession Manager.
+ **Solusi**: Dukungan reset kata sandi mengharuskan yang Session Manager dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat [Mengatur Session Manager](session-manager-getting-started.md) dan [Pemecahan Masalah Session Manager](session-manager-troubleshooting.md).

# Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud
<a name="fleet-manager-deregister-hybrid-nodes"></a>

Jika Anda tidak lagi ingin mengelola server lokal, perangkat edge, atau mesin virtual (VM) dengan menggunakan AWS Systems Manager, Anda dapat membatalkan pendaftarannya. Membatalkan pendaftaran node yang diaktifkan hibrida menghapusnya dari daftar node terkelola di Systems Manager. AWS Systems Manager Agent (SSM Agent) yang berjalan pada node yang diaktifkan hibrida tidak akan dapat menyegarkan token otorisasi karena tidak lagi terdaftar. SSM Agenthibernasi dan mengurangi frekuensi ping ke Systems Manager di cloud menjadi sekali per jam. Systems Manager menyimpan riwayat perintah untuk node terkelola yang dideregistrasi selama 30 hari.

**catatan**  
Anda dapat mendaftarkan ulang server lokal, perangkat edge, atau VM menggunakan kode aktivasi dan ID yang sama selama Anda belum mencapai batas instans untuk kode aktivasi dan ID yang ditentukan. Anda dapat memverifikasi batas instance di konsol dengan memilih **alat Node**, lalu memilih **Aktivasi Hybrid**. Jika nilai **instans Terdaftar** kurang dari **batas Pendaftaran**, Anda dapat mendaftarkan ulang mesin menggunakan kode aktivasi dan ID yang sama. Jika lebih besar, Anda harus menggunakan kode aktivasi dan ID yang berbeda.

Prosedur berikut menjelaskan cara membatalkan pendaftaran node yang diaktifkan hibrida dengan menggunakan konsol Systems Manager. Untuk informasi tentang cara melakukan ini dengan menggunakan AWS Command Line Interface, lihat [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html).

Untuk informasi terkait, lihat topik berikut:
+ [Deregister dan registrasi ulang node terkelola (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister)(Linux)
+ [Deregister dan registrasi ulang node terkelola () Windows Server](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister) (Windows Server)

**Untuk membatalkan pendaftaran node yang diaktifkan hibrida (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih kotak centang di sebelah node terkelola yang ingin Anda deregister.

1. Pilih **tindakan Node, Tools, Deregister node terkelola ini**.

1. Tinjau informasi di kotak dialog **membatalkan pendaftaran node terkelola ini**. Jika Anda menyetujui, pilih **Deregister**.

# Bekerja dengan sistem file OS menggunakan Fleet Manager
<a name="fleet-manager-file-system-management"></a>

Anda dapat menggunakanFleet Manager, alat di AWS Systems Manager, untuk bekerja dengan sistem file pada node terkelola Anda. Dengan menggunakanFleet Manager, Anda dapat melihat informasi tentang direktori dan data file yang disimpan pada volume yang dilampirkan ke node terkelola Anda. Misalnya, Anda dapat melihat nama, ukuran, ekstensi, pemilik, dan izin untuk direktori dan file Anda. Hingga 10.000 baris data file dapat dipratinjau sebagai teks dari Fleet Manager konsol. Anda juga dapat menggunakan fitur ini untuk `tail` file. Saat menggunakan `tail` untuk melihat data file, 10 baris terakhir dari file ditampilkan pada awalnya. Saat baris data baru ditulis ke file, tampilan diperbarui secara real time. Maka, Anda dapat meninjau data log dari konsol tersebut, yang dapat meningkatkan efisiensi pemecahan masalah dan administrasi sistem Anda. Selain itu, Anda dapat membuat direktori dan menyalin, memotong, menempel, mengganti nama, atau menghapus file dan direktori.

Sebaiknya buat backup reguler, atau ambil snapshot dari volume Amazon Elastic Block Store (Amazon EBS) Elastic Block Store (Amazon EBS) yang dilampirkan ke node terkelola Anda. Saat menyalin, atau memotong dan menempelkan file, file dan direktori yang ada di jalur tujuan dengan nama yang sama dengan file atau direktori baru diganti. Masalah serius dapat terjadi jika Anda mengganti atau memodifikasi file sistem dan direktori. AWS tidak menjamin bahwa masalah ini dapat diselesaikan. Ubah file sistem dengan risiko Anda sendiri. Anda bertanggung jawab atas semua perubahan file dan direktori, dan memastikan Anda memiliki cadangan. Menghapus atau mengganti file dan direktori tidak dapat dibatalkan.

**catatan**  
Fleet ManagermenggunakanSession Manager, alat di AWS Systems Manager, untuk melihat pratinjau teks dan `tail` file. Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), profil instans yang dilampirkan ke instans terkelola harus memberikan izin untuk menggunakan fitur ini. Session Manager Untuk informasi selengkapnya tentang menambahkan Session Manager izin ke profil instans, lihat[Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md).

**Topics**
+ [Melihat sistem file OS menggunakan Fleet Manager](fleet-manager-viewing-file-system.md)
+ [Mempratinjau file OS menggunakan Fleet Manager](fleet-manager-preview-os-files.md)
+ [Tailing file OS menggunakan Fleet Manager](fleet-manager-tailing-os-files.md)
+ [Menyalin, memotong, dan menempelkan file atau direktori OS menggunakan Fleet Manager](fleet-manager-move-files-or-directories.md)
+ [Mengganti nama file dan direktori OS menggunakan Fleet Manager](fleet-manager-renaming-files-and-directories.md)
+ [Menghapus file dan direktori OS menggunakan Fleet Manager](fleet-manager-deleting-files-and-directories.md)
+ [Membuat direktori OS menggunakan Fleet Manager](fleet-manager-creating-directories.md)
+ [Memotong, menyalin, dan menempelkan direktori OS menggunakan Fleet Manager](fleet-manager-managing-directories.md)

# Melihat sistem file OS menggunakan Fleet Manager
<a name="fleet-manager-viewing-file-system"></a>

Anda dapat menggunakan Fleet Manager untuk melihat sistem file OS pada node yang dikelola Systems Manager. 

**Untuk melihat sistem OS file menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan sistem file yang ingin Anda lihat.

1. Pilih **Alat, Sistem file**.

# Mempratinjau file OS menggunakan Fleet Manager
<a name="fleet-manager-preview-os-files"></a>

Anda dapat menggunakan Fleet Manager untuk melihat pratinjau file teks pada OS.

**Untuk melihat pratinjau teks file menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan file yang ingin Anda pratinjau.

1. Pilih **Alat, Sistem file**.

1. Pilih **nama File** dari direktori yang berisi file yang ingin Anda pratinjau.

1. Pilih tombol di samping file yang kontennya ingin Anda pratinjau.

1. Pilih **Tindakan, Pratinjau sebagai teks**.

# Tailing file OS menggunakan Fleet Manager
<a name="fleet-manager-tailing-os-files"></a>

Anda dapat menggunakan Fleet Manager untuk mengekor file pada node terkelola.

**Untuk mengekor file OS dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan file yang ingin Anda ekor.

1. Pilih **Alat, Sistem file**.

1. Pilih **nama File** dari direktori yang berisi file yang ingin Anda ekor.

1. Pilih tombol di samping file yang kontennya ingin Anda ikuti.

1. Pilih **Actions, Tail file**.

# Menyalin, memotong, dan menempelkan file atau direktori OS menggunakan Fleet Manager
<a name="fleet-manager-move-files-or-directories"></a>

Anda dapat menggunakan Fleet Manager untuk menyalin, memotong, dan menempelkan file OS pada node terkelola.

**Untuk menyalin atau memotong dan menempelkan file atau direktori menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan file yang ingin Anda salin, atau potong dan tempel.

1. Pilih **Alat, Sistem file**.

1. Untuk menyalin atau memotong file, pilih **Nama file** direktori yang berisi file yang ingin Anda salin atau potong. Untuk menyalin atau memotong direktori, pilih tombol di sebelah direktori yang ingin Anda salin atau potong dan kemudian lanjutkan ke langkah 8.

1. Pilih tombol di sebelah file yang ingin Anda salin atau potong.

1. Di menu **Tindakan**, pilih **Salin** atau **Potong**.

1. Dalam tampilan **Sistem file**, pilih tombol di sebelah direktori tempat Anda ingin menempelkan file.

1. Di menu **Tindakan**, pilih **Tempel**.

# Mengganti nama file dan direktori OS menggunakan Fleet Manager
<a name="fleet-manager-renaming-files-and-directories"></a>

Anda dapat menggunakan Fleet Manager untuk mengganti nama file dan direktori pada node terkelola di akun Anda.

**Untuk mengganti nama file atau direktori dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan file atau direktori yang ingin Anda ganti namanya.

1. Pilih **Alat, Sistem file**.

1. Untuk mengganti nama file, pilih **nama File** direktori yang berisi file yang ingin Anda ganti nama. Untuk mengganti nama direktori, pilih tombol di sebelah direktori yang ingin Anda ganti nama dan kemudian lanjutkan ke langkah 8.

1. Pilih tombol di sebelah file yang kontennya ingin Anda ganti namanya.

1. Pilih **Tindakan, Ganti Nama**.

1. Untuk **Nama file**, masukkan nama baru untuk file tersebut dan pilih **Ganti nama**.

# Menghapus file dan direktori OS menggunakan Fleet Manager
<a name="fleet-manager-deleting-files-and-directories"></a>

Anda dapat menggunakan Fleet Manager untuk menghapus file dan direktori pada node terkelola di akun Anda.

**Untuk menghapus file atau direktori menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan file atau direktori yang ingin Anda hapus.

1. Pilih **Alat, Sistem file**.

1. Untuk menghapus file, pilih **Nama file** direktori yang berisi file yang ingin Anda hapus. Untuk menghapus direktori, pilih tombol di sebelah direktori yang ingin Anda hapus dan kemudian lanjutkan ke langkah 7.

1. Pilih tombol di sebelah file dengan konten yang ingin Anda hapus.

1. Pilih **Tindakan, Hapus**.

# Membuat direktori OS menggunakan Fleet Manager
<a name="fleet-manager-creating-directories"></a>

Anda dapat menggunakan Fleet Manager untuk membuat direktori pada node terkelola di akun Anda.

**Untuk membuat direktori menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola tempat Anda ingin membuat direktori.

1. Pilih **Alat, Sistem file**.

1. Pilih **nama file** direktori tempat Anda ingin membuat direktori baru.

1. Pilih **Buat direktori**.

1. Untuk **nama Direktori**, masukkan nama untuk direktori baru, lalu pilih **Buat direktori**.

# Memotong, menyalin, dan menempelkan direktori OS menggunakan Fleet Manager
<a name="fleet-manager-managing-directories"></a>

Anda dapat menggunakan Fleet Manager untuk memotong, menyalin, dan menempelkan direktori pada node terkelola di akun Anda.

**Untuk menyalin atau memotong dan menempelkan direktori dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola dengan file yang ingin Anda salin, atau potong dan tempel.

1. Pilih **Alat, Sistem file**.

1. Pilih tombol di sebelah direktori yang ingin Anda salin atau potong dan kemudian lanjutkan ke langkah 8.

1. Di menu **Tindakan**, pilih **Salin** atau **Potong**.

1. Dalam tampilan **Sistem file**, pilih tombol di sebelah direktori tempat Anda ingin menempelkan file.

1. Di menu **Tindakan**, pilih **Tempel**.

# Memantau kinerja node terkelola
<a name="fleet-manager-monitoring-node-performance"></a>

Anda dapat menggunakanFleet Manager, alat di AWS Systems Manager, untuk melihat data kinerja tentang node terkelola Anda secara real time. Data performa diambil dari pengukur performa.

Penghitung kinerja berikut tersedia diFleet Manager:
+ Penggunaan CPU
+  input/output Pemanfaatan disk (I/O)
+ Lalu lintas jaringan
+ Penggunaan memori

**catatan**  
Fleet ManagermenggunakanSession Manager, alat di AWS Systems Manager, untuk mengambil data kinerja. Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), profil instans yang dilampirkan ke instans terkelola harus memberikan izin untuk menggunakan fitur ini. Session Manager Untuk informasi selengkapnya tentang menambahkan Session Manager izin ke profil instans, lihat[Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md).

**Untuk melihat data kinerja dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola yang kinerjanya ingin Anda pantau.

1. Pilih **Lihat detail**.

1. Pilih **Alat, Penghitung kinerja**.

# Bekerja dengan proses
<a name="fleet-manager-manage-processes"></a>

Anda dapat menggunakan Fleet Manager, alat di AWS Systems Manager, untuk bekerja dengan proses pada node terkelola Anda. Penggunaan Fleet Manager, Anda dapat melihat informasi tentang proses. Misalnya, Anda dapat melihat pemanfaatan CPU dan penggunaan memori proses selain pegangan dan utasnya. Dengan Fleet Manager, Anda dapat memulai dan menghentikan proses dari konsol.

**catatan**  
Fleet Manager menggunakan Session Manager, alat di AWS Systems Manager, untuk mengambil data proses. Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), profil instans yang dilampirkan ke instans terkelola harus memberikan izin untuk Session Manager untuk menggunakan fitur ini. Untuk informasi lebih lanjut tentang menambahkan Session Manager izin untuk profil instance, lihat[Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md).

**Topics**
+ [Melihat detail tentang proses OS menggunakan Fleet Manager](fleet-manager-view-process-details.md)
+ [Memulai proses OS pada node terkelola menggunakan Fleet Manager](fleet-manager-start-process.md)
+ [Mengakhiri proses OS menggunakan Fleet Manager](fleet-manager-terminate-process.md)

# Melihat detail tentang proses OS menggunakan Fleet Manager
<a name="fleet-manager-view-process-details"></a>

Anda dapat menggunakan detail Fleet Manager tampilan tentang proses pada node terkelola Anda.

**Untuk melihat detail tentang proses dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node yang prosesnya ingin Anda lihat.

1. Pilih **Alat, Proses**.

# Memulai proses OS pada node terkelola menggunakan Fleet Manager
<a name="fleet-manager-start-process"></a>

Anda dapat menggunakan Fleet Manager untuk memulai proses pada node terkelola.

**Untuk memulai proses dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola yang ingin Anda mulai proses.

1. Pilih **Alat, Proses**.

1. Pilih **Mulai proses baru**.

1. Untuk **nama Proses atau jalur lengkap**, masukkan nama proses atau jalur lengkap ke executable.

1. (Opsional) Untuk **direktori Kerja**, masukkan jalur direktori tempat Anda ingin proses dijalankan.

# Mengakhiri proses OS menggunakan Fleet Manager
<a name="fleet-manager-terminate-process"></a>

**Untuk mengakhiri proses OS menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tautan node terkelola yang ingin Anda mulai proses.

1. Pilih **Alat, Proses**.

1. Pilih tombol di sebelah proses yang ingin Anda hentikan.

1. Pilih **Tindakan, Hentikan proses** atau **Tindakan, Hentikan pohon proses**. 
**catatan**  
Mengakhiri pohon proses juga mengakhiri semua proses dan aplikasi menggunakan proses itu.

# Melihat log pada node terkelola
<a name="fleet-manager-view-node-logs"></a>

Anda dapat menggunakan Fleet Manager, alat di AWS Systems Manager, untuk melihat data log yang disimpan di node terkelola Anda. Untuk node yang dikelola Windows, Anda dapat melihat log peristiwa Windows dan menyalin detailnya dari konsol. Untuk membantu Anda mencari peristiwa, filter log peristiwa Windows menurut **Tingkat peristiwa**, **ID peristiwa**, **Sumber peristiwa**, dan **Waktu pembuatan**. Anda juga dapat melihat data log lainnya menggunakan prosedur untuk melihat sistem file. Untuk informasi lebih lanjut tentang melihat sistem file dengan Fleet Manager, lihat [Bekerja dengan sistem file OS menggunakan Fleet Manager](fleet-manager-file-system-management.md).

**Untuk melihat log peristiwa Windows dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola yang log peristiwanya ingin Anda lihat.

1. Pilih **Lihat detail**.

1. Pilih **Alat, log peristiwa Windows**.

1. Pilih **Nama log** yang berisi peristiwa yang ingin Anda lihat.

1. Pilih tombol di sebelah **Nama log** yang ingin Anda lihat, kemudian pilih **Lihat peristiwa**.

1. Pilih tombol di sebelah peristiwa yang ingin Anda lihat, kemudian pilih **Lihat detail peristiwa**.

1. (Opsional) Pilih **Saling sebagai JSON** untuk menyalin detail peristiwa ke clipboard Anda.

# Mengelola akun pengguna OS dan grup pada node terkelola menggunakan Fleet Manager
<a name="fleet-manager-manage-os-user-accounts"></a>

Anda dapat menggunakanFleet Manager, alat di AWS Systems Manager, untuk mengelola akun pengguna sistem operasi (OS) dan grup pada node terkelola Anda. Misalnya, Anda dapat membuat dan menghapus pengguna dan grup. Selain itu, Anda dapat melihat detail seperti keanggotaan grup, peran pengguna, dan status.

**penting**  
Fleet Managermenggunakan Run Command danSession Manager, alat di AWS Systems Manager, untuk berbagai operasi manajemen pengguna. Sebagai hasilnya, pengguna dapat memberikan izin ke akun pengguna sistem operasi yang tidak dapat mereka berikan. Ini karena AWS Systems Manager Agent (SSM Agent) berjalan di Amazon Elastic Compute Cloud (Amazon EC2) instance menggunakan izin root (Linux) atau izin SYSTEM (). Windows Server Untuk informasi selengkapnya tentang membatasi akses ke perintah tingkat root, lihatSSM Agent. [Membatasi akses ke perintah tingkat root melalui SSM Agent](ssm-agent-restrict-root-level-commands.md) Untuk membatasi akses ke fitur ini, sebaiknya buat kebijakan AWS Identity and Access Management (IAM) untuk pengguna Anda yang hanya mengizinkan akses ke tindakan yang Anda tentukan. Untuk informasi selengkapnya tentang membuat kebijakan IAMFleet Manager, lihat[Mengontrol akses ke Fleet Manager](configuring-fleet-manager-permissions.md).

**Topics**
+ [Membuat pengguna atau grup OS menggunakan Fleet Manager](manage-os-user-accounts-create.md)
+ [Memperbarui keanggotaan pengguna atau grup menggunakan Fleet Manager](manage-os-user-accounts-update.md)
+ [Menghapus pengguna atau grup OS menggunakan Fleet Manager](manage-os-user-accounts-delete.md)

# Membuat pengguna atau grup OS menggunakan Fleet Manager
<a name="manage-os-user-accounts-create"></a>

**catatan**  
Fleet Managerdigunakan Session Manager untuk mengatur kata sandi untuk pengguna baru. Untuk instans Amazon EC2, profil instans yang dilampirkan ke instans terkelola Anda harus memberikan izin untuk Session Manager menggunakan fitur ini. Untuk informasi selengkapnya tentang menambahkan Session Manager izin ke profil instans, lihat[Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md).

Alih-alih masuk langsung ke server untuk membuat akun atau grup pengguna, Anda dapat menggunakan Fleet Manager konsol untuk melakukan tugas yang sama.

**Untuk membuat akun pengguna OS menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola yang ingin Anda buat pengguna baru.

1. Pilih **Lihat detail**.

1. Pilih **Alat, Pengguna, dan grup**.

1. Pilih tab **Pengguna**, dan kemudian pilih **Buat pengguna**.

1. Masukkan nilai untuk **Nama** pengguna baru tersebut.

1. (Disarankan) Pilih kotak centang di samping **Atur kata sandi**. Anda akan diminta untuk memberikan kata sandi untuk pengguna baru di akhir prosedur.

1. Pilih **Buat pengguna**. Jika Anda memilih kotak centang untuk membuat kata sandi bagi pengguna baru, Anda akan diminta memasukkan nilai untuk kata sandi lalu pilih **Selesai**. Jika kata sandi yang Anda tentukan tidak memenuhi persyaratan yang ditentukan oleh kebijakan lokal atau domain node terkelola, kesalahan akan ditampilkan.

**Untuk membuat grup OS menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola tempat Anda ingin membuat grup.

1. Pilih **Lihat detail**.

1. Pilih **Alat, Pengguna, dan grup**.

1. Pilih tab **Grup**, dan kemudian pilih **Buat grup**.

1. Masukkan nilai untuk **Nama** grup baru tersebut.

1. (Opsional) Masukkan nilai untuk **Deskripsi** grup baru tersebut.

1. (Opsional) Pilih pengguna untuk ditambahkan ke **Anggota grup** untuk grup baru tersebut.

1. Pilih **Buat grup**.

# Memperbarui keanggotaan pengguna atau grup menggunakan Fleet Manager
<a name="manage-os-user-accounts-update"></a>

Alih-alih masuk langsung ke server untuk memperbarui akun atau grup pengguna, Anda dapat menggunakan Fleet Manager konsol untuk melakukan tugas yang sama.

**Untuk menambahkan akun pengguna OS ke grup baru menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola tempat akun pengguna ada yang ingin Anda perbarui.

1. Pilih **Lihat detail**.

1. Pilih **Alat, Pengguna, dan grup**.

1. Pilih tab **Pengguna**.

1. Pilih tombol di samping pengguna yang ingin Anda perbarui.

1. Pilih **Tindakan, Tambahkan pengguna ke grup**.

1. Pilih grup yang ingin Anda tambahkan pengguna di bawah **Tambahkan ke grup**.

1. Pilih **Tambahkan pengguna ke grup**.

**Untuk mengedit keanggotaan grup OS menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola tempat grup ada yang ingin Anda perbarui.

1. Pilih **Lihat detail**.

1. Pilih **Alat, Pengguna, dan grup**.

1. Pilih tab **Grup**.

1. Pilih tombol di samping grup yang ingin Anda perbarui.

1. Pilih **Tindakan, Ubah grup**.

1. Pilih pengguna yang ingin Anda tambahkan atau hapus di bawah **Anggota grup**.

1. Pilih **Ubah grup**.

# Menghapus pengguna atau grup OS menggunakan Fleet Manager
<a name="manage-os-user-accounts-delete"></a>

Alih-alih masuk langsung ke server untuk menghapus akun atau grup pengguna, Anda dapat menggunakan Fleet Manager konsol untuk melakukan tugas yang sama.

**Untuk menghapus akun pengguna OS menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola tempat akun pengguna ada yang ingin Anda hapus.

1. Pilih **Lihat detail**.

1. Pilih **Pengguna dan grup**.

1. Pilih tab **Pengguna**.

1. Pilih tombol di samping pengguna yang ingin Anda hapus.

1. Pilih **Tindakan, Hapus pengguna lokal**.

**Untuk menghapus grup OS menggunakan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola tempat grup ada yang ingin Anda hapus.

1. Pilih **Lihat detail**.

1. Pilih **Alat, Pengguna, dan grup**.

1. Pilih tab **Grup**.

1. Pilih tombol di samping grup yang ingin Anda perbarui.

1. Pilih **Tindakan, Hapus grup lokal**.

# Mengelola registri Windows pada node terkelola
<a name="fleet-manager-manage-windows-registry"></a>

Anda dapat menggunakanFleet Manager, alat di AWS Systems Manager, untuk mengelola registri pada node Windows Server terkelola Anda. Dari Fleet Manager konsol Anda dapat membuat, menyalin, memperbarui, dan menghapus entri dan nilai registri.

**penting**  
Sebaiknya buat cadangan registri, atau ambil snapshot dari volume root Amazon Elastic Block Store (Amazon EBS) Elastic Block Store (Amazon EBS) yang dilampirkan ke node terkelola Anda, sebelum Anda memodifikasi registri. Masalah serius dapat terjadi jika Anda salah mengubah registri. Masalah-masalah ini mungkin mengharuskan Anda untuk menginstal ulang sistem operasi, atau mengembalikan volume root node Anda dari snapshot. AWS tidak menjamin bahwa masalah ini dapat diselesaikan. Ubah registri dengan risiko Anda sendiri. Anda bertanggung jawab atas semua perubahan registri, dan memastikan Anda memiliki backup.

## Membuat kunci atau entri registri Windows
<a name="manage-windows-registry-create"></a>

**Untuk membuat kunci registri Windows dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola yang ingin Anda buat kunci registri.

1. Pilih **Lihat detail**.

1. Pilih **Alat, registri Windows**.

1. Pilih hive tempat Anda ingin membuat kunci registri baru dengan memilih **Nama registri**.

1. Pilih **Buat, Buat kunci registri**.

1. Pilih tombol di samping entri registri yang ingin Anda buat kunci barunya.

1. Pilih **Buat kunci registri**.

1. Masukkan nilai untuk **Nama** kunci registri baru tersebut, lalu pilih **Kirim**.

**Untuk membuat entri registri Windows dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di samping instans yang ingin Anda buat entri registrinya.

1. Pilih **Lihat detail**.

1. Pilih **Alat, registri Windows**.

1. Pilih hive dan kunci registri berikutnya yang ingin Anda buat entri registri barunya dengan memilih **Nama registri**.

1. Pilih **Buat, Buat entri registri**.

1. Masukkan nilai untuk **Nama** entri registri baru tersebut.

1. Pilih **Jenis** nilai yang ingin Anda buat untuk entri registri tersebut. Untuk informasi selengkapnya tentang jenis nilai registri, lihat [Jenis nilai registri](https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-value-types).

1. Masukkan nilai untuk **Nilai** entri registri baru tersebut.

## Memperbarui entri registri Windows
<a name="manage-windows-registry-update"></a>

**Untuk memperbarui entri registri Windows dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola yang ingin Anda perbarui entri registri.

1. Pilih **Lihat detail**.

1. Pilih **Alat, registri Windows**.

1. Pilih hive dan kunci registri berikutnya yang ingin Anda perbarui dengan memilih **Nama registri**.

1. Pilih tombol di samping entri registri yang ingin Anda perbarui.

1. Pilih **Tindakan, Perbarui entri registri**.

1. Masukkan nilai baru untuk **Nilai** entri registri baru tersebut.

1. Pilih **Perbarui**.

## Menghapus entri atau kunci registri Windows
<a name="manage-windows-registry-delete"></a>

**Untuk menghapus kunci registri Windows dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola yang ingin Anda hapus kunci registri.

1. Pilih **Alat, registri Windows**.

1. Pilih hive dan kunci registri berikutnya yang ingin Anda hapus dengan memilih **Nama registri**.

1. Pilih tombol di samping kunci registri yang ingin Anda hapus.

1. Pilih **Tindakan, Hapus kunci registri**.

**Untuk menghapus entri registri Windows dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah node terkelola tempat Anda ingin menghapus entri registri.

1. Pilih **Lihat detail**.

1. Pilih **Alat, registri Windows**.

1. Pilih hive dan kunci registri berikutnya yang berisi entri yang ingin Anda hapus dengan memilih **Nama registri**.

1. Pilih tombol di samping entri registri yang ingin Anda hapus.

1. Pilih **Tindakan, Hapus entri registri**.

# Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default
<a name="fleet-manager-default-host-management-configuration"></a>

*Pengaturan Konfigurasi Manajemen Host Default memungkinkan AWS Systems Manager untuk mengelola instans Amazon EC2 Anda secara otomatis sebagai instans terkelola.* Instans terkelola adalah instans EC2 yang dikonfigurasi untuk digunakan dengan Systems Manager. 

Manfaat mengelola instans Anda dengan Systems Manager meliputi hal-hal berikut:
+ Connect ke instans EC2 Anda dengan aman menggunakan. Session Manager
+ Lakukan pemindaian patch otomatis menggunakanPatch Manager.
+ Lihat informasi terperinci tentang instans Anda menggunakan Systems Manager Inventory.
+ Lacak dan kelola instance menggunakanFleet Manager.
+ Tetap SSM Agent up to date secara otomatis.

*Fleet Manager, InventarisPatch Manager,, dan Session Manager merupakan alat di Systems Manager.*

Menggunakan Konfigurasi Manajemen Host Default, Anda dapat mengelola instans EC2 tanpa harus membuat profil instans AWS Identity and Access Management (IAM) secara manual. Sebagai gantinya, Konfigurasi Manajemen Host Default membuat dan menerapkan peran IAM default untuk memastikan bahwa Systems Manager memiliki izin untuk mengelola semua instance di Akun AWS dan di Wilayah AWS mana itu diaktifkan. 

Jika izin yang diberikan tidak cukup untuk kasus penggunaan, Anda juga dapat menambahkan kebijakan ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default. Atau, jika Anda tidak memerlukan izin untuk semua kemampuan yang disediakan oleh peran IAM default, Anda dapat membuat peran dan kebijakan kustom Anda sendiri. Setiap perubahan yang dibuat pada peran IAM yang Anda pilih untuk Konfigurasi Manajemen Host Default berlaku untuk semua instans Amazon EC2 yang dikelola di Wilayah dan akun.

Untuk informasi selengkapnya tentang kebijakan yang digunakan oleh Konfigurasi Manajemen Host Default, lihat[AWS kebijakan terkelola: Amazon SSMManaged EC2 InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy).

**Terapkan akses hak akses paling rendah**  
Prosedur dalam topik ini dimaksudkan untuk dilakukan hanya oleh administrator. Oleh karena itu, kami menyarankan untuk menerapkan *akses hak istimewa terkecil* untuk mencegah pengguna non-administratif mengonfigurasi atau memodifikasi Konfigurasi Manajemen Host Default. Untuk melihat contoh kebijakan yang membatasi akses ke Konfigurasi Manajemen Host Default, lihat [Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default](#least-privilege-examples) nanti dalam topik ini. 

**penting**  
Informasi pendaftaran untuk instance yang terdaftar menggunakan Konfigurasi Manajemen Host Default disimpan secara lokal di direktori `var/lib/amazon/ssm` atau`C:\ProgramData\Amazon`. Menghapus direktori ini atau file-file mereka akan mencegah instance memperoleh kredensi yang diperlukan untuk terhubung ke Systems Manager menggunakan Default Host Management Configuration. Dalam kasus ini, Anda harus menggunakan profil instans IAM untuk memberikan izin yang diperlukan untuk instans Anda, atau membuat ulang instance.

**Topics**
+ [Prasyarat](#dhmc-prerequisites)
+ [Mengaktifkan pengaturan Konfigurasi Manajemen Host Default](#dhmc-activate)
+ [Menonaktifkan pengaturan Konfigurasi Manajemen Host Default](#dhmc-deactivate)
+ [Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default](#least-privilege-examples)

## Prasyarat
<a name="dhmc-prerequisites"></a>

Untuk menggunakan Konfigurasi Manajemen Host Default di Wilayah AWS dan Akun AWS di mana Anda mengaktifkan pengaturan, persyaratan berikut harus dipenuhi.
+ Instance yang akan dikelola harus menggunakan Instance Metadata Service Version 2 ()IMDSv2.

  Konfigurasi Manajemen Host Default tidak mendukung Layanan Metadata Instans Versi 1. *Untuk informasi tentang [transisi ke IMDSv2, lihat Transisi menggunakan Layanan Metadata Instans Versi 2 di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html)*
+ SSM Agentversi 3.2.582.0 atau yang lebih baru harus diinstal pada instance yang akan dikelola.

  Untuk informasi tentang memeriksa versi yang SSM Agent diinstal pada instans Anda, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md).

  Untuk informasi tentang memperbaruiSSM Agent, lihat[Memperbarui secara otomatis SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console).
+ Anda, sebagai administrator yang melakukan tugas dalam topik ini, harus memiliki izin untuk operasi [GetServiceSetting[ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html), dan [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)API. Selain itu, Anda harus memiliki izin untuk `iam:PassRole` izin untuk peran `AWSSystemsManagerDefaultEC2InstanceManagementRole` IAM. Berikut ini adalah contoh kebijakan yang menyediakan izin ini. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ssm:GetServiceSetting",
                  "ssm:ResetServiceSetting",
                  "ssm:UpdateServiceSetting"
              ],
              "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
          },
          {
              "Effect": "Allow",
              "Action": [
                  "iam:PassRole"
              ],
              "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
              "Condition": {
                  "StringEquals": {
                      "iam:PassedToService": [
                          "ssm.amazonaws.com"
                      ]
                  }
              }
          }
      ]
  }
  ```

------
+ Jika profil instans IAM sudah dilampirkan ke instans EC2 yang akan dikelola menggunakan Systems Manager, Anda harus menghapus izin apa pun darinya yang memungkinkan operasi. `ssm:UpdateInstanceInformation` SSM Agentmencoba menggunakan izin profil instans sebelum menggunakan izin Konfigurasi Manajemen Host Default. Jika Anda mengizinkan `ssm:UpdateInstanceInformation` operasi di profil instans IAM Anda sendiri, instans tidak akan menggunakan izin Konfigurasi Manajemen Host Default.

## Mengaktifkan pengaturan Konfigurasi Manajemen Host Default
<a name="dhmc-activate"></a>

Anda dapat mengaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol, atau dengan menggunakan AWS Command Line Interface atau AWS Tools for Windows PowerShell.

Anda harus mengaktifkan Konfigurasi Manajemen Host Default satu per satu di setiap Wilayah tempat Anda ingin instans Amazon EC2 dikelola oleh setelan ini.

Setelah mengaktifkan Konfigurasi Manajemen Host Default, mungkin diperlukan waktu hingga 30 menit agar instans Anda menggunakan kredensi peran yang Anda pilih pada langkah 5 dalam prosedur berikut.

**Untuk mengaktifkan Konfigurasi Manajemen Host Default (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun, Konfigurasi Konfigurasi Manajemen Host Default**.

1. **Aktifkan Aktifkan Konfigurasi Manajemen Host Default**.

1. Pilih peran AWS Identity and Access Management (IAM) yang digunakan untuk mengaktifkan alat Systems Manager untuk instans Anda. Sebaiknya gunakan peran default yang disediakan oleh Konfigurasi Manajemen Host Default. Ini berisi set izin minimum yang diperlukan untuk mengelola instans Amazon EC2 Anda menggunakan Systems Manager. Jika Anda lebih suka menggunakan peran khusus, kebijakan kepercayaan peran tersebut harus mengizinkan Systems Manager sebagai entitas tepercaya. 

1. Pilih **Konfigurasi** untuk menyelesaikan penyiapan. 

**Untuk mengaktifkan Konfigurasi Manajemen Host Default (baris perintah)**

1. Buat file JSON di mesin lokal Anda yang berisi kebijakan hubungan kepercayaan berikut.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement":[
           {
               "Sid":"",
               "Effect":"Allow",
               "Principal":{
                   "Service":"ssm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Buka AWS CLI atau Tools untuk Windows PowerShell dan jalankan salah satu perintah berikut, tergantung pada jenis sistem operasi mesin lokal Anda, untuk membuat peran layanan di akun Anda. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws iam create-role \
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
   --path /service-role/ \
   --assume-role-policy-document file://trust-policy.json
   ```

------
#### [ Windows ]

   ```
   aws iam create-role ^
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
   --path /service-role/ ^
   --assume-role-policy-document file://trust-policy.json
   ```

------
#### [ PowerShell ]

   ```
   New-IAMRole `
   -RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
   -Path "/service-role/" `
   -AssumeRolePolicyDocument "file://trust-policy.json"
   ```

------

1. Jalankan perintah berikut untuk melampirkan kebijakan `AmazonSSMManagedEC2InstanceDefaultPolicy` terkelola ke peran yang baru dibuat. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
   --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
   --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ PowerShell ]

   ```
   Register-IAMRolePolicy `
   -PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
   -RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"
   ```

------

1. Buka AWS CLI or Tools untuk Windows PowerShell dan jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
   --setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
   --setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMServiceSetting `
   -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
   -SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
   ```

------

   Tidak ada output jika perintah berhasil.

1. Jalankan perintah berikut untuk melihat pengaturan layanan saat ini untuk Konfigurasi Manajemen Host Default di saat ini Akun AWS dan Wilayah AWS.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMServiceSetting `
   -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
   ```

------

   Perintah tersebut mengembalikan informasi seperti berikut.

   ```
   {
       "ServiceSetting": {
           "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
           "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
           "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
           "LastModifiedUser": "System",
           "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
           "Status": "Custom"
       }
   }
   ```

## Menonaktifkan pengaturan Konfigurasi Manajemen Host Default
<a name="dhmc-deactivate"></a>

Anda dapat menonaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol, atau dengan menggunakan AWS Command Line Interface atau AWS Tools for Windows PowerShell.

Anda harus menonaktifkan pengaturan Konfigurasi Manajemen Host Default satu per satu di setiap Wilayah di mana Anda tidak lagi ingin instans Amazon EC2 dikelola oleh konfigurasi ini. Menonaktifkannya di satu Wilayah tidak menonaktifkannya di semua Wilayah.

Jika Anda menonaktifkan Konfigurasi Manajemen Host Default, dan Anda belum melampirkan profil instans ke instans Amazon EC2 yang memungkinkan akses ke Systems Manager, mereka tidak akan lagi dikelola oleh Systems Manager. 

**Untuk menonaktifkan Konfigurasi Manajemen Host Default (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun, Konfigurasi Manajemen Host Default**.

1. Matikan **Aktifkan Konfigurasi Manajemen Host Default**.

1. Pilih **Konfigurasi** untuk menonaktifkan Konfigurasi Manajemen Host Default.

**Untuk menonaktifkan Konfigurasi Manajemen Host Default (baris perintah)**
+ Buka AWS CLI or Tools untuk Windows PowerShell dan jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

  ```
  aws ssm reset-service-setting \
  --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
  ```

------
#### [ Windows ]

  ```
  aws ssm reset-service-setting ^
  --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
  ```

------
#### [ PowerShell ]

  ```
  Reset-SSMServiceSetting `
  -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
  ```

------

## Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default
<a name="least-privilege-examples"></a>

Contoh kebijakan berikut menunjukkan cara mencegah anggota organisasi Anda membuat perubahan pada setelan Konfigurasi Manajemen Host Default di akun Anda.

### Kebijakan kontrol layanan untuk AWS Organizations
<a name="scp-organizations"></a>

Kebijakan berikut menunjukkan cara mencegah anggota non-administratif di Anda AWS Organizations memperbarui setelan Konfigurasi Manajemen Host Default Anda. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        }
    ]
}
```

------

### Kebijakan untuk kepala sekolah IAM
<a name="iam-principals-policy"></a>

Kebijakan berikut menunjukkan cara mencegah grup, peran, atau pengguna IAM dalam memperbarui setelan Konfigurasi Manajemen Host Default Anda. AWS Organizations Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}
```

------

# Menghubungkan ke instance Windows Server terkelola menggunakan Remote Desktop
<a name="fleet-manager-remote-desktop-connections"></a>

Anda dapat menggunakanFleet Manager, alat dalam AWS Systems Manager, untuk menyambung ke instans Windows Server Amazon Elastic Compute Cloud (Amazon EC2) menggunakan (RDP). Remote Desktop Protocol Fleet Manager Remote Desktop, yang didukung oleh [Amazon DCV](https://docs.aws.amazon.com/dcv/latest/adminguide/what-is-dcv.html), memberi Anda konektivitas aman ke Windows Server instans langsung dari konsol Systems Manager. Anda dapat memiliki hingga empat koneksi simultan dalam satu jendela browser.

Fleet ManagerRemote Desktop API diberi nama AWS Systems Manager GUI Connect. Untuk informasi tentang penggunaan Systems Manager GUI Connect API, lihat *[Referensi AWS Systems Manager GUI Connect API](https://docs.aws.amazon.com/ssm-guiconnect/latest/APIReference)*.

Saat ini, Anda hanya dapat menggunakan Remote Desktop dengan instance yang menjalankan Windows Server 2012 RTM atau lebih tinggi. Remote Desktop hanya mendukung input bahasa Inggris. 

Fleet ManagerRemote Desktop adalah layanan khusus konsol dan tidak mendukung koneksi baris perintah ke instance terkelola Anda. Untuk terhubung ke instance Windows Server terkelola melalui shell, Anda dapat menggunakanSession Manager, alat lain di AWS Systems Manager. Untuk informasi selengkapnya, lihat [AWS Systems Manager Session Manager](session-manager.md).

**catatan**  
Durasi koneksi RDP tidak ditentukan oleh durasi kredenal AWS Identity and Access Management (IAM) Anda. Sebaliknya, koneksi tetap ada hingga durasi koneksi maksimum atau batas waktu idle terpenuhi, mana yang lebih dulu. Untuk informasi selengkapnya, lihat [Durasi koneksi jarak jauh dan konkurensi](#rdp-duration-concurrency).

Untuk informasi tentang mengkonfigurasi izin AWS Identity and Access Management (IAM) agar instans Anda berinteraksi dengan Systems Manager, lihat [Mengonfigurasi izin instans untuk](setup-instance-permissions.md) Systems Manager.

**Topics**
+ [Menyiapkan lingkungan Anda](#rdp-prerequisites)
+ [Mengkonfigurasi izin IAM untuk Remote Desktop](#rdp-iam-policy-examples)
+ [Mengautentikasi koneksi Remote Desktop](#rdp-authentication)
+ [Durasi koneksi jarak jauh dan konkurensi](#rdp-duration-concurrency)
+ [Systems Manager GUI Connect menangani atribut AWS IAM Identity Center](#iam-identity-center-attribute-handling)
+ [Connect ke node terkelola menggunakan Remote Desktop](#rdp-connect-to-node)
+ [Melihat informasi tentang koneksi saat ini dan yang sudah selesai](#list-connections)

## Menyiapkan lingkungan Anda
<a name="rdp-prerequisites"></a>

Sebelum menggunakan Remote Desktop, verifikasi bahwa lingkungan Anda memenuhi persyaratan berikut:
+ **Konfigurasi simpul terkelola**

  Pastikan instans Amazon EC2 Anda dikonfigurasi sebagai [node terkelola](fleet-manager-managed-nodes.md) di Systems Manager.
+ **SSM Agentversi minimum**

  Verifikasi bahwa node menjalankan SSM Agent versi 3.0.222.0 atau lebih tinggi. Untuk informasi tentang cara memeriksa versi agen mana yang berjalan pada node, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md). Untuk informasi tentang menginstal atau memperbaruiSSM Agent, lihat[Bekerja dengan SSM Agent](ssm-agent.md).
+ **Konfigurasi port RDP**

  Untuk menerima koneksi jarak jauh, Remote Desktop Services layanan pada Windows Server node Anda harus menggunakan port RDP default 3389. Ini adalah konfigurasi default on Amazon Machine Images (AMIs) yang disediakan oleh AWS. Anda tidak secara eksplisit diminta untuk membuka port masuk apa pun untuk menggunakan Remote Desktop.
+ **PSReadLineversi modul untuk fungsionalitas keyboard**

  Untuk memastikan keyboard Anda berfungsi dengan benarPowerShell, verifikasi bahwa node yang menjalankan Windows Server 2022 memiliki PSReadLine modul versi 2.2.2 atau lebih tinggi diinstal. Jika mereka menjalankan versi yang lebih lama, Anda dapat menginstal versi yang diperlukan menggunakan perintah berikut.

  ```
  Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force
  ```

  Setelah penyedia NuGet paket diinstal, jalankan perintah berikut.

  ```
  Install-Module `
   -Name PSReadLine `
   -Repository PSGallery `
   -MinimumVersion 2.2.2 -Force
  ```
+ **Konfigurasi Manajer Sesi**

  Sebelum Anda dapat menggunakan Remote Desktop, Anda harus menyelesaikan prasyarat untuk pengaturan Session Manager. Saat Anda terhubung ke instans menggunakan Remote Desktop, preferensi sesi apa pun yang ditentukan untuk Anda Akun AWS dan Wilayah AWS diterapkan. Untuk informasi selengkapnya, lihat [Mengatur Session Manager](session-manager-getting-started.md).
**catatan**  
Jika Anda mencatat aktivitas Session Manager menggunakan Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), maka koneksi Remote Desktop Anda akan menghasilkan kesalahan berikut. `bucket_name/Port/stderr` Kesalahan ini adalah perilaku yang diharapkan dan dapat diabaikan dengan aman.  

  ```
  Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
  <ClientErrorMessage>Session is already terminated</ClientErrorMessage>
  </BadRequest>
  ```

## Mengkonfigurasi izin IAM untuk Remote Desktop
<a name="rdp-iam-policy-examples"></a>

Selain izin IAM yang diperlukan untuk Systems Manager danSession Manager, pengguna atau peran yang Anda gunakan harus diizinkan izin untuk memulai koneksi.

**Izin untuk memulai koneksi**  
Untuk membuat koneksi RDP ke instans EC2 di konsol, izin berikut diperlukan:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`

**Izin untuk koneksi daftar**  
Untuk melihat daftar koneksi di konsol, izin berikut diperlukan:

`ssm-guiconnect:ListConnections`

Berikut ini adalah contoh kebijakan IAM yang dapat Anda lampirkan ke pengguna atau peran untuk memungkinkan berbagai jenis interaksi dengan Remote Desktop. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

### Kebijakan standar untuk menghubungkan ke instans EC2
<a name="standard-policy"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Kebijakan untuk menghubungkan ke instans EC2 dengan tag tertentu
<a name="tag-policy"></a>

**catatan**  
Dalam kebijakan IAM berikut, `SSMStartSession` bagian ini memerlukan Nama Sumber Daya Amazon (ARN) untuk `ssm:StartSession` tindakan tersebut. Seperti yang ditunjukkan, ARN yang Anda tentukan *tidak* memerlukan ID Akun AWS . Jika Anda menentukan ID akun, Fleet Manager mengembalikan file`AccessDeniedException`.  
`AccessTaggedInstances`Bagian, yang terletak lebih rendah dalam kebijakan contoh, juga membutuhkan ARNs untuk`ssm:StartSession`. Bagi mereka ARNs, Anda menentukan Akun AWS IDs.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Kebijakan bagi AWS IAM Identity Center pengguna untuk terhubung ke instans EC2
<a name="sso-policy"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Mengautentikasi koneksi Remote Desktop
<a name="rdp-authentication"></a>

Saat membuat koneksi jarak jauh, Anda dapat mengautentikasi menggunakan Windows kredensional atau key pair `.pem` (file) Amazon EC2 yang terkait dengan instance. Untuk informasi tentang penggunaan pasangan kunci, lihat [pasangan kunci Amazon EC2 dan Windows instans](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html) di Panduan Pengguna *Amazon* EC2.

Atau, jika Anda diautentikasi ke Konsol Manajemen AWS penggunaan AWS IAM Identity Center, Anda dapat terhubung ke instans Anda tanpa memberikan kredensi tambahan. Untuk contoh kebijakan untuk mengizinkan otentikasi koneksi jarak jauh menggunakan IAM Identity Center, lihat. [Mengkonfigurasi izin IAM untuk Remote Desktop](#rdp-iam-policy-examples) 

**Sebelum Anda mulai**  
Perhatikan kondisi berikut untuk menggunakan autentikasi IAM Identity Center sebelum Anda mulai menghubungkan menggunakan Remote Desktop.
+ Remote Desktop mendukung autentikasi IAM Identity Center untuk node yang sama di Wilayah AWS mana Anda mengaktifkan IAM Identity Center.
+ Remote Desktop mendukung nama pengguna IAM Identity Center hingga 16 karakter. 
+ Remote Desktop mendukung nama pengguna IAM Identity Center yang terdiri dari karakter alfanumerik dan karakter khusus berikut: `.` `-` `_`
**penting**  
Koneksi tidak akan berhasil untuk nama pengguna IAM Identity Center yang berisi karakter berikut: `+` `=` `,`   
IAM Identity Center mendukung karakter ini dalam nama pengguna, tetapi koneksi Fleet Manager RDP tidak.  
Selain itu, jika nama pengguna IAM Identity Center berisi satu atau lebih `@` simbol, Fleet Manager abaikan `@` simbol pertama dan semua karakter yang mengikutinya, baik `@` memperkenalkan bagian domain dari alamat email atau tidak. Misalnya, untuk nama pengguna IAM Identity Center`diego_ramirez@example.com`, `@example.com` bagian diabaikan dan nama pengguna untuk Fleet Manager menjadi`diego_ramirez`. Untuk`diego_r@mirez@example.com`, Fleet Manager mengabaikan`@mirez@example.com`, dan nama pengguna untuk Fleet Manager menjadi. `diego_r`
+ Ketika koneksi diautentikasi menggunakan IAM Identity Center, Remote Desktop membuat Windows pengguna lokal dalam grup Administrator Lokal instans. Pengguna ini bertahan setelah koneksi jarak jauh berakhir. 
+ Remote Desktop tidak mengizinkan autentikasi IAM Identity Center untuk node yang merupakan pengontrol Microsoft Active Directory domain.
+ Meskipun Remote Desktop memungkinkan Anda untuk menggunakan autentikasi IAM Identity Center untuk node yang *bergabung* ke Active Directory domain, kami tidak menyarankan melakukannya. Metode otentikasi ini memberikan izin administratif kepada pengguna yang mungkin mengganti izin yang lebih ketat yang diberikan oleh domain.

**Wilayah yang Didukung untuk autentikasi Pusat Identitas IAM**  
Remote Desktopkoneksi menggunakan autentikasi IAM Identity Center didukung sebagai berikut: Wilayah AWS
+ AS Timur (Ohio) (us-east-2)
+ AS Timur (Virginia Utara) (us-east-1)
+ AS Barat (California Utara) (us-west-1)
+ AS Barat (Oregon) (us-west-2)
+ Africa (Cape Town) (af-south-1)
+ Asia Pacific (Hong Kong) (ap-east-1)
+ Asia Pasifik (Mumbai) (ap-south-1)
+ Asia Pasifik (Tokyo) (ap-northeast-1)
+ Asia Pasifik (Seoul) (ap-northeast-2)
+ Asia Pasifik (Osaka) (ap-northeast-3)
+ Asia Pasifik (Singapura) (ap-southeast-1)
+ Asia Pasifik (Sydney) (ap-southeast-2)
+ Asia Pasifik (Jakarta) (ap-southeast-3)
+ Kanada (Pusat) (ca-central-1)
+ Eropa (Frankfurt) (eu-central-1)
+ Eropa (Stockholm) (eu-north-1)
+ Eropa (Irlandia) (eu-west-1)
+ Eropa (London) (eu-west-2)
+ Eropa (Paris) (eu-west-3)
+ Israel (Tel Aviv) (il-central-1)
+ Amerika Selatan (Sao Paulo) (sa-east-1)
+ Europe (Milan) (eu-south-1)
+ Middle East (Bahrain) (me-south-1)
+ AWS GovCloud (AS-Timur) (us-gov-east-1)
+ AWS GovCloud (AS-Barat) (us-gov-west-1)

## Durasi koneksi jarak jauh dan konkurensi
<a name="rdp-duration-concurrency"></a>

Ketentuan berikut berlaku untuk koneksi Remote Desktop yang aktif:
+ **Durasi koneksi**

  Secara default, koneksi Remote Desktop terputus setelah 60 menit. Untuk mencegah koneksi terputus, Anda dapat memilih **Perbarui sesi** sebelum terputus untuk mengatur ulang pengatur waktu durasi.
+ **Batas waktu koneksi**

  Koneksi Remote Desktop terputus setelah idle selama lebih dari 10 menit.
+ **Ketekunan koneksi**

  Setelah Anda terhubung ke Remote Desktop Windows Server menggunakan, koneksi tetap ada hingga durasi koneksi maksimum (60 menit) atau batas waktu idle (10 menit) terpenuhi. Durasi koneksi tidak ditentukan oleh durasi kredenal AWS Identity and Access Management (IAM) Anda. Sambungan tetap ada setelah kredensil IAM kedaluwarsa jika batas durasi koneksi tidak terpenuhi. Saat menggunakan Remote Desktop, Anda harus menghentikan koneksi Anda setelah kredensi IAM Anda kedaluwarsa dengan meninggalkan halaman browser.
+ **Koneksi bersamaan**

  Secara default, Anda dapat memiliki maksimum 5 koneksi Remote Desktop aktif pada satu waktu untuk yang sama Akun AWS dan Wilayah AWS. *Untuk meminta peningkatan kuota layanan hingga 50 koneksi bersamaan, lihat [Meminta peningkatan kuota pada Panduan Pengguna Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).*
**catatan**  
Lisensi standar untuk Windows Server memungkinkan dua koneksi RDP bersamaan. Untuk mendukung lebih banyak koneksi, Anda harus membeli Lisensi Akses Klien (CALs) tambahan dari lisensi Microsoft atau Microsoft Remote Desktop Services dari. AWS Untuk informasi lebih lanjut tentang lisensi tambahan, lihat topik berikut:  
[Lisensi Akses Klien dan Lisensi Manajemen](https://www.microsoft.com/en-us/licensing/product-licensing/client-access-license) di situs web Microsoft
[Menggunakan langganan berbasis pengguna License Manager untuk produk perangkat lunak yang didukung](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html) di Panduan Pengguna *License* Manager

## Systems Manager GUI Connect menangani atribut AWS IAM Identity Center
<a name="iam-identity-center-attribute-handling"></a>

Systems Manager GUI Connect adalah API yang mendukung Fleet Manager koneksi ke instans EC2 menggunakan RDP. Data pengguna IAM Identity Center berikut disimpan setelah koneksi ditutup:
+ `username`

Systems Manager GUI Connect mengenkripsi atribut identitas ini saat istirahat menggunakan secara default. Kunci yang dikelola AWS Kunci terkelola pelanggan tidak didukung untuk mengenkripsi atribut ini di Systems Manager GUI Connect. Jika Anda menghapus pengguna di instans Pusat Identitas IAM Anda, Systems Manager GUI Connect terus mempertahankan `username` atribut yang terkait dengan pengguna tersebut selama 7 tahun, setelah itu dihapus. Data ini disimpan untuk mendukung peristiwa audit, seperti daftar riwayat koneksi Systems Manager GUI Connect. Data tidak dapat dihapus secara manual.

## Connect ke node terkelola menggunakan Remote Desktop
<a name="rdp-connect-to-node"></a>

**copy/paste Dukungan browser untuk teks**  
Menggunakan browser Google Chrome dan Microsoft Edge, Anda dapat menyalin dan menempelkan teks dari node terkelola ke mesin lokal Anda, dan dari mesin lokal Anda ke node terkelola yang terhubung dengan Anda.

Menggunakan browser Mozilla Firefox, Anda dapat menyalin dan menempelkan teks dari node terkelola ke mesin lokal Anda saja. Menyalin dari mesin lokal Anda ke node terkelola tidak didukung.

**Untuk terhubung ke node terkelola menggunakan Fleet Manager Remote Desktop**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih node yang ingin Anda sambungkan. Anda dapat memilih kotak centang atau nama simpul.

1. Pada menu **tindakan Node**, pilih **Connect with Remote Desktop**.

1. Pilih **jenis Otentikasi** pilihan Anda. Jika Anda memilih **kredensi pengguna**, masukkan nama pengguna dan kata sandi untuk akun Windows pengguna pada node yang Anda sambungkan. Jika Anda memilih **Pasangan kunci**, Anda dapat memberikan otentikasi menggunakan salah satu metode berikut:

   1. Pilih **Jelajahi mesin lokal** jika Anda ingin memilih kunci PEM yang terkait dengan instance Anda dari sistem file lokal Anda.

      - atau -

   1. Pilih **Tempel konten key pair** jika Anda ingin menyalin konten file PEM dan menempelkannya ke bidang yang disediakan.

1. Pilih **Connect**.

1. Untuk memilih resolusi tampilan yang Anda inginkan, di menu **Tindakan**, pilih **Resolusi**, lalu pilih dari yang berikut ini:
   + **Beradaptasi secara otomatis**
   + **1920 x 1080**
   + **1400 x 900**
   + **1366 x 768**
   + **800 x 600**

   Opsi **Adaptasi Otomatis** menetapkan resolusi berdasarkan ukuran layar yang terdeteksi.

## Melihat informasi tentang koneksi saat ini dan yang sudah selesai
<a name="list-connections"></a>

Anda dapat menggunakan Fleet Manager bagian konsol Systems Manager untuk melihat informasi tentang koneksi RDP yang telah dibuat di akun Anda. Menggunakan satu set filter, Anda dapat membatasi daftar koneksi yang ditampilkan ke rentang waktu, contoh tertentu, pengguna yang membuat koneksi, dan koneksi dari status tertentu. Konsol juga menyediakan tab yang menampilkan informasi tentang semua koneksi yang saat ini aktif, dan semua koneksi sebelumnya.

**Untuk melihat informasi tentang koneksi saat ini dan yang sudah selesai**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Manajemen akun, Connect with Remote Desktop**.

1. Pilih salah satu tab berikut:
   + **Koneksi aktif**
   + **Riwayat koneksi**

1. Untuk lebih mempersempit daftar hasil koneksi yang ditampilkan, tentukan satu atau beberapa filter di kotak search (![\[\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)). Anda juga dapat memasukkan istilah pencarian teks gratis.

# Mengelola volume Amazon EBS di instans terkelola
<a name="fleet-manager-manage-amazon-ebs-volumes"></a>

[Amazon Elastic Block Store](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) (Amazon EBS) menyediakan volume penyimpanan tingkat blok untuk digunakan dengan instans Amazon Elastic Compute Cloud (EC2). Volume EBS berfungsi seperti perangkat blok mentah yang tidak terformat. Anda dapat memasang volume ini sebagai perangkat di instans Anda.

Anda dapat menggunakanFleet Manager, alat di AWS Systems Manager, untuk mengelola volume Amazon EBS pada instans terkelola Anda. Misalnya, Anda dapat menginisialisasi volume EBS, memformat partisi, dan memasang volume agar tersedia untuk digunakan.

**catatan**  
Fleet Managersaat ini mendukung manajemen volume Amazon EBS hanya untuk Windows Server instans.

## Lihat detail volume EBS
<a name="ebs-volume-management-details"></a>

**Untuk melihat detail volume EBS dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah instance terkelola yang ingin Anda lihat detail volume EBS.

1. Pilih **Lihat detail**.

1. Pilih **Alat, volume EBS**.

1. Untuk melihat detail volume EBS, pilih ID-nya di kolom **Volume ID**.

## Inisialisasi dan format volume EBS
<a name="ebs-volume-management-format"></a>

**Untuk menginisialisasi dan memformat volume EBS dengan Fleet Manager**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih tombol di sebelah instance terkelola yang ingin Anda inisialisasi, format, dan pasang volume EBS. Anda hanya dapat menginisialisasi volume EBS jika disknya kosong.

1. Pilih **Lihat detail**.

1. Di menu **Tools**, pilih **volume EBS**.

1. Pilih tombol di sebelah volume EBS yang ingin Anda inisialisasi dan format.

1. Pilih **Inisialisasi dan format**.

1. Dalam **gaya Partisi**, pilih gaya partisi yang ingin Anda gunakan untuk volume EBS.

1. (Opsional) Pilih **huruf Drive** untuk partisi.

1. (Opsional) Masukkan **nama Partisi** untuk mengidentifikasi partisi.

1. Pilih **sistem File** yang akan digunakan untuk mengatur file dan data yang disimpan di partisi.

1. Pilih **Konfirmasi** untuk membuat volume EBS tersedia untuk digunakan. Anda tidak dapat mengubah konfigurasi partisi dari Konsol Manajemen AWS setelah konfirmasi, namun, Anda dapat menggunakan SSH atau RDP untuk masuk ke instance untuk mengubah konfigurasi partisi.

# Mengakses portal basis Pengetahuan Red Hat
<a name="fleet-manager-red-hat-knowledge-base-access"></a>

Anda dapat menggunakanFleet Manager, alat di AWS Systems Manager, untuk mengakses portal basis Pengetahuan jika Anda adalah pelanggan Red Hat. Anda dianggap sebagai pelanggan Red Hat jika Anda menjalankan Red Hat Enterprise Linux (RHEL) instans atau menggunakan RHEL layanan. AWS Portal basis Pengetahuan mencakup binari, dan forum berbagi pengetahuan dan diskusi untuk dukungan komunitas yang hanya tersedia untuk pelanggan berlisensi Red Hat.

Selain izin AWS Identity and Access Management (IAM) yang diperlukan untuk Systems Manager danFleet Manager, pengguna atau peran yang Anda gunakan untuk mengakses konsol harus mengizinkan `rhelkb:GetRhelURL` tindakan untuk mengakses portal basis Pengetahuan.

**Untuk mengakses Portal Pangkalan Pengetahuan Red Hat**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih RHEL contoh yang ingin Anda gunakan untuk terhubung ke Red Hat Knowledgebase Portal.

1. Pilih **Manajemen akun**, **Akses Red Hat Knowledgebase untuk membuka halaman dasar** Pengetahuan Red Hat.

Jika Anda menggunakan RHEL on AWS untuk menjalankan RHEL beban kerja yang didukung penuh, Anda juga dapat mengakses basis Pengetahuan Red Hat melalui situs web Red Hat dengan menggunakan AWS kredensialnya.

# Memecahkan masalah ketersediaan node terkelola
<a name="fleet-manager-troubleshooting-managed-nodes"></a>

Untuk beberapa AWS Systems Manager alat sepertiRun Command,Distributor, danSession Manager, Anda dapat memilih untuk secara manual memilih node terkelola tempat Anda ingin menjalankan operasi. Dalam kasus seperti ini, setelah Anda menentukan bahwa Anda ingin memilih node secara manual, sistem menampilkan daftar node terkelola tempat Anda dapat menjalankan operasi.

Topik ini memberikan informasi untuk membantu Anda mendiagnosis mengapa node terkelola *yang telah Anda konfirmasi berjalan* tidak disertakan dalam daftar node terkelola di Systems Manager. 

Agar node dikelola oleh Systems Manager dan tersedia dalam daftar node terkelola, node harus memenuhi tiga persyaratan:
+ SSM Agentharus diinstal dan berjalan pada node dengan sistem operasi yang didukung.
**catatan**  
Beberapa AWS managed Amazon Machine Images (AMIs) dikonfigurasi untuk meluncurkan instance dengan [SSM Agent](ssm-agent.md)prainstal. (Anda juga dapat mengonfigurasi kustom AMI untuk pra-instalSSM Agent.) Untuk informasi selengkapnya, lihat [Temukan AMIs dengan yang SSM Agent sudah diinstal sebelumnya](ami-preinstalled-agent.md).
+ Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), Anda harus melampirkan AWS Identity and Access Management profil instans (IAM) ke instans. Profil instans memungkinkan instance untuk berkomunikasi dengan layanan Systems Manager. Jika Anda tidak menetapkan profil instance ke instance, Anda mendaftarkannya menggunakan [aktivasi hibrida](activations.md), yang bukan skenario umum.
+ SSM Agentharus dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan. Setelah itu, node yang dikelola harus tersedia untuk layanan, yang dikonfirmasi oleh layanan yang mengirimkan sinyal setiap lima menit untuk memeriksa kesehatan instans. 
+ Setelah status node terkelola setidaknya `Connection Lost` selama 30 hari, node mungkin tidak lagi terdaftar di Fleet Manager konsol. Untuk mengembalikannya ke daftar, masalah yang menyebabkan koneksi terputus harus diselesaikan.

Setelah memverifikasi bahwa node terkelola sedang berjalan, Anda dapat menggunakan perintah berikut untuk memeriksa apakah SSM Agent berhasil terdaftar dengan layanan Systems Manager. Perintah ini tidak mengeluarkan hasil hingga pendaftaran berhasil dilakukan.

------
#### [ Linux & macOS ]

```
aws ssm describe-instance-associations-status \
    --instance-id instance-id
```

------
#### [ Windows ]

```
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
```

------
#### [ PowerShell ]

```
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id
```

------

Jika pendaftaran berhasil dan node terkelola sekarang tersedia untuk operasi Systems Manager, perintah mengembalikan hasil yang mirip dengan berikut ini.

```
{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}
```

Jika pendaftaran belum selesai atau gagal, perintah tersebut mengeluarkan hasil yang serupa dengan berikut ini:

```
{
    "InstanceAssociationStatusInfos": []
}
```

Jika perintah tidak mengembalikan hasil setelah 5 menit atau lebih, gunakan informasi berikut untuk membantu Anda memecahkan masalah dengan node terkelola Anda.

**Topics**
+ [Solusi 1: Verifikasi SSM Agent yang diinstal dan berjalan pada node terkelola](#instances-missing-solution-1)
+ [Solusi 2: Verifikasi bahwa profil instans IAM telah ditentukan untuk instance (hanya instans EC2)](#instances-missing-solution-2)
+ [Solusi 3: Verifikasi konektivitas titik akhir layanan](#instances-missing-solution-3)
+ [Solusi 4: Verifikasi dukungan sistem operasi target](#instances-missing-solution-4)
+ [Solusi 5: Pastikan Anda bekerja Wilayah AWS sama dengan instans Amazon EC2](#instances-missing-solution-5)
+ [Solusi 6: Verifikasi konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola](#instances-missing-solution-6)
+ [Solusi 7: Instal sertifikat TLS pada instans terkelola](#hybrid-tls-certificate)
+ [Memecahkan masalah ketersediaan node terkelola menggunakan `ssm-cli`](troubleshooting-managed-nodes-using-ssm-cli.md)

## Solusi 1: Verifikasi SSM Agent yang diinstal dan berjalan pada node terkelola
<a name="instances-missing-solution-1"></a>

Pastikan versi terbaru diinstal dan berjalan pada node terkelola. SSM Agent

Untuk menentukan SSM Agent apakah diinstal dan berjalan pada node terkelola, lihat[Memeriksa SSM Agent status dan memulai agen](ssm-agent-status-and-restart.md).

Untuk menginstal atau menginstal ulang SSM Agent pada node terkelola, lihat topik berikut:
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md)
+ [Cara menginstal SSM Agent pada node Linux hybrid](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md)
+ [Cara menginstal SSM Agent pada node Windows hybrid](hybrid-multicloud-ssm-agent-install-windows.md)

## Solusi 2: Verifikasi bahwa profil instans IAM telah ditentukan untuk instance (hanya instans EC2)
<a name="instances-missing-solution-2"></a>

Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), verifikasi bahwa instans dikonfigurasi dengan profil instans (IAM) AWS Identity and Access Management yang memungkinkan instans berkomunikasi dengan Systems Manager API. Juga verifikasi bahwa pengguna Anda memiliki kebijakan kepercayaan IAM yang memungkinkan pengguna Anda berkomunikasi dengan Systems Manager API.

**catatan**  
Server lokal, perangkat edge, dan mesin virtual (VMs) menggunakan peran layanan IAM, bukan profil instance. Untuk informasi selengkapnya, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md).

**Untuk menentukan apakah profil instans dengan izin yang diperlukan dilampirkan ke instans EC2**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, pilih **Instans**.

1. Pilih instans untuk memeriksa profil instans.

1. Di tab **Deskripsi** di panel bawah, temukan **IAM role** dan pilih nama peran.

1. Di halaman **Ringkasan** peran untuk profil instans, di tab **Izin**, pastikan bahwa `AmazonSSMManagedInstanceCore` tercantum di bawah **Kebijakan izin**.

   Jika kebijakan kustom digunakan sebagai gantinya, pastikan bahwa kebijakan tersebut menyediakan izin yang sama seperti `AmazonSSMManagedInstanceCore`.

   [Buka `AmazonSSMManagedInstanceCore` di konsol](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore$jsonEditor)

   Untuk informasi tentang kebijakan lain yang dapat dilampirkan ke profil instans untuk Systems Manager, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md).

## Solusi 3: Verifikasi konektivitas titik akhir layanan
<a name="instances-missing-solution-3"></a>

Verifikasi bahwa instans memiliki konektivitas ke titik akhir layanan Systems Manager. Konektivitas ini disediakan dengan membuat dan mengonfigurasi titik akhir VPC untuk Systems Manager, atau dengan mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir layanan.

Untuk instans Amazon EC2, titik akhir layanan Systems Manager Wilayah AWS digunakan untuk mendaftarkan instans jika konfigurasi virtual private cloud (VPC) memungkinkan lalu lintas keluar. Namun, jika konfigurasi VPC tempat instance diluncurkan tidak mengizinkan lalu lintas keluar dan Anda tidak dapat mengubah konfigurasi ini untuk mengizinkan konektivitas ke titik akhir layanan publik, Anda harus mengonfigurasi titik akhir antarmuka untuk VPC Anda.

Untuk informasi selengkapnya, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk](setup-create-vpc.md) Systems Manager.

## Solusi 4: Verifikasi dukungan sistem operasi target
<a name="instances-missing-solution-4"></a>

Verifikasi bahwa operasi yang Anda pilih dapat dijalankan pada jenis node terkelola yang Anda harapkan untuk dilihat terdaftar. Beberapa operasi Systems Manager hanya dapat menargetkan instans Windows atau hanya instans Linux. Misalnya, dokumen Systems Manager (SSM) `AWS-InstallPowerShellModule` dan `AWS-ConfigureCloudWatch` hanya dapat dijalankan di instans Windows saja. Di halaman **Jalankan perintah**, jika Anda memilih salah satu dari dokumen ini dan memilih **Pilih instans secara manual**, hanya instans Windows Anda yang tercantum dan tersedia untuk dipilih.

## Solusi 5: Pastikan Anda bekerja Wilayah AWS sama dengan instans Amazon EC2
<a name="instances-missing-solution-5"></a>

Instans Amazon EC2 dibuat dan tersedia secara spesifik Wilayah AWS, seperti Wilayah Timur AS (Ohio) (us-east-2) atau Wilayah Eropa (Irlandia) (eu-west-1). Pastikan Anda bekerja Wilayah AWS sama dengan instans Amazon EC2 yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat [Memilih Wilayah](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region) dalam *Memulai dengan Konsol Manajemen AWS*.

## Solusi 6: Verifikasi konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola
<a name="instances-missing-solution-6"></a>

Verifikasi bahwa konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola sudah benar. Jika konfigurasi proxy salah, node tidak dapat terhubung ke titik akhir layanan yang diperlukan, atau Systems Manager mungkin mengidentifikasi sistem operasi node terkelola secara tidak benar. Untuk informasi selengkapnya, lihat [Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux](configure-proxy-ssm-agent.md) dan [SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance](configure-proxy-ssm-agent-windows.md).

## Solusi 7: Instal sertifikat TLS pada instans terkelola
<a name="hybrid-tls-certificate"></a>

Sertifikat Transport Layer Security (TLS) harus diinstal pada setiap instance terkelola yang Anda gunakan. AWS Systems Manager Layanan AWS gunakan sertifikat ini untuk mengenkripsi panggilan ke yang lain Layanan AWS.

Sertifikat TLS sudah diinstal secara default pada setiap instans Amazon EC2 dibuat dari Amazon Machine Image (AMI). Sebagian besar sistem operasi modern menyertakan sertifikat TLS yang diperlukan dari Amazon Trust Services CAs di toko kepercayaan mereka.

Untuk memverifikasi apakah sertifikat yang diperlukan diinstal pada instans Anda, jalankan perintah berikut berdasarkan sistem operasi instance Anda. Pastikan untuk mengganti *region* bagian URL dengan Wilayah AWS tempat instance terkelola Anda berada.

------
#### [ Linux & macOS ]

```
curl -L https://ssm.region.amazonaws.com
```

------
#### [ Windows ]

```
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com
```

------

Perintah harus mengembalikan `UnknownOperationException` kesalahan. Jika Anda menerima pesan SSL/TLS galat, maka sertifikat yang diperlukan mungkin tidak diinstal.

Jika Anda menemukan sertifikat Amazon Trust Services CA yang diperlukan tidak diinstal pada sistem operasi dasar Anda, pada instans yang dibuat dari AMIs yang tidak disediakan oleh Amazon, atau di server lokal Anda sendiri dan VMs, Anda harus menginstal dan mengizinkan sertifikat dari [Amazon Trust Services](https://www.amazontrust.com/repository/), atau menggunakan AWS Certificate Manager (ACM) untuk membuat dan mengelola sertifikat untuk layanan terintegrasi yang didukung.

Setiap instans terkelola Anda harus memiliki salah satu sertifikat Transport Layer Security (TLS) berikut yang diinstal.
+ Amazon Root CA 1
+ Starfield Services Root Certificate Authority - G2
+ Starfield Class 2 Certificate Authority

Untuk informasi tentang cara menggunakan ACM, lihat *[Panduan Pengguna AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/)*.

Jika sertifikat di lingkungan komputasi dikelola oleh objek kebijakan grup (GPO), maka Anda mungkin perlu mengkonfigurasi kebijakan grup untuk menyertakan salah satu sertifikat ini.

Untuk informasi selengkapnya tentang sertifikat Amazon Root dan Starfield, lihat posting blog [Cara AWS Mempersiapkan Pindah ke Otoritas Sertifikat Sendiri](https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/).

# Memecahkan masalah ketersediaan node terkelola menggunakan `ssm-cli`
<a name="troubleshooting-managed-nodes-using-ssm-cli"></a>

`ssm-cli`Ini adalah alat baris perintah mandiri yang termasuk dalam SSM Agent instalasi. Ketika Anda menginstal SSM Agent 3.1.501.0 atau yang lebih baru pada mesin, Anda dapat menjalankan `ssm-cli` perintah pada mesin itu. Output dari perintah tersebut membantu Anda menentukan apakah mesin memenuhi persyaratan minimum untuk instans Amazon EC2 atau mesin non-EC2 yang akan dikelola oleh AWS Systems Manager, dan oleh karena itu ditambahkan ke daftar node terkelola di Systems Manager. (SSM Agentversi 3.1.501.0 dirilis pada November 2021.)

**Persyaratan minimum**  
Agar instans Amazon EC2 atau mesin non-EC2 dikelola oleh AWS Systems Manager, dan tersedia dalam daftar node terkelola, instans harus memenuhi tiga persyaratan utama:
+ SSM Agentharus diinstal dan dijalankan pada mesin dengan [sistem operasi yang didukung](operating-systems-and-machine-types.md#prereqs-operating-systems).

  Beberapa AWS managed Amazon Machine Images (AMIs) untuk EC2 dikonfigurasi untuk meluncurkan instance dengan [SSM Agent](ssm-agent.md)prainstal. (Anda juga dapat mengonfigurasi kustom AMI untuk pra-instalSSM Agent.) Untuk informasi selengkapnya, lihat [Temukan AMIs dengan yang SSM Agent sudah diinstal sebelumnya](ami-preinstalled-agent.md).
+ Profil instans AWS Identity and Access Management (IAM) (untuk instans EC2) atau peran layanan IAM (untuk mesin non-EC2) yang menyediakan izin yang diperlukan untuk berkomunikasi dengan layanan Systems Manager harus dilampirkan ke mesin.
+ SSM Agentharus dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan. Setelah itu, node yang dikelola harus tersedia untuk layanan, yang dikonfirmasi oleh layanan yang mengirimkan sinyal setiap lima menit untuk memeriksa kesehatan node yang dikelola.

**Perintah yang telah dikonfigurasi sebelumnya di `ssm-cli`**  
Perintah yang telah dikonfigurasi sebelumnya disertakan yang mengumpulkan informasi yang diperlukan untuk membantu Anda mendiagnosis mengapa mesin yang telah Anda konfirmasi berjalan tidak disertakan dalam daftar node terkelola di Systems Manager. Perintah ini dijalankan ketika Anda menentukan `get-diagnostics` opsi.

Pada mesin, jalankan perintah berikut untuk digunakan `ssm-cli` untuk membantu Anda memecahkan masalah ketersediaan node terkelola. 

------
#### [ Linux & macOS ]

```
ssm-cli get-diagnostics --output table
```

------
#### [ Windows ]

Pada Windows Server mesin, Anda harus menavigasi ke `C:\Program Files\Amazon\SSM` direktori sebelum menjalankan perintah.

```
ssm-cli.exe get-diagnostics --output table
```

------
#### [ PowerShell ]

Pada Windows Server mesin, Anda harus menavigasi ke `C:\Program Files\Amazon\SSM` direktori sebelum menjalankan perintah.

```
.\ssm-cli.exe get-diagnostics --output table
```

------

Perintah mengembalikan output sebagai tabel yang mirip dengan berikut ini. 

**catatan**  
Pemeriksaan konektivitas ke`ssmmessages`,,`s3`, `kms``logs`, dan `monitoring` titik akhir adalah untuk fitur opsional tambahan seperti Session Manager yang dapat masuk ke Amazon Simple Storage Service (Amazon S3) atau CloudWatch Amazon Logs, dan AWS Key Management Service menggunakan enkripsi ().AWS KMS

------
#### [ Linux & macOS ]

```
[root@instance]# ssm-cli get-diagnostics --output table
┌───────────────────────────────────────┬─────────┬───────────────────────────────────────────────────────────────────────┐
│ Check                                 │ Status  │ Note                                                                  │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ EC2 IMDS                              │ Success │ IMDS is accessible and has instance id i-0123456789abcdefa in Region  │
│                                       │         │ us-east-2                                                             │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Hybrid instance registration          │ Skipped │ Instance does not have hybrid registration                            │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssm endpoint          │ Success │ ssm.us-east-2.amazonaws.com is reachable                              │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ec2messages endpoint  │ Success │ ec2messages.us-east-2.amazonaws.com is reachable                      │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssmmessages endpoint  │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable                      │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to s3 endpoint           │ Success │ s3.us-east-2.amazonaws.com is reachable                               │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to kms endpoint          │ Success │ kms.us-east-2.amazonaws.com is reachable                              │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to logs endpoint         │ Success │ logs.us-east-2.amazonaws.com is reachable                             │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to monitoring endpoint   │ Success │ monitoring.us-east-2.amazonaws.com is reachable                       │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ AWS Credentials                       │ Success │ Credentials are for                                                   │
│                                       │         │ arn:aws:sts::123456789012:assumed-role/Fullaccess/i-0123456789abcdefa │
│                                       │         │ and will expire at 2021-08-17 18:47:49 +0000 UTC                      │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Agent service                         │ Success │ Agent service is running and is running as expected user              │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Proxy configuration                   │ Skipped │ No proxy configuration detected                                       │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ SSM Agent version                     │ Success │ SSM Agent version is 3.0.1209.0, latest available agent version is    │
│                                       │         │ 3.1.192.0                                                             │
└───────────────────────────────────────┴─────────┴───────────────────────────────────────────────────────────────────────┘
```

------
#### [ Windows Server and PowerShell ]

```
PS C:\Program Files\Amazon\SSM> .\ssm-cli.exe get-diagnostics --output table      
┌───────────────────────────────────────┬─────────┬─────────────────────────────────────────────────────────────────────┐
│ Check                                 │ Status  │ Note                                                                │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ EC2 IMDS                              │ Success │ IMDS is accessible and has instance id i-0123456789EXAMPLE in       │
│                                       │         │ Region us-east-2                                                    │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Hybrid instance registration          │ Skipped │ Instance does not have hybrid registration                          │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssm endpoint          │ Success │ ssm.us-east-2.amazonaws.com is reachable                            │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ec2messages endpoint  │ Success │ ec2messages.us-east-2.amazonaws.com is reachable                    │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssmmessages endpoint  │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable                    │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to s3 endpoint           │ Success │ s3.us-east-2.amazonaws.com is reachable                             │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to kms endpoint          │ Success │ kms.us-east-2.amazonaws.com is reachable                            │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to logs endpoint         │ Success │ logs.us-east-2.amazonaws.com is reachable                           │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to monitoring endpoint   │ Success │ monitoring.us-east-2.amazonaws.com is reachable                     │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ AWS Credentials                       │ Success │ Credentials are for                                                 │
│                                       │         │  arn:aws:sts::123456789012:assumed-role/SSM-Role/i-123abc45EXAMPLE  │
│                                       │         │  and will expire at 2021-09-02 13:24:42 +0000 UTC                   │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Agent service                         │ Success │ Agent service is running and is running as expected user            │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Proxy configuration                   │ Skipped │ No proxy configuration detected                                     │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Windows sysprep image state           │ Success │ Windows image state value is at desired value IMAGE_STATE_COMPLETE  │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ SSM Agent version                     │ Success │ SSM Agent version is 3.2.815.0, latest agent version in us-east-2   │
│                                       │         │ is 3.2.985.0                                                        │
└───────────────────────────────────────┴─────────┴─────────────────────────────────────────────────────────────────────┘
```

------

Tabel berikut memberikan rincian tambahan untuk setiap pemeriksaan yang dilakukan oleh`ssm-cli`.


**`ssm-cli`pemeriksaan diagnostik**  

| Memeriksa | Detail | 
| --- | --- | 
| Layanan metadata instans Amazon EC2 | Menunjukkan apakah node terkelola dapat mencapai layanan metadata. Tes yang gagal menunjukkan masalah konektivitas http://169.254.169.254 yang dapat disebabkan oleh konfigurasi firewall dan proxy rute lokal, proxy, atau sistem operasi (OS). | 
| Pendaftaran instans hibrida | Menunjukkan SSM Agent apakah terdaftar menggunakan aktivasi hibrida. | 
| Konektivitas ke ssm titik akhir | Menunjukkan apakah node dapat mencapai titik akhir layanan untuk Systems Manager pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas https://ssm.region.amazonaws.com tergantung pada Wilayah AWS di mana node berada. Masalah konektivitas dapat disebabkan oleh konfigurasi VPC termasuk grup keamanan, daftar kontrol akses jaringan, tabel rute, atau firewall dan proxy OS. | 
| Konektivitas ke ec2messages titik akhir | Menunjukkan apakah node dapat mencapai titik akhir layanan untuk Systems Manager pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas https://ec2messages.region.amazonaws.com tergantung pada Wilayah AWS di mana node berada. Masalah konektivitas dapat disebabkan oleh konfigurasi VPC termasuk grup keamanan, daftar kontrol akses jaringan, tabel rute, atau firewall dan proxy OS. | 
| Konektivitas ke ssmmessages titik akhir | Menunjukkan apakah node dapat mencapai titik akhir layanan untuk Systems Manager pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas https://ssmmessages.region.amazonaws.com tergantung pada Wilayah AWS di mana node berada. Masalah konektivitas dapat disebabkan oleh konfigurasi VPC termasuk grup keamanan, daftar kontrol akses jaringan, tabel rute, atau firewall dan proxy OS. | 
| Konektivitas ke s3 titik akhir | Menunjukkan apakah node dapat mencapai titik akhir layanan untuk Amazon Simple Storage Service pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas https://s3.region.amazonaws.com tergantung pada Wilayah AWS di mana node berada. Konektivitas ke titik akhir ini tidak diperlukan agar node muncul di daftar node terkelola Anda. | 
| Konektivitas ke kms titik akhir |  Menunjukkan apakah node dapat mencapai titik akhir layanan untuk AWS Key Management Service pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas `https://kms.region.amazonaws.com` tergantung pada Wilayah AWS di mana node berada. Konektivitas ke titik akhir ini tidak diperlukan agar node muncul di daftar node terkelola Anda.  | 
| Konektivitas ke logs titik akhir | Menunjukkan apakah node dapat mencapai titik akhir layanan untuk Amazon CloudWatch Logs pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas https://logs.region.amazonaws.com tergantung pada Wilayah AWS di mana node berada. Konektivitas ke titik akhir ini tidak diperlukan agar node muncul di daftar node terkelola Anda. | 
| Konektivitas ke monitoring titik akhir | Menunjukkan apakah node dapat mencapai titik akhir layanan untuk Amazon CloudWatch pada port TCP 443. Tes yang gagal menunjukkan masalah konektivitas https://monitoring.region.amazonaws.com tergantung pada Wilayah AWS di mana node berada. Konektivitas ke titik akhir ini tidak diperlukan agar node muncul di daftar node terkelola Anda. | 
| AWS Kredensialnya | Menunjukkan apakah SSM Agent memiliki kredensional yang diperlukan berdasarkan profil instans IAM (untuk instans EC2) atau peran layanan IAM (untuk mesin non-EC2) yang terpasang pada mesin. Pengujian yang gagal menunjukkan bahwa tidak ada profil instans IAM atau peran layanan IAM yang dilampirkan ke mesin, atau tidak berisi izin yang diperlukan untuk Systems Manager. | 
| Layanan agen | Menunjukkan apakah SSM Agent layanan sedang berjalan, dan apakah layanan berjalan sebagai root untuk Linux ataumacOS, atau SYSTEM untukWindows Server. Tes yang gagal menunjukkan SSM Agent layanan tidak berjalan atau tidak berjalan sebagai root atau SYSTEM. | 
| Konfigurasi proxy | Menunjukkan SSM Agent apakah dikonfigurasi untuk menggunakan proxy. | 
| Status gambar Sysprep (hanya Windows) | Menunjukkan keadaan Sysprep pada node. SSM Agenttidak akan dimulai pada node jika Sysprep status adalah nilai selainIMAGE\$1STATE\$1COMPLETE. | 
| Versi SSM Agent | Menunjukkan apakah versi terbaru yang SSM Agent tersedia diinstal. | 

# AWS Systems Manager Aktivasi Hibrida
<a name="activations"></a>

Untuk mengkonfigurasi EC2 non-mesin untuk digunakan AWS Systems Manager dalam lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types), Anda membuat aktivasi *hybrid*. Jenis EC2 non-mesin yang didukung sebagai node terkelola meliputi yang berikut:
+ Server di tempat Anda sendiri (server lokal)
+ AWS IoT Greengrass perangkat inti
+ AWS IoT dan perangkat AWS non-edge
+ Mesin virtual (VMs), termasuk VMs di lingkungan cloud lainnya

Ketika Anda menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-activation.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-activation.html)perintah untuk memulai proses aktivasi hibrida, Anda menerima kode aktivasi dan ID dalam respons perintah. Anda kemudian menyertakan kode aktivasi dan ID dengan perintah untuk menginstal SSM Agent pada mesin, seperti yang dijelaskan pada langkah 3 [Instal SSM Agent pada node Linux hybrid](hybrid-multicloud-ssm-agent-install-linux.md) dan langkah 4 dari[Instal SSM Agent pada Windows Server node hybrid](hybrid-multicloud-ssm-agent-install-windows.md).

Proses aktivasi ini berlaku untuk semua jenis EC2 non-mesin *kecuali* perangkat AWS IoT Greengrass inti. Untuk informasi tentang mengonfigurasi perangkat AWS IoT Greengrass inti untuk Systems Manager, lihat[Mengelola perangkat edge dengan Systems Manager](systems-manager-setting-up-edge-devices.md).

**catatan**  
Support saat ini tidak disediakan untuk EC2 macOS non-mesin.

**Tentang tingkatan instans Systems Manager**  
AWS Systems Manager menawarkan tingkat instans standar dan tingkat instans lanjutan. Keduanya mendukung node terkelola di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda. Tingkat instans standar memungkinkan Anda mendaftarkan maksimum 1.000 mesin per per mesin. Akun AWS Wilayah AWS Jika Anda perlu mendaftarkan lebih dari 1.000 mesin dalam satu akun dan Wilayah, gunakan tingkat instance lanjutan. Anda dapat membuat node terkelola sebanyak yang Anda suka di tingkat instance lanjutan. Semua node terkelola yang dikonfigurasi untuk Systems Manager diberi harga pay-per-use berdasarkan. Untuk informasi selengkapnya tentang mengaktifkan tingkat instans lanjutan, lihat. [Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md) Untuk informasi selengkapnya tentang harga, lihat [AWS Systems Manager Harga](https://aws.amazon.com/systems-manager/pricing/).

Perhatikan informasi tambahan berikut tentang tingkat instans standar dan tingkat instans lanjutan:
+ Instans lanjutan juga memungkinkan Anda untuk terhubung ke EC2 non-node Anda di lingkungan [hybrid dan multicloud dengan](operating-systems-and-machine-types.md#supported-machine-types) menggunakan. AWS Systems Manager Session Manager Session Managermenyediakan akses shell interaktif ke instance Anda. Untuk informasi selengkapnya, lihat [AWS Systems Manager Session Manager](session-manager.md).
+ Kuota instans standar juga berlaku untuk EC2 instance yang menggunakan aktivasi lokal Systems Manager (yang bukan skenario umum).
+ Untuk menambal aplikasi yang dirilis oleh Microsoft pada mesin virtual (VMs) instance lokal, aktifkan tingkat instance lanjutan. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Tidak ada biaya tambahan untuk menambal aplikasi yang dirilis oleh Microsoft pada instans Amazon Elastic Compute Cloud (Amazon EC2). Lihat informasi yang lebih lengkap di [Aplikasi patching yang dirilis oleh Microsoft pada Windows Server](patch-manager-patching-windows-applications.md).

# AWS Systems Manager Inventaris
<a name="systems-manager-inventory"></a>

AWS Systems Manager Inventaris memberikan visibilitas ke lingkungan AWS komputasi Anda. Anda dapat menggunakan Inventaris untuk mengumpulkan *metadata dari node* terkelola Anda. Anda dapat menyimpan metadata ini di bucket Amazon Simple Storage Service (Amazon S3) pusat, lalu menggunakan alat bawaan untuk menanyakan data dan dengan cepat menentukan node mana yang menjalankan perangkat lunak dan konfigurasi yang diperlukan oleh kebijakan perangkat lunak Anda, dan node mana yang perlu diperbarui. Anda dapat mengonfigurasi Inventaris pada semua node terkelola dengan menggunakan prosedur sekali klik. Anda juga dapat mengonfigurasi dan melihat data inventaris dari beberapa Wilayah AWS dan Akun AWS dengan menggunakan Amazon Athena. Untuk memulai Inventory, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/inventory). Di panel navigasi, pilih **Inventaris**.

Jika jenis metadata, yang dikonfigurasi sebelumnya, yang dikumpulkan oleh Inventaris Systems Manager tidak memenuhi kebutuhan Anda, maka Anda dapat membuat inventaris kustom. Inventaris kustom hanyalah file JSON dengan informasi yang Anda berikan dan tambahkan ke node terkelola di direktori tertentu. Ketika Inventaris Systems Manager mengumpulkan data, ia menangkap data inventaris kustom ini. Misalnya, jika Anda menjalankan pusat data yang besar, Anda dapat menentukan lokasi rak masing-masing server Anda sebagai inventaris khusus. Anda kemudian dapat melihat data ruang rak saat Anda melihat data inventaris lainnya.

**penting**  
Systems Manager Inventory *hanya* mengumpulkan metadata dari node terkelola Anda. Inventaris tidak mengakses informasi atau data kepemilikan.

Tabel berikut menjelaskan jenis data yang dapat Anda kumpulkan dengan Systems Manager Inventory. Tabel ini juga menjelaskan penawaran yang berbeda untuk node penargetan dan interval pengumpulan yang dapat Anda tentukan.


****  

| Konfigurasi | Detail | 
| --- | --- | 
|  Jenis metadata  |  Anda dapat mengonfigurasi Inventaris untuk mengumpulkan jenis data berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/systems-manager-inventory.html)  Untuk melihat daftar semua metadata yang dikumpulkan oleh Inventaris, lihat [Metadata dikumpulkan oleh Inventory](inventory-schema.md).   | 
|  Node untuk menargetkan  |  Anda dapat memilih untuk menginventarisasi semua node terkelola di node yang Anda pilih secara individual Akun AWS, atau grup target node dengan menggunakan tag. Untuk informasi selengkapnya tentang mengumpulkan data inventaris dari semua node terkelola, lihat[Inventarisasi semua node terkelola di Akun AWS](inventory-collection.md#inventory-management-inventory-all).  | 
|  Waktu yang tepat untuk mengumpulkan informasi  |  Anda dapat menentukan interval pengumpulan dalam hitungan menit, jam, dan hari. Interval pengumpulan terpendek adalah setiap 30 menit.   | 

**catatan**  
Tergantung dari jumlah data yang dikumpulkan, sistem dapat membutuhkan waktu beberapa menit untuk melaporkan data ke output yang Anda tentukan. Setelah informasi dikumpulkan, data dikirim melalui saluran HTTPS aman ke AWS toko teks biasa yang hanya dapat diakses dari Anda. Akun AWS

Anda dapat melihat data di konsol Systems Manager pada halaman **Inventaris**, yang menyertakan beberapa kartu yang ditentukan sebelumnya untuk membantu Anda mengkueri data.

![\[Kartu Inventaris Systems Manager di konsol Systems Manager.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-cards.png)


**catatan**  
*Kartu inventaris secara otomatis memfilter instans EC2 terkelola Amazon dengan status *Terminated dan Stopped*.* Untuk node terkelola perangkat lokal dan AWS IoT Greengrass inti, kartu Inventaris secara otomatis menyaring node dengan status *Terminated*. 

Jika Anda membuat sinkronisasi data sumber daya untuk menyinkronkan dan menyimpan semua data Anda dalam satu bucket Amazon S3, maka Anda dapat menelusuri data pada halaman **Tampilan Detail Inventaris**. Untuk informasi selengkapnya, lihat [Mengkueri data inventaris dari beberapa Wilayah dan akun](systems-manager-inventory-query.md).

**EventBridge dukungan**  
Alat Systems Manager ini didukung sebagai jenis *peristiwa* dalam EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md) dan [Referensi: Pola dan jenis EventBridge acara Amazon untuk Systems Manager](reference-eventbridge-events.md).

**Topics**
+ [Pelajari selengkapnya tentang Inventaris Systems Manager](inventory-about.md)
+ [Menyiapkan Inventaris Systems Manager](systems-manager-inventory-setting-up.md)
+ [Pengonfigurasian pengumpulan inventaris](inventory-collection.md)
+ [Mengkueri data inventaris dari beberapa Wilayah dan akun](systems-manager-inventory-query.md)
+ [Mengkueri pengumpulan inventaris dengan menggunakan filter](inventory-query-filters.md)
+ [Pengumpulan data inventaris](inventory-aggregate.md)
+ [Menggunakan inventaris kustom](inventory-custom.md)
+ [Melihat riwayat inventaris dan pelacakan perubahan](inventory-history.md)
+ [Menghentikan pengumpulan data dan menghapus data inventaris](systems-manager-inventory-delete.md)
+ [Menetapkan metadata inventaris khusus ke node terkelola](inventory-custom-metadata.md)
+ [Menggunakan AWS CLI untuk mengkonfigurasi pengumpulan data inventaris](inventory-collection-cli.md)
+ [Walkthrough: Menggunakan sinkronisasi data sumber daya untuk mengumpulkan data inventaris](inventory-resource-data-sync.md)
+ [Memecahkan masalah dengan Inventaris Systems Manager](syman-inventory-troubleshooting.md)

# Pelajari selengkapnya tentang Inventaris Systems Manager
<a name="inventory-about"></a>

Saat mengonfigurasi AWS Systems Manager Inventaris, Anda menentukan jenis metadata yang akan dikumpulkan, node terkelola dari mana metadata harus dikumpulkan, dan jadwal pengumpulan metadata. Konfigurasi ini disimpan dengan Anda Akun AWS sebagai AWS Systems Manager State Manager asosiasi. Asosiasi hanya merupakan sebuah konfigurasi.

**catatan**  
Inventaris hanya mengumpulkan metadata. Ia tidak mengumpulkan data pribadi atau kepemilikan apa pun.

**Topics**
+ [Metadata dikumpulkan oleh Inventory](inventory-schema.md)
+ [Menggunakan file dan inventaris registri Windows](inventory-file-and-registry.md)

# Metadata dikumpulkan oleh Inventory
<a name="inventory-schema"></a>

Sampel berikut menunjukkan daftar lengkap metadata yang dikumpulkan oleh setiap plugin Inventaris AWS Systems Manager .

```
{
    "typeName": "AWS:InstanceInformation",
    "version": "1.0",
    "attributes":[
      { "name": "AgentType",                              "dataType" : "STRING"},
      { "name": "AgentVersion",                           "dataType" : "STRING"},
      { "name": "ComputerName",                           "dataType" : "STRING"},
      { "name": "InstanceId",                             "dataType" : "STRING"},
      { "name": "IpAddress",                              "dataType" : "STRING"},
      { "name": "PlatformName",                           "dataType" : "STRING"},
      { "name": "PlatformType",                           "dataType" : "STRING"},
      { "name": "PlatformVersion",                        "dataType" : "STRING"},
      { "name": "ResourceType",                           "dataType" : "STRING"},
      { "name": "AgentStatus",                            "dataType" : "STRING"},
      { "name": "InstanceStatus",                         "dataType" : "STRING"}    
    ]
  },
  {
    "typeName" : "AWS:Application",
    "version": "1.1",
    "attributes":[
      { "name": "Name",               "dataType": "STRING"},
      { "name": "ApplicationType",    "dataType": "STRING"},
      { "name": "Publisher",          "dataType": "STRING"},
      { "name": "Version",            "dataType": "STRING"},
      { "name": "Release",            "dataType": "STRING"},
      { "name": "Epoch",              "dataType": "STRING"},
      { "name": "InstalledTime",      "dataType": "STRING"},
      { "name": "Architecture",       "dataType": "STRING"},
      { "name": "URL",                "dataType": "STRING"},
      { "name": "Summary",            "dataType": "STRING"},
      { "name": "PackageId",          "dataType": "STRING"}
    ]
  },
  {
    "typeName" : "AWS:File",
    "version": "1.0",
    "attributes":[
      { "name": "Name",               "dataType": "STRING"},
      { "name": "Size",    	      "dataType": "STRING"},
      { "name": "Description",        "dataType": "STRING"},
      { "name": "FileVersion",        "dataType": "STRING"},
      { "name": "InstalledDate",      "dataType": "STRING"},
      { "name": "ModificationTime",   "dataType": "STRING"},
      { "name": "LastAccessTime",     "dataType": "STRING"},
      { "name": "ProductName",        "dataType": "STRING"},
      { "name": "InstalledDir",       "dataType": "STRING"},
      { "name": "ProductLanguage",    "dataType": "STRING"},
      { "name": "CompanyName",        "dataType": "STRING"},
      { "name": "ProductVersion",       "dataType": "STRING"}
    ]
  },
  {
    "typeName": "AWS:AWSComponent",
    "version": "1.0",
    "attributes":[
      { "name": "Name",               "dataType": "STRING"},
      { "name": "ApplicationType",    "dataType": "STRING"},
      { "name": "Publisher",          "dataType": "STRING"},
      { "name": "Version",            "dataType": "STRING"},
      { "name": "InstalledTime",      "dataType": "STRING"},
      { "name": "Architecture",       "dataType": "STRING"},
      { "name": "URL",                "dataType": "STRING"}
    ]
  },
  {
    "typeName": "AWS:WindowsUpdate",
    "version":"1.0",
    "attributes":[
      { "name": "HotFixId",           "dataType": "STRING"},
      { "name": "Description",        "dataType": "STRING"},
      { "name": "InstalledTime",      "dataType": "STRING"},
      { "name": "InstalledBy",        "dataType": "STRING"}
    ]
  },
  {
    "typeName": "AWS:Network",
    "version":"1.0",
    "attributes":[
      { "name": "Name",               "dataType": "STRING"},
      { "name": "SubnetMask",         "dataType": "STRING"},
      { "name": "Gateway",            "dataType": "STRING"},
      { "name": "DHCPServer",         "dataType": "STRING"},
      { "name": "DNSServer",          "dataType": "STRING"},
      { "name": "MacAddress",         "dataType": "STRING"},
      { "name": "IPV4",               "dataType": "STRING"},
      { "name": "IPV6",               "dataType": "STRING"}
    ]
  },
  {
    "typeName": "AWS:PatchSummary",
    "version":"1.0",
    "attributes":[
      { "name": "PatchGroup",                       "dataType": "STRING"},
      { "name": "BaselineId",                       "dataType": "STRING"},
      { "name": "SnapshotId",                       "dataType": "STRING"},
      { "name": "OwnerInformation",                 "dataType": "STRING"},
      { "name": "InstalledCount",                   "dataType": "NUMBER"},
      { "name": "InstalledPendingRebootCount",      "dataType": "NUMBER"},
      { "name": "InstalledOtherCount",              "dataType": "NUMBER"},
      { "name": "InstalledRejectedCount",           "dataType": "NUMBER"},
      { "name": "NotApplicableCount",               "dataType": "NUMBER"},
      { "name": "UnreportedNotApplicableCount",     "dataType": "NUMBER"},
      { "name": "MissingCount",                     "dataType": "NUMBER"},
      { "name": "FailedCount",                      "dataType": "NUMBER"},
      { "name": "OperationType",                    "dataType": "STRING"},
      { "name": "OperationStartTime",               "dataType": "STRING"},
      { "name": "OperationEndTime",                 "dataType": "STRING"},
      { "name": "InstallOverrideList",              "dataType": "STRING"},
      { "name": "RebootOption",                     "dataType": "STRING"},
      { "name": "LastNoRebootInstallOperationTime", "dataType": "STRING"},
      { "name": "ExecutionId",                      "dataType": "STRING",                 "isOptional": "true"},
      { "name": "NonCompliantSeverity",             "dataType": "STRING",                 "isOptional": "true"},
      { "name": "SecurityNonCompliantCount",        "dataType": "NUMBER",                 "isOptional": "true"},
      { "name": "CriticalNonCompliantCount",        "dataType": "NUMBER",                 "isOptional": "true"},
      { "name": "OtherNonCompliantCount",           "dataType": "NUMBER",                 "isOptional": "true"}
    ]
  },
  {
    "typeName": "AWS:PatchCompliance",
    "version":"1.0",
    "attributes":[
      { "name": "Title",                        "dataType": "STRING"},
      { "name": "KBId",                         "dataType": "STRING"},
      { "name": "Classification",               "dataType": "STRING"},
      { "name": "Severity",                     "dataType": "STRING"},
      { "name": "State",                        "dataType": "STRING"},
      { "name": "InstalledTime",                "dataType": "STRING"}
    ]
  },
  {
    "typeName": "AWS:ComplianceItem",
    "version":"1.0",
    "attributes":[
      { "name": "ComplianceType",               "dataType": "STRING",                 "isContext": "true"},
      { "name": "ExecutionId",                  "dataType": "STRING",                 "isContext": "true"},
      { "name": "ExecutionType",                "dataType": "STRING",                 "isContext": "true"},
      { "name": "ExecutionTime",                "dataType": "STRING",                 "isContext": "true"},
      { "name": "Id",                           "dataType": "STRING"},
      { "name": "Title",                        "dataType": "STRING"},
      { "name": "Status",                       "dataType": "STRING"},
      { "name": "Severity",                     "dataType": "STRING"},
      { "name": "DocumentName",                 "dataType": "STRING"},
      { "name": "DocumentVersion",              "dataType": "STRING"},
      { "name": "Classification",               "dataType": "STRING"},
      { "name": "PatchBaselineId",              "dataType": "STRING"},
      { "name": "PatchSeverity",                "dataType": "STRING"},
      { "name": "PatchState",                   "dataType": "STRING"},
      { "name": "PatchGroup",                   "dataType": "STRING"},
      { "name": "InstalledTime",                "dataType": "STRING"},
      { "name": "InstallOverrideList",          "dataType": "STRING",                 "isOptional": "true"},
      { "name": "DetailedText",                 "dataType": "STRING",                 "isOptional": "true"},
      { "name": "DetailedLink",                 "dataType": "STRING",                 "isOptional": "true"},
      { "name": "CVEIds",                       "dataType": "STRING",                 "isOptional": "true"}
    ]
  },
  {
    "typeName": "AWS:ComplianceSummary",
    "version":"1.0",
    "attributes":[
      { "name": "ComplianceType",                 "dataType": "STRING"},
      { "name": "PatchGroup",                     "dataType": "STRING"},
      { "name": "PatchBaselineId",                "dataType": "STRING"},
      { "name": "Status",                         "dataType": "STRING"},
      { "name": "OverallSeverity",                "dataType": "STRING"},
      { "name": "ExecutionId",                    "dataType": "STRING"},
      { "name": "ExecutionType",                  "dataType": "STRING"},
      { "name": "ExecutionTime",                  "dataType": "STRING"},
      { "name": "CompliantCriticalCount",         "dataType": "NUMBER"},
      { "name": "CompliantHighCount",             "dataType": "NUMBER"},
      { "name": "CompliantMediumCount",           "dataType": "NUMBER"},
      { "name": "CompliantLowCount",              "dataType": "NUMBER"},
      { "name": "CompliantInformationalCount",    "dataType": "NUMBER"},
      { "name": "CompliantUnspecifiedCount",      "dataType": "NUMBER"},
      { "name": "NonCompliantCriticalCount",      "dataType": "NUMBER"},
      { "name": "NonCompliantHighCount",          "dataType": "NUMBER"},
      { "name": "NonCompliantMediumCount",        "dataType": "NUMBER"},
      { "name": "NonCompliantLowCount",           "dataType": "NUMBER"},
      { "name": "NonCompliantInformationalCount", "dataType": "NUMBER"},
      { "name": "NonCompliantUnspecifiedCount",   "dataType": "NUMBER"}
    ]
  },
  {
    "typeName": "AWS:InstanceDetailedInformation",
    "version":"1.0",
    "attributes":[
      { "name": "CPUModel",                     "dataType": "STRING"},
      { "name": "CPUCores",                     "dataType": "NUMBER"},
      { "name": "CPUs",                         "dataType": "NUMBER"},
      { "name": "CPUSpeedMHz",                  "dataType": "NUMBER"},
      { "name": "CPUSockets",                   "dataType": "NUMBER"},
      { "name": "CPUHyperThreadEnabled",        "dataType": "STRING"},
      { "name": "OSServicePack",                "dataType": "STRING"}
    ]
   },
   {
     "typeName": "AWS:Service",
     "version":"1.0",
     "attributes":[
       { "name": "Name",                         "dataType": "STRING"},
       { "name": "DisplayName",                  "dataType": "STRING"},
       { "name": "ServiceType",                  "dataType": "STRING"},
       { "name": "Status",                       "dataType": "STRING"},
       { "name": "DependentServices",            "dataType": "STRING"},
       { "name": "ServicesDependedOn",           "dataType": "STRING"},
       { "name": "StartType",                    "dataType": "STRING"}
     ]
    },
    {
      "typeName": "AWS:WindowsRegistry",
      "version":"1.0",
      "attributes":[
        { "name": "KeyPath",                         "dataType": "STRING"},
        { "name": "ValueName",                       "dataType": "STRING"},
        { "name": "ValueType",                       "dataType": "STRING"},
        { "name": "Value",                           "dataType": "STRING"}
      ]
    },
    {
      "typeName": "AWS:WindowsRole",
      "version":"1.0",
      "attributes":[
        { "name": "Name",                         "dataType": "STRING"},
        { "name": "DisplayName",                  "dataType": "STRING"},
        { "name": "Path",                         "dataType": "STRING"},
        { "name": "FeatureType",                  "dataType": "STRING"},
        { "name": "DependsOn",                    "dataType": "STRING"},
        { "name": "Description",                  "dataType": "STRING"},
        { "name": "Installed",                    "dataType": "STRING"},
        { "name": "InstalledState",               "dataType": "STRING"},
        { "name": "SubFeatures",                  "dataType": "STRING"},
        { "name": "ServerComponentDescriptor",    "dataType": "STRING"},
        { "name": "Parent",                       "dataType": "STRING"}
      ]
    },
    {
      "typeName": "AWS:Tag",
      "version":"1.0",
      "attributes":[
        { "name": "Key",                     "dataType": "STRING"},
        { "name": "Value",                   "dataType": "STRING"}
      ]
    },
    {
      "typeName": "AWS:ResourceGroup",
      "version":"1.0",
      "attributes":[
        { "name": "Name",                   "dataType": "STRING"},
        { "name": "Arn",                    "dataType": "STRING"}
      ]
    },
    {
      "typeName": "AWS:BillingInfo",
      "version": "1.0",
      "attributes": [
        { "name": "BillingProductId",       "dataType": "STRING"}
      ]
    }
```

**catatan**  
Untuk`"typeName": "AWS:InstanceInformation"`, `InstanceStatus` bisa menjadi salah satu dari berikut ini: Active,, ConnectionLost Stopped, Terminated.
Dengan dirilisnya versi 2.5, RPM Package Manager mengganti atribut Serial dengan Jangka Waktu. Atribut Jangka Waktu adalah integer yang secara monoton meningkat seperti Serial. Ketika Anda menginventarisasi dengan menggunakan jenis `AWS:Application`, nilai Jangka Waktu yang semakin besar berarti versi yang semakin baru. Jika nilai Jangka Waktu sama atau kosong, maka gunakan nilai atribut Versi atau Rilisan untuk menentukan versi yang lebih baru. 
Beberapa metadata tidak tersedia dari instance Linux. Secara khusus, untuk “TypeName”: “AWS:network”, jenis metadata berikut belum didukung untuk instance Linux. Mereka didukung untuk Windows.  
\$1“name”: "SubnetMask“, “DataType”: “STRING"\$1,
\$1“name”: "DHCPServer“, “DataType”: “STRING"\$1,
\$1“name”: "DNSServer“, “DataType”: “STRING"\$1,
\$1“name”: “Gateway”, “DataType”: “STRING"\$1,

# Menggunakan file dan inventaris registri Windows
<a name="inventory-file-and-registry"></a>

AWS Systems Manager Inventaris memungkinkan Anda untuk mencari dan inventaris file diWindows Server, Linux, dan sistem macOS operasi. Anda juga dapat mencari dan menginventarisasi Registri Windows.

**File**: Anda dapat mengumpulkan informasi metadata tentang file, termasuk di antaranya nama file, kapan file dibuat, kapan file terakhir diubah dan diakses, serta ukuran file. Untuk memulai pengumpulan inventaris file, Anda menentukan jalur file tempat Anda ingin melakukan inventarisasi, satu atau beberapa pola yang menentukan jenis file yang ingin Anda inventarisasi, dan apakah jalur harus dilintasi secara berulang. Systems Manager menginventarisasi semua metadata file untuk file di jalur tertentu yang cocok dengan pola. Inventaris file menggunakan input parameter berikut.

```
{
"Path": string,
"Pattern": array[string],
"Recursive": true,
"DirScanLimit" : number // Optional
}
```
+ **Jalur**: Jalur direktori tempat Anda ingin menginventarisasi file. Untuk Windows, Anda dapat menggunakan variabel lingkungan `%PROGRAMFILES% ` seperti selama variabel memetakan ke jalur direktori tunggal. Misalnya, jika Anda menggunakan %PATH% yang memetakan ke beberapa jalur direktori, Inventaris menampilkan kesalahan. 
+ **Pola**: Sekumpulan pola untuk mengidentifikasi file.
+ **Berulang**: Nilai Boolean yang mengindikasikan apakah Inventaris harus berulang kali melintasi direktori.
+ **DirScanLimit**: Nilai opsional yang menentukan berapa banyak direktori untuk memindai. Gunakan parameter ini untuk meminimalkan dampak kinerja pada node terkelola Anda. Inventaris memindai maksimal 5.000 direktori.

**catatan**  
Inventaris mengumpulkan metadata sejumlah maksimum 500 file di semua jalur yang ditentukan.

Berikut adalah beberapa contoh cara menentukan parameter saat melakukan inventarisasi file.
+ Pada Linux dan macOS, kumpulkan metadata dari file.sh di direktori `/home/ec2-user`, tanpa menyertakan semua subdirektori.

  ```
  [{"Path":"/home/ec2-user","Pattern":["*.sh", "*.sh"],"Recursive":false}]
  ```
+ Pada Windows, kumpulkan metadata dari semua file “.exe” di folder Program Files, termasuk subdirektori secara berulang.

  ```
  [{"Path":"C:\Program Files","Pattern":["*.exe"],"Recursive":true}]
  ```
+ Pada Windows, kumpulkan metadata dari pola log tertentu.

  ```
  [{"Path":"C:\ProgramData\Amazon","Pattern":["*amazon*.log"],"Recursive":true}]
  ```
+ Batasi jumlah direktori saat melakukan pengumpulan berulang.

  ```
  [{"Path":"C:\Users","Pattern":["*.ps1"],"Recursive":true, "DirScanLimit": 1000}]
  ```

**Registri Windows**: Anda dapat mengumpulkan kunci dan nilai Registri Windows. Anda dapat memilih jalur kunci dan mengumpulkan semua kunci dan nilai secara berulang. Anda juga dapat mengumpulkan kunci registri tertentu dan nilainya untuk jalur tertentu. Inventaris mengumpulkan jalur, nama, jenis, dan nilai kunci.

```
{
"Path": string, 
"Recursive": true,
"ValueNames": array[string] // optional
}
```
+ **Jalur**: Jalur ke kunci Registri.
+ **Berulang**: Nilai Boolean yang mengindikasikan apakah Inventaris harus berulang kali melintasi jalur Registri.
+ **ValueNames**: Array nama nilai untuk melakukan inventaris kunci Registry. Jika Anda menggunakan parameter ini, Systems Manager akan menginventarisasi nama nilai yang ditentukan untuk jalur tertentu saja.

**catatan**  
Inventaris mengumpulkan maksimum 250 nilai kunci Registri untuk semua jalur yang ditentukan.

Berikut adalah beberapa contoh cara menentukan parameter saat melakukan inventarisasi Registri Windows.
+ Kumpulkan semua kunci dan nilai secara berulang untuk jalur tertentu.

  ```
  [{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Amazon","Recursive": true}]
  ```
+ Kumpulkan semua kunci dan nilai untuk jalur tertentu (pencarian berulang dimatikan).

  ```
  [{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER", "Recursive": false}]
  ```
+ Kumpulkan kunci tertentu dengan menggunakan pilihan `ValueNames`.

  ```
  {"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\MachineImage","ValueNames":["AMIName"]}
  ```

# Menyiapkan Inventaris Systems Manager
<a name="systems-manager-inventory-setting-up"></a>

Sebelum Anda menggunakan AWS Systems Manager Inventaris untuk mengumpulkan metadata tentang aplikasi, layanan, AWS komponen, dan lainnya yang berjalan di node terkelola, sebaiknya Anda mengonfigurasi sinkronisasi data sumber daya untuk memusatkan penyimpanan data inventaris Anda dalam satu bucket Amazon Simple Storage Service (Amazon S3). Kami juga menyarankan Anda mengonfigurasi EventBridge pemantauan Amazon atas peristiwa inventaris. Proses ini mempermudah untuk melihat dan mengelola data dan pengumpulan inventaris.

**Topics**
+ [Membuat sinkronisasi data sumber daya untuk Inventaris](inventory-create-resource-data-sync.md)
+ [Menggunakan EventBridge untuk memantau peristiwa Inventaris](systems-manager-inventory-setting-up-eventbridge.md)

# Membuat sinkronisasi data sumber daya untuk Inventaris
<a name="inventory-create-resource-data-sync"></a>

Topik ini menjelaskan cara menyiapkan dan mengonfigurasi sinkronisasi data sumber daya untuk Inventaris AWS Systems Manager . Untuk informasi tentang sinkronisasi data sumber daya untuk Systems Manager Explorer, lihat [Menyiapkan Systems Manager Explorer untuk menampilkan data dari beberapa akun dan Wilayah](Explorer-resource-data-sync.md).

## Tentang sinkronisasi data sumber daya
<a name="systems-manager-inventory-datasync-about"></a>

Anda dapat menggunakan sinkronisasi data sumber daya Systems Manager untuk mengirim data inventaris yang dikumpulkan dari semua node terkelola ke satu bucket Amazon Simple Storage Service (Amazon S3). Sinkronisasi data sumber daya kemudian secara otomatis memperbarui data terpusat saat data inventaris baru dikumpulkan. Dengan semua data inventaris yang disimpan dalam bucket Amazon S3 target, Anda dapat menggunakan layanan seperti Amazon Athena dan Amazon Quick untuk menanyakan dan menganalisis data gabungan.

Misalnya, Anda telah mengonfigurasi inventaris untuk mengumpulkan data tentang sistem operasi (OS) dan aplikasi yang berjalan pada armada 150 node terkelola. Beberapa node ini terletak di pusat data lokal, dan yang lainnya berjalan di Amazon Elastic Compute Cloud (Amazon EC2) di beberapa node. Wilayah AWS Jika Anda *belum* mengonfigurasi sinkronisasi data sumber daya, Anda perlu mengumpulkan data inventaris yang dikumpulkan secara manual untuk setiap node terkelola, atau Anda harus membuat skrip untuk mengumpulkan informasi ini. Anda kemudian harus mentransfer data ke dalam aplikasi sehingga Anda dapat menjalankan kueri dan menganalisisnya.

Dengan sinkronisasi data sumber daya, Anda melakukan operasi satu kali yang menyinkronkan semua data inventaris dari semua node terkelola Anda. Setelah sinkronisasi berhasil dibuat, Systems Manager membuat dasar dari semua data inventaris dan menyimpannya di bucket Amazon S3 target. Ketika data inventaris baru dikumpulkan, Systems Manager secara otomatis memperbarui data di bucket Amazon S3. Anda kemudian dapat dengan cepat dan hemat biaya mem-port data ke Amazon Athena dan Amazon Quick.

Diagram 1 menunjukkan bagaimana sinkronisasi data sumber daya mengumpulkan data inventaris dari Amazon EC2 dan jenis alat berat lainnya dalam lingkungan [hybrid dan](operating-systems-and-machine-types.md#supported-machine-types) multicloud ke bucket Amazon S3 target. Diagram ini juga menunjukkan bagaimana sinkronisasi data sumber daya bekerja dengan beberapa Akun AWS dan Wilayah AWS.

**Diagram 1: Sinkronisasi data sumber daya dengan beberapa Akun AWS dan Wilayah AWS**

![\[Arsitektur sinkronisasi data sumber daya Systems Manager\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-resource-data-sync-updated.png)


Jika Anda menghapus node terkelola, sinkronisasi data sumber daya akan mempertahankan file inventaris untuk node yang dihapus. Namun, untuk menjalankan node, sinkronisasi data sumber daya secara otomatis menimpa file inventaris lama saat file baru dibuat dan ditulis ke bucket Amazon S3. Jika Anda ingin melacak perubahan inventaris dari waktu ke waktu, Anda dapat menggunakan AWS Config layanan untuk melacak jenis `SSM:ManagedInstanceInventory` sumber daya. Untuk informasi selengkapnya, lihat [Memulai dengan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html).

Gunakan prosedur di bagian ini untuk membuat sinkronisasi data sumber daya untuk Inventaris menggunakan Amazon S3 dan AWS Systems Manager konsol. Anda juga dapat menggunakan AWS CloudFormation untuk membuat atau menghapus sinkronisasi data sumber daya. Untuk menggunakan CloudFormation, tambahkan [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-resourcedatasync.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-resourcedatasync.html)sumber daya ke CloudFormation template Anda. Untuk informasi, lihat salah satu sumber daya dokumentasi berikut:
+ [AWS CloudFormation sumber daya untuk sinkronisasi data sumber daya di AWS Systems Manager](https://aws.amazon.com/blogs/mt/aws-cloudformation-resource-for-resource-data-sync-in-aws-systems-manager/) (blog)
+ [Menggunakan Templat AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) di *Panduan Pengguna AWS CloudFormation *

**catatan**  
Anda dapat menggunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data inventaris di bucket Amazon S3. Untuk contoh cara membuat sinkronisasi terenkripsi dengan menggunakan AWS Command Line Interface (AWS CLI) dan cara bekerja dengan data terpusat di Amazon Athena dan Amazon Quick, lihat. [Walkthrough: Menggunakan sinkronisasi data sumber daya untuk mengumpulkan data inventaris](inventory-resource-data-sync.md) 

## Sebelum Anda mulai
<a name="datasync-before-you-begin"></a>

Sebelum Anda membuat sinkronisasi data sumber daya, gunakan prosedur berikut untuk membuat bucket Amazon S3 sentral untuk menyimpan data inventaris agregat. Prosedur ini menjelaskan cara menetapkan kebijakan bucket yang memungkinkan Systems Manager untuk menulis data inventaris ke bucket dari beberapa akun. Jika Anda sudah memiliki bucket Amazon S3 yang ingin Anda gunakan untuk mengumpulkan data inventaris untuk sinkronisasi data sumber daya, maka Anda harus mengonfigurasi bucket untuk menggunakan kebijakan dalam prosedur berikut.

**catatan**  
Inventaris Systems Manager tidak dapat menambahkan data ke bucket Amazon S3 tertentu jika bucket dikonfigurasi untuk menggunakan Object Lock. Pastikan bucket Amazon S3 yang Anda buat atau pilih untuk sinkronisasi data sumber daya tidak dikonfigurasi untuk menggunakan Amazon S3 Object Lock. Untuk informasi selengkapnya, lihat [Cara Kerja Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

**Untuk membuat dan mengonfigurasi bucket Amazon S3 untuk sinkronisasi data sumber daya**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Buat bucket untuk menyimpan data Inventaris agregat Anda. Untuk informasi selengkapnya, lihat [Membuat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Catat nama bucket dan Wilayah AWS tempat Anda membuatnya.

1. Pilih tab **Izin**, dan kemudian pilih **Kebijakan Bucket**.

1. Salin dan tempelkan kebijakan bucket berikut ke dalam editor kebijakan. Ganti *amzn-s3-demo-bucket* dengan nama bucket S3 yang Anda buat. Ganti *account\$1ID\$1number* dengan nomor Akun AWS ID yang valid. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "SSMBucketPermissionsCheck",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:GetBucketAcl",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
           },
           {
               "Sid": " SSMBucketDelivery",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket/*/accountid=111122223333/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*/accountid=444455556666/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*/accountid=123456789012/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*/accountid=777788889999/*"
               ],
               "Condition": {
                   "StringEquals": {
                       "s3:x-amz-acl": "bucket-owner-full-control",
                       "aws:SourceAccount": "111122223333"
                   },
                   "ArnLike": {
                       "aws:SourceArn": "arn:aws:ssm:*:111122223333:resource-data-sync/*"
                   }
               }
           }
       ]
   }
   ```

------

1. Simpan perubahan Anda.

## Membuat sinkronisasi data sumber daya untuk Inventaris
<a name="datasync-create"></a>

Gunakan prosedur berikut untuk membuat sinkronisasi data sumber daya untuk Inventaris Systems Manager dengan menggunakan konsol Systems Manager. Untuk informasi tentang cara membuat sinkronisasi data sumber daya menggunakan AWS CLI, lihat[Menggunakan AWS CLI untuk mengkonfigurasi pengumpulan data inventaris](inventory-collection-cli.md).

**Untuk membuat sinkronisasi data sumber daya**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Di menu **Pengelolaan akun**, pilih **Sinkronisasi data sumber daya**.

1. Pilih **Membuat sinkronisasi data sumber daya**.

1. Di bidang **Nama sinkronisasi**, masukkan nama untuk konfigurasi sinkronisasi.

1. Di bidang **Nama bucket**, masukkan nama bucket Amazon S3 yang Anda buat menggunakan prosedur **Untuk membuat dan mengonfigurasi bucket Amazon S3 untuk sinkronisasi data sumber daya**.

1. (Opsional) Di bidang **Prefiks bucket**, masukkan nama prefiks bucket Amazon S3 (subdirektori).

1. Di bidang **Wilayah Bucket**, pilih **Wilayah ini** jika bucket Amazon S3 yang Anda buat berada di Wilayah AWS saat ini. Jika bucket berada di Wilayah AWS yang berbeda, pilih **Wilayah lain**, dan masukkan nama Wilayah.
**catatan**  
Jika sinkronisasi dan bucket Amazon S3 target berada di berbagai wilayah, Anda mungkin akan dibebani harga transfer data. Untuk informasi lebih lanjut, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).

1. (Opsional) Di bidang **ARN Kunci KMS**, ketik atau tempelkan ARN Kunci KMS untuk mengenkripsi data inventaris di Amazon S3.

1. Pilih **Buat**.

Untuk menyinkronkan data inventaris dari beberapa Wilayah AWS, Anda harus membuat sinkronisasi data sumber daya di *setiap* Wilayah. Ulangi prosedur ini di setiap Wilayah AWS tempat Anda ingin mengumpulkan data inventaris dan mengirimkannya ke bucket Amazon S3 pusat. Ketika Anda membuat sinkronisasi di setiap Wilayah, tentukan bucket Amazon S3 sentral di bidang **Nama bucket**. Kemudian gunakan pilihan **Wilayah bucket** untuk memilih Wilayah tempat Anda membuat bucket Amazon S3 sentral, seperti yang ditunjukkan pada cuplikan layar berikut. Di lain waktu ketika asosiasi berjalan untuk mengumpulkan data inventaris, Systems Manager menyimpan data di bucket Amazon S3 sentral. 

![\[Systems Manager sinkronisasi data sumber daya dari beberapa Wilayah AWS\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-rds-multiple-regions.png)


## Membuat sinkronisasi data sumber daya inventaris untuk akun yang ditentukan dalam AWS Organizations
<a name="systems-manager-inventory-resource-data-sync-AWS-Organizations"></a>

Anda dapat menyinkronkan data inventaris dari yang Akun AWS ditentukan AWS Organizations ke bucket Amazon S3 pusat. Setelah Anda menyelesaikan prosedur berikut, data inventaris disinkronkan ke prefiks kunci *individu* Amazon S3 di bucket sentral. Setiap key prefix mewakili ID yang berbeda Akun AWS .

**Sebelum Anda mulai**  
Sebelum memulai, verifikasi bahwa Anda mengatur dan mengonfigurasi Akun AWS AWS Organizations. Untuk informasi lebih lanjut, lihat [ di *Panduan Pengguna AWS Organizations *.](https://docs.aws.amazon.com/organizations/latest/userguide/rgs_getting-started.html)

Juga, ketahuilah bahwa Anda harus membuat sinkronisasi data sumber daya berbasis organisasi untuk masing-masing Wilayah AWS dan Akun AWS didefinisikan dalam. AWS Organizations

### Pembuatan bucket Amazon S3 sentral
<a name="datasync-s3-bucket"></a>

Gunakan prosedur berikut untuk membuat bucket Amazon S3 sentral untuk menyimpan data inventaris agregat. Prosedur ini menjelaskan cara menetapkan kebijakan bucket yang memungkinkan Systems Manager untuk menulis data inventaris ke bucket dari ID akun AWS Organizations Anda. Jika Anda sudah memiliki bucket Amazon S3 yang ingin Anda gunakan untuk mengumpulkan data inventaris untuk sinkronisasi data sumber daya, maka Anda harus mengonfigurasi bucket untuk menggunakan kebijakan dalam prosedur berikut.

**Untuk membuat dan mengonfigurasi bucket Amazon S3 untuk sinkronisasi data sumber daya untuk beberapa akun yang ditentukan AWS Organizations**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Buat bucket untuk menyimpan data inventaris agregat Anda. Untuk informasi selengkapnya, lihat [Membuat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Catat nama bucket dan Wilayah AWS tempat Anda membuatnya.

1. Pilih tab **Izin**, dan kemudian pilih **Kebijakan Bucket**.

1. Salin dan tempelkan kebijakan bucket berikut ke dalam editor kebijakan. Ganti *amzn-s3-demo-bucket * dan *organization-id* dengan nama bucket Amazon S3 yang Anda buat dan ID AWS Organizations akun yang valid.

   Secara opsional, ganti *bucket-prefix* dengan nama awalan Amazon S3 (subdirektori). Jika Anda tidak membuat awalan, hapus*bucket-prefix*/dari ARN dalam kebijakan berikut. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "SSMBucketPermissionsCheck",
         "Effect": "Allow",
         "Principal": {
           "Service": "ssm.amazonaws.com"
         },
         "Action": "s3:GetBucketAcl",
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
       },
       {
         "Sid": " SSMBucketDelivery",
         "Effect": "Allow",
         "Principal": {
           "Service": "ssm.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket/bucket-prefix/*/accountid=*/*"
         ],
         "Condition": {
           "StringEquals": {
             "s3:x-amz-acl": "bucket-owner-full-control",
             "aws:SourceOrgID": "organization-id"
                     }
         }
       },
       {
         "Sid": " SSMBucketDeliveryTagging",
         "Effect": "Allow",
         "Principal": {
           "Service": "ssm.amazonaws.com"
         },
         "Action": "s3:PutObjectTagging",
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket/bucket-prefix/*/accountid=*/*"
         ]
       }
     ]
   }
   ```

------

### Membuat sinkronisasi data sumber daya inventaris untuk akun yang ditentukan AWS Organizations
<a name="systems-manager-inventory-resource-data-sync-AWS-Organizations-create"></a>

Prosedur berikut menjelaskan cara menggunakan AWS CLI untuk membuat sinkronisasi data sumber daya untuk akun yang didefinisikan dalam AWS Organizations. Anda harus menggunakan AWS CLI untuk melakukan tugas ini. Anda juga harus melakukan prosedur ini untuk masing-masing Wilayah AWS dan Akun AWS didefinisikan dalam AWS Organizations.

**Untuk membuat sinkronisasi data sumber daya untuk akun yang ditentukan dalam AWS Organizations (AWS CLI)**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk memverifikasi bahwa Anda tidak memiliki sinkronisasi data sumber daya *AWS Organizations berbasis* lainnya. Anda dapat memiliki beberapa sinkronisasi standar, termasuk beberapa sinkronisasi standar dan sinkronisasi berbasis Organisasi. Namun, Anda hanya dapat memiliki satu sinkronisasi data sumber daya berbasis Organisasi.

   ```
   aws ssm list-resource-data-sync
   ```

   Jika perintah mengembalikan sinkronisasi data sumber daya berbasis Organisasi lain, Anda harus menghapusnya atau memilih untuk tidak membuat yang baru.

1. Jalankan perintah berikut untuk membuat sinkronisasi data sumber daya untuk akun yang ditentukan dalam AWS Organizations. Untuk amzn-s3-demo-bucket, tentukan nama bucket Amazon S3 yang Anda buat sebelumnya dalam topik ini. Jika Anda membuat awalan (subdirektori) untuk bucket Anda, tentukan informasi ini untuk. *prefix-name* 

   ```
   aws ssm create-resource-data-sync --sync-name name --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=prefix-name,SyncFormat=JsonSerDe,Region=Wilayah AWS, for example us-east-2,DestinationDataSharing={DestinationDataSharingType=Organization}"
   ```

1. Ulangi Langkah 2 dan 3 untuk setiap Wilayah AWS dan Akun AWS di mana Anda ingin menyinkronkan data ke bucket Amazon S3 pusat.

### Mengelola sinkronisasi data sumber daya
<a name="managing-resource-data-syncs"></a>

Masing-masing Akun AWS dapat memiliki 5 sinkronisasi data sumber daya per Wilayah AWS. Anda dapat menggunakan AWS Systems ManagerFleet Manager konsol untuk mengelola sinkronisasi data sumber daya Anda.

**Untuk melihat sinkronisasi data sumber daya**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Di menu tarik-turun **Manajemen akun**, pilih Sinkronisasi **data sumber daya**.

1. Pilih sinkronisasi data sumber daya dari tabel, lalu pilih **Lihat detail** untuk melihat informasi tentang sinkronisasi data sumber daya Anda.

**Untuk menghapus sinkronisasi data sumber daya**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Di menu tarik-turun **Manajemen akun**, pilih Sinkronisasi **data sumber daya**.

1. Pilih sinkronisasi data sumber daya dari tabel, lalu pilih **Hapus**.

# Menggunakan EventBridge untuk memantau peristiwa Inventaris
<a name="systems-manager-inventory-setting-up-eventbridge"></a>

Anda dapat mengonfigurasi aturan di Amazon EventBridge untuk membuat peristiwa sebagai respons terhadap perubahan status sumber daya AWS Systems Manager Inventaris. EventBridge mendukung peristiwa untuk perubahan status Inventaris berikut. Semua peristiwa dikirimkan berdasarkan upaya terbaik.

**Jenis inventaris khusus dihapus untuk instance tertentu**: Jika aturan dikonfigurasi untuk memantau peristiwa ini, EventBridge buat peristiwa saat jenis inventaris khusus pada pengelola tertentu dihapus. EventBridgemengirimkan satu acara per node per jenis inventaris kustom. Berikut ini adalah sampel pola peristiwa.

```
{
    "timestampMillis": 1610042981103,
    "source": "SSM",
    "account": "123456789012",
    "type": "INVENTORY_RESOURCE_STATE_CHANGE",
    "startTime": "Jan 7, 2021 6:09:41 PM",
    "resources": [
        {
            "arn": "arn:aws:ssm:us-east-1:123456789012:managed-instance/i-12345678"
        }
    ],
    "body": {
        "action-status": "succeeded",
        "action": "delete",
        "resource-type": "managed-instance",
        "resource-id": "i-12345678",
        "action-reason": "",
        "type-name": "Custom:MyCustomInventoryType"
    }
}
```

**Jenis inventaris kustom dihapus peristiwa untuk semua instance**: Jika aturan dikonfigurasi untuk memantau peristiwa ini, EventBridge membuat peristiwa ketika jenis inventaris kustom untuk semua node terkelola dihapus. Berikut ini adalah sampel pola peristiwa.

```
{
    "timestampMillis": 1610042904712,
    "source": "SSM",
    "account": "123456789012",
    "type": "INVENTORY_RESOURCE_STATE_CHANGE",
    "startTime": "Jan 7, 2021 6:08:24 PM",
    "resources": [
        
    ],
    "body": {
        "action-status": "succeeded",
        "action": "delete-summary",
        "resource-type": "managed-instance",
        "resource-id": "",
        "action-reason": "The delete for type name Custom:SomeCustomInventoryType was completed. The deletion summary is: {\"totalCount\":1,\"remainingCount\":0,\"summaryItems\":[{\"version\":\"1.1\",\"count\":1,\"remainingCount\":0}]}",
        "type-name": "Custom:MyCustomInventoryType"
    }
}
```

**[PutInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutInventory.html)panggilan dengan peristiwa versi skema lama**: Jika aturan dikonfigurasi untuk memantau peristiwa ini, EventBridge buat acara saat PutInventory panggilan dibuat yang menggunakan versi skema yang lebih rendah dari skema saat ini. Peristiwa ini berlaku untuk semua jenis inventaris. Berikut ini adalah sampel pola peristiwa.

```
{
    "timestampMillis": 1610042629548,
    "source": "SSM",
    "account": "123456789012",
    "type": "INVENTORY_RESOURCE_STATE_CHANGE",
    "startTime": "Jan 7, 2021 6:03:49 PM",
    "resources": [
        {
            "arn": "arn:aws:ssm:us-east-1:123456789012:managed-instance/i-12345678"
        }
    ],
    "body": {
        "action-status": "failed",
        "action": "put",
        "resource-type": "managed-instance",
        "resource-id": "i-01f017c1b2efbe2bc",
        "action-reason": "The inventory item with type name Custom:MyCustomInventoryType was sent with a disabled schema verison 1.0. You must send a version greater than 1.0",
        "type-name": "Custom:MyCustomInventoryType"
    }
}
```

Untuk informasi tentang cara mengonfigurasi EventBridge untuk memantau peristiwa ini, lihat[Mengkonfigurasi EventBridge untuk acara Systems Manager](monitoring-systems-manager-events.md).

# Pengonfigurasian pengumpulan inventaris
<a name="inventory-collection"></a>

Bagian ini menjelaskan cara mengonfigurasi koleksi AWS Systems Manager Inventaris pada satu atau beberapa node terkelola menggunakan konsol Systems Manager. Untuk contoh cara mengonfigurasi koleksi inventaris menggunakan AWS Command Line Interface (AWS CLI), lihat[Menggunakan AWS CLI untuk mengkonfigurasi pengumpulan data inventaris](inventory-collection-cli.md).

Saat Anda mengonfigurasi koleksi inventaris, Anda mulai dengan membuat AWS Systems Manager State Manager asosiasi. Systems Manager mengumpulkan data inventaris saat asosiasi dijalankan. Jika Anda tidak membuat asosiasi terlebih dahulu, dan mencoba memanggil `aws:softwareInventory` plugin dengan menggunakan, misalnya AWS Systems Manager Run Command, sistem mengembalikan kesalahan berikut: `The aws:softwareInventory plugin can only be invoked via ssm-associate.`

**catatan**  
Perhatikan perilaku berikut jika Anda membuat beberapa asosiasi inventaris untuk node terkelola:  
Setiap node dapat diberi asosiasi inventaris yang menargetkan *semua* node (--target “Key=InstanceIds, Values=\$1”).
Setiap node juga dapat diberi asosiasi tertentu yang menggunakan key/value pasangan tag atau grup AWS sumber daya.
Jika sebuah node diberi beberapa asosiasi inventaris, status akan ditampilkan *Dilewati* untuk asosiasi yang belum berjalan. Asosiasi yang berjalan akhir-akhir ini menampilkan status sebenarnya dari asosiasi inventaris.
Jika sebuah node diberi beberapa asosiasi inventaris dan masing-masing menggunakan key/value pasangan tag, maka asosiasi inventaris tersebut gagal berjalan di node karena konflik tag. Asosiasi masih berjalan pada node yang tidak memiliki key/value konflik tag. 

**Sebelum Anda Memulai**  
Sebelum Anda mengonfigurasi pengumpulan inventaris, selesaikan tugas berikut.
+ Perbarui AWS Systems Manager SSM Agent pada node yang ingin Anda inventarisasi. Dengan menjalankan versi terbaruSSM Agent, Anda memastikan bahwa Anda dapat mengumpulkan metadata untuk semua jenis inventaris yang didukung. Untuk informasi tentang cara memperbarui SSM Agent dengan menggunakanState Manager, lihat[Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI](state-manager-update-ssm-agent-cli.md).
+ [Pastikan Anda telah menyelesaikan persyaratan penyiapan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan mesin non-EC2 di lingkungan hybrid dan multicloud.](operating-systems-and-machine-types.md#supported-machine-types) Untuk informasi, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md).
+ Untuk Windows Server node Microsoft, verifikasi bahwa node terkelola Anda dikonfigurasi dengan Windows PowerShell 3.0 (atau yang lebih baru). SSM Agentmenggunakan `ConvertTo-Json` cmdlet PowerShell untuk mengonversi data inventaris pembaruan Windows ke format yang diperlukan.
+ (Opsional) Buat sinkronisasi data sumber daya untuk menyimpan data inventaris secara terpusat di bucket Amazon S3. Sinkronisasi data sumber daya kemudian secara otomatis memperbarui data terpusat saat data inventaris baru dikumpulkan. Untuk informasi selengkapnya, lihat [Walkthrough: Menggunakan sinkronisasi data sumber daya untuk mengumpulkan data inventaris](inventory-resource-data-sync.md).
+ (Opsional) Buat file JSON untuk mengumpulkan inventaris kustom. Untuk informasi selengkapnya, lihat [Menggunakan inventaris kustom](inventory-custom.md).

## Inventarisasi semua node terkelola di Akun AWS
<a name="inventory-management-inventory-all"></a>

Anda dapat menginventarisasi semua node terkelola di dalam Anda Akun AWS dengan membuat asosiasi inventaris global. Asosiasi inventaris global akan melakukan tindakan berikut:
+ Secara otomatis menerapkan konfigurasi inventaris global (asosiasi) ke semua node terkelola yang ada di Anda Akun AWS. Node terkelola yang sudah memiliki asosiasi inventaris dilewati saat asosiasi inventaris global diterapkan dan dijalankan. Ketika sebuah node dilewati, pesan status terperinci menyatakan`Overridden By Explicit Inventory Association`. Node tersebut dilewati oleh asosiasi global, tetapi mereka masih akan melaporkan inventaris ketika mereka menjalankan asosiasi inventaris yang ditugaskan.
+ Secara otomatis menambahkan node baru yang dibuat di asosiasi inventaris global Anda Akun AWS .

**catatan**  
Jika node terkelola dikonfigurasi untuk asosiasi inventaris global, dan Anda menetapkan asosiasi tertentu ke node tersebut, maka Systems Manager Inventory akan menurunkan prioritas asosiasi global dan menerapkan asosiasi tertentu.
Asosiasi inventaris global tersedia dalam SSM Agent versi 2.0.790.0 atau yang lebih baru. Untuk informasi tentang cara memperbarui SSM Agent pada node Anda, lihat[Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).

### Pengonfigurasian pengumpulan inventaris dengan satu klik (konsol)
<a name="inventory-config-collection-one-click"></a>

Gunakan prosedur berikut untuk mengonfigurasi Systems Manager Inventory untuk semua node terkelola dalam Anda Akun AWS dan dalam satu node Wilayah AWS. 

**Untuk mengonfigurasi semua node terkelola di inventaris Region for Systems Manager saat ini**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Inventaris**.

1. Di kartu **Instans terkelola dengan inventaris diaktifkan**, pilih **Klik di sini untuk mengaktifkan inventaris pada semua instans**.  
![\[Mengaktifkan Systems Manager Inventory pada semua node terkelola.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-one-click-1.png)

   Jika berhasil, konsol menampilkan pesan berikut.  
![\[Mengaktifkan Systems Manager Inventory pada semua node terkelola.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-one-click-2.png)

   Bergantung pada jumlah node terkelola di akun Anda, diperlukan beberapa menit agar asosiasi inventaris global diterapkan. Tunggu beberapa menit lalu segarkan halaman. Verifikasi bahwa grafik berubah untuk mencerminkan bahwa inventaris dikonfigurasi pada semua node terkelola Anda.

### Pengonfigurasian pengumpulan dengan menggunakan konsol
<a name="inventory-config-collection"></a>

Bagian ini mencakup informasi tentang cara mengonfigurasi Systems Manager Inventory untuk mengumpulkan metadata dari node terkelola menggunakan konsol Systems Manager. Anda dapat dengan cepat mengumpulkan metadata dari semua node dalam spesifik Akun AWS (dan node masa depan apa pun yang mungkin dibuat di akun itu) atau Anda dapat mengumpulkan data inventaris secara selektif dengan menggunakan tag atau node. IDs

**catatan**  
Sebelum menyelesaikan prosedur ini, periksa untuk melihat apakah asosiasi inventaris global sudah ada. Jika asosiasi inventaris global sudah ada, kapan pun Anda meluncurkan instance baru, asosiasi akan diterapkan padanya, dan instance baru akan diinventarisasi.

**Untuk mengonfirgurasi pengumpulan inventaris**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Inventaris**.

1. Pilih **Siapkan Inventaris**.

1. Di bagian **Target**, identifikasi node tempat Anda ingin menjalankan operasi ini dengan memilih salah satu dari berikut ini.
   + **Memilih semua instans terkelola di akun ini** - Opsi ini memilih semua node terkelola yang tidak ada asosiasi inventaris yang ada. Jika Anda memilih opsi ini, node yang sudah memiliki asosiasi inventaris akan dilewati selama pengumpulan inventaris, dan ditampilkan dengan status **Dilewati dalam hasil** inventaris. Untuk informasi selengkapnya, lihat [Inventarisasi semua node terkelola di Akun AWS](#inventory-management-inventory-all). 
   + **Menentukan tag** - Gunakan opsi ini untuk menentukan satu tag untuk mengidentifikasi node di akun Anda dari mana Anda ingin mengumpulkan inventaris. Jika Anda menggunakan tag, node apa pun yang dibuat di masa depan dengan tag yang sama juga akan melaporkan inventaris. Jika ada asosiasi inventaris yang ada dengan semua node, menggunakan tag untuk memilih node tertentu sebagai target untuk inventaris yang berbeda akan mengesampingkan keanggotaan node dalam grup target **Semua instance terkelola**. Node terkelola dengan tag yang ditentukan dilewati pada koleksi inventaris future dari **Semua instance terkelola**.
   + **Memilih instance secara manual** - Gunakan opsi ini untuk memilih node terkelola tertentu di akun Anda. Secara eksplisit memilih node tertentu dengan menggunakan opsi ini mengesampingkan asosiasi inventaris pada target **Semua** instance terkelola. Node dilewati pada koleksi inventaris masa depan dari **Semua instance yang dikelola**.
**catatan**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Di bagian **Jadwal**, pilih seberapa sering Anda ingin sistem mengumpulkan metadata inventaris dari node Anda.

1. Di bagian **Parameter**, gunakan daftar untuk mengaktifkan atau menonaktifkan berbagai jenis pengumpulan inventaris. Untuk informasi lebih lanjut tentang pengumpulan inventaris File dan Registri Windows, lihat [Menggunakan file dan inventaris registri Windows](inventory-file-and-registry.md).

1. Di bagian **Lanjutan**, pilih **Menyinkronkan log eksekusi inventaris ke bucket Amazon S3** jika Anda ingin menyimpan status eksekusi asosiasi di bucket Amazon S3.

1. Pilih **Siapkan Inventaris**. Systems Manager membuat State Manager asosiasi dan segera menjalankan Inventory pada node.

1. Di panel navigasi, pilih **State Manager**. Pastikan asosiasi baru dibuat dengan menggunakan dokumen `AWS-GatherSoftwareInventory`. Jadwal asosiasi menggunakan ekspresi tarif. Juga, pastikan bidang **Status** menunjukkan **Berhasil**. Jika Anda memilih pilihan untuk **Menyinkronkan log eksekusi inventaris ke bucket Amazon S3**, maka Anda dapat melihat data catatan di Amazon S3 setelah beberapa menit. Jika Anda ingin melihat data inventaris untuk node tertentu, pilih **Instans Terkelola** di panel navigasi. 

1. Pilih simpul, lalu pilih **Lihat detail**.

1. Pada halaman detail simpul, pilih **Inventaris**. Gunakan daftar **Jenis inventaris** untuk memfilter inventaris.

# Mengkueri data inventaris dari beberapa Wilayah dan akun
<a name="systems-manager-inventory-query"></a>

AWS Systems Manager Inventaris terintegrasi dengan Amazon Athena untuk membantu Anda menanyakan data inventaris dari Wilayah AWS beberapa dan. Akun AWS Integrasi Athena menggunakan sinkronisasi data sumber daya sehingga Anda dapat melihat data inventaris dari semua node terkelola pada halaman **Tampilan Terperinci** di AWS Systems Manager konsol.

**penting**  
Fitur ini digunakan AWS Glue untuk merayapi data di bucket Amazon Simple Storage Service (Amazon S3), dan Amazon Athena untuk melakukan kueri data. Tergantung dari berapa banyak data yang dirayapkan dan dikueri, Anda dapat dibebani biaya untuk penggunaan layanan ini. Dengan AWS Glue, Anda membayar tarif per jam, ditagih per detik, untuk crawler (menemukan data) dan pekerjaan ETL (memproses dan memuat data). Dengan Athena, Anda dibebani biaya berdasarkan jumlah data yang dipindai oleh setiap kueri. Kami menganjurkan agar Anda melihat pedoman harga untuk layanan ini sebelum Anda menggunakan integrasi Amazon Athena dengan Inventaris Systems Manager. Untuk informasi lebih lanjut, lihat [Harga Amazon Athena](https://aws.amazon.com/athena/pricing/) dan [Harga AWS Glue](https://aws.amazon.com/glue/pricing/).

Anda dapat melihat data inventaris di halaman **Tampilan Terperinci** di semua Wilayah AWS tempat Amazon Athena tersedia. Untuk daftar Wilayah yang didukung, lihat [Titik Akhir Layanan Amazon Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html#athena_region) di. *Referensi Umum Amazon Web Services*

**Sebelum Anda mulai**  
Integrasi Athena menggunakan sinkronisasi data sumber daya. Anda harus menyiapkan dan mengonfigurasi sinkronisasi data sumber daya untuk menggunakan fitur ini. Untuk informasi selengkapnya, lihat [Walkthrough: Menggunakan sinkronisasi data sumber daya untuk mengumpulkan data inventaris](inventory-resource-data-sync.md).

Perlu diketahui juga bahwa halaman **Tampilan Terperinci** menampilkan data inventaris untuk *pemilik* bucket Amazon S3 pusat yang digunakan oleh sinkronisasi data sumber daya. Jika Anda bukan pemilik bucket Amazon S3 pusat, Anda tidak akan melihat data inventaris di **halaman Tampilan Terperinci**.

## Pengonfigurasian akses
<a name="systems-manager-inventory-query-iam"></a>

Sebelum Anda dapat menanyakan dan melihat data dari beberapa akun dan Wilayah pada halaman **Tampilan Terperinci** di konsol Systems Manager, Anda harus mengonfigurasi entitas IAM Anda dengan izin untuk melihat data.

Jika data inventaris disimpan dalam bucket Amazon S3 yang menggunakan enkripsi AWS Key Management Service (AWS KMS), Anda juga harus mengonfigurasi entitas IAM dan peran `Amazon-GlueServiceRoleForSSM` layanan untuk enkripsi. AWS KMS 

**Topics**
+ [Mengonfigurasi entitas IAM Anda untuk mengakses halaman Tampilan Terperinci](#systems-manager-inventory-query-iam-user)
+ [(Opsional) Konfigurasikan izin untuk melihat data AWS KMS terenkripsi](#systems-manager-inventory-query-kms)

### Mengonfigurasi entitas IAM Anda untuk mengakses halaman Tampilan Terperinci
<a name="systems-manager-inventory-query-iam-user"></a>

Berikut ini menjelaskan izin minimum yang diperlukan untuk melihat data inventaris di halaman **Tampilan Terperinci**.

Kebijakan yang `AWSQuicksightAthenaAccess` dikelola

Blok izin berikut `PassRole` dan tambahan yang diperlukan

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowGlue",
            "Effect": "Allow",
            "Action": [
                "glue:GetCrawler",
                "glue:GetCrawlers",
                "glue:GetTables",
                "glue:StartCrawler",
                "glue:CreateCrawler"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/SSMInventoryGlueRole",
                "arn:aws:iam::111122223333:role/SSMInventoryServiceRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "glue.amazonaws.com"
                }
            }
        },
        {
            "Sid": "iamRoleCreation",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/*"
        },
        {
            "Sid": "iamPolicyCreation",
            "Effect": "Allow",
            "Action": "iam:CreatePolicy",
            "Resource": "arn:aws:iam::111122223333:policy/*"
        }
    ]
}
```

------

(Opsional) Jika bucket Amazon S3 yang digunakan untuk menyimpan data inventaris dienkripsi menggunakan AWS KMS, Anda juga harus menambahkan blok berikut ke kebijakan.

```
{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:Region:account_ID:key/key_ARN"
    ]
}
```

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
  + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
  + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

### (Opsional) Konfigurasikan izin untuk melihat data AWS KMS terenkripsi
<a name="systems-manager-inventory-query-kms"></a>

Jika bucket Amazon S3 yang digunakan untuk menyimpan data inventaris dienkripsi menggunakan AWS Key Management Service (AWS KMS), Anda harus mengonfigurasi entitas IAM dan peran **GlueServiceRoleForAmazon-SSM** dengan izin untuk kunci tersebut. `kms:Decrypt` AWS KMS 

**Sebelum Anda mulai**  
Untuk memberikan `kms:Decrypt` izin AWS KMS kunci, tambahkan blok kebijakan berikut ke entitas IAM Anda:

```
{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:Region:account_ID:key/key_ARN"
    ]
}
```

Jika Anda belum melakukannya, selesaikan prosedur itu dan tambahkan `kms:Decrypt` izin untuk AWS KMS kunci tersebut.

Gunakan prosedur berikut untuk mengonfigurasi peran **Amazon- GlueServiceRoleFor SSM** dengan `kms:Decrypt` izin untuk kunci tersebut. AWS KMS 

**Untuk mengonfigurasi peran **GlueServiceRoleForAmazon-SSM** dengan izin `kms:Decrypt`**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran, lalu gunakan bidang pencarian untuk menemukan peran** **Amazon- GlueServiceRoleFor SSM**. Halaman **Ringkasan** terbuka.

1. Gunakan kolom pencarian untuk menemukan peran **Amazon- GlueServiceRoleFor SSM**. Pilih nama peran. Halaman **Ringkasan** terbuka.

1. Pilih nama peran. Halaman **Ringkasan** terbuka.

1. Pilih **Tambahkan kebijakan inline**. Halaman **Buat kebijakan** terbuka.

1. Pilih tab **JSON**.

1. Hapus teks JSON yang ada di editor, lalu salin dan tempelkan kebijakan berikut ke editor JSON. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": [
                   "arn:aws:kms:us-east-1:111122223333:key/key_ARN"
               ]
           }
       ]
   }
   ```

------

1. Pilih **Tinjau kebijakan**

1. Pada halaman **Tinjau Kebijakan**, masukkan nama di bidang **Nama**.

1. Pilih **Buat kebijakan**.

## Mengkueri data pada halaman tampilan detail inventaris
<a name="systems-manager-inventory-query-detail-view"></a>

Gunakan prosedur berikut untuk melihat data inventaris dari beberapa Wilayah AWS dan Akun AWS pada halaman **Tampilan Terperinci** Inventaris Systems Manager.

**penting**  
Halaman **Tampilan Detail** Inventaris hanya tersedia di Wilayah AWS yang menawarkan Amazon Athena. Jika tab berikut tidak ditampilkan pada halaman Inventaris Systems Manager, artinya Athena tidak tersedia di Wilayah dan Anda tidak dapat menggunakan **Tampilan Detail** untuk mengkueri data.  

![\[Menampilkan Dasbor Inventaris | Tampilan Detail | Tab pengaturan\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-detailed-view-for-error.png)


**Untuk melihat data inventaris dari beberapa Wilayah dan akun di AWS Systems Manager konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Inventaris**.

1. Pilih tab **Tampilan Detail**.  
![\[Mengakses halaman Tampilan Detail AWS Systems Manager Inventaris\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-detailed-view.png)

1. Pilih sinkronisasi data sumber daya yang datanya ingin Anda kueri.  
![\[Menampilkan data inventaris di konsol AWS Systems Manager\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-display-data.png)

1. Di daftar **Jenis Inventaris**, pilih jenis data inventaris yang ingin Anda kueri, lalu tekan Enter.  
![\[Memilih jenis inventaris di AWS Systems Manager konsol\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-type.png)

1. Untuk memfilter data, pilih batang Filter, lalu pilih pilihan filter.  
![\[Memfilter data inventaris di konsol AWS Systems Manager\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-filter.png)

Anda dapat menggunakan tombol **Ekspor ke CSV** untuk melihat himpunan kueri saat ini di aplikasi lembar kerja seperti Microsoft Excel. Anda juga dapat menggunakan **Riwayat Kueri** dan **Jalankan Kueri Lanjutan** untuk melihat detail riwayat dan berinteraksi dengan data Anda di Amazon Athena.

### Mengedit jadwal AWS Glue crawler
<a name="systems-manager-inventory-glue-settings"></a>

AWS Glue merayapi data inventaris di bucket Amazon S3 pusat dua kali sehari, secara default. Jika Anda sering mengubah jenis data yang akan dikumpulkan di node, Anda mungkin ingin merayapi data lebih sering, seperti yang dijelaskan dalam prosedur berikut.

**penting**  
AWS Glue membebankan biaya Akun AWS berdasarkan tarif per jam, yang ditagih per detik, untuk crawler (menemukan data) dan pekerjaan ETL (memproses dan memuat data). Sebelum Anda mengubah jadwal perayap, lihat halaman [Harga AWS Glue](https://aws.amazon.com/glue/pricing/).

**Untuk mengubah jadwal perayap data inventaris**

1. Buka AWS Glue konsol di [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).

1. Di panel navigasi, pilih **Perayap**.

1. Di daftar perayap, pilih pilihan di samping perayap data Inventaris Systems Manager. Nama perayap menggunakan format berikut:

   `AWSSystemsManager-s3-bucket-name-Region-account_ID`

1. Pilih **Tindakan**, lalu pilih **Edit perayap**.

1. Di panel navigasi, pilih **Jadwal**.

1. Di bidang **Ekspresi cron**, tentukan jadwal baru dengan menggunakan format cron. Untuk informasi lebih lanjut tentang format cron, lihat [Jadwal Berbasis Waktu untuk Pekerjaan dan Perayap](https://docs.aws.amazon.com/glue/latest/dg/monitor-data-warehouse-schedule.html) di *Panduan Developer AWS Glue *.

**penting**  
Anda dapat menjeda crawler untuk menghentikan biaya. AWS Glue Jika Anda menjeda perayap, atau jika Anda mengubah frekuensi sehingga data dirayapkan lebih jarang, maka **Tampilan Detail** Inventaris mungkin menampilkan data yang bukan saat ini.

# Mengkueri pengumpulan inventaris dengan menggunakan filter
<a name="inventory-query-filters"></a>

Setelah mengumpulkan data inventaris, Anda dapat menggunakan kemampuan filter AWS Systems Manager untuk menanyakan daftar node terkelola yang memenuhi kriteria filter tertentu. 

**Untuk menanyakan node berdasarkan filter inventaris**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Inventaris**.

1. Di **Filter berdasarkan grup sumber daya, tag, atau jenis inventaris**, pilih kotak filter. Daftar filter yang ditentukan sebelumnya akan ditampilkan.

1. Pilih atribut untuk difilter. Misalnya, pilih `AWS:Application`. Jika diminta, pilih atribut sekunder untuk difilter. Misalnya, pilih `AWS:Application.Name`. 

1. Pilih pembatas dari daftar. Misalnya, pilih **Mulailah dengan**. Kotak teks ditampilkan dalam filter.

1. Masukkan nilai di kotak teks. Misalnya, masukkan *Amazon* (SSM Agentbernama *Amazon SSM Agent*). 

1. Tekan Enter. Sistem mengembalikan daftar node terkelola yang menyertakan nama aplikasi yang dimulai dengan kata *Amazon*.

**catatan**  
Anda dapat menggabungkan beberapa filter untuk menyempurnakan pencarian Anda.

# Pengumpulan data inventaris
<a name="inventory-aggregate"></a>

Setelah mengonfigurasi node terkelola untuk AWS Systems Manager Inventaris, Anda dapat melihat jumlah agregat data inventaris. Misalnya, Anda mengonfigurasi lusinan atau ratusan node terkelola untuk mengumpulkan jenis `AWS:Application` inventaris. Dengan menggunakan informasi di bagian ini, Anda dapat melihat jumlah yang tepat dari berapa banyak node yang dikonfigurasi untuk mengumpulkan data ini.

Anda juga dapat melihat detail inventaris tertentu dengan mengumpulkan jenis data. Misalnya, jenis inventaris `AWS:InstanceInformation` mengumpulkan informasi platform sistem operasi dengan jenis data `Platform`. Dengan menggabungkan data pada tipe `Platform` data, Anda dapat dengan cepat melihat berapa banyak node yang berjalanWindows Server, berapa banyak yang menjalankan Linux, dan berapa banyak yang berjalan. macOS 

Prosedur di bagian ini menjelaskan cara melihat jumlah agregat data inventaris dengan menggunakan AWS Command Line Interface ()AWS CLI. **Anda juga dapat melihat jumlah agregat yang telah dikonfigurasi sebelumnya di AWS Systems Manager konsol pada halaman Inventaris.** Dasbor yang dikonfigurasi sebelumnya ini disebut *Wawasan Inventaris* dan menawarkan remediasi satu klik untuk masalah konfigurasi inventaris Anda.

Perhatikan detail penting mengenai jumlah pengumpulan data inventaris berikut:
+ Jika Anda mengakhiri node terkelola yang dikonfigurasi untuk mengumpulkan data inventaris, Systems Manager menyimpan data inventaris selama 30 hari dan kemudian menghapusnya. Untuk menjalankan node, sistem menghapus data inventaris yang lebih tua dari 30 hari. Jika Anda perlu menyimpan data inventaris lebih dari 30 hari, Anda dapat menggunakannya AWS Config untuk merekam riwayat atau melakukan kueri secara berkala dan mengunggah data ke bucket Amazon Simple Storage Service (Amazon S3).
+ Jika node sebelumnya dikonfigurasi untuk melaporkan tipe data inventaris tertentu, misalnya`AWS:Network`, dan kemudian Anda mengubah konfigurasi untuk berhenti mengumpulkan jenis itu, jumlah agregasi masih menampilkan `AWS:Network` data sampai node telah dihentikan dan 30 hari telah berlalu.

Untuk informasi tentang cara mengonfigurasi dan mengumpulkan data inventaris dengan cepat dari semua node dalam node tertentu Akun AWS (dan node masa depan apa pun yang mungkin dibuat di akun itu), lihat[Inventarisasi semua node terkelola di Akun AWS](inventory-collection.md#inventory-management-inventory-all).

**Topics**
+ [Menggabungkan data inventaris untuk melihat jumlah node yang mengumpulkan tipe data tertentu](#inventory-aggregate-type)
+ [Menggabungkan data inventaris dengan grup untuk melihat node mana yang dan tidak dikonfigurasi untuk mengumpulkan jenis inventaris](#inventory-aggregate-groups)

## Menggabungkan data inventaris untuk melihat jumlah node yang mengumpulkan tipe data tertentu
<a name="inventory-aggregate-type"></a>

Anda dapat menggunakan operasi AWS Systems Manager [GetInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetInventory.html)API untuk melihat jumlah agregat node yang mengumpulkan satu atau beberapa tipe inventaris dan tipe data. Misalnya, jenis `AWS:InstanceInformation` inventaris memungkinkan Anda untuk melihat agregat sistem operasi dengan menggunakan operasi GetInventory API dengan tipe `AWS:InstanceInformation.PlatformType` data. Berikut adalah contoh AWS CLI perintah dan output.

```
aws ssm get-inventory --aggregators "Expression=AWS:InstanceInformation.PlatformType"
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "Entities":[
      {
         "Data":{
            "AWS:InstanceInformation":{
               "Content":[
                  {
                     "Count":"7",
                     "PlatformType":"windows"
                  },
                  {
                     "Count":"5",
                     "PlatformType":"linux"
                  }
               ]
            }
         }
      }
   ]
}
```

**Memulai**  
Tentukan jenis inventaris dan jenis data yang Anda ingin lihat jumlahnya. Anda dapat melihat daftar tipe inventaris dan tipe data yang mendukung agregasi dengan menjalankan perintah berikut di AWS CLI.

```
aws ssm get-inventory-schema --aggregator
```

Perintah menampilkan daftar JSON dari jenis inventaris dan jenis data yang mendukung pengumpulan. **TypeName**Bidang menunjukkan jenis inventaris yang didukung. Sedangkan bidang **Nama** menunjukkan setiap jenis data. Misalnya, dalam daftar berikut, jenis `AWS:Application` inventaris mencakup tipe data untuk `Name` dan`Version`.

```
{
    "Schemas": [
        {
            "TypeName": "AWS:Application",
            "Version": "1.1",
            "DisplayName": "Application",
            "Attributes": [
                {
                    "DataType": "STRING",
                    "Name": "Name"
                },
                {
                    "DataType": "STRING",
                    "Name": "Version"
                }
            ]
        },
        {
            "TypeName": "AWS:InstanceInformation",
            "Version": "1.0",
            "DisplayName": "Platform",
            "Attributes": [
                {
                    "DataType": "STRING",
                    "Name": "PlatformName"
                },
                {
                    "DataType": "STRING",
                    "Name": "PlatformType"
                },
                {
                    "DataType": "STRING",
                    "Name": "PlatformVersion"
                }
            ]
        },
        {
            "TypeName": "AWS:ResourceGroup",
            "Version": "1.0",
            "DisplayName": "ResourceGroup",
            "Attributes": [
                {
                    "DataType": "STRING",
                    "Name": "Name"
                }
            ]
        },
        {
            "TypeName": "AWS:Service",
            "Version": "1.0",
            "DisplayName": "Service",
            "Attributes": [
                {
                    "DataType": "STRING",
                    "Name": "Name"
                },
                {
                    "DataType": "STRING",
                    "Name": "DisplayName"
                },
                {
                    "DataType": "STRING",
                    "Name": "ServiceType"
                },
                {
                    "DataType": "STRING",
                    "Name": "Status"
                },
                {
                    "DataType": "STRING",
                    "Name": "StartType"
                }
            ]
        },
        {
            "TypeName": "AWS:WindowsRole",
            "Version": "1.0",
            "DisplayName": "WindowsRole",
            "Attributes": [
                {
                    "DataType": "STRING",
                    "Name": "Name"
                },
                {
                    "DataType": "STRING",
                    "Name": "DisplayName"
                },
                {
                    "DataType": "STRING",
                    "Name": "FeatureType"
                },
                {
                    "DataType": "STRING",
                    "Name": "Installed"
                }
            ]
        }
    ]
}
```

Anda dapat menggabungkan data untuk salah satu jenis inventaris yang terdaftar dengan membuat perintah yang menggunakan sintaks berikut.

```
aws ssm get-inventory --aggregators "Expression=InventoryType.DataType"
```

Berikut ini adalah beberapa contoh.

**Contoh 1**

Contoh ini menggabungkan hitungan peran Windows yang digunakan oleh node Anda.

```
aws ssm get-inventory --aggregators "Expression=AWS:WindowsRole.Name"
```

**Contoh 2**

Contoh ini menggabungkan hitungan aplikasi yang diinstal pada node Anda.

```
aws ssm get-inventory --aggregators "Expression=AWS:Application.Name"
```

**Menggabungkan beberapa agregator**  
Anda juga dapat menggabungkan beberapa jenis inventaris dan jenis data dalam satu perintah untuk membantu Anda memahami data dengan lebih baik. Berikut ini adalah beberapa contoh.

**Contoh 1**

Contoh ini menggabungkan hitungan jenis sistem operasi yang digunakan oleh node Anda. Ia juga menampilkan nama tertentu dari sistem operasi.

```
aws ssm get-inventory --aggregators '[{"Expression": "AWS:InstanceInformation.PlatformType", "Aggregators":[{"Expression": "AWS:InstanceInformation.PlatformName"}]}]'
```

**Contoh 2**

Contoh ini menggabungkan hitungan aplikasi yang berjalan pada node Anda dan versi spesifik dari setiap aplikasi.

```
aws ssm get-inventory --aggregators '[{"Expression": "AWS:Application.Name", "Aggregators":[{"Expression": "AWS:Application.Version"}]}]'
```

Jika mau, Anda dapat membuat ekspresi pengumpulan dengan satu atau beberapa jenis inventaris dan jenis data dalam file JSON dan memanggil file dari AWS CLI. JSON dalam file harus menggunakan sintaks berikut.

```
[
       {
           "Expression": "string",
           "Aggregators": [
               {
                  "Expression": "string"
               }
           ]
       }
]
```

Anda harus menyimpan file dengan ekstensi file. json. 

Berikut adalah contoh yang menggunakan beberapa jenis inventaris dan jenis data.

```
[
       {
           "Expression": "AWS:Application.Name",
           "Aggregators": [
               {
                   "Expression": "AWS:Application.Version",
                   "Aggregators": [
                     {
                     "Expression": "AWS:InstanceInformation.PlatformType"
                     }
                   ]
               }
           ]
       }
]
```

Gunakan perintah berikut untuk memanggil file dari AWS CLI. 

```
aws ssm get-inventory --aggregators file://file_name.json
```

Perintah tersebut mengembalikan informasi seperti berikut.

```
{"Entities": 
 [
   {"Data": 
     {"AWS:Application": 
       {"Content": 
         [
           {"Count": "3", 
            "PlatformType": "linux", 
            "Version": "2.6.5", 
            "Name": "audit-libs"}, 
           {"Count": "2", 
            "PlatformType": "windows", 
            "Version": "2.6.5", 
            "Name": "audit-libs"}, 
           {"Count": "4", 
            "PlatformType": "windows", 
            "Version": "6.2.8", 
            "Name": "microsoft office"}, 
           {"Count": "2", 
            "PlatformType": "windows", 
            "Version": "2.6.5", 
            "Name": "chrome"}, 
           {"Count": "1", 
            "PlatformType": "linux", 
            "Version": "2.6.5", 
            "Name": "chrome"}, 
           {"Count": "2", 
            "PlatformType": "linux", 
            "Version": "6.3", 
            "Name": "authconfig"}
         ]
       }
     }, 
    "ResourceType": "ManagedInstance"}
 ]
}
```

## Menggabungkan data inventaris dengan grup untuk melihat node mana yang dan tidak dikonfigurasi untuk mengumpulkan jenis inventaris
<a name="inventory-aggregate-groups"></a>

Grup dalam Systems Manager Inventory memungkinkan Anda untuk dengan cepat melihat hitungan node terkelola mana dan tidak dikonfigurasi untuk mengumpulkan satu atau beberapa jenis inventaris. Dengan grup, Anda menentukan satu atau beberapa jenis inventaris dan filter yang menggunakan operator `exists`.

Misalnya, Anda memiliki empat node terkelola yang dikonfigurasi untuk mengumpulkan jenis inventaris berikut:
+ Simpul 1: `AWS:Application`
+ Simpul 2: `AWS:File`
+ Simpul 3:`AWS:Application`, `AWS:File`
+ Simpul 4: `AWS:Network`

Anda dapat menjalankan perintah berikut dari AWS CLI untuk melihat berapa banyak node dikonfigurasi untuk mengumpulkan kedua `AWS:Application` dan `AWS:File inventory` jenis. Respons juga mengembalikan hitungan berapa banyak node yang tidak dikonfigurasi untuk mengumpulkan kedua jenis inventaris ini.

```
aws ssm get-inventory --aggregators 'Groups=[{Name=ApplicationAndFile,Filters=[{Key=TypeName,Values=[AWS:Application],Type=Exists},{Key=TypeName,Values=[AWS:File],Type=Exists}]}]'
```

Respons perintah menunjukkan bahwa hanya satu node terkelola yang dikonfigurasi untuk mengumpulkan tipe `AWS:Application` dan `AWS:File` inventaris.

```
{
   "Entities":[
      {
         "Data":{
            "ApplicationAndFile":{
               "Content":[
                  {
                     "notMatchingCount":"3"
                  },
                  {
                     "matchingCount":"1"
                  }
               ]
            }
         }
      }
   ]
}
```

**catatan**  
Grup tidak menampilkan jumlah jenis data. Selain itu, Anda tidak dapat menelusuri hasil untuk melihat node IDs yang dikonfigurasi atau tidak untuk mengumpulkan jenis inventaris.

Jika mau, Anda dapat membuat ekspresi pengumpulan dengan satu atau beberapa jenis inventaris dalam file JSON dan memanggil file dari AWS CLI. JSON dalam file harus menggunakan sintaks berikut:

```
{
   "Aggregators":[
      {
         "Groups":[
            {
               "Name":"Name",
               "Filters":[
                  {
                     "Key":"TypeName",
                     "Values":[
                        "Inventory_type"
                     ],
                     "Type":"Exists"
                  },
                  {
                     "Key":"TypeName",
                     "Values":[
                        "Inventory_type"
                     ],
                     "Type":"Exists"
                  }
               ]
            }
         ]
      }
   ]
}
```

Anda harus menyimpan file dengan ekstensi file. json. 

Gunakan perintah berikut untuk memanggil file dari AWS CLI. 

```
aws ssm get-inventory --cli-input-json file://file_name.json
```

**Contoh tambahan**  
Contoh berikut menunjukkan cara menggabungkan data inventaris untuk melihat node terkelola mana yang dan tidak dikonfigurasi untuk mengumpulkan jenis inventaris yang ditentukan. Contoh-contoh ini menggunakan AWS CLI. Setiap contoh mencakup perintah lengkap dengan filter yang dapat Anda jalankan dari baris perintah dan sampel file input.json jika Anda lebih memilih untuk memasukkan informasi dalam file.

**Contoh 1**

Contoh ini menggabungkan jumlah node yang sedang dan tidak dikonfigurasi untuk mengumpulkan jenis `AWS:Application` atau `AWS:File` inventaris.

Jalankan perintah berikut dari AWS CLI.

```
aws ssm get-inventory --aggregators 'Groups=[{Name=ApplicationORFile,Filters=[{Key=TypeName,Values=[AWS:Application, AWS:File],Type=Exists}]}]'
```

Jika Anda lebih memilih untuk menggunakan file, salin dan tempelkan sampel berikut ke dalam file dan simpan sebagai input.json.

```
{
   "Aggregators":[
      {
         "Groups":[
            {
               "Name":"ApplicationORFile",
               "Filters":[
                  {
                     "Key":"TypeName",
                     "Values":[
                        "AWS:Application",
                        "AWS:File"
                     ],
                     "Type":"Exists"
                  }
               ]
            }
         ]
      }
   ]
}
```

Jalankan perintah berikut dari AWS CLI.

```
aws ssm get-inventory --cli-input-json file://input.json
```

Perintah tersebut mengembalikan informasi seperti berikut.

```
{
   "Entities":[
      {
         "Data":{
            "ApplicationORFile":{
               "Content":[
                  {
                     "notMatchingCount":"1"
                  },
                  {
                     "matchingCount":"3"
                  }
               ]
            }
         }
      }
   ]
}
```

**Contoh 2**

Contoh ini menggabungkan jumlah node yang sedang dan tidak dikonfigurasi untuk mengumpulkan`AWS:Application`,`AWS:File`, dan jenis `AWS:Network` inventaris.

Jalankan perintah berikut dari AWS CLI.

```
aws ssm get-inventory --aggregators 'Groups=[{Name=Application,Filters=[{Key=TypeName,Values=[AWS:Application],Type=Exists}]}, {Name=File,Filters=[{Key=TypeName,Values=[AWS:File],Type=Exists}]}, {Name=Network,Filters=[{Key=TypeName,Values=[AWS:Network],Type=Exists}]}]'
```

Jika Anda lebih memilih untuk menggunakan file, salin dan tempelkan sampel berikut ke dalam file dan simpan sebagai input.json.

```
{
   "Aggregators":[
      {
         "Groups":[
            {
               "Name":"Application",
               "Filters":[
                  {
                     "Key":"TypeName",
                     "Values":[
                        "AWS:Application"
                     ],
                     "Type":"Exists"
                  }
               ]
            },
            {
               "Name":"File",
               "Filters":[
                  {
                     "Key":"TypeName",
                     "Values":[
                        "AWS:File"
                     ],
                     "Type":"Exists"
                  }
               ]
            },
            {
               "Name":"Network",
               "Filters":[
                  {
                     "Key":"TypeName",
                     "Values":[
                        "AWS:Network"
                     ],
                     "Type":"Exists"
                  }
               ]
            }
         ]
      }
   ]
}
```

Jalankan perintah berikut dari AWS CLI.

```
aws ssm get-inventory --cli-input-json file://input.json
```

Perintah tersebut mengembalikan informasi seperti berikut.

```
{
   "Entities":[
      {
         "Data":{
            "Application":{
               "Content":[
                  {
                     "notMatchingCount":"2"
                  },
                  {
                     "matchingCount":"2"
                  }
               ]
            },
            "File":{
               "Content":[
                  {
                     "notMatchingCount":"2"
                  },
                  {
                     "matchingCount":"2"
                  }
               ]
            },
            "Network":{
               "Content":[
                  {
                     "notMatchingCount":"3"
                  },
                  {
                     "matchingCount":"1"
                  }
               ]
            }
         }
      }
   ]
}
```

# Menggunakan inventaris kustom
<a name="inventory-custom"></a>

*Anda dapat menetapkan metadata apa pun yang Anda inginkan ke node Anda dengan membuat AWS Systems Manager inventaris kustom Inventaris.* Misalnya, katakanlah Anda mengelola sejumlah besar server di rak di pusat data Anda, dan server ini telah dikonfigurasi sebagai node yang dikelola Systems Manager. Saat ini, Anda menyimpan informasi tentang lokasi rak server di lembar kerja. Dengan inventaris khusus, Anda dapat menentukan lokasi rak setiap node sebagai metadata pada node. Ketika Anda mengumpulkan inventaris dengan menggunakan Systems Manager, metadata dikumpulkan dengan metadata inventaris lainnya. Anda kemudian dapat mentransfer semua metadata inventaris ke bucket Amazon S3 sentral dengan menggunakan [sinkronisasi data sumber daya](inventory-resource-data-sync.html) dan mengkueri data.

**catatan**  
Systems Manager mendukung maksimum 20 jenis inventaris kustom per Akun AWS.

Untuk menetapkan inventaris kustom ke node, Anda dapat menggunakan operasi Systems Manager [PutInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutInventory.html)API, seperti yang dijelaskan dalam[Menetapkan metadata inventaris khusus ke node terkelola](inventory-custom-metadata.md). Atau, Anda dapat membuat file JSON inventaris khusus dan mengunggahnya ke node. Bagian ini menjelaskan cara membuat file JSON.

Contoh file JSON dengan inventaris kustom berikut menentukan informasi rak tentang server on-premise. Contoh ini menentukan salah satu jenis dari data inventaris kustom (`"TypeName": "Custom:RackInformation"`), dengan beberapa entri di bawah `Content` yang menjelaskan data.

```
{
    "SchemaVersion": "1.0",
    "TypeName": "Custom:RackInformation",
    "Content": {
        "Location": "US-EAST-02.CMH.RACK1",
        "InstalledTime": "2016-01-01T01:01:01Z",
        "vendor": "DELL",
        "Zone" : "BJS12",
        "TimeZone": "UTC-8"
      }
 }
```

Anda juga dapat menetapkan entri yang berbeda di bagian `Content`, seperti yang ditunjukkan dalam contoh berikut.

```
{
"SchemaVersion": "1.0",
"TypeName": "Custom:PuppetModuleInfo",
    "Content": [{
        "Name": "puppetlabs/aws",
        "Version": "1.0"
      },
      {
        "Name": "puppetlabs/dsc",
        "Version": "2.0"
      }
    ]
}
```

Skema JSON untuk inventaris kustom membutuhkan`SchemaVersion`,`TypeName`, dan `Content` bagian, tetapi Anda dapat menentukan informasi di bagian tersebut.

```
{
    "SchemaVersion": "user_defined",
    "TypeName": "Custom:user_defined",
    "Content": {
        "user_defined_attribute1": "user_defined_value1",
        "user_defined_attribute2": "user_defined_value2",
        "user_defined_attribute3": "user_defined_value3",
        "user_defined_attribute4": "user_defined_value4"
      }
 }
```

Nilai `TypeName` dibatasi hingga 100 karakter. Juga, `TypeName` nilainya harus dimulai dengan kata `Custom` yang dikapitalisasi. Misalnya, `Custom:PuppetModuleInfo`. Oleh karena itu, contoh berikut akan menghasilkan pengecualian:`CUSTOM:PuppetModuleInfo`,`custom:PuppetModuleInfo`. 

`Content`Bagian ini mencakup atribut dan*data*. Item ini tidak sensitif terhadap huruf besar atau kecil. Namun, jika Anda mendefinisikan atribut (misalnya: "`Vendor`“: “DELL”), maka Anda harus secara konsisten mereferensikan atribut ini dalam file inventaris khusus Anda. Jika Anda menentukan "`Vendor`“: “DELL” (menggunakan huruf besar “V” dalam`vendor`) dalam satu file, dan kemudian Anda menentukan "`vendor`“: “DELL” (menggunakan huruf kecil “v” in`vendor`) di file lain, sistem mengembalikan kesalahan.

**catatan**  
Anda harus menyimpan file dengan `.json` ekstensi dan inventaris yang Anda tentukan harus hanya terdiri dari nilai string.

Setelah Anda membuat file, Anda harus menyimpannya di node. Tabel berikut menunjukkan lokasi di mana file JSON inventaris kustom harus disimpan pada node.


****  

| Sistem operasi | Jalur | 
| --- | --- | 
|  Linux  |  //var/lib/amazon/ssm/*node-id*persediaan/kustom  | 
|  macOS  |  `/opt/aws/ssm/data/node-id/inventory/custom`  | 
|  Windows Server  |  %SystemDrive%\$1ProgramData\$1 Amazon\$1 SSM\$1\$1InstanceData\$1 inventaris*node-id*\$1 kustom  | 

Untuk contoh cara menggunakan inventaris kustom, lihat [Mendapatkan Manfaat Disk dari Armada Anda Menggunakan Jenis Inventaris Kustom Systems Manager EC2](https://aws.amazon.com/blogs/mt/get-disk-utilization-of-your-fleet-using-ec2-systems-manager-custom-inventory-types/).

## Penghapusan inventaris kustom
<a name="delete-custom-inventory"></a>

Anda dapat menggunakan operasi [DeleteInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteInventory.html)API untuk menghapus jenis inventaris khusus dan data yang terkait dengan jenis tersebut. Anda memanggil perintah delete-inventory dengan menggunakan AWS Command Line Interface (AWS CLI) untuk menghapus semua data untuk jenis inventaris. Anda memanggil perintah delete-inventory dengan `SchemaDeleteOption` untuk menghapus jenis inventaris kustom.

**catatan**  
Jenis inventaris juga disebut skema inventaris.

Parameter `SchemaDeleteOption` mencakup pilihan berikut:
+ **DeleteSchema**: Opsi ini menghapus jenis kustom yang ditentukan dan semua data yang terkait dengannya. Anda dapat membuat ulang skema nantinya, jika Anda menginginkannya.
+ **DisableSchema**: Jika Anda memilih opsi ini, sistem mematikan versi saat ini, menghapus semua data untuk itu, dan mengabaikan semua data baru jika versi kurang dari atau sama dengan versi yang dimatikan. Anda dapat mengizinkan jenis inventaris ini lagi dengan memanggil [PutInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutInventory.html)tindakan untuk versi yang lebih besar dari versi yang dimatikan.

**Untuk menghapus atau mematikan inventaris kustom dengan menggunakan AWS CLI**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk menggunakan pilihan `dry-run` untuk melihat data mana yang akan dihapus dari sistem. Perintah ini tidak menghapus data apa pun.

   ```
   aws ssm delete-inventory --type-name "Custom:custom_type_name" --dry-run
   ```

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "DeletionSummary":{
         "RemainingCount":3,
         "SummaryItems":[
            {
               "Count":2,
               "RemainingCount":2,
               "Version":"1.0"
            },
            {
               "Count":1,
               "RemainingCount":1,
               "Version":"2.0"
            }
         ],
         "TotalCount":3
      },
      "TypeName":"Custom:custom_type_name"
   }
   ```

   Untuk informasi tentang cara memahami ringkasan inventaris penghapusan, lihat [Memahami ringkasan inventaris penghapusan](#delete-custom-inventory-summary).

1. Jalankan perintah berikut untuk menghapus semua data untuk jenis inventaris kustom.

   ```
   aws ssm delete-inventory --type-name "Custom:custom_type_name"
   ```
**catatan**  
Output dari perintah ini tidak menunjukkan progres penghapusan. Untuk alasan ini, TotalCount dan Hitungan Sisa selalu sama karena sistem belum menghapus apa pun. Anda dapat menggunakan describe-inventory-deletions perintah untuk menunjukkan kemajuan penghapusan, seperti yang dijelaskan nanti dalam topik ini.

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "DeletionId":"system_generated_deletion_ID",
      "DeletionSummary":{
         "RemainingCount":3,
         "SummaryItems":[
            {
               "Count":2,
               "RemainingCount":2,
               "Version":"1.0"
            },
            {
               "Count":1,
               "RemainingCount":1,
               "Version":"2.0"
            }
         ],
         "TotalCount":3
      },
      "TypeName":"custom_type_name"
   }
   ```

   Sistem menghapus semua data untuk jenis inventaris kustom tertentu dari layanan Inventaris Systems Manager. 

1. Jalankan perintah berikut. Perintah melakukan tindakan berikut untuk versi saat ini dari jenis inventaris: menonaktifkan versi saat ini, menghapus semua data untuknya, dan mengabaikan semua data baru jika versinya kurang dari atau setara dengan versi yang dinonaktifkan. 

   ```
   aws ssm delete-inventory --type-name "Custom:custom_type_name" --schema-delete-option "DisableSchema"
   ```

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "DeletionId":"system_generated_deletion_ID",
      "DeletionSummary":{
         "RemainingCount":3,
         "SummaryItems":[
            {
               "Count":2,
               "RemainingCount":2,
               "Version":"1.0"
            },
            {
               "Count":1,
               "RemainingCount":1,
               "Version":"2.0"
            }
         ],
         "TotalCount":3
      },
      "TypeName":"Custom:custom_type_name"
   }
   ```

   Anda dapat melihat jenis inventaris yang dinonaktifkan dengan menggunakan perintah berikut.

   ```
   aws ssm get-inventory-schema --type-name Custom:custom_type_name
   ```

1. Jalankan perintah berikut untuk menghapus jenis inventaris.

   ```
   aws ssm delete-inventory --type-name "Custom:custom_type_name" --schema-delete-option "DeleteSchema"
   ```

   Sistem menghapus skema dan semua data inventaris untuk jenis kustom tertentu.

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "DeletionId":"system_generated_deletion_ID",
      "DeletionSummary":{
         "RemainingCount":3,
         "SummaryItems":[
            {
               "Count":2,
               "RemainingCount":2,
               "Version":"1.0"
            },
            {
               "Count":1,
               "RemainingCount":1,
               "Version":"2.0"
            }
         ],
         "TotalCount":3
      },
      "TypeName":"Custom:custom_type_name"
   }
   ```

### Melihat status penghapusan
<a name="delete-custom-inventory-status"></a>

Anda dapat memeriksa status operasi hapus dengan menggunakan `describe-inventory-deletions` AWS CLI perintah. Anda dapat menentukan ID penghapusan untuk melihat status operasi penghapusan tertentu. Atau, Anda dapat menghilangkan ID penghapusan untuk melihat daftar semua penghapusan yang dijalankan dalam 30 hari terakhir.

****

1. Jalankan perintah berikut untuk melihat status operasi penghapusan. Sistem menampilkan ID penghapusan dalam ringkasan delete-inventory.

   ```
   aws ssm describe-inventory-deletions --deletion-id system_generated_deletion_ID
   ```

   Sistem menampilkan status terbaru. Operasi penghapusan mungkin belum selesai. Sistem mengembalikan informasi seperti berikut.

   ```
   {"InventoryDeletions": 
     [
       {"DeletionId": "system_generated_deletion_ID", 
        "DeletionStartTime": 1521744844, 
        "DeletionSummary": 
         {"RemainingCount": 1, 
          "SummaryItems": 
           [
             {"Count": 1, 
              "RemainingCount": 1, 
              "Version": "1.0"}
           ], 
          "TotalCount": 1}, 
        "LastStatus": "InProgress", 
        "LastStatusMessage": "The Delete is in progress", 
        "LastStatusUpdateTime": 1521744844, 
        "TypeName": "Custom:custom_type_name"}
     ]
   }
   ```

   Jika operasi penghapusan berhasil, `LastStatusMessage` menyatakan: Penghapusan berhasil.

   ```
   {"InventoryDeletions": 
     [
       {"DeletionId": "system_generated_deletion_ID", 
        "DeletionStartTime": 1521744844, 
        "DeletionSummary": 
         {"RemainingCount": 0, 
          "SummaryItems": 
           [
             {"Count": 1, 
              "RemainingCount": 0, 
              "Version": "1.0"}
           ], 
          "TotalCount": 1}, 
        "LastStatus": "Complete", 
        "LastStatusMessage": "Deletion is successful", 
        "LastStatusUpdateTime": 1521745253, 
        "TypeName": "Custom:custom_type_name"}
     ]
   }
   ```

1. Jalankan perintah berikut untuk melihat daftar dari semua penghapusan yang dijalankan dalam 30 hari terakhir.

   ```
   aws ssm describe-inventory-deletions --max-results a number
   ```

   ```
   {"InventoryDeletions": 
     [
       {"DeletionId": "system_generated_deletion_ID", 
        "DeletionStartTime": 1521682552, 
        "DeletionSummary": 
         {"RemainingCount": 0, 
          "SummaryItems": 
           [
             {"Count": 1, 
              "RemainingCount": 0, 
              "Version": "1.0"}
           ], 
          "TotalCount": 1}, 
        "LastStatus": "Complete", 
        "LastStatusMessage": "Deletion is successful", 
        "LastStatusUpdateTime": 1521682852, 
        "TypeName": "Custom:custom_type_name"}, 
       {"DeletionId": "system_generated_deletion_ID", 
        "DeletionStartTime": 1521744844, 
        "DeletionSummary": 
         {"RemainingCount": 0, 
          "SummaryItems": 
           [
             {"Count": 1, 
              "RemainingCount": 0, 
              "Version": "1.0"}
           ], 
          "TotalCount": 1}, 
        "LastStatus": "Complete", 
        "LastStatusMessage": "Deletion is successful", 
        "LastStatusUpdateTime": 1521745253, 
        "TypeName": "Custom:custom_type_name"}, 
       {"DeletionId": "system_generated_deletion_ID", 
        "DeletionStartTime": 1521680145, 
        "DeletionSummary": 
         {"RemainingCount": 0, 
          "SummaryItems": 
           [
             {"Count": 1, 
              "RemainingCount": 0, 
              "Version": "1.0"}
           ], 
          "TotalCount": 1}, 
        "LastStatus": "Complete", 
        "LastStatusMessage": "Deletion is successful", 
        "LastStatusUpdateTime": 1521680471, 
        "TypeName": "Custom:custom_type_name"}
     ], 
    "NextToken": "next-token"
   ```

### Memahami ringkasan inventaris penghapusan
<a name="delete-custom-inventory-summary"></a>

Untuk membantu Anda memahami konten ringkasan inventaris penghapusan, pertimbangkan contoh berikut. Seorang pengguna menetapkan Custom: RackSpace inventaris ke tiga node. Item inventaris 1 dan 2 menggunakan tipe khusus versi 1.0 (” SchemaVersion “:"1.0"). Inventaris item 3 menggunakan tipe kustom versi 2.0 (” SchemaVersion “:"2.0").

RackSpace inventaris kustom 1

```
{
   "CaptureTime":"2018-02-19T10:48:55Z",
   "TypeName":"CustomType:RackSpace",
   "InstanceId":"i-1234567890",
   "SchemaVersion":"1.0"   "Content":[
      {
         content of custom type omitted
      }
   ]
}
```

RackSpace inventaris kustom 2

```
{
   "CaptureTime":"2018-02-19T10:48:55Z",
   "TypeName":"CustomType:RackSpace",
   "InstanceId":"i-1234567891",
   "SchemaVersion":"1.0"   "Content":[
      {
         content of custom type omitted
      }
   ]
}
```

RackSpace inventaris kustom 3

```
{
   "CaptureTime":"2018-02-19T10:48:55Z",
   "TypeName":"CustomType:RackSpace",
   "InstanceId":"i-1234567892",
   "SchemaVersion":"2.0"   "Content":[
      {
         content of custom type omitted
      }
   ]
}
```

Pengguna menjalankan perintah berikut untuk mem-pratinjau data yang akan dihapus.

```
aws ssm delete-inventory --type-name "Custom:RackSpace" --dry-run
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "DeletionId":"1111-2222-333-444-66666",
   "DeletionSummary":{
      "RemainingCount":3,           
      "TotalCount":3,             
                TotalCount and RemainingCount are the number of items that would be deleted if this was not a dry run. These numbers are the same because the system didn't delete anything.
      "SummaryItems":[
         {
            "Count":2,             The system found two items that use SchemaVersion 1.0. Neither item was deleted.           
            "RemainingCount":2,
            "Version":"1.0"
         },
         {
            "Count":1,             The system found one item that uses SchemaVersion 1.0. This item was not deleted.
            "RemainingCount":1,
            "Version":"2.0"
         }
      ],

   },
   "TypeName":"Custom:RackSpace"
}
```

Pengguna menjalankan perintah berikut untuk menghapus Custom: RackSpace inventory. 

**catatan**  
Output dari perintah ini tidak menunjukkan progres penghapusan. Untuk alasan ini, `TotalCount` dan `RemainingCount` selalu sama karena sistem belum menghapus apa pun. Anda dapat menggunakan `describe-inventory-deletions` perintah untuk menunjukkan kemajuan penghapusan.

```
aws ssm delete-inventory --type-name "Custom:RackSpace"
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "DeletionId":"1111-2222-333-444-7777777",
   "DeletionSummary":{
      "RemainingCount":3,           There are three items to delete
      "SummaryItems":[
         {
            "Count":2,              The system found two items that use SchemaVersion 1.0.
            "RemainingCount":2,     
            "Version":"1.0"
         },
         {
            "Count":1,              The system found one item that uses SchemaVersion 2.0.
            "RemainingCount":1,     
            "Version":"2.0"
         }
      ],
      "TotalCount":3                
   },
   "TypeName":"RackSpace"
}
```

### Melihat tindakan penghapusan inventaris di EventBridge
<a name="delete-custom-inventory-cwe"></a>

Anda dapat mengonfigurasi Amazon EventBridge untuk membuat acara kapan saja pengguna menghapus inventaris khusus. EventBridge menawarkan tiga jenis acara untuk operasi penghapusan inventaris khusus:
+ **Hapus tindakan untuk sebuah instance**: Jika inventaris khusus untuk node terkelola tertentu berhasil dihapus atau tidak. 
+ **Menghapus ringkasan tindakan**: Ringkasan tindakan penghapusan.
+ **Peringatan untuk jenis inventaris kustom yang dimatikan**: Peristiwa peringatan jika pengguna memanggil operasi [PutInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutInventory.html)API untuk versi tipe inventaris khusus yang sebelumnya dimatikan.

Berikut adalah contoh dari setiap acara.

**Hapus tindakan untuk sebuah instance**

```
{
   "version":"0",
   "id":"998c9cde-56c0-b38b-707f-0411b3ff9d11",
   "detail-type":"Inventory Resource State Change",
   "source":"aws.ssm",
   "account":"478678815555",
   "time":"2018-05-24T22:24:34Z",
   "region":"us-east-1",
   "resources":[
      "arn:aws:ssm:us-east-1:478678815555:managed-instance/i-0a5feb270fc3f0b97"
   ],
   "detail":{
      "action-status":"succeeded",
      "action":"delete",
      "resource-type":"managed-instance",
      "resource-id":"i-0a5feb270fc3f0b97",
      "action-reason":"",
      "type-name":"Custom:MyInfo"
   }
}
```

**Hapus ringkasan tindakan**

```
{
   "version":"0",
   "id":"83898300-f576-5181-7a67-fb3e45e4fad4",
   "detail-type":"Inventory Resource State Change",
   "source":"aws.ssm",
   "account":"478678815555",
   "time":"2018-05-24T22:28:25Z",
   "region":"us-east-1",
   "resources":[

   ],
   "detail":{
      "action-status":"succeeded",
      "action":"delete-summary",
      "resource-type":"managed-instance",
      "resource-id":"",
      "action-reason":"The delete for type name Custom:MyInfo was completed. The deletion summary is: {\"totalCount\":2,\"remainingCount\":0,\"summaryItems\":[{\"version\":\"1.0\",\"count\":2,\"remainingCount\":0}]}",
      "type-name":"Custom:MyInfo"
   }
}
```

**Peringatan untuk jenis inventaris khusus yang dimatikan**

```
{
   "version":"0",
   "id":"49c1855c-9c57-b5d7-8518-b64aeeef5e4a",
   "detail-type":"Inventory Resource State Change",
   "source":"aws.ssm",
   "account":"478678815555",
   "time":"2018-05-24T22:46:58Z",
   "region":"us-east-1",
   "resources":[
      "arn:aws:ssm:us-east-1:478678815555:managed-instance/i-0ee2d86a2cfc371f6"
   ],
   "detail":{
      "action-status":"failed",
      "action":"put",
      "resource-type":"managed-instance",
      "resource-id":"i-0ee2d86a2cfc371f6",
      "action-reason":"The inventory item with type name Custom:MyInfo was sent with a disabled schema version 1.0. You must send a version greater than 1.0",
      "type-name":"Custom:MyInfo"
   }
}
```

Gunakan prosedur berikut untuk membuat EventBridge aturan untuk operasi penghapusan inventaris kustom. Prosedur ini menunjukkan cara untuk membuat aturan yang mengirimkan notifikasi untuk operasi penghapusan inventaris kustom ke topik Amazon SNS. Sebelum memulai, pastikan Anda memiliki topik Amazon SNS, atau buat yang baru. Untuk informasi lebih lanjut, lihat [Memulai](https://docs.aws.amazon.com/sns/latest/dg/GettingStarted.html) di *Panduan Developer Amazon Simple Notification Service*.

**Mengkonfigurasi EventBridge untuk menghapus operasi inventaris**

1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Di panel navigasi, pilih **Aturan**.

1. Pilih **Buat aturan**.

1. Masukkan nama dan deskripsi untuk aturan.

   Aturan tidak boleh memiliki nama yang sama dengan aturan lain di Wilayah yang sama dan di bus kejadian yang sama.

1. Untuk **bus acara**, pilih bus acara yang ingin Anda kaitkan dengan aturan ini. Jika Anda ingin aturan ini merespons peristiwa pencocokan yang berasal dari Anda sendiri Akun AWS, pilih **default**. Ketika Layanan AWS di akun Anda memancarkan acara, itu selalu masuk ke bus acara default akun Anda.

1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.

1. Pilih **Selanjutnya**.

1. Untuk **sumber Acara**, pilih **AWS acara atau acara EventBridge mitra**.

1. Di bagian **Pola acara**, pilih **Formulir pola acara**.

1. Untuk **Sumber peristiwa**, pilih **Layanan AWS **.

1. Untuk **AWS layanan**, pilih **Systems Manager**.

1. Untuk **Jenis peristiwa**, pilih **Inventaris**.

1. Untuk **jenis detail spesifik**, pilih **Perubahan Status Sumber Daya Inventaris**.

1. Pilih **Berikutnya**.

1. Untuk **Jenis target**, pilih **Layanan AWS **.

1. Untuk **Pilih target**, pilih **topik SNS**, lalu untuk **Topik, pilih topik** Anda.

1. Di bagian **Pengaturan tambahan**, untuk **Konfigurasi input target**, verifikasi bahwa **Peristiwa yang cocok** dipilih.

1. Pilih **Berikutnya**.

1. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat [Menandai EventBridge Sumber Daya Amazon Anda](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html) di *Panduan EventBridge Pengguna Amazon*.

1. Pilih **Berikutnya**.

1. Tinjau detail aturan dan pilih **Buat aturan**.

# Melihat riwayat inventaris dan pelacakan perubahan
<a name="inventory-history"></a>

Anda dapat melihat riwayat AWS Systems Manager Inventaris dan mengubah pelacakan untuk semua node terkelola dengan menggunakan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/). AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu. Untuk melihat riwayat inventaris dan mengubah pelacakan, Anda harus mengaktifkan sumber daya berikut di AWS Config: 
+ SSM: ManagedInstanceInventory
+ SSM: PatchCompliance
+ SSM: AssociationCompliance
+ SSM: FileData

**catatan**  
Perhatikan detail penting berikut tentang riwayat Inventaris dan pelacakan perubahan:  
Jika Anda menggunakan AWS Config untuk melacak perubahan dalam sistem Anda, Anda harus mengkonfigurasi Systems Manager Inventory untuk mengumpulkan `AWS:File` metadata sehingga Anda dapat melihat perubahan file di AWS Config ()`SSM:FileData`. Jika tidak, maka AWS Config tidak melacak perubahan file pada sistem Anda.
Dengan mengaktifkan SSM: PatchCompliance dan SSM:AssociationCompliance, Anda dapat melihat Patch Manager penambalan Systems Manager dan riwayat kepatuhan State Manager asosiasi Systems Manager dan pelacakan perubahan. Untuk informasi lebih lanjut tentang pengelolaan kepatuhan untuk sumber daya ini, lihat [Pelajari detail tentang Kepatuhan](compliance-about.md). 

Prosedur berikut menjelaskan cara mengaktifkan riwayat inventaris dan perekaman trek perubahan AWS Config dengan menggunakan AWS Command Line Interface ()AWS CLI. Untuk informasi selengkapnya tentang cara memilih dan mengonfigurasi sumber daya ini AWS Config, lihat [Memilih AWS Config Catatan Sumber Daya yang mana](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) di *Panduan AWS Config Pengembang*. Untuk informasi tentang harga AWS Config , lihat [Harga](https://aws.amazon.com/config/pricing/).

**Sebelum Anda memulai**

AWS Config memerlukan izin AWS Identity and Access Management (IAM) untuk mendapatkan detail konfigurasi tentang sumber daya Systems Manager. Dalam prosedur berikut, Anda harus menentukan Nama Sumber Daya Amazon (ARN) untuk peran IAM yang memberikan AWS Config izin ke sumber daya Systems Manager. Anda dapat melampirkan kebijakan terkelola `AWS_ConfigRole` ke IAM role yang Anda tetapkan ke AWS Config. Untuk informasi selengkapnya tentang peran ini, lihat [kebijakan AWS terkelola: AWS\$1 ConfigRole](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS_ConfigRole) di *Panduan AWS Config Pengembang*. *Untuk informasi tentang cara membuat peran IAM dan menetapkan kebijakan `AWS_ConfigRole` terkelola ke peran tersebut, lihat [Membuat peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam Panduan Pengguna IAM.* 

**Untuk mengaktifkan riwayat inventaris dan perekaman trek perubahan AWS Config**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Salin dan tempelkan sampel JSON berikut ke dalam file teks sederhana dan simpan sebagai recordingGroup.json.

   ```
   {
      "allSupported":false,
      "includeGlobalResourceTypes":false,
      "resourceTypes":[
         "AWS::SSM::AssociationCompliance",
         "AWS::SSM::PatchCompliance",
         "AWS::SSM::ManagedInstanceInventory",
         "AWS::SSM::FileData"
      ]
   }
   ```

1. Jalankan perintah berikut untuk memuat file recordingGroup.json ke dalam AWS Config.

   ```
   aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json
   ```

1. Jalankan perintah berikut untuk memulai pencatatan riwayat inventaris dan pelacakan perubahan.

   ```
   aws configservice start-configuration-recorder --configuration-recorder-name myRecorder
   ```

Setelah mengonfigurasi riwayat dan mengubah pelacakan, Anda dapat menelusuri riwayat untuk node terkelola tertentu dengan memilih **AWS Config**tombol di konsol Systems Manager. Anda dapat mengakses tombol **AWS Config** dari halaman **Instans Terkelola** atau halaman **Inventaris**. Tergantung dari ukuran monitor, Anda mungkin harus menggulir ke sisi kanan halaman untuk melihat tombol.

# Menghentikan pengumpulan data dan menghapus data inventaris
<a name="systems-manager-inventory-delete"></a>

Jika Anda tidak lagi ingin menggunakan AWS Systems Manager Inventaris untuk melihat metadata tentang AWS sumber daya Anda, Anda dapat menghentikan pengumpulan data dan menghapus data yang telah dikumpulkan. Bagian ini mencakup informasi berikut.

**Topics**
+ [Menghentikan pengumpulan data](#systems-manager-inventory-delete-association)
+ [Menghapus sinkronisasi data sumber daya Inventaris](#systems-manager-inventory-delete-RDS)

## Menghentikan pengumpulan data
<a name="systems-manager-inventory-delete-association"></a>

Saat Anda mengonfigurasi Systems Manager untuk mengumpulkan data inventaris, sistem akan membuat State Manager asosiasi yang menentukan jadwal dan sumber daya untuk mengumpulkan metadata. Anda dapat menghentikan pengumpulan data dengan menghapus State Manager asosiasi apa pun yang menggunakan `AWS-GatherSoftwareInventory` dokumen.

**Untuk menghapus asosiasi Inventaris**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih asosiasi yang menggunakan `AWS-GatherSoftwareInventory` dokumen dan kemudian pilih **Hapus**.

1. Ulangi langkah ketiga untuk asosiasi yang tersisa yang menggunakan `AWS-GatherSoftwareInventory` dokumen.

## Menghapus sinkronisasi data sumber daya Inventaris
<a name="systems-manager-inventory-delete-RDS"></a>

Jika Anda tidak lagi ingin menggunakan AWS Systems Manager Inventaris untuk melihat metadata tentang AWS sumber daya Anda, sebaiknya hapus sinkronisasi data sumber daya yang digunakan untuk pengumpulan data inventaris.

**Untuk menghapus sinkronisasi data sumber daya Inventaris**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Inventaris**.

1. Pilih **Sinkronisasi Data Sumber Daya**.

1. Pilih sinkronisasi dalam daftar.
**penting**  
Pastikan Anda memilih sinkronisasi yang digunakan untuk Inventaris. Systems Manager mendukung sinkronisasi data sumber daya untuk beberapa alat. Jika Anda memilih sinkronisasi yang salah, Anda dapat mengganggu agregasi data untuk Systems Manager Explorer atau Kepatuhan Systems Manager.

1. Pilih **Hapus**

1. Ulangi langkah-langkah ini untuk setiap sinkronisasi data sumber daya yang tersisa yang ingin Anda hapus.

1. Hapus bucket Amazon Simple Storage Service (Amazon S3) tempat data disimpan. Untuk informasi tentang menghapus bucket Amazon S3, [lihat Menghapus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) bucket.

# Menetapkan metadata inventaris khusus ke node terkelola
<a name="inventory-custom-metadata"></a>

Prosedur berikut memandu Anda melalui proses menggunakan operasi AWS Systems Manager [PutInventory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutInventory.html)API untuk menetapkan metadata inventaris kustom ke node terkelola. Contoh ini memberikan informasi lokasi rak ke node. Untuk informasi lebih lanjut tentang inventaris kustom, lihat [Menggunakan inventaris kustom](inventory-custom.md).

**Untuk menetapkan metadata inventaris kustom ke node**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk menetapkan informasi lokasi rak ke node.

   **Linux**

   ```
   aws ssm put-inventory --instance-id "ID" --items '[{"CaptureTime": "2016-08-22T10:01:01Z", "TypeName": "Custom:RackInfo", "Content":[{"RackLocation": "Bay B/Row C/Rack D/Shelf E"}], "SchemaVersion": "1.0"}]'
   ```

   **Windows**

   ```
   aws ssm put-inventory --instance-id "ID" --items "TypeName=Custom:RackInfo,SchemaVersion=1.0,CaptureTime=2021-05-22T10:01:01Z,Content=[{RackLocation='Bay B/Row C/Rack D/Shelf F'}]"
   ```

1. Jalankan perintah berikut untuk melihat entri inventaris kustom untuk node ini.

   ```
   aws ssm list-inventory-entries --instance-id ID --type-name "Custom:RackInfo"
   ```

   Sistem menanggapi dengan informasi seperti berikut.

   ```
   {
       "InstanceId": "ID", 
       "TypeName": "Custom:RackInfo", 
       "Entries": [
           {
               "RackLocation": "Bay B/Row C/Rack D/Shelf E"
           }
       ], 
       "SchemaVersion": "1.0", 
       "CaptureTime": "2016-08-22T10:01:01Z"
   }
   ```

1. Jalankan perintah berikut untuk melihat skema inventaris kustom.

   ```
   aws ssm get-inventory-schema --type-name Custom:RackInfo
   ```

   Sistem menanggapi dengan informasi seperti berikut.

   ```
   {
       "Schemas": [
           {
               "TypeName": "Custom:RackInfo",
               "Version": "1.0",
               "Attributes": [
                   {
                       "DataType": "STRING",
                       "Name": "RackLocation"
                   }
               ]
           }
       ]
   }
   ```

# Menggunakan AWS CLI untuk mengkonfigurasi pengumpulan data inventaris
<a name="inventory-collection-cli"></a>

Prosedur berikut memandu Anda melalui proses konfigurasi AWS Systems Manager Inventaris untuk mengumpulkan metadata dari node terkelola Anda. Saat mengonfigurasi pengumpulan inventaris, Anda mulai dengan membuat State Manager asosiasi Systems Manager. Systems Manager mengumpulkan data inventaris saat asosiasi dijalankan. Jika Anda tidak membuat asosiasi terlebih dahulu, dan mencoba memanggil `aws:softwareInventory` plugin dengan menggunakan, misalnya, Systems ManagerRun Command, sistem mengembalikan kesalahan berikut:

`The aws:softwareInventory plugin can only be invoked via ssm-associate`.

**catatan**  
Sebuah node hanya dapat memiliki satu asosiasi inventaris yang dikonfigurasi pada satu waktu. Jika Anda mengonfigurasi node dengan dua atau lebih asosiasi inventaris, asosiasi tidak berjalan dan tidak ada data inventaris yang dikumpulkan.

## Konfigurasikan semua node terkelola Anda untuk Inventory (CLI) dengan cepat
<a name="inventory-collection-cli-all"></a>

Anda dapat dengan cepat mengonfigurasi semua node terkelola di Wilayah Anda Akun AWS dan di Wilayah saat ini untuk mengumpulkan data inventaris. Hal ini disebut pembuatan asosiasi inventaris global. Untuk membuat asosiasi inventaris global dengan menggunakan AWS CLI, gunakan opsi wildcard untuk `instanceIds` nilai, seperti yang ditunjukkan dalam prosedur berikut.

**Untuk mengonfigurasi inventaris untuk semua node terkelola di Wilayah Anda Akun AWS dan di Wilayah saat ini (CLI)**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --name AWS-GatherSoftwareInventory \
   --targets Key=InstanceIds,Values=* \
   --schedule-expression "rate(1 day)" \
   --parameters applications=Enabled,awsComponents=Enabled,customInventory=Enabled,instanceDetailedInformation=Enabled,networkConfig=Enabled,services=Enabled,windowsRoles=Enabled,windowsUpdates=Enabled
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --name AWS-GatherSoftwareInventory ^
   --targets Key=InstanceIds,Values=* ^
   --schedule-expression "rate(1 day)" ^
   --parameters applications=Enabled,awsComponents=Enabled,customInventory=Enabled,instanceDetailedInformation=Enabled,networkConfig=Enabled,services=Enabled,windowsRoles=Enabled,windowsUpdates=Enabled
   ```

------

**catatan**  
Perintah ini tidak mengizinkan Inventaris untuk mengumpulkan metadata untuk Registri Windows atau file. Untuk menginventarisasi jenis data ini, gunakan prosedur berikutnya.

## Mengkonfigurasi Inventaris secara manual pada node terkelola Anda (CLI)
<a name="inventory-collection-cli-manual"></a>

Gunakan prosedur berikut untuk mengonfigurasi AWS Systems Manager Inventaris secara manual pada node terkelola Anda dengan menggunakan node IDs atau tag.

**Untuk mengonfigurasi node terkelola Anda secara manual untuk inventaris (CLI)**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk membuat State Manager asosiasi yang menjalankan Systems Manager Inventory pada node. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. Perintah ini mengkonfigurasi layanan untuk dijalankan setiap enam jam dan untuk mengumpulkan konfigurasi jaringan, Pembaruan Windows, dan metadata aplikasi dari sebuah node.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --name "AWS-GatherSoftwareInventory" \
   --targets "Key=instanceids,Values=an_instance_ID" \
   --schedule-expression "rate(240 minutes)" \
   --output-location "{ \"S3Location\": { \"OutputS3Region\": \"region_ID, for example us-east-2\", \"OutputS3BucketName\": \"amzn-s3-demo-bucket\", \"OutputS3KeyPrefix\": \"Test\" } }" \
   --parameters "networkConfig=Enabled,windowsUpdates=Enabled,applications=Enabled"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --name "AWS-GatherSoftwareInventory" ^
   --targets "Key=instanceids,Values=an_instance_ID" ^
   --schedule-expression "rate(240 minutes)" ^
   --output-location "{ \"S3Location\": { \"OutputS3Region\": \"region_ID, for example us-east-2\", \"OutputS3BucketName\": \"amzn-s3-demo-bucket\", \"OutputS3KeyPrefix\": \"Test\" } }" ^
   --parameters "networkConfig=Enabled,windowsUpdates=Enabled,applications=Enabled"
   ```

------

   Sistem menanggapi dengan informasi seperti berikut.

   ```
   {
       "AssociationDescription": {
           "ScheduleExpression": "rate(240 minutes)",
           "OutputLocation": {
               "S3Location": {
                   "OutputS3KeyPrefix": "Test",
                   "OutputS3BucketName": "Test bucket",
                   "OutputS3Region": "us-east-2"
               }
           },
           "Name": "The name you specified",
           "Parameters": {
               "applications": [
                   "Enabled"
               ],
               "networkConfig": [
                   "Enabled"
               ],
               "windowsUpdates": [
                   "Enabled"
               ]
           },
           "Overview": {
               "Status": "Pending",
               "DetailedStatus": "Creating"
           },
           "AssociationId": "1a2b3c4d5e6f7g-1a2b3c-1a2b3c-1a2b3c-1a2b3c4d5e6f7g",
           "DocumentVersion": "$DEFAULT",
           "LastUpdateAssociationDate": 1480544990.06,
           "Date": 1480544990.06,
           "Targets": [
               {
                   "Values": [
                      "i-02573cafcfEXAMPLE"
                   ],
                   "Key": "InstanceIds"
               }
           ]
       }
   }
   ```

   Anda dapat menargetkan kelompok besar node dengan menggunakan `Targets` parameter dengan tag EC2. Lihat contoh berikut.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --name "AWS-GatherSoftwareInventory" \
   --targets "Key=tag:Environment,Values=Production" \
   --schedule-expression "rate(240 minutes)" \
   --output-location "{ \"S3Location\": { \"OutputS3Region\": \"us-east-2\", \"OutputS3BucketName\": \"amzn-s3-demo-bucket\", \"OutputS3KeyPrefix\": \"Test\" } }" \
   --parameters "networkConfig=Enabled,windowsUpdates=Enabled,applications=Enabled"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --name "AWS-GatherSoftwareInventory" ^
   --targets "Key=tag:Environment,Values=Production" ^
   --schedule-expression "rate(240 minutes)" ^
   --output-location "{ \"S3Location\": { \"OutputS3Region\": \"us-east-2\", \"OutputS3BucketName\": \"amzn-s3-demo-bucket\", \"OutputS3KeyPrefix\": \"Test\" } }" ^
   --parameters "networkConfig=Enabled,windowsUpdates=Enabled,applications=Enabled"
   ```

------

   Anda juga dapat menginventarisasi file dan kunci Windows Registry pada Windows Server node dengan menggunakan tipe `files` dan `windowsRegistry` inventaris dengan ekspresi. Untuk informasi lebih lanjut tentang jenis inventaris ini, lihat [Menggunakan file dan inventaris registri Windows](inventory-file-and-registry.md).

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --name "AWS-GatherSoftwareInventory" \
   --targets "Key=instanceids,Values=i-0704358e3a3da9eb1" \
   --schedule-expression "rate(240 minutes)" \
   --parameters '{"files":["[{\"Path\": \"C:\\Program Files\", \"Pattern\": [\"*.exe\"], \"Recursive\": true}]"], "windowsRegistry": ["[{\"Path\":\"HKEY_LOCAL_MACHINE\\Software\\Amazon\", \"Recursive\":true}]"]}' \
   --profile dev-pdx
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --name "AWS-GatherSoftwareInventory" ^
   --targets "Key=instanceids,Values=i-0704358e3a3da9eb1" ^
   --schedule-expression "rate(240 minutes)" ^
   --parameters '{"files":["[{\"Path\": \"C:\\Program Files\", \"Pattern\": [\"*.exe\"], \"Recursive\": true}]"], "windowsRegistry": ["[{\"Path\":\"HKEY_LOCAL_MACHINE\\Software\\Amazon\", \"Recursive\":true}]"]}' ^
   --profile dev-pdx
   ```

------

1. Jalankan perintah berikut untuk melihat status asosiasi.

   ```
   aws ssm describe-instance-associations-status --instance-id an_instance_ID
   ```

   Sistem menanggapi dengan informasi seperti berikut.

   ```
   {
   "InstanceAssociationStatusInfos": [
            {
               "Status": "Pending",
               "DetailedStatus": "Associated",
               "Name": "reInvent2016PolicyDocumentTest",
               "InstanceId": "i-1a2b3c4d5e6f7g",
               "AssociationId": "1a2b3c4d5e6f7g-1a2b3c-1a2b3c-1a2b3c-1a2b3c4d5e6f7g",
               "DocumentVersion": "1"
           }
   ]
   }
   ```

# Walkthrough: Menggunakan sinkronisasi data sumber daya untuk mengumpulkan data inventaris
<a name="inventory-resource-data-sync"></a>

Panduan berikut menjelaskan cara membuat konfigurasi sinkronisasi data sumber daya untuk AWS Systems Manager Inventory dengan menggunakan AWS Command Line Interface ()AWS CLI. Sinkronisasi data sumber daya secara otomatis mem-port data inventaris dari semua node terkelola ke bucket Pusat Amazon Simple Storage Service (Amazon S3). Sinkronisasi secara otomatis memperbarui data di bucket Amazon S3 sentral setiap kali data inventaris baru ditemukan. 

Panduan ini juga menjelaskan cara menggunakan Amazon Athena dan Amazon Quick untuk menanyakan dan menganalisis data gabungan. Untuk informasi tentang membuat sinkronisasi data sumber daya menggunakan Systems Manager di bagian Konsol Manajemen AWS, lihat[Walkthrough: Menggunakan sinkronisasi data sumber daya untuk mengumpulkan data inventaris](#inventory-resource-data-sync). Untuk informasi tentang menanyakan inventaris dari beberapa akun Wilayah AWS dan menggunakan Systems Manager di bagian Konsol Manajemen AWS, lihat[Mengkueri data inventaris dari beberapa Wilayah dan akun](systems-manager-inventory-query.md).

**catatan**  
Panduan ini menyertakan informasi tentang cara mengenkripsi sinkronisasi dengan menggunakan AWS Key Management Service (AWS KMS). Inventaris tidak mengumpulkan data khusus pengguna, kepemilikan, atau sensitif sehingga enkripsi bersifat opsional. Untuk informasi selengkapnya AWS KMS, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).

**Sebelum Anda mulai**  
Tinjau atau selesaikan tugas-tugas berikut sebelum Anda memulai penelusuran di bagian ini:
+ Kumpulkan data inventaris dari node terkelola Anda. Untuk tujuan bagian Amazon Athena dan Amazon Quick dalam panduan ini, kami sarankan Anda mengumpulkan data Aplikasi. Untuk informasi selengkapnya tentang cara mengumpulkan data inventaris, lihat [Pengonfigurasian pengumpulan inventaris](inventory-collection.md) atau[Menggunakan AWS CLI untuk mengkonfigurasi pengumpulan data inventaris](inventory-collection-cli.md).
+ (Opsional) Jika data inventaris disimpan dalam bucket Amazon Simple Storage Service (Amazon S3) yang AWS Key Management Service menggunakan enkripsi AWS KMS(), Anda juga harus mengonfigurasi akun IAM dan `Amazon-GlueServiceRoleForSSM` peran layanan untuk enkripsi. AWS KMS Jika Anda tidak mengonfigurasi akun IAM dan peran ini, Systems Manager akan ditampilkan `Cannot load Glue tables` saat Anda memilih tab **Tampilan Terperinci** di konsol. Untuk informasi selengkapnya, lihat [(Opsional) Konfigurasikan izin untuk melihat data AWS KMS terenkripsi](systems-manager-inventory-query.md#systems-manager-inventory-query-kms).
+ (Opsional) Jika Anda ingin mengenkripsi sinkronisasi data sumber daya dengan menggunakan AWS KMS, Anda harus membuat kunci baru yang menyertakan kebijakan berikut, atau Anda harus memperbarui kunci yang ada dan menambahkan kebijakan ini ke dalamnya.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Id": "ssm-access-policy",
      "Statement": [
          {
              "Sid": "ssm-access-policy-statement",
              "Action": [
                  "kms:GenerateDataKey"
              ],
              "Effect": "Allow",
              "Principal": {
                  "Service": "ssm.amazonaws.com"
              },
              "Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
              "Condition": {
                  "StringLike": {
                      "aws:SourceAccount": "123456789012"
                  },
                  "ArnLike": {
                      "aws:SourceArn": "arn:aws:ssm:*:123456789012:resource-data-sync/*"
                  }
              }
          }
      ]
  }
  ```

------

**Untuk membuat sinkronisasi data sumber daya untuk Inventaris**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Buat bucket untuk menyimpan data inventaris agregat Anda. Untuk informasi selengkapnya, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Catat nama bucket dan Wilayah AWS tempat Anda membuatnya.

1. Setelah Anda membuat bucket, pilih tab **Izin**, dan kemudian pilih **Kebijakan Bucket**.

1. Salin dan tempelkan kebijakan bucket berikut ke dalam editor kebijakan. Ganti amzn-s3-demo-bucket dan dengan *account-id* nama bucket Amazon S3 yang Anda buat dan ID yang valid. Akun AWS Saat menambahkan beberapa akun, tambahkan string kondisi tambahan dan ARN untuk setiap akun. Hapus placeholder tambahan dari contoh saat menambahkan satu akun. Secara opsional, ganti *bucket-prefix* dengan nama awalan Amazon S3 (subdirektori). Jika Anda tidak membuat awalan, hapus *bucket-prefix/* dari ARN di kebijakan. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": " SSMBucketDelivery",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket/bucket-prefix/*/accountid=111122223333/*"
               ],
               "Condition": {
                   "StringEquals": {
                       "s3:x-amz-acl": "bucket-owner-full-control",
                       "aws:SourceAccount": [
                           "111122223333",
                           "444455556666",
                           "123456789012",
                           "777788889999"
                       ]
                   },
                   "ArnLike": {
                       "aws:SourceArn": [
                           "arn:aws:ssm:*:111122223333:resource-data-sync/*",
                           "arn:aws:ssm:*:444455556666:resource-data-sync/*",
                           "arn:aws:ssm:*:123456789012:resource-data-sync/*",
                           "arn:aws:ssm:*:777788889999:resource-data-sync/*"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

1. (Opsional) Jika Anda ingin mengenkripsi sinkronisasi, Anda harus menambahkan kondisi berikut ke kebijakan yang tercantum pada langkah sebelumnya. Tambahkan ini di `StringEquals` bagian.

   ```
   "s3:x-amz-server-side-encryption":"aws:kms",
   "s3:x-amz-server-side-encryption-aws-kms-key-id":"arn:aws:kms:region:account_ID:key/KMS_key_ID"
   ```

   Inilah contohnya:

   ```
   "StringEquals": {
             "s3:x-amz-acl": "bucket-owner-full-control",
             "aws:SourceAccount": "account-id",
             "s3:x-amz-server-side-encryption":"aws:kms",
             "s3:x-amz-server-side-encryption-aws-kms-key-id":"arn:aws:kms:region:account_ID:key/KMS_key_ID"
           }
   ```

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. (Opsional) Jika Anda ingin mengenkripsi sinkronisasi, jalankan perintah berikut untuk memverifikasi bahwa kebijakan bucket menerapkan persyaratan AWS KMS kunci. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws s3 cp ./A_file_in_the_bucket s3://amzn-s3-demo-bucket/prefix/ \
   --sse aws:kms \
   --sse-kms-key-id "arn:aws:kms:region:account_ID:key/KMS_key_id" \
   --region region, for example, us-east-2
   ```

------
#### [ Windows ]

   ```
   aws s3 cp ./A_file_in_the_bucket s3://amzn-s3-demo-bucket/prefix/ ^ 
       --sse aws:kms ^
       --sse-kms-key-id "arn:aws:kms:region:account_ID:key/KMS_key_id" ^
       --region region, for example, us-east-2
   ```

------

1. Jalankan perintah berikut untuk membuat konfigurasi sinkronisasi data sumber daya dengan bucket Amazon S3 yang Anda buat pada awal prosedur ini. Perintah ini membuat sinkronisasi dari yang Wilayah AWS Anda masuki.
**catatan**  
Jika sinkronisasi dan bucket Amazon S3 target berada di berbagai wilayah, Anda mungkin akan dibebani harga transfer data. Untuk informasi lebih lanjut, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).

------
#### [ Linux & macOS ]

   ```
   aws ssm create-resource-data-sync \
   --sync-name a_name \
   --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=prefix_name, if_specified,SyncFormat=JsonSerDe,Region=bucket_region"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-resource-data-sync ^
   --sync-name a_name ^
   --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=prefix_name, if_specified,SyncFormat=JsonSerDe,Region=bucket_region"
   ```

------

   Anda dapat menggunakan parameter `region` untuk menentukan di mana konfigurasi sinkronisasi harus dibuat. Dalam contoh berikut, data inventaris dari Wilayah us-west-1, akan disinkronkan di bucket Amazon S3 di Wilayah us-west-2.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-resource-data-sync \
       --sync-name InventoryDataWest \
       --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=HybridEnv,SyncFormat=JsonSerDe,Region=us-west-2" 
       --region us-west-1
   ```

------
#### [ Windows ]

   ```
   aws ssm create-resource-data-sync ^ 
   --sync-name InventoryDataWest ^
   --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=HybridEnv,SyncFormat=JsonSerDe,Region=us-west-2" ^ --region us-west-1
   ```

------

   (Opsional) Jika Anda ingin mengenkripsi sinkronisasi dengan menggunakan AWS KMS, jalankan perintah berikut untuk membuat sinkronisasi. Jika Anda mengenkripsi sinkronisasi, maka AWS KMS kunci dan bucket Amazon S3 harus berada di Wilayah yang sama.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-resource-data-sync \
   --sync-name sync_name \
   --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=prefix_name, if_specified,SyncFormat=JsonSerDe,AWSKMSKeyARN=arn:aws:kms:region:account_ID:key/KMS_key_ID,Region=bucket_region" \
   --region region
   ```

------
#### [ Windows ]

   ```
   aws ssm create-resource-data-sync ^
   --sync-name sync_name ^
   --s3-destination "BucketName=amzn-s3-demo-bucket,Prefix=prefix_name, if_specified,SyncFormat=JsonSerDe,AWSKMSKeyARN=arn:aws:kms:region:account_ID:key/KMS_key_ID,Region=bucket_region" ^
   --region region
   ```

------

1. Jalankan perintah berikut untuk menampilkan status konfigurasi sinkronisasi. 

   ```
   aws ssm list-resource-data-sync 
   ```

   Jika Anda membuat konfigurasi sinkronisasi di Wilayah yang berbeda, maka Anda harus menentukan parameter `region`, seperti yang ditunjukkan dalam contoh berikut.

   ```
   aws ssm list-resource-data-sync --region us-west-1
   ```

1. Setelah konfigurasi sinkronisasi berhasil dibuat, periksa bucket target di Amazon S3. Data inventaris harus ditampilkan dalam beberapa menit.

**Bekerja dengan Data di Amazon Athena**

Bagian berikut menjelaskan cara melihat dan mengkueri data di Amazon Athena. Sebelum memulai, kami merekomendasikan agar Anda mempelajari tentang Athena. Untuk informasi lebih lanjut, lihat [Apa itu Amazon Athena?](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) dan [Menggunakan Data](https://docs.aws.amazon.com/athena/latest/ug/work-with-data.html) di *Panduan Pengguna Amazon Athena*.

**Untuk melihat dan mengkueri data di Amazon Athena**

1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).

1. Salin dan tempelkan pernyataan berikut ke editor kueri lalu pilih **Jalankan Kueri**.

   ```
   CREATE DATABASE ssminventory
   ```

   Sistem membuat basis data yang disebut ssminventory.

1. Salin dan tempelkan pernyataan berikut ke editor kueri lalu pilih **Jalankan Kueri**. Ganti amzn-s3-demo-bucket dan *bucket\$1prefix* dengan nama dan awalan target Amazon S3.

   ```
   CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_Application (
   Name string,
   ResourceId string,
   ApplicationType string,
   Publisher string,
   Version string,
   InstalledTime string,
   Architecture string,
   URL string,
   Summary string,
   PackageId string
   ) 
   PARTITIONED BY (AccountId string, Region string, ResourceType string)
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
   WITH SERDEPROPERTIES (
     'serialization.format' = '1'
   ) LOCATION 's3://amzn-s3-demo-bucket/bucket_prefix/AWS:Application/'
   ```

1. Salin dan tempelkan pernyataan berikut ke editor kueri lalu pilih **Jalankan Kueri**.

   ```
   MSCK REPAIR TABLE ssminventory.AWS_Application
   ```

   Sistem mempartisi tabel.
**catatan**  
Jika Anda membuat sinkronisasi data sumber daya dari tambahan Wilayah AWS atau Akun AWS, maka Anda harus menjalankan perintah ini lagi untuk memperbarui partisi. Anda mungkin juga perlu memperbarui kebijakan bucket Amazon S3.

1. Untuk mem-pratinjau data Anda, pilih ikon tampilan di samping tabel `AWS_Application`.  
![\[Ikon data pratinjau di Amazon Athena.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/sysman-inventory-resource-data-sync-walk.png)

1. Salin dan tempelkan pernyataan berikut ke editor kueri lalu pilih **Jalankan Kueri**.

   ```
   SELECT a.name, a.version, count( a.version) frequency 
   from aws_application a where
   a.name = 'aws-cfn-bootstrap'
   group by a.name, a.version
   order  by frequency desc
   ```

   Kueri mengembalikan hitungan versi yang berbeda`aws-cfn-bootstrap`, yang merupakan AWS aplikasi yang ada di Amazon Elastic Compute Cloud (Amazon EC2) instans untuk Linux,, dan. macOS Windows Server

1. **Salin dan tempel pernyataan berikut secara individual ke editor kueri, ganti amzn-s3-demo-bucket dan dengan informasi *bucket-prefix* untuk Amazon S3, lalu pilih Jalankan Kueri.** Pernyataan ini menyiapkan tabel inventaris tambahan di Athena.

   ```
   CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_AWSComponent (
    `ResourceId` string,
     `Name` string,
     `ApplicationType` string,
     `Publisher` string,
     `Version` string,
     `InstalledTime` string,
     `Architecture` string,
     `URL` string
   )
   PARTITIONED BY (AccountId string, Region string, ResourceType string)
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
   WITH SERDEPROPERTIES (
     'serialization.format' = '1'
   ) LOCATION 's3://amzn-s3-demo-bucket/bucket-prefix/AWS:AWSComponent/'
   ```

   ```
   MSCK REPAIR TABLE ssminventory.AWS_AWSComponent
   ```

   ```
   CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_WindowsUpdate (
     `ResourceId` string,
     `HotFixId` string,
     `Description` string,
     `InstalledTime` string,
     `InstalledBy` string
   )
   PARTITIONED BY (AccountId string, Region string, ResourceType string)
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
   WITH SERDEPROPERTIES (
     'serialization.format' = '1'
   ) LOCATION 's3://amzn-s3-demo-bucket/bucket-prefix/AWS:WindowsUpdate/'
   ```

   ```
   MSCK REPAIR TABLE ssminventory.AWS_WindowsUpdate
   ```

   ```
   CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_InstanceInformation (
     `AgentType` string,
     `AgentVersion` string,
     `ComputerName` string,
     `IamRole` string,
     `InstanceId` string,
     `IpAddress` string,
     `PlatformName` string,
     `PlatformType` string,
     `PlatformVersion` string
   )
   PARTITIONED BY (AccountId string, Region string, ResourceType string)
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
   WITH SERDEPROPERTIES (
     'serialization.format' = '1'
   ) LOCATION 's3://amzn-s3-demo-bucket/bucket-prefix/AWS:InstanceInformation/'
   ```

   ```
   MSCK REPAIR TABLE ssminventory.AWS_InstanceInformation
   ```

   ```
   CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_Network (
     `ResourceId` string,
     `Name` string,
     `SubnetMask` string,
     `Gateway` string,
     `DHCPServer` string,
     `DNSServer` string,
     `MacAddress` string,
     `IPV4` string,
     `IPV6` string
   )
   PARTITIONED BY (AccountId string, Region string, ResourceType string)
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
   WITH SERDEPROPERTIES (
     'serialization.format' = '1'
   ) LOCATION 's3://amzn-s3-demo-bucket/bucket-prefix/AWS:Network/'
   ```

   ```
   MSCK REPAIR TABLE ssminventory.AWS_Network
   ```

   ```
   CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_PatchSummary (
     `ResourceId` string,
     `PatchGroup` string,
     `BaselineId` string,
     `SnapshotId` string,
     `OwnerInformation` string,
     `InstalledCount` int,
     `InstalledOtherCount` int,
     `NotApplicableCount` int,
     `MissingCount` int,
     `FailedCount` int,
     `OperationType` string,
     `OperationStartTime` string,
     `OperationEndTime` string
   )
   PARTITIONED BY (AccountId string, Region string, ResourceType string)
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
   WITH SERDEPROPERTIES (
     'serialization.format' = '1'
   ) LOCATION 's3://amzn-s3-demo-bucket/bucket-prefix/AWS:PatchSummary/'
   ```

   ```
   MSCK REPAIR TABLE ssminventory.AWS_PatchSummary
   ```

**Bekerja dengan Data di Amazon Quick**

Bagian berikut memberikan ikhtisar dengan tautan untuk membangun visualisasi di Amazon Quick.

**Untuk membangun visualisasi di Amazon Quick**

1. Mendaftar ke [Amazon Quick](https://quicksight.aws/) dan kemudian masuk ke konsol Cepat.

1. Buat himpunan data dari tabel `AWS_Application` dan tabel lainnya yang telah Anda buat. Untuk informasi selengkapnya, lihat [Membuat kumpulan data menggunakan data Amazon Athena](https://docs.aws.amazon.com/quicksuite/latest/userguide/create-a-data-set-athena.html) di Panduan Pengguna *Cepat Amazon*.

1. Menggabungkan tabel. Misalnya, Anda dapat menggabungkan kolom `instanceid` dari `AWS_InstanceInformation` karena cocok dengan kolom `resourceid` di tabel inventaris lainnya. Untuk informasi selengkapnya tentang menggabungkan tabel, lihat [Menggabungkan data](https://docs.aws.amazon.com/quicksuite/latest/userguide/joining-data.html) di *Panduan Pengguna Cepat Amazon*.

1. Membangun visualisasi. Untuk informasi selengkapnya, lihat [Analisis dan laporan: Memvisualisasikan data di Amazon Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/working-with-visuals.html) di *Panduan Pengguna Cepat Amazon*.

# Memecahkan masalah dengan Inventaris Systems Manager
<a name="syman-inventory-troubleshooting"></a>

Topik ini mencakup informasi tentang cara memecahkan masalah kesalahan umum atau masalah dengan AWS Systems Manager Inventaris. Jika Anda mengalami kesulitan melihat node di Systems Manager, lihat[Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md).

**Topics**
+ [Beberapa penerapan semua asosiasi pada dokumen '`AWS-GatherSoftwareInventory`' tidak didukung](#systems-manager-inventory-troubleshooting-multiple)
+ [Status eksekusi inventaris tidak pernah menampilkan tertunda](#inventory-troubleshooting-pending)
+ [Dokumen `AWS-ListWindowsInventory` gagal dijalankan](#inventory-troubleshooting-ListWindowsInventory)
+ [Konsol tidak menampilkan Dasbor Inventaris \$1 Tampilan Detail \$1 Tab pengaturan](#inventory-troubleshooting-tabs)
+ [UnsupportedAgent](#inventory-troubleshooting-unsupported-agent)
+ [Dilewati](#inventory-troubleshooting-skipped)
+ [Gagal](#inventory-troubleshooting-failed)
+ [Kepatuhan inventaris gagal untuk instans Amazon EC2](#inventory-troubleshooting-ec2-compliance)
+ [Objek bucket S3 berisi data lama](#systems-manager-inventory-troubleshooting-s3)

## Beberapa penerapan semua asosiasi pada dokumen '`AWS-GatherSoftwareInventory`' tidak didukung
<a name="systems-manager-inventory-troubleshooting-multiple"></a>

Kesalahan yang `Multiple apply all associations with document 'AWS-GatherSoftwareInventory' are not supported` berarti bahwa satu atau lebih Wilayah AWS tempat Anda mencoba mengonfigurasi asosiasi Inventaris *untuk semua node* sudah dikonfigurasi dengan asosiasi inventaris untuk semua node. Jika perlu, Anda dapat menghapus asosiasi inventaris yang ada untuk semua node dan kemudian membuat yang baru. Untuk melihat asosiasi inventaris yang ada, pilih **State Manager**di konsol Systems Manager dan kemudian cari asosiasi yang menggunakan dokumen `AWS-GatherSoftwareInventory` SSM. Jika asosiasi inventaris yang ada untuk semua node dibuat di beberapa Wilayah, dan Anda ingin membuat yang baru, Anda harus menghapus asosiasi yang ada dari setiap Wilayah di mana ia ada.

## Status eksekusi inventaris tidak pernah menampilkan tertunda
<a name="inventory-troubleshooting-pending"></a>

Ada dua alasan mengapa pengumpulan inventaris tidak pernah keluar dari `Pending` status:
+ Tidak ada node dalam yang dipilih Wilayah AWS:

  Jika Anda membuat asosiasi inventaris global menggunakan Systems ManagerQuick Setup, status asosiasi inventaris (`AWS-GatherSoftwareInventory`dokumen) menunjukkan `Pending` jika tidak ada node yang tersedia di Wilayah yang dipilih. ****
+ Izin tidak mencukupi:

  Asosiasi inventaris menunjukkan `Pending` jika satu atau beberapa node tidak memiliki izin untuk menjalankan Systems Manager Inventory. Verifikasi bahwa profil instans AWS Identity and Access Management (IAM) menyertakan kebijakan SSMManaged InstanceCore terkelola **Amazon**. Untuk informasi tentang cara menambahkan kebijakan ini ke profil instans, lihat [Konfigurasi alternatif untuk izin instans EC2](setup-instance-permissions.md#instance-profile-add-permissions).

  Minimum, profil instans harus memiliki izin IAM berikut.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ssm:DescribeAssociation",
                  "ssm:ListAssociations",
                  "ssm:ListInstanceAssociations",
                  "ssm:PutInventory",
                  "ssm:PutComplianceItems",
                  "ssm:UpdateAssociationStatus",
                  "ssm:UpdateInstanceAssociationStatus",
                  "ssm:UpdateInstanceInformation",
                  "ssm:GetDocument",
                  "ssm:DescribeDocument"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------

## Dokumen `AWS-ListWindowsInventory` gagal dijalankan
<a name="inventory-troubleshooting-ListWindowsInventory"></a>

Dokumen `AWS-ListWindowsInventory` tidak lagi digunakan. Jangan gunakan dokumen ini untuk mengumpulkan inventaris. Sebagai gantinya, gunakan salah satu proses yang dijelaskan di [Pengonfigurasian pengumpulan inventaris](inventory-collection.md). 

## Konsol tidak menampilkan Dasbor Inventaris \$1 Tampilan Detail \$1 Tab pengaturan
<a name="inventory-troubleshooting-tabs"></a>

Halaman **Tampilan Detail** Inventaris hanya tersedia di Wilayah AWS yang menawarkan Amazon Athena. Jika tab berikut tidak ditampilkan pada halaman Inventaris, artinya Athena tidak tersedia di Wilayah dan Anda tidak dapat menggunakan **Tampilan Detail** untuk mengkueri data.

![\[Menampilkan Dasbor Inventaris | Tampilan Detail | Tab pengaturan\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/inventory-detailed-view-for-error.png)


## UnsupportedAgent
<a name="inventory-troubleshooting-unsupported-agent"></a>

Jika status rinci asosiasi inventaris ditampilkan **UnsupportedAgent**, dan **status Asosiasi** menunjukkan **Gagal**, maka versi AWS Systems Manager SSM Agent pada node terkelola tidak benar. Untuk membuat asosiasi inventaris global (untuk menginventarisasi semua node di Anda Akun AWS) misalnya, Anda harus menggunakan SSM Agent versi 2.0.790.0 atau yang lebih baru. Anda dapat melihat versi agen yang berjalan di setiap node di halaman **Instans Terkelola** di kolom **versi Agen**. Untuk informasi tentang cara memperbarui SSM Agent pada node Anda, lihat[Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).

## Dilewati
<a name="inventory-troubleshooting-skipped"></a>

Jika status asosiasi inventaris untuk node menunjukkan **Skipped**, ini berarti bahwa asosiasi inventaris prioritas lebih tinggi sudah berjalan pada node tersebut. Systems Manager mengikuti urutan prioritas tertentu ketika beberapa asosiasi inventaris dapat diterapkan ke node terkelola yang sama.

### Urutan prioritas asosiasi inventaris
<a name="inventory-association-priority-order"></a>

Systems Manager menerapkan asosiasi inventaris dalam urutan prioritas berikut:

1. **Quick Setupasosiasi inventaris** - Asosiasi dibuat menggunakan Quick Setup dan konsol terpadu. Asosiasi ini memiliki nama yang dimulai dengan `AWS-QuickSetup-SSM-CollectInventory-` dan menargetkan semua node yang dikelola.

1. **Asosiasi inventaris eksplisit** - Asosiasi yang menargetkan node terkelola tertentu menggunakan:
   + Contoh IDs
   + Tandai pasangan nilai kunci
   + AWS kelompok sumber daya

1. **Asosiasi inventaris global** - Asosiasi yang menargetkan semua node yang dikelola (menggunakan`--targets "Key=InstanceIds,Values=*"`) tetapi **tidak** dibuat melaluiQuick Setup.

### Skenario umum
<a name="inventory-skipped-scenarios"></a>

**Skenario 1: Quick Setup asosiasi mengesampingkan asosiasi eksplisit**
+ Anda memiliki asosiasi Quick Setup inventaris yang menargetkan semua instance
+ Anda membuat asosiasi manual yang menargetkan node terkelola tertentu berdasarkan tag
+ Hasil: Asosiasi manual menunjukkan `Skipped` dengan status terperinci `OverriddenByExplicitInventoryAssociation`
+ Quick SetupAsosiasi terus mengumpulkan inventaris dari semua contoh

**Skenario 2: Asosiasi eksplisit mengesampingkan asosiasi global**
+ Anda memiliki asosiasi inventaris global yang menargetkan semua instance (tidak dibuat oleh) Quick Setup
+ Anda membuat asosiasi yang menargetkan instance tertentu
+ Hasil: Asosiasi global menunjukkan `Skipped` untuk contoh yang ditargetkan secara khusus
+ Asosiasi eksplisit berjalan pada instance yang ditargetkan

### Langkah-langkah resolusi
<a name="inventory-skipped-resolution"></a>

**Jika Anda ingin menggunakan asosiasi inventaris Anda sendiri alih-alihQuick Setup:**

1. **Identifikasi Quick Setup asosiasi**: Di konsol Systems Manager, buka State Manager dan cari asosiasi dengan nama yang dimulai dengan`AWS-QuickSetup-SSM-CollectInventory-`.

1. **Hapus Quick Setup konfigurasi**:
   + Buka Quick Setup di konsol Systems Manager.
   + Temukan konfigurasi pengumpulan inventaris Anda.
   + Hapus Quick Setup konfigurasi (ini menghapus asosiasi inventaris terkait).
**catatan**  
Anda tidak perlu menghapus asosiasi yang dibuat oleh secara manualQuick Setup.

1. **Verifikasi asosiasi Anda berjalan**: Setelah menghapus Quick Setup konfigurasi, asosiasi inventaris eksplisit Anda akan mulai berjalan dengan sukses.

**Jika Anda ingin mengubah perilaku yang ada:**
+ Untuk melihat semua asosiasi inventaris yang ada, pilih **State Manager**di konsol Systems Manager dan cari asosiasi yang menggunakan dokumen `AWS-GatherSoftwareInventory` SSM.
+ Ingat bahwa setiap node terkelola hanya dapat memiliki satu asosiasi inventaris aktif pada satu waktu.

**penting**  
Data inventaris masih dikumpulkan dari node yang dilewati saat asosiasi inventaris yang ditetapkan (prioritas lebih tinggi) berjalan.
Quick Setupasosiasi inventaris lebih diutamakan daripada semua jenis lainnya, bahkan yang memiliki penargetan eksplisit.
Pesan status terperinci `OverriddenByExplicitInventoryAssociation` muncul ketika asosiasi apa pun diganti dengan yang berprioritas lebih tinggi, terlepas dari jenis asosiasi.

## Gagal
<a name="inventory-troubleshooting-failed"></a>

Jika status asosiasi inventaris untuk node menunjukkan **Gagal**, ini bisa berarti bahwa node memiliki beberapa asosiasi inventaris yang ditetapkan padanya. Sebuah node hanya dapat memiliki satu asosiasi inventaris yang ditetapkan pada satu waktu. Asosiasi inventaris menggunakan `AWS-GatherSoftwareInventory` AWS Systems Manager dokumen (dokumen SSM). Anda dapat menjalankan perintah berikut dengan menggunakan AWS Command Line Interface (AWS CLI) untuk melihat daftar asosiasi untuk node.

```
aws ssm describe-instance-associations-status --instance-id instance-ID
```

## Kepatuhan inventaris gagal untuk instans Amazon EC2
<a name="inventory-troubleshooting-ec2-compliance"></a>

Kepatuhan inventaris untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dapat gagal jika Anda menetapkan beberapa asosiasi inventaris ke instans. 

 Untuk mengatasi masalah ini, hapus satu atau beberapa asosiasi inventaris yang ditetapkan ke instance. Untuk informasi selengkapnya, lihat [Menghapus asosiasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html). 

**catatan**  
Waspadai perilaku berikut jika Anda membuat beberapa asosiasi inventaris untuk node terkelola:  
Setiap node dapat diberi asosiasi inventaris yang menargetkan *semua* node (--target “Key=InstanceIds, Values=\$1”).
Setiap node juga dapat diberi asosiasi tertentu yang menggunakan pasangan nilai kunci tag atau grup AWS sumber daya.
Jika sebuah node diberi beberapa asosiasi inventaris, status akan ditampilkan *Dilewati* untuk asosiasi yang belum berjalan. Asosiasi yang berjalan akhir-akhir ini menampilkan status sebenarnya dari asosiasi inventaris. 
Jika sebuah node diberi beberapa asosiasi inventaris dan masing-masing menggunakan pasangan nilai kunci tag, maka asosiasi inventaris tersebut gagal berjalan di node karena konflik tag. Asosiasi masih berjalan pada node yang tidak memiliki konflik nilai kunci tag. 

## Objek bucket S3 berisi data lama
<a name="systems-manager-inventory-troubleshooting-s3"></a>

Data di dalam objek bucket Amazon S3 diperbarui saat asosiasi inventaris berhasil dan data baru ditemukan. Objek bucket Amazon S3 diperbarui untuk setiap node saat asosiasi berjalan dan gagal, tetapi data di dalam objek tidak diperbarui dalam kasus ini. Data di dalam objek bucket Amazon S3 hanya akan diperbarui jika asosiasi berjalan dengan sukses. Ketika asosiasi inventaris gagal, Anda akan melihat data lama di objek bucket Amazon S3.

# AWS Systems Manager Patch Manager
<a name="patch-manager"></a>

Patch Manager, alat di AWS Systems Manager, mengotomatiskan proses menambal node yang dikelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya.

**catatan**  
Systems Manager menyediakan dukungan untuk *kebijakan tambalan* diQuick Setup, alat di AWS Systems Manager. Menggunakan kebijakan tambalan adalah metode yang disarankan untuk mengonfigurasi operasi penambalan Anda. Dengan menggunakan konfigurasi kebijakan tambalan tunggal, Anda dapat menentukan penambalan untuk semua akun di semua Wilayah di organisasi Anda; hanya untuk akun dan Wilayah yang Anda pilih; atau untuk satu pasangan Account-region. Untuk informasi selengkapnya, lihat [Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

Anda dapat menggunakan Patch Manager untuk menerapkan tambalan untuk sistem operasi dan aplikasi. (Pada Windows Server, dukungan aplikasi terbatas pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.) Anda dapat menggunakan Patch Manager untuk menginstal Paket Layanan pada node Windows dan melakukan upgrade versi minor pada node Linux. Anda dapat menambal armada instans Amazon Elastic Compute Cloud (Amazon EC2), perangkat edge, server lokal, dan mesin virtual () berdasarkan jenis sistem operasi. VMs Ini termasuk versi yang didukung dari beberapa sistem operasi, seperti yang tercantum dalam[Prasyarat Patch Manager](patch-manager-prerequisites.md). Anda dapat memindai instans untuk melihat laporan patch yang hilang saja, atau Anda dapat memindai dan secara otomatis menginstal semua patch yang hilang. Untuk memulaiPatch Manager, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/patch-manager). Di panel navigasi, pilih **Patch Manager**.

AWS tidak menguji tambalan sebelum membuatnya tersedia diPatch Manager. Selain Patch Manager itu, tidak mendukung peningkatan versi utama sistem operasi, seperti Windows Server 2016 hingga Windows Server 2019, atau Red Hat Enterprise Linux (RHEL) 7.0 hingga RHEL 8.0.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), atau dari metrik yang dirilis oleh [National](https://nvd.nist.gov/vuln) Vulnerability Database (NVD).

## Bagaimana bisa Patch Manager menguntungkan organisasi saya?
<a name="how-can-patch-manager-benefit-my-organization"></a>

Patch Managermengotomatiskan proses menambal node terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Ini memberikan beberapa manfaat utama:
+ **Kontrol penambalan terpusat** —Dengan menggunakan kebijakan tambalan, Anda dapat menyiapkan operasi penambalan berulang untuk semua akun di semua Wilayah di organisasi, akun dan Wilayah tertentu, atau satu pasangan Account-region.
+ **Operasi penambalan fleksibel** - Anda dapat memilih untuk memindai instance untuk hanya melihat laporan tambalan yang hilang, atau memindai dan secara otomatis menginstal semua tambalan yang hilang.
+ **Pelaporan kepatuhan komprehensif** — Setelah operasi pemindaian, Anda dapat melihat informasi terperinci tentang node terkelola mana yang tidak sesuai dengan patch dan patch mana yang hilang.
+ **Dukungan lintas platform** — Patch Manager mendukung beberapa sistem operasi termasuk berbagai distribusi Linux,macOS, dan. Windows Server
+ **Garis dasar patch kustom** — Anda dapat menentukan apa yang merupakan kepatuhan patch untuk organisasi Anda melalui baseline patch kustom yang menentukan patch mana yang disetujui untuk instalasi.
+ **Integrasi dengan AWS layanan lain** — Patch Manager terintegrasi dengan AWS Organizations, AWS Security Hub CSPM, AWS CloudTrail, dan AWS Config untuk meningkatkan manajemen dan keamanan.
+ **Peningkatan deterministik - Dukungan untuk peningkatan** deterministik melalui repositori berversi untuk sistem operasi seperti Amazon Linux 2023.

## Siapa yang harus menggunakanPatch Manager?
<a name="who-should-use-patch-manager"></a>

Patch Managerdirancang untuk yang berikut:
+ Administrator TI yang perlu mempertahankan kepatuhan patch di seluruh armada node terkelola mereka
+ Manajer operasi yang membutuhkan visibilitas ke status kepatuhan patch di seluruh infrastruktur mereka
+ Arsitek cloud yang ingin menerapkan solusi patching otomatis dalam skala besar
+ DevOps insinyur yang perlu mengintegrasikan patching ke dalam alur kerja operasional mereka
+ Organizations dengan penyebaran Multi-akun/Multi-wilayah yang membutuhkan manajemen patch terpusat
+ Siapa pun yang bertanggung jawab untuk menjaga postur keamanan dan kesehatan operasional node AWS terkelola, perangkat edge, server lokal, dan mesin virtual

## Apa saja fitur utamaPatch Manager?
<a name="what-are-the-main-features-of-patch-manager"></a>

Patch Managermenawarkan beberapa fitur utama:
+ **Kebijakan tambalan** — Konfigurasikan operasi penambalan di beberapa Akun AWS dan Wilayah menggunakan satu kebijakan melalui integrasi dengan AWS Organizations.
+ **Garis dasar patch kustom** - Tentukan aturan untuk patch yang disetujui secara otomatis dalam beberapa hari setelah rilis, bersama dengan daftar tambalan yang disetujui dan ditolak.
+ **Beberapa metode penambalan** — Pilih dari kebijakan tambalan, jendela pemeliharaan, atau operasi “Patch now” sesuai permintaan untuk memenuhi kebutuhan spesifik Anda.
+ **Pelaporan kepatuhan** — Buat laporan terperinci tentang status kepatuhan tambalan yang dapat dikirim ke bucket Amazon S3 dalam format CSV.
+ **Dukungan lintas platform** - Patch baik sistem operasi dan aplikasi di seluruhWindows Server, berbagai distribusi Linux, dan. macOS
+ **Fleksibilitas penjadwalan** - Tetapkan jadwal yang berbeda untuk memindai dan menginstal tambalan menggunakan ekspresi CRON atau Rate kustom.
+ **Lifecycle hooks** — Jalankan skrip kustom sebelum dan sesudah operasi patching menggunakan dokumen Systems Manager.
+ **Fokus keamanan** — Secara default, Patch Manager berfokus pada pembaruan terkait keamanan daripada menginstal semua tambalan yang tersedia.
+ **Kontrol tingkat** - Konfigurasikan ambang konkurensi dan kesalahan untuk operasi penambalan untuk meminimalkan dampak operasional.

## Apa itu kepatuhanPatch Manager?
<a name="patch-manager-definition-of-compliance"></a>

Patokan untuk apa yang merupakan *kepatuhan patch* untuk node terkelola dalam armada Systems Manager Anda tidak ditentukan oleh AWS, oleh vendor sistem operasi (OS), atau oleh pihak ketiga seperti perusahaan konsultan keamanan.

Sebagai gantinya, Anda menentukan apa arti kepatuhan patch untuk node terkelola di organisasi atau akun Anda di *baseline patch*. Patch baseline adalah konfigurasi yang menentukan aturan yang patch harus diinstal pada node terkelola. Node terkelola sesuai dengan patch saat up to date dengan semua patch yang memenuhi kriteria persetujuan yang Anda tentukan di baseline patch. 

*Perhatikan bahwa *sesuai* dengan baseline patch tidak berarti bahwa node terkelola selalu aman.* Compliant berarti bahwa patch yang ditentukan oleh baseline patch yang *tersedia* dan *disetujui* telah diinstal pada node. Keamanan keseluruhan node terkelola ditentukan oleh banyak faktor di luar lingkupPatch Manager. Untuk informasi selengkapnya, lihat [Keamanan di AWS Systems Manager](security.md).

Setiap baseline patch adalah konfigurasi untuk jenis sistem operasi (OS) tertentu yang didukung, seperti Red Hat Enterprise Linux (RHEL)macOS, atau. Windows Server Garis dasar patch dapat menentukan aturan patching untuk semua versi OS yang didukung atau dibatasi hanya untuk yang Anda tentukan, seperti RHEL 7.8. dan 9.3. RHEL

Dalam garis dasar tambalan, Anda dapat menentukan bahwa semua tambalan klasifikasi dan tingkat keparahan tertentu disetujui untuk pemasangan. Misalnya, Anda mungkin menyertakan semua tambalan yang diklasifikasikan sebagai `Security` tetapi mengecualikan klasifikasi lain, seperti `Bugfix` atau. `Enhancement` Dan Anda bisa memasukkan semua tambalan dengan tingkat keparahan `Critical` dan mengecualikan yang lain, seperti `Important` dan`Moderate`.

Anda juga dapat menentukan tambalan secara eksplisit dalam baseline patch dengan menambahkannya IDs ke daftar tambalan tertentu untuk disetujui atau ditolak, seperti untuk atau untuk `KB2736693` Amazon Linux 2023 (). Windows Server `dbus.x86_64:1:1.12.28-1.amzn2023.0.1` AL2023 Anda dapat secara opsional menentukan jumlah hari tertentu untuk menunggu penambalan setelah tambalan tersedia. Untuk Linux danmacOS, Anda memiliki opsi untuk menentukan daftar patch eksternal untuk kepatuhan (daftar Install Override) alih-alih yang ditentukan oleh aturan dasar patch.

Saat operasi penambalan berjalan, Patch Manager bandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang diatur di baseline patch atau daftar Install Override. Anda dapat memilih untuk menunjukkan Patch Manager kepada Anda hanya laporan patch yang hilang (`Scan`operasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua patch yang ditemukan hilang dari node terkelola (`Scan and install`operasi).

**catatan**  
Data kepatuhan tambalan mewakili point-in-time snapshot dari operasi patching terbaru yang berhasil. Setiap laporan kepatuhan berisi waktu pengambilan yang mengidentifikasi kapan status kepatuhan dihitung. Saat meninjau data kepatuhan, pertimbangkan waktu pengambilan untuk menentukan apakah operasi dijalankan seperti yang diharapkan.

Patch Managermenyediakan baseline patch standar yang dapat Anda gunakan untuk operasi patching Anda; namun, konfigurasi yang telah ditentukan ini disediakan sebagai contoh dan bukan sebagai praktik terbaik yang direkomendasikan. Kami menyarankan Anda membuat baseline patch kustom Anda sendiri untuk melakukan kontrol yang lebih besar atas apa yang merupakan kepatuhan patch untuk armada Anda.

Untuk informasi selengkapnya tentang garis dasar tambalan, lihat topik berikut:
+ [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md)
+ [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md)
+ [Melihat AWS baseline patch yang telah ditentukan](patch-manager-view-predefined-patch-baselines.md)
+ [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md)
+ [Bekerja dengan laporan kepatuhan tambalan](patch-manager-compliance-reports.md)

## Komponen utama
<a name="primary-components"></a>

Sebelum Anda mulai bekerja dengan Patch Manager alat ini, Anda harus membiasakan diri dengan beberapa komponen dan fitur utama dari operasi penambalan alat.

**Garis dasar patch**  
Patch Managermenggunakan *garis dasar tambalan*, yang mencakup aturan untuk patch yang menyetujui otomatis dalam beberapa hari setelah rilis, selain daftar opsional tambalan yang disetujui dan ditolak. Saat operasi penambalan berjalan, Patch Manager bandingkan tambalan yang saat ini diterapkan ke node terkelola dengan yang harus diterapkan sesuai dengan aturan yang diatur di baseline patch. Anda dapat memilih untuk menunjukkan Patch Manager kepada Anda hanya laporan patch yang hilang (`Scan`operasi), atau Anda dapat memilih Patch Manager untuk secara otomatis menginstal semua patch yang ditemukan hilang dari node terkelola (`Scan and install`operasi).

**Metode operasi penambalan**  
Patch Managersaat ini menawarkan empat metode untuk menjalankan `Scan` dan `Scan and install` operasi:
+ **(Disarankan) Kebijakan tambalan yang dikonfigurasi dalam Quick Setup** — Berdasarkan integrasi dengan AWS Organizations, kebijakan tambalan tunggal dapat menentukan jadwal penambalan dan garis dasar tambalan untuk seluruh organisasi, termasuk beberapa Akun AWS dan semua akun Wilayah AWS tersebut beroperasi. Kebijakan patch juga dapat menargetkan hanya beberapa unit organisasi (OUs) dalam suatu organisasi. Anda dapat menggunakan kebijakan patch tunggal untuk memindai dan menginstal pada jadwal yang berbeda. Untuk informasi selengkapnya, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md) dan [Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).
+ **Opsi Manajemen Host yang dikonfigurasi dalam Quick Setup** - Konfigurasi Manajemen Host juga didukung oleh integrasi dengan AWS Organizations, sehingga memungkinkan untuk menjalankan operasi penambalan hingga seluruh Organisasi. Namun, opsi ini terbatas pada pemindaian tambalan yang hilang menggunakan baseline patch default saat ini dan memberikan hasil dalam laporan kepatuhan. Metode operasi ini tidak dapat menginstal tambalan. Untuk informasi selengkapnya, lihat [Siapkan manajemen host Amazon EC2 menggunakan Quick Setup](quick-setup-host-management.md).
+ **Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas** - Jendela pemeliharaan, yang Anda atur di alat Systems Manager yang disebutMaintenance Windows, dapat dikonfigurasi untuk menjalankan berbagai jenis tugas pada jadwal yang Anda tentukan. Tugas Run Command -type dapat digunakan untuk menjalankan `Scan` atau `Scan and install` tugas sekumpulan node terkelola yang Anda pilih. Setiap tugas jendela pemeliharaan dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).
+ ****Patch sesuai permintaan sekarang** beroperasi di Patch Manager** — Opsi **Patch now** memungkinkan Anda melewati pengaturan jadwal saat Anda perlu menambal node yang dikelola secepat mungkin. Menggunakan **Patch sekarang**, Anda menentukan apakah akan menjalankan `Scan` atau `Scan and install` operasi dan node terkelola mana yang menjalankan operasi. Anda juga dapat memilih untuk menjalankan dokumen Systems Manager (dokumen SSM) sebagai kait siklus hidup selama operasi penambalan. Setiap operasi **Patch sekarang** dapat menargetkan node terkelola hanya dalam satu Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

**Pelaporan kepatuhan**  
Setelah `Scan` operasi, Anda dapat menggunakan konsol Systems Manager untuk melihat informasi tentang node terkelola mana yang tidak sesuai dengan patch, dan patch mana yang hilang dari masing-masing node tersebut. Anda juga dapat membuat laporan kepatuhan patch dalam format.csv yang dikirim ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan satu kali, atau membuat laporan pada jadwal rutin. Untuk satu node terkelola, laporan menyertakan detail semua tambalan untuk node. Untuk laporan tentang semua node terkelola, hanya ringkasan berapa banyak tambalan yang hilang yang disediakan. Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon Quick untuk mengimpor dan menganalisis data. Untuk informasi selengkapnya, lihat [Bekerja dengan laporan kepatuhan tambalan](patch-manager-compliance-reports.md).

**catatan**  
Item kepatuhan yang dihasilkan melalui penggunaan kebijakan tambalan memiliki jenis eksekusi`PatchPolicy`. Item kepatuhan yang tidak dihasilkan dalam operasi kebijakan tambalan memiliki jenis eksekusi`Command`.

**Integrasi**  
Patch Managerterintegrasi dengan yang lain Layanan AWS berikut: 
+ **AWS Identity and Access Management (IAM)** — Gunakan IAM untuk mengontrol pengguna, grup, dan peran mana yang memiliki akses ke Patch Manager operasi. Untuk informasi selengkapnya, lihat [Cara kerja AWS Systems Manager dengan IAM](security_iam_service-with-iam.md) dan [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). 
+ **AWS CloudTrail**— Gunakan CloudTrail untuk merekam riwayat yang dapat diaudit dari peristiwa operasi penambalan yang diprakarsai oleh pengguna, peran, atau grup. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ **AWS Security Hub CSPM**— Data kepatuhan Patch dari Patch Manager dapat dikirim ke AWS Security Hub CSPM. Security Hub CSPM memberi Anda pandangan komprehensif tentang peringatan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 
+ **AWS Config**— Siapkan perekaman AWS Config untuk melihat data manajemen instans Amazon EC2 di Dasbor. Patch Manager Lihat informasi yang lebih lengkap di [Melihat ringkasan Patch Dasbor](patch-manager-view-dashboard-summaries.md).

**Topics**
+ [Bagaimana bisa Patch Manager menguntungkan organisasi saya?](#how-can-patch-manager-benefit-my-organization)
+ [Siapa yang harus menggunakanPatch Manager?](#who-should-use-patch-manager)
+ [Apa saja fitur utamaPatch Manager?](#what-are-the-main-features-of-patch-manager)
+ [Apa itu kepatuhanPatch Manager?](#patch-manager-definition-of-compliance)
+ [Komponen utama](#primary-components)
+ [Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md)
+ [Prasyarat Patch Manager](patch-manager-prerequisites.md)
+ [Bagaimana Patch Manager operasi bekerja](patch-manager-patching-operations.md)
+ [Dokumen SSM Command untuk menambal node terkelola](patch-manager-ssm-documents.md)
+ [Garis dasar patch](patch-manager-patch-baselines.md)
+ [Menggunakan node Kernel Live Patching terkelola Amazon Linux 2](patch-manager-kernel-live-patching.md)
+ [Bekerja dengan Patch Manager sumber daya dan kepatuhan menggunakan konsol](patch-manager-console.md)
+ [Bekerja dengan Patch Manager sumber daya menggunakan AWS CLI](patch-manager-cli-commands.md)
+ [AWS Systems ManagerPatch Managertutorial](patch-manager-tutorials.md)
+ [Pemecahan Masalah Patch Manager](patch-manager-troubleshooting.md)

# Konfigurasi kebijakan tambalan di Quick Setup
<a name="patch-manager-policies"></a>

AWS merekomendasikan penggunaan *kebijakan tambalan* untuk mengonfigurasi penambalan untuk organisasi Anda dan Akun AWS. Kebijakan tambalan diperkenalkan Patch Manager pada bulan Desember 2022. 

Kebijakan tambalan adalah konfigurasi yang Anda atur menggunakanQuick Setup, alat di AWS Systems Manager. Kebijakan tambalan memberikan kontrol yang lebih luas dan lebih terpusat atas operasi patching Anda daripada yang tersedia dengan metode konfigurasi patching sebelumnya. Kebijakan patch dapat digunakan dengan [semua sistem operasi yang didukung oleh Patch Manager](patch-manager-prerequisites.md#pm-prereqs), termasuk versi Linux yang didukungmacOS, danWindows Server. Untuk petunjuk cara membuat kebijakan tambalan, lihat[Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md).

## Fitur utama kebijakan tambalan
<a name="patch-policies-about-major-features"></a>

Alih-alih menggunakan metode lain untuk menambal node Anda, gunakan kebijakan tambalan untuk memanfaatkan fitur-fitur utama ini:
+ **Penyiapan tunggal** — Menyiapkan operasi penambalan menggunakan jendela pemeliharaan atau State Manager asosiasi dapat memerlukan banyak tugas di berbagai bagian konsol Systems Manager. Menggunakan kebijakan tambalan, semua operasi penambalan Anda dapat diatur dalam satu wizard.
+ **Dukungan multi-akun/multi-wilayah** — Menggunakan jendela pemeliharaan, State Manager asosiasi, atau fitur **Patch now** diPatch Manager, Anda dibatasi untuk menargetkan node terkelola dalam satu pasangan. Akun AWSWilayah AWS Jika Anda menggunakan beberapa akun dan beberapa Wilayah, tugas penyiapan dan pemeliharaan Anda dapat memerlukan banyak waktu, karena Anda harus melakukan tugas penyiapan di setiap pasangan Account-region. Namun, jika Anda menggunakannya AWS Organizations, Anda dapat menyiapkan satu kebijakan tambalan yang berlaku untuk semua node terkelola Wilayah AWS di semua node Anda Akun AWS. Atau, jika Anda memilih, kebijakan tambalan hanya dapat berlaku untuk beberapa unit organisasi (OUs) di akun dan Wilayah yang Anda pilih. Kebijakan tambalan juga dapat berlaku untuk satu akun lokal, jika Anda mau.
+ **Dukungan instalasi di tingkat organisasi** — Opsi konfigurasi Manajemen Host yang ada di Quick Setup menyediakan dukungan untuk pemindaian harian node terkelola Anda untuk kepatuhan patch. Namun, pemindaian ini dilakukan pada waktu yang telah ditentukan dan hanya menghasilkan informasi kepatuhan tambalan. Tidak ada instalasi patch yang dilakukan. Menggunakan kebijakan tambalan, Anda dapat menentukan jadwal yang berbeda untuk pemindaian dan pemasangan. Anda juga dapat memilih frekuensi dan waktu operasi ini dengan menggunakan ekspresi CRON atau Rate kustom. Misalnya, Anda dapat memindai tambalan yang hilang setiap hari untuk memberi Anda informasi kepatuhan yang diperbarui secara berkala. Tapi, jadwal instalasi Anda bisa hanya seminggu sekali untuk menghindari downtime yang tidak diinginkan.
+ **Pemilihan baseline patch yang disederhanakan** — Kebijakan patch masih menggabungkan baseline patch, dan tidak ada perubahan pada cara baseline patch dikonfigurasi. Namun, saat Anda membuat atau memperbarui kebijakan tambalan, Anda dapat memilih baseline AWS terkelola atau kustom yang ingin Anda gunakan untuk setiap jenis sistem operasi (OS) dalam satu daftar. Tidak perlu menentukan baseline default untuk setiap jenis OS dalam tugas terpisah.

**catatan**  
Saat menambal operasi berdasarkan kebijakan patch dijalankan, mereka menggunakan dokumen `AWS-RunPatchBaseline` SSM. Untuk informasi selengkapnya, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

**Informasi Terkait**  
[Terapkan operasi patching secara terpusat di seluruh AWS Organisasi Anda menggunakan Systems Manager Quick Setup](https://aws.amazon.com/blogs/mt/centrally-deploy-patching-operations-across-your-aws-organization-using-systems-manager-quick-setup/) (AWS Cloud Operations and Migrations Blog)

## Perbedaan lain dengan kebijakan tambalan
<a name="patch-policies-about-other-features"></a>

Berikut adalah beberapa perbedaan lain yang perlu diperhatikan saat menggunakan kebijakan tambalan alih-alih metode konfigurasi tambalan sebelumnya:
+ **Tidak diperlukan grup tambalan** — Dalam operasi penambalan sebelumnya, Anda dapat menandai beberapa node untuk menjadi milik grup tambalan, dan kemudian menentukan garis dasar tambalan yang akan digunakan untuk grup tambalan itu. Jika tidak ada grup tambalan yang ditentukan, instance yang Patch Manager ditambal dengan baseline patch default saat ini untuk jenis OS. Menggunakan kebijakan tambalan, tidak perlu lagi menyiapkan dan memelihara grup tambalan. 
**catatan**  
Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.
+ **Halaman 'Configure patching' dihapus** **— Sebelum rilis kebijakan patch, Anda dapat menentukan default node mana yang akan ditambal, jadwal patching, dan operasi patching pada halaman Patching Configure.** Halaman ini telah dihapus dariPatch Manager. Opsi ini sekarang ditentukan dalam kebijakan tambalan. 
+ **Tidak ada dukungan 'Patch now'** — Kemampuan untuk menambal node sesuai permintaan masih terbatas pada satu Akun AWSWilayah AWS pasangan pada satu waktu. Untuk informasi, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).
+ **Kebijakan tambalan dan informasi kepatuhan** — Saat node terkelola dipindai untuk kepatuhan sesuai dengan konfigurasi kebijakan penambalan, data kepatuhan akan tersedia untuk Anda. Anda dapat melihat dan bekerja dengan data dengan cara yang sama seperti metode pemindaian kepatuhan lainnya. Meskipun Anda dapat menyiapkan kebijakan tambalan untuk seluruh organisasi atau beberapa unit organisasi, informasi kepatuhan dilaporkan secara individual untuk setiap Akun AWSWilayah AWS pasangan. Untuk informasi selengkapnya, lihat [Bekerja dengan laporan kepatuhan tambalan](patch-manager-compliance-reports.md).
+ **Status kepatuhan asosiasi dan kebijakan tambalan** — Status patching untuk node terkelola yang berada di bawah kebijakan Quick Setup tambalan cocok dengan status eksekusi State Manager asosiasi untuk node tersebut. Jika status eksekusi asosiasi adalah`Compliant`, status patching untuk node terkelola juga ditandai`Compliant`. Jika status eksekusi asosiasi adalah`Non-Compliant`, status patching untuk node terkelola juga ditandai`Non-Compliant`. 

## Wilayah AWS didukung untuk kebijakan tambalan
<a name="patch-policies-supported-regions"></a>

Konfigurasi kebijakan tambalan di Quick Setup saat ini didukung di Wilayah berikut:
+ AS Timur (Ohio) (us-east-2)
+ AS Timur (Virginia Utara) (us-east-1)
+ AS Barat (California Utara) (us-west-1)
+ AS Barat (Oregon) (us-west-2)
+ Asia Pacific (Mumbai) (ap-south-1)
+ Asia Pacific (Seoul) (ap-northeast-2)
+ Asia Pasifik (Singapura) (ap-southeast-1)
+ Asia Pacific (Sydney) (ap-southeast-2)
+ Asia Pacific (Tokyo) (ap-northeast-1)
+ Kanada (Pusat) (ca-central-1)
+ Eropa (Frankfurt) (eu-central-1)
+ Eropa (Irlandia) (eu-west-1)
+ Eropa (London) (eu-west-2)
+ Eropa (Paris) (eu-west-3)
+ Eropa (Stockholm) (eu-north-1)
+ Amerika Selatan (Sao Paulo) (sa-east-1)

# Prasyarat Patch Manager
<a name="patch-manager-prerequisites"></a>

Pastikan Anda telah memenuhi prasyarat yang diperlukan sebelum menggunakanPatch Manager, alat di. AWS Systems Manager

**Topics**
+ [Versi SSM Agent](#agent-versions)
+ [Versi Python](#python-version)
+ [Persyaratan paket tambahan](#additional-package-requirements)
+ [Konektivitas ke sumber patch](#source-connectivity)
+ [Akses titik akhir S3](#s3-endpoint-access)
+ [Izin untuk menginstal tambalan secara lokal](#local-installation-permissions)
+ [Sistem operasi yang didukung untuk Patch Manager](#supported-os)

## Versi SSM Agent
<a name="agent-versions"></a>

Versi 2.0.834.0 atau yang lebih baru berjalan pada node SSM Agent terkelola yang ingin Anda kelola. Patch Manager

**catatan**  
Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.

## Versi Python
<a name="python-version"></a>

Untuk macOS dan sebagian besar sistem operasi Linux (OSs), Patch Manager saat ini mendukung Python versi 2.6 - 3.12. The AlmaLinux,Debian Server, dan Ubuntu Server OSs memerlukan versi Python 3 yang didukung (3.0 - 3.12).

## Persyaratan paket tambahan
<a name="additional-package-requirements"></a>

Untuk sistem operasi berbasis DNF, `zstd``xz`, dan `unzip` utilitas mungkin diperlukan untuk mendekompresi informasi repositori dan file patch. Sistem operasi berbasis DNF termasuk Amazon Linux 2023, Red Hat Enterprise Linux 8 dan versi yang lebih baru, 8 dan versi yang lebih baru,,Rocky Linux, AlmaLinux & CentOS Oracle Linux 8 dan versi yang lebih baru. Jika Anda melihat kesalahan yang mirip dengan`No such file or directory: b'zstd'`,`No such file or directory: b'unxz'`, atau kegagalan menambal karena hilang`unzip`, maka Anda perlu menginstal utilitas ini. `zstd`,`xz`, dan `unzip` dapat diinstal dengan menjalankan yang berikut:

```
dnf install zstd xz unzip
```

## Konektivitas ke sumber patch
<a name="source-connectivity"></a>

Jika node terkelola Anda tidak memiliki koneksi langsung ke Internet dan Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) dengan titik akhir VPC, Anda harus memastikan bahwa node memiliki akses ke repositori patch sumber (repo). Pada node Linux, pembaruan patch biasanya diunduh dari repo jarak jauh yang dikonfigurasi pada node. Oleh karena itu, node harus dapat terhubung ke repo sehingga penambalan dapat dilakukan. Untuk informasi selengkapnya, lihat [Cara pemilihan patch keamanan](patch-manager-selecting-patches.md).

Saat menambal node yang berjalan di lingkungan IPv6 satu-satunya, pastikan node memiliki konektivitas ke sumber patch. Anda dapat memeriksa Run Command output dari eksekusi patching untuk memeriksa peringatan tentang repositori yang tidak dapat diakses. Untuk sistem operasi berbasis DNF, dimungkinkan untuk mengonfigurasi repositori yang tidak tersedia untuk dilewati selama penambalan jika opsi diatur ke bawah. `skip_if_unavailable` `True` `/etc/dnf/dnf.conf` Sistem operasi berbasis DNF termasuk Amazon Linux 2023, Red Hat Enterprise Linux 8 dan versi yang lebih baru, 8 dan versi yang lebih baru,,Rocky Linux, AlmaLinux & CentOS Oracle Linux 8 dan versi yang lebih baru. Di Amazon Linux 2023, `skip_if_unavailable` opsi diatur ke secara `True` default.

**CentOS Stream: Aktifkan `EnableNonSecurity` bendera**  
CentOS Streamnode menggunakan DNF sebagai manajer paket, yang menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. 

Namun, repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan `EnableNonSecurity` bendera dalam aturan dasar tambalan.

**Windows Server: Pastikan konektivitas ke Katalog Pembaruan Windows atau Layanan Pembaruan Server Windows (WSUS)**  
Windows Servernode yang dikelola harus dapat terhubung ke Katalog Pembaruan Windows atau Layanan Pembaruan Server Windows (WSUS). Konfirmasikan bahwa node Anda memiliki konektivitas ke [Katalog Pembaruan Microsoft](https://www.catalog.update.microsoft.com/home.aspx) melalui gateway internet, gateway NAT, atau instance NAT. Jika Anda menggunakan WSUS, konfirmasikan bahwa node memiliki konektivitas ke server WSUS di lingkungan Anda. Untuk informasi selengkapnya, lihat [Masalah: node terkelola tidak memiliki akses ke Katalog Pembaruan Windows atau WSUS](patch-manager-troubleshooting.md#patch-manager-troubleshooting-instance-access).

## Akses titik akhir S3
<a name="s3-endpoint-access"></a>

Baik node terkelola Anda beroperasi di jaringan pribadi atau publik, tanpa akses ke bucket Amazon Simple Storage Service (Amazon S3) AWS terkelola yang diperlukan, operasi penambalan gagal. Untuk informasi tentang bucket S3 node terkelola Anda harus dapat mengakses, lihat [SSM Agentkomunikasi dengan bucket S3 AWS terkelola](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) dan. [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager](setup-create-vpc.md) 

## Izin untuk menginstal tambalan secara lokal
<a name="local-installation-permissions"></a>

Sistem operasi On Windows Server dan Linux, Patch Manager mengasumsikan Administrator dan akun pengguna root, masing-masing, untuk menginstal tambalan.

NamunmacOS, untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya yang berjalan di bawah akun pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew, atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Oleh karena itu, untuk menginstal tambalan, pemilik `homebrew` direktori juga memerlukan izin pemilik rekursif untuk direktori. `/usr/local`

**Tip**  
Perintah berikut memberikan izin ini untuk pengguna yang ditentukan:  

```
sudo chown -R $USER:admin /usr/local
```

## Sistem operasi yang didukung untuk Patch Manager
<a name="supported-os"></a>

Patch ManagerAlat ini mungkin tidak mendukung semua versi sistem operasi yang sama yang didukung oleh alat Systems Manager lainnya. (Untuk daftar lengkap sistem operasi yang didukung oleh Systems Manager, lihat [Sistem operasi yang didukung untuk Systems Manager](operating-systems-and-machine-types.md#prereqs-operating-systems).) Oleh karena itu, pastikan bahwa node terkelola yang Patch Manager ingin Anda gunakan menjalankan salah satu sistem operasi yang tercantum dalam tabel berikut.

**catatan**  
Patch Managerbergantung pada repositori patch yang dikonfigurasi pada node terkelola, seperti Katalog Pembaruan Windows dan Layanan Pembaruan Server Windows untuk Windows, untuk mengambil tambalan yang tersedia untuk diinstal. Oleh karena itu, untuk versi sistem operasi akhir masa pakai (EOL), jika tidak ada pembaruan baru yang tersedia, Patch Manager mungkin tidak dapat melaporkan pembaruan baru. Ini bisa karena tidak ada pembaruan baru yang dirilis oleh pengelola distribusi Linux, Microsoft, atau Apple, atau karena node yang dikelola tidak memiliki lisensi yang tepat untuk mengakses pembaruan baru.  
Kami sangat menyarankan agar Anda menghindari penggunaan versi OS yang telah mencapai End-of-Life (EOL). Vendor OS termasuk AWS biasanya tidak menyediakan patch keamanan atau pembaruan lain untuk versi yang telah mencapai EOL. Terus menggunakan sistem EOL sangat meningkatkan risiko tidak dapat menerapkan peningkatan, termasuk perbaikan keamanan, dan masalah operasional lainnya. AWS tidak menguji fungsionalitas Systems Manager pada versi OS yang telah mencapai EOL.  
Patch Managermelaporkan status kepatuhan terhadap tambalan yang tersedia pada node terkelola. Oleh karena itu, jika sebuah instance menjalankan sistem operasi EOL, dan tidak ada pembaruan yang tersedia, Patch Manager mungkin melaporkan node sebagai Compliant, tergantung pada baseline patch yang dikonfigurasi untuk operasi patching.


| Sistem operasi | Detail | 
| --- | --- | 
|  Linux  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-prerequisites.html)  | 
| macOS |  *macOSdidukung hanya untuk instans Amazon EC2.* 13.0—13.7 (Ventura) *14.x* (Sonoma) 15. *x* (Sequoia)  macOSPembaruan OS Patch Managertidak mendukung pembaruan atau peningkatan sistem operasi (OS) untukmacOS, seperti dari 13.1 hingga 13.2. Untuk melakukan pembaruan versi OSmacOS, kami sarankan untuk menggunakan mekanisme peningkatan OS bawaan Apple. Untuk informasi selengkapnya, lihat [Manajemen Perangkat](https://developer.apple.com/documentation/devicemanagement) di situs web Dokumentasi Pengembang Apple.   Dukungan Homebrew Patch Managermemerlukan Homebrew, sistem manajemen paket perangkat lunak sumber terbuka, untuk diinstal di salah satu lokasi penginstalan default berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-prerequisites.html) Operasi penambalan menggunakan Patch Manager gagal berfungsi dengan benar saat Homebrew tidak diinstal.  Dukungan Wilayah macOStidak didukung sama sekali Wilayah AWS. Untuk informasi selengkapnya tentang dukungan Amazon EC2macOS, lihat instans [Amazon EC2 Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) di Panduan Pengguna Amazon *EC2*.   macOSperangkat tepi SSM Agentuntuk perangkat AWS IoT Greengrass inti tidak didukung padamacOS. Anda tidak dapat menggunakan Patch Manager untuk menambal perangkat macOS tepi.   | 
|  Windows  |  Windows Server2012 hingga Windows Server 2025, termasuk versi R2.  SSM Agentuntuk perangkat AWS IoT Greengrass inti tidak didukung pada Windows 10. Anda tidak dapat menggunakan Patch Manager untuk menambal perangkat Windows 10 edge.   Windows ServerDukungan 2012 dan 2012 R2 Windows Server2012 dan 2012 R2 mencapai akhir dukungan pada 10 Oktober 2023. Untuk menggunakan Patch Manager versi ini, kami sarankan juga menggunakan Pembaruan Keamanan Diperpanjang (ESUs) dari Microsoft. Untuk informasi selengkapnya, lihat [Windows Server2012 dan 2012 R2 mencapai akhir dukungan](https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support) di situs web Microsoft.   | 

# Bagaimana Patch Manager operasi bekerja
<a name="patch-manager-patching-operations"></a>

Bagian ini memberikan rincian teknis yang menjelaskan bagaimanaPatch Manager, alat di AWS Systems Manager, menentukan patch mana yang akan diinstal dan bagaimana menginstalnya pada setiap sistem operasi yang didukung. Untuk sistem operasi Linux, ini juga menyediakan informasi tentang menentukan repositori sumber, dalam baseline patch khusus, untuk tambalan selain default yang dikonfigurasi pada node terkelola. Bagian ini juga menyediakan detail tentang cara aturan dasar patch bekerja pada distribusi sistem operasi Linux yang berbeda.

**catatan**  
Informasi dalam topik berikut berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi patching Anda:  
Kebijakan tambalan yang dikonfigurasi di Quick Setup
Opsi Manajemen Host yang dikonfigurasi di Quick Setup
Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
**Patch sesuai permintaan sekarang beroperasi**

**Topics**
+ [Bagaimana tanggal rilis paket dan tanggal pembaruan dihitung](patch-manager-release-dates.md)
+ [Cara pemilihan patch keamanan](patch-manager-selecting-patches.md)
+ [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md)
+ [Cara menginstal patch](patch-manager-installing-patches.md)
+ [Cara kerja aturan dasar patch pada sistem berbasis Linux](patch-manager-linux-rules.md)
+ [Menambal perbedaan operasi antara Linux dan Windows Server](patch-manager-windows-and-linux-differences.md)

# Bagaimana tanggal rilis paket dan tanggal pembaruan dihitung
<a name="patch-manager-release-dates"></a>

**penting**  
Informasi di halaman ini berlaku untuk sistem operasi (OS) Amazon Linux 2 dan Amazon Linux 2023 untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Paket untuk jenis OS ini dibuat dan dikelola oleh Amazon Web Services. Bagaimana produsen sistem operasi lain mengelola paket dan repositori mereka memengaruhi bagaimana tanggal rilis dan tanggal pembaruan mereka dihitung. Untuk OSs selain Amazon Linux 2 dan Amazon Linux 2023, sepertiRed Hat Enterprise Linux, lihat dokumentasi pabrikan untuk informasi tentang bagaimana paket mereka diperbarui dan dipelihara.

Dalam pengaturan untuk [baseline patch kustom](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom) yang Anda buat, untuk sebagian besar jenis OS, Anda dapat menentukan bahwa patch disetujui secara otomatis untuk instalasi setelah beberapa hari tertentu. AWS menyediakan beberapa baseline patch yang telah ditentukan yang mencakup tanggal persetujuan otomatis 7 hari.

*Penundaan persetujuan otomatis* adalah jumlah hari untuk menunggu setelah tambalan dirilis, sebelum tambalan secara otomatis disetujui untuk ditambal. Misalnya, Anda membuat aturan menggunakan `CriticalUpdates` klasifikasi dan mengonfigurasinya selama 7 hari penundaan persetujuan otomatis. Akibatnya, tambalan kritis baru dengan tanggal rilis atau tanggal pembaruan terakhir 7 Juli secara otomatis disetujui pada 14 Juli.

Untuk menghindari hasil yang tidak terduga dengan penundaan persetujuan otomatis di Amazon Linux 2 dan Amazon Linux 2023, penting untuk memahami bagaimana tanggal rilis dan tanggal pembaruan mereka dihitung.

**catatan**  
Jika repositori Amazon Linux 2 atau Amazon Linux 2023 tidak memberikan informasi tanggal rilis untuk paket, Patch Manager gunakan waktu pembuatan paket sebagai tanggal untuk spesifikasi tanggal persetujuan otomatis. Jika waktu pembuatan paket tidak dapat ditentukan, Patch Manager gunakan tanggal default 1 Januari 1970. Ini menghasilkan Patch Manager melewati spesifikasi tanggal persetujuan otomatis apa pun di garis dasar tambalan yang dikonfigurasi untuk menyetujui tambalan untuk tanggal apa pun setelah 1 Januari 1970.

Dalam kebanyakan kasus, waktu tunggu persetujuan otomatis sebelum tambalan diinstal dihitung dari `Updated Date` nilai dalam`updateinfo.xml`, bukan nilai. `Release Date` Berikut ini adalah detail penting tentang perhitungan tanggal ini: 
+ `Release Date`Ini adalah tanggal *pemberitahuan* dirilis. Ini tidak berarti paket tersebut harus tersedia di repositori terkait. 
+ `Update Date`Ini adalah tanggal terakhir pemberitahuan diperbarui. Pembaruan pemberitahuan dapat mewakili sesuatu yang sekecil pembaruan teks atau deskripsi. Ini tidak berarti paket dirilis sejak tanggal tersebut atau harus tersedia di repositori terkait. 

  Ini berarti bahwa sebuah paket dapat memiliki `Update Date` nilai 7 Juli tetapi tidak tersedia untuk instalasi sampai (misalnya) 13 Juli. Misalkan untuk kasus ini bahwa baseline patch yang menentukan penundaan persetujuan otomatis 7 hari berjalan dalam operasi pada 14 Juli. `Install` Karena `Update Date` nilainya 7 hari sebelum tanggal berjalan, tambalan dan pembaruan dalam paket diinstal pada 14 Juli. Instalasi terjadi meskipun hanya 1 hari telah berlalu sejak paket tersedia untuk instalasi yang sebenarnya.
+ Paket yang berisi sistem operasi atau patch aplikasi dapat diperbarui lebih dari satu kali setelah rilis awal.
+ Sebuah paket dapat dirilis ke repositori AWS terkelola tetapi kemudian diputar kembali jika masalah kemudian ditemukan dengannya.

Dalam beberapa operasi penambalan, faktor-faktor ini mungkin tidak penting. Misalnya, jika baseline patch dikonfigurasi untuk menginstal patch dengan nilai keparahan `Low` dan`Medium`, dan klasifikasi, penundaan persetujuan otomatis apa pun mungkin berdampak kecil pada operasi Anda. `Recommended`

Namun, dalam kasus di mana waktu tambalan kritis atau tingkat keparahan tinggi lebih penting, Anda mungkin ingin melakukan kontrol lebih besar saat tambalan dipasang. Metode yang disarankan untuk melakukan ini adalah dengan menggunakan repositori sumber patch alternatif alih-alih repositori default untuk menambal operasi pada node yang dikelola. 

Anda dapat menentukan repositori sumber patch alternatif ketika membuat dasar patch kustom. Di setiap dasar patch kustom, Anda dapat menentukan konfigurasi sumber patch hingga 20 versi sistem operasi Linux yang didukung. Lihat informasi yang lebih lengkap di [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).

# Cara pemilihan patch keamanan
<a name="patch-manager-selecting-patches"></a>

Fokus utamaPatch Manager, alat di AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.

Secara default, Patch Manager tidak mengganti paket yang telah ditandai sebagai usang dalam repositori paket dengan paket pengganti yang berbeda nama kecuali penggantian ini diperlukan oleh instalasi pembaruan paket lain. Sebagai gantinya, untuk perintah yang memperbarui paket, Patch Manager hanya melaporkan dan menginstal pembaruan yang hilang untuk paket yang diinstal tetapi sudah usang. Ini karena mengganti paket usang biasanya memerlukan penghapusan paket yang ada dan menginstal penggantinya. Mengganti paket usang dapat menyebabkan perubahan yang melanggar atau fungsionalitas tambahan yang tidak Anda inginkan.

Perilaku ini konsisten dengan `update-minimal` perintah YUM dan DNF, yang berfokus pada pembaruan keamanan daripada peningkatan fitur. Untuk informasi selengkapnya, lihat [Cara menginstal patch](patch-manager-installing-patches.md).

**catatan**  
Saat Anda menggunakan `ApproveUntilDate` parameter atau `ApproveAfterDays` parameter dalam aturan dasar patch, Patch Manager evaluasi tanggal rilis patch menggunakan Coordinated Universal Time (UTC).   
Misalnya, untuk`ApproveUntilDate`, jika Anda menentukan tanggal seperti`2025-11-16`, tambalan yang dirilis antara `2025-11-16T00:00:00Z` dan `2025-11-16T23:59:59Z` akan disetujui.   
Ketahuilah bahwa tanggal rilis tambalan yang ditampilkan oleh pengelola paket asli pada node terkelola Anda mungkin menunjukkan waktu yang berbeda berdasarkan zona waktu lokal sistem Anda, tetapi Patch Manager selalu menggunakan waktu tanggal UTC untuk perhitungan persetujuan. Ini memastikan konsistensi dengan tanggal rilis patch yang dipublikasikan di situs web penasihat keamanan resmi.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), atau dari metrik yang dirilis oleh [National](https://nvd.nist.gov/vuln) Vulnerability Database (NVD).

**catatan**  
Pada semua sistem berbasis Linux yang didukung olehPatch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).

Pilih dari tab berikut untuk mempelajari cara Patch Manager memilih patch keamanan untuk sistem operasi Anda.

------
#### [ Amazon Linux 2 and Amazon Linux 2023 ]

Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 2 daripada di Amazon Linux 2023.

Di Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:

**Di Amazon Linux 2**
+ **ID repo**: `amzn2-core/2/architecture`

  **Nama repo**: `Amazon Linux 2 core repository`
+ **ID repo**: `amzn2extra-docker/2/architecture`

  **Nama repo**: `Amazon Extras repo for docker`

**catatan**  
*architecture*bisa x86\$164 atau (untuk prosesor Graviton) aarch64.

Saat Anda membuat instans Amazon Linux 2023 (AL2023), instans berisi pembaruan yang tersedia dalam versi AL2023 dan spesifik yang AMI Anda pilih. AL2023 Instans Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan pada waktu peluncuran. Sebagai gantinya, dengan *peningkatan deterministik melalui fitur repositori berversi* yang didukung AL2023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat [Peningkatan deterministik melalui repositori berversi](https://docs.aws.amazon.com/linux/al2023/ug/deterministic-upgrades.html) di Panduan Pengguna *Amazon* Linux 2023. 

Aktif AL2023, repositori yang telah dikonfigurasi adalah sebagai berikut:
+ **ID repo**: `amazonlinux`

  **Nama repo**: repositori Amazon Linux 2023

Di Amazon Linux 2023 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan *versi pembaruan paket yang terkunci*. Ketika new Amazon Machine Images (AMIs) for AL2023 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.

**Manajer Package**  
Node terkelola Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2023 menggunakan DNF sebagai manajer paket. 

Kedua manajer paket menggunakan konsep *pemberitahuan pembaruan* sebagai file bernama`updateinfo.xml`. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan olehPatch Manager. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait.

**catatan**  
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.  
Untuk informasi selengkapnya tentang opsi **Sertakan pembaruan non-keamanan**, lihat [Cara menginstal patch](patch-manager-installing-patches.md) dan[Cara kerja aturan dasar patch pada sistem berbasis Linux](patch-manager-linux-rules.md).

------
#### [  CentOS Aliran ]

PadaCentOS Stream, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Daftar berikut memberikan contoh untuk CentOS 9.2 () fiktif: Amazon Machine Image AMI
+ **ID repo**: `example-centos-9.2-base`

  **Nama repo**: `Example CentOS-9.2 - Base`
+ **ID repo**: `example-centos-9.2-extras` 

  **Nama repo**: `Example CentOS-9.2 - Extras`
+ **ID repo**: `example-centos-9.2-updates`

  **Nama repo**: `Example CentOS-9.2 - Updates`
+ **ID repo**: `example-centos-9.x-examplerepo`

  **Nama repo**: `Example CentOS-9.x – Example Repo Packages`

**catatan**  
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

CentOS Streamnode menggunakan DNF sebagai manajer paket. Manajer paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. 

Namun, repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan `EnableNonSecurity` bendera dalam aturan dasar tambalan.

**catatan**  
CentOS Streampemberitahuan pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.

------
#### [ Debian Server ]

Pada Debian Server, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi pada instans. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara `sudo apt-get update`. 

Paket kemudian di-filter dari repo `debian-security codename`. Ini berarti bahwa pada setiap versiDebian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:
+  Debian Server11: `debian-security bullseye`
+ Debian Server12: `debian-security bookworm`

------
#### [ Oracle Linux ]

PadaOracle Linux, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.

**Oracle Linux7**:
+ **ID repo**: `ol7_UEKR5/x86_64`

  **Nama repo**: `Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)`
+ **ID repo**: `ol7_latest/x86_64`

  **Nama repo**: `Oracle Linux 7Server Latest (x86_64)` 

**Oracle Linux8**:
+ **ID repo**: `ol8_baseos_latest` 

  **Nama repo**: `Oracle Linux 8 BaseOS Latest (x86_64)`
+ **ID repo**: `ol8_appstream`

  **Nama repo**: `Oracle Linux 8 Application Stream (x86_64)` 
+ **ID repo**: `ol8_UEKR6`

  **Nama repo**: `Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)`

**Oracle Linux9**:
+ **ID repo**: `ol9_baseos_latest` 

  **Nama repo**: `Oracle Linux 9 BaseOS Latest (x86_64)`
+ **ID repo**: `ol9_appstream`

  **Nama repo**: `Oracle Linux 9 Application Stream Packages(x86_64)` 
+ **ID repo**: `ol9_UEKR7`

  **Nama repo**: `Oracle Linux UEK Release 7 (x86_64)`

**catatan**  
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Oracle Linuxnode terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama. `updateinfo.xml` Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

**catatan**  
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

------
#### [ AlmaLinux, RHEL, and Linux Rocky  ]

Pada AlmaLinux,Red Hat Enterprise Linux, dan Rocky Linux layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

**catatan**  
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

Red Hat Enterprise Linux7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan node Rocky Linux terkelola menggunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama `updateinfo.xml`. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

RHEL7  
Repo berikut IDs dikaitkan dengan RHUI 2. RHUI 3 diluncurkan pada Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk repositori Yum. IDs Bergantung pada RHEL-7 tempat AMI Anda membuat node terkelola, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat [Repositori IDs untuk RHEL 7 di AWS Telah Berubah di Portal](https://access.redhat.com/articles/4599971) *Pelanggan Red Hat*.
+ **ID repo**: `rhui-REGION-client-config-server-7/x86_64`

  **Nama repo**: `Red Hat Update Infrastructure 2.0 Client Configuration Server 7`
+ **ID repo**: `rhui-REGION-rhel-server-releases/7Server/x86_64`

  **Nama repo**: `Red Hat Enterprise Linux Server 7 (RPMs)`
+ **ID repo**: `rhui-REGION-rhel-server-rh-common/7Server/x86_64`

  **Nama repo**: `Red Hat Enterprise Linux Server 7 RH Common (RPMs)`

AlmaLinux, 8 RHEL 8, dan Rocky Linux 8  
+ **ID repo**: `rhel-8-appstream-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)`
+ **ID repo**: `rhel-8-baseos-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)`
+ **ID repo**: `rhui-client-config-server-8`

  **Nama repo**: `Red Hat Update Infrastructure 3 Client Configuration Server 8`

AlmaLinux 9, RHEL 9, dan Rocky Linux 9  
+ **ID repo**: `rhel-9-appstream-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)`
+ **ID repo**: `rhel-9-baseos-rhui-rpms`

  **Nama repo**: `Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)`
+ **ID repo**: `rhui-client-config-server-9`

  **Nama repo**: `Red Hat Enterprise Linux 9 Client Configuration`

------
#### [ SLES ]

Pada node terkelola SUSE Linux Enterprise Server (SLES), pustaka ZYPP mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:
+ Daftar repositori: `etc/zypp/repos.d/*`
+ Informasi paket: `/var/cache/zypp/raw/*`

SLESnode terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. Patch hanyalah kumpulan paket yang memperbaiki masalah tertentu. Patch Managermenangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberi klasifikasi atau tingkat keparahan, Patch Manager berikan paket atribut tambalan yang menjadi miliknya.

------
#### [ Ubuntu Server ]

PadaUbuntu Server, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara `sudo apt-get update`. 

Paket kemudian disaring dari `codename-security` repo, di mana nama kode unik untuk versi rilis, seperti `trusty` untuk 14. Ubuntu Server Patch Managerhanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini: 
+ Ubuntu Server16.04 LTS: `xenial-security`
+ Ubuntu Server18.04 LTS: `bionic-security`
+ Ubuntu Server20.04 LTS: `focal-security`
+ Ubuntu Server22,04 LTS () `jammy-security`
+ Ubuntu Server24.04 LTS () `noble-security`
+ Ubuntu Server25.04 () `plucky-security`

------
#### [ Windows Server ]

Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang diterbitkan Microsoft ke Microsoft Update dan secara otomatis tersedia untuk Windows Server Update Services (WSUS).

**catatan**  
Patch Managerhanya membuat patch yang tersedia untuk versi sistem Windows Server operasi yang didukung untukPatch Manager. Misalnya, tidak Patch Manager dapat digunakan untuk menambal Windows RT.

Patch Managerterus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi tambalan dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika `KB4012214` menggantikan`KB3135456`, hanya `KB4012214` tersedia sebagai pembaruan diPatch Manager.

Demikian pula, Patch Manager dapat menginstal hanya patch yang tersedia pada node terkelola selama waktu operasi patching. Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan `ApproveUntilDate` parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalam `ApproveUntilDate` parameter *sebelum* tanggal tambalan terbaru, maka skenario berikut terjadi:
+ Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan. Patch Manager
+ Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan `ApproveUntilDate` parameter. 

Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan `ApproveAfterDays` parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu. `ApproveAfterDays` Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Objek Kebijakan Grup Windows (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.

**catatan**  
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui `01/01/1970` disediakan secara default.

------

# Cara menentukan repositori sumber patch alternatif (Linux)
<a name="patch-manager-alternative-source-repository"></a>

Saat Anda menggunakan repositori default yang dikonfigurasi pada node terkelola untuk operasi penambalan, alat di Patch Manager AWS Systems Manager, memindai atau menginstal tambalan terkait keamanan. Ini adalah perilaku default untukPatch Manager. Untuk informasi selengkapnya tentang cara Patch Manager memilih dan menginstal patch keamanan, lihat. [Cara pemilihan patch keamanan](patch-manager-selecting-patches.md)

Namun, pada sistem Linux, Anda juga dapat menggunakan Patch Manager untuk menginstal tambalan yang tidak terkait dengan keamanan, atau yang berada di repositori sumber yang berbeda dari yang default yang dikonfigurasi pada node terkelola. Anda dapat menentukan repositori sumber patch alternatif ketika membuat dasar patch kustom. Di setiap dasar patch kustom, Anda dapat menentukan konfigurasi sumber patch hingga 20 versi sistem operasi Linux yang didukung. 

Misalnya, misalkan Ubuntu Server armada Anda menyertakan Ubuntu Server 25,04 node terkelola. Dalam kasus ini, Anda dapat menentukan repositori alternatif untuk setiap versi dalam dasar patch kustom yang sama. Untuk setiap versi, Anda memberikan nama, menentukan jenis versi sistem operasi (produk), dan menyediakan konfigurasi repositori. Anda juga dapat menentukan satu repositori sumber alternatif yang berlaku untuk semua versi sistem operasi yang didukung.

**catatan**  
Menjalankan baseline patch khusus yang menentukan repositori patch alternatif untuk node terkelola tidak menjadikannya repositori default baru pada sistem operasi. Setelah operasi patching selesai, repositori yang sebelumnya dikonfigurasi sebagai default untuk sistem operasi node tetap default.

Untuk daftar contoh skenario penggunaan opsi ini, lihat [Contoh penggunaan untuk repositori sumber patch alternatif](#patch-manager-alternative-source-repository-examples) yang tersedia nanti dalam topik ini.

Untuk informasi tentang dasar patch default dan kustom, lihat [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md).

**Contoh: Menggunakan konsol**  
Untuk menentukan repositori sumber patch alternatif ketika Anda bekerja di konsol Systems Manager, gunakan bagian **Sumber patch** pada halaman **Buat dasar patch**. Untuk informasi tentang penggunaan opsi **Sumber patch**, lihat [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md).

**Contoh: Menggunakan AWS CLI**  
Untuk contoh penggunaan opsi `--sources` dengan AWS Command Line Interface (AWS CLI), lihat [Buat dasar patch dengan repositori kustom untuk versi OS yang berbeda](patch-manager-cli-commands.md#patch-manager-cli-commands-create-patch-baseline-mult-sources).

**Topics**
+ [Pertimbangan penting untuk repositori alternatif](#alt-source-repository-important)
+ [Contoh penggunaan untuk repositori sumber patch alternatif](#patch-manager-alternative-source-repository-examples)

## Pertimbangan penting untuk repositori alternatif
<a name="alt-source-repository-important"></a>

Ingatlah poin-poin berikut saat Anda merencanakan strategi patching Anda menggunakan repositori patch alternatif.

**Menerapkan verifikasi pembaruan repo (YUM dan DNF)**  
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau jika koneksi ke repositori tidak dapat dibuat. Untuk menerapkan verifikasi pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.

Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).

**Hanya repositori yang ditentukan yang digunakan untuk patching**  
Menentukan repositori alternatif tidak berarti menentukan repositori *tambahan*. Anda dapat memilih untuk menentukan repositori selain yang dikonfigurasi sebagai default pada node terkelola. Namun, Anda juga harus menentukan repositori default sebagai bagian dari konfigurasi sumber patch alternatif jika Anda ingin pembaruan mereka diterapkan.

Misalnya, pada node terkelola Amazon Linux 2, repositori defaultnya adalah `amzn2-core` dan. `amzn2extra-docker` Jika Anda ingin menyertakan repositori Extra Packages for Enterprise Linux (EPEL) di operasi patching Anda, Anda harus menentukan ketiga repositori tersebut sebagai repositori alternatif.

**catatan**  
Menjalankan baseline patch khusus yang menentukan repositori patch alternatif untuk node terkelola tidak menjadikannya repositori default baru pada sistem operasi. Setelah operasi patching selesai, repositori yang sebelumnya dikonfigurasi sebagai default untuk sistem operasi node tetap default.

**Perilaku patching untuk distribusi berbasis YUM bergantung pada manifes updateinfo.xml**  
Saat Anda menentukan repositori patch alternatif untuk distribusi berbasis Yum, seperti Amazon Linux 2, atauRed Hat Enterprise Linux, perilaku patching tergantung pada apakah repositori menyertakan manifes pembaruan dalam bentuk file yang lengkap dan diformat dengan benar. `updateinfo.xml` file ini menentukan tanggal rilis, klasifikasi, dan tingkat kepelikan dari berbagai paket. Salah satu dari hal berikut ini akan mempengaruhi perilaku patching:
+ Jika Anda memfilter **Klasifikasi** dan **Tingkat kepelikan**, tetapi keduanya tidak ditentukan dalam `updateinfo.xml`, paket tidak akan disertakan oleh filter. Ini juga berarti bahwa paket tanpa file `updateinfo.xml` tidak akan disertakan dalam patching.
+ Jika Anda memfilter **ApprovalAfterDays**, tetapi tanggal rilis paket tidak dalam format Unix Epoch (atau tidak memiliki tanggal rilis yang ditentukan), paket tidak akan disertakan oleh filter.
+ Ada pengecualian jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**. Dalam hal ini, paket tanpa file `updateinfo.xml` (atau yang berisi file ini tanpa format **Klasifikasi**, **Tingkat kepelikan**, dan nilai **Tanggal** yang benar) *akan* disertakan ke dalam daftar patch pra-filter. (Mereka tetap harus memenuhi persyaratan aturan dasar patch lainnya agar dapat diinstal.)

## Contoh penggunaan untuk repositori sumber patch alternatif
<a name="patch-manager-alternative-source-repository-examples"></a>

**Contoh 1 - Pembaruan Nonsecurity untuk Ubuntu Server**  
Anda sudah menggunakan Patch Manager untuk menginstal patch keamanan pada armada node Ubuntu Server terkelola menggunakan baseline patch yang telah ditentukan AWS-provided. `AWS-UbuntuDefaultPatchBaseline` Anda dapat membuat dasar patch yang didasarkan pada default ini, tapi dalam aturan persetujuan Anda menentukan bahwa Anda ingin turut menginstal pembaruan non-keamanan yang merupakan bagian dari distribusi default. Ketika baseline patch ini dijalankan terhadap node Anda, patch untuk masalah keamanan dan nonsecurity diterapkan. Anda juga dapat memilih untuk menyetujui patch non-keamanan di pengecualian patch yang Anda tentukan untuk dasar.

**Contoh 2 - Personal Package Archives (PPA) untuk Ubuntu Server**  
Node Ubuntu Server terkelola Anda menjalankan perangkat lunak yang didistribusikan melalui [Personal Package Archives (PPA) untuk Ubuntu](https://launchpad.net/ubuntu/+ppas). Dalam hal ini, Anda membuat baseline patch yang menentukan repositori PPA yang telah Anda konfigurasikan pada node terkelola sebagai repositori sumber untuk operasi patching. Kemudian gunakan Run Command untuk menjalankan dokumen baseline patch pada node.

**Contoh 3 - Aplikasi Perusahaan Internal pada versi Amazon Linux yang didukung**  
Anda perlu menjalankan beberapa aplikasi yang diperlukan untuk kepatuhan peraturan industri pada node yang dikelola Amazon Linux Anda. Anda dapat mengkonfigurasi repositori untuk aplikasi ini pada node, menggunakan YUM untuk menginstal aplikasi pada awalnya, dan kemudian memperbarui atau membuat baseline patch baru untuk memasukkan repositori perusahaan baru ini. Setelah ini Anda dapat menggunakan Run Command untuk menjalankan `AWS-RunPatchBaseline` dokumen dengan `Scan` opsi untuk melihat apakah paket perusahaan terdaftar di antara paket yang diinstal dan up to date pada node yang dikelola. Jika belum diperbarui, Anda dapat menjalankan dokumen lagi menggunakan opsi `Install` untuk memperbarui aplikasi. 

# Cara menginstal patch
<a name="patch-manager-installing-patches"></a>

Patch Manager, alat di AWS Systems Manager, menggunakan manajer paket bawaan sistem operasi untuk menginstal pembaruan pada node yang dikelola. Misalnya, ia menggunakan Windows Update API di Windows Server dan `DNF` di Amazon Linux 2023. Patch Manager menghormati manajer paket dan konfigurasi repositori yang ada pada node, termasuk pengaturan seperti status repositori, cermin URLs, verifikasi GPG, dan opsi seperti. `skip_if_unavailable`

Patch Managertidak menginstal paket baru yang menggantikan paket usang yang saat ini diinstal. (Pengecualian: Paket baru adalah ketergantungan dari pembaruan paket lain yang sedang diinstal, atau paket baru memiliki nama yang sama dengan paket usang.) Sebagai gantinya, Patch Manager laporkan dan instal pembaruan yang tersedia untuk paket yang diinstal. Pendekatan ini membantu mencegah perubahan tak terduga pada fungsionalitas sistem Anda yang mungkin terjadi ketika satu paket menggantikan yang lain.

Jika Anda perlu menghapus paket yang telah dibuat usang dan menginstal penggantinya, Anda mungkin perlu menggunakan skrip khusus atau menggunakan perintah manajer paket di luar operasi standarPatch Manager.

Pilih dari tab berikut untuk mempelajari cara Patch Manager menginstal tambalan pada sistem operasi.

------
#### [ Amazon Linux 2 and Amazon Linux 2023 ]

Di node terkelola Amazon Linux 2 dan Amazon Linux 2023, alur kerja penginstalan tambalan adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

1. API pembaruan YUM (Amazon Linux 2) atau API pembaruan DNF (Amazon Linux 2023) diterapkan ke tambalan yang disetujui sebagai berikut:
   + Untuk garis dasar patch default yang telah ditentukan yang disediakan oleh AWS, hanya tambalan yang ditentukan dalam yang `updateinfo.xml` diterapkan (hanya pembaruan keamanan). Ini karena kotak centang **Sertakan pembaruan nonkeamanan** tidak dipilih. Garis dasar yang telah ditentukan setara dengan baseline kustom dengan yang berikut:
     + Kotak centang **Sertakan pembaruan nonkeamanan** tidak dipilih
     + Daftar KEPARAHAN `[Critical, Important]`
     + Daftar KLASIFIKASI `[Security, Bugfix]`

     Untuk Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

     ```
     sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
     ```

     Untuk Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

     ```
     sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y
     ```

     Jika kotak centang **Sertakan pembaruan nonkeamanan** dipilih, semua tambalan `updateinfo.xml` dan yang tidak masuk `updateinfo.xml` akan diterapkan (pembaruan keamanan dan nonkeamanan).

     Untuk Amazon Linux 2, jika baseline dengan **Sertakan pembaruan nonsecurity** dipilih, memiliki daftar KEPARAHAN `[Critical, Important]` dan daftar KLASIFIKASI`[Security, Bugfix]`, perintah yum yang setara adalah:

     ```
     sudo yum update --security --sec-severity=Critical,Important --bugfix -y
     ```

     Untuk Amazon Linux 2023, perintah dnf yang setara adalah:

     ```
     sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
     ```
**catatan**  
Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini `yum` atau `dnf` perintah di luar. Patch Manager Namun, mereka *tidak* diinstal oleh Patch Manager operasi yang setara.

**Detail tambalan tambahan untuk Amazon Linux 2023**  
Support untuk tingkat keparahan 'Tidak Ada'  
Amazon Linux 2023 juga mendukung tingkat keparahan patch`None`, yang diakui oleh manajer paket DNF.   
Support untuk tingkat keparahan 'Medium'  
Untuk Amazon Linux 2023, tingkat keparahan patch `Medium` setara dengan tingkat keparahan `Moderate` yang mungkin ditentukan di beberapa repositori eksternal. Jika Anda menyertakan patch `Medium` keparahan di baseline patch, patch `Moderate` keparahan dari patch eksternal juga diinstal pada instance.  
Saat Anda menanyakan data kepatuhan menggunakan tindakan API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html), pemfilteran untuk tingkat keparahan akan `Medium` melaporkan tambalan dengan tingkat keparahan keduanya `Medium` dan. `Moderate`  
Penanganan ketergantungan transitif untuk Amazon Linux 2023  
Untuk Amazon Linux 2023, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara yang diinstal. `dnf` Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).   
Misalnya, `dnf upgrade-minimal --security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal versi ** terbaru yang tersedia dari dependensi transitif yang sama.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

**catatan**  
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau tanpa kesalahan. Dalam kasus seperti itu, operasi penambalan terkait berlangsung tanpa menginstal pembaruan dari repositori dan diakhiri dengan sukses. Untuk menerapkan pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.  
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).

------
#### [ CentOS Aliran ]

Pada node CentOS Stream terkelola, alur kerja instalasi patch adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

   Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

1. Pembaruan DNF pada CentOS Stream diterapkan ke tambalan yang disetujui.
**catatan**  
UntukCentOS Stream, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara `dnf` yang diinstal. Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).   
Misalnya, `dnf upgrade-minimal ‐‐security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal *versi terbaru yang tersedia* dari dependensi transitif yang sama.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

------
#### [ Debian Server ]

Pada instans Debian Server, alur kerja instalasi patch adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui. 
**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
**catatan**  
UntukDebian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan di `debian-security` dalamnya.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Pustaka APT digunakan untuk memutakhirkan paket.
**catatan**  
Patch Managertidak mendukung penggunaan `Pin-Priority` opsi APT untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

------
#### [ macOS ]

Pada node macOS terkelola, alur kerja instalasi patch adalah sebagai berikut:

1. Daftar properti `/Library/Receipts/InstallHistory.plist` adalah catatan perangkat lunak yang telah diinstal dan dimutakhirkan menggunakan pengelola paket `softwareupdate` dan `installer`. Menggunakan alat baris perintah `pkgutil` (untuk `installer`) dan pengelola paket `softwareupdate`, perintah CLI dijalankan untuk mengurai daftar ini. 

   Untuk`installer`, respons terhadap perintah CLI mencakup`package name`,,`version`, `volume``location`, dan `install-time` detail, tetapi hanya `package name` dan `version` digunakan oleh. Patch Manager

   Untuk `softwareupdate`, respon terhadap perintah CLI meliputi nama paket (`display name`), `version`, dan `date`, tetapi hanya nama paket dan versi yang digunakan oleh Patch Manager.

   Untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya berjalan dalam kendali pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Perintahnya mirip dengan `softwareupdate` dan `installer` dan dijalankan melalui sub-proses Python untuk mengumpulkan data paket, dan outputnya diurai untuk mengidentifikasi nama dan versi paket.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

1. Memanggil CLI paket yang sesuai pada node terkelola untuk memproses tambalan yang disetujui sebagai berikut:
**catatan**  
`installer` tidak memiliki fungsi untuk memeriksa dan menginstal pembaruan. Oleh karena itu`installer`, untuk, Patch Manager hanya melaporkan paket mana yang diinstal. Akibatnya, paket `installer` tidak pernah dilaporkan sebagai `Missing`.
   + Untuk baseline patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *tidak* dipilih, hanya pembaruan keamanan yang diterapkan.
   + Untuk garis dasar tambalan khusus di mana kotak centang **Sertakan pembaruan non-keamanan** *dipilih*, pembaruan keamanan dan nonkeamanan diterapkan.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

------
#### [ Oracle Linux ]

Pada node Oracle Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

1. Pada node terkelola versi 7, API pembaruan YUM diterapkan ke tambalan yang disetujui sebagai berikut:
   + Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *tidak* dipilih, hanya tambalan yang ditentukan dalam `updateinfo.xml` yang diterapkan (hanya pembaruan keamanan).

     Perintah setara yum untuk alur kerja ini adalah:

     ```
     sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y
     ```
   + Untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *dipilih*, tambalan yang masuk `updateinfo.xml` dan yang tidak `updateinfo.xml` ada diterapkan (pembaruan keamanan dan nonkeamanan).

     Perintah setara yum untuk alur kerja ini adalah:

     ```
     sudo yum update --security --bugfix -y
     ```

     Pada node terkelola versi 8 dan 9, API pembaruan DNF diterapkan ke tambalan yang disetujui sebagai berikut:
     + Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *tidak* dipilih, hanya tambalan yang ditentukan dalam `updateinfo.xml` yang diterapkan (hanya pembaruan keamanan).

       Perintah setara yum untuk alur kerja ini adalah:

       ```
       sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
       ```
**catatan**  
Untuk Oracle Linux, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara menginstal. `dnf` Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).   
Misalnya, `dnf upgrade-minimal --security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal *versi terbaru yang tersedia* dari dependensi transitif yang sama.
     + Untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *dipilih*, tambalan yang masuk `updateinfo.xml` dan yang tidak `updateinfo.xml` ada diterapkan (pembaruan keamanan dan nonkeamanan).

       Perintah setara yum untuk alur kerja ini adalah:

       ```
       sudo dnf upgrade --security --bugfix
       ```
**catatan**  
Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini `yum` atau `dnf` perintah di luar. Patch Manager Namun, mereka *tidak* diinstal oleh Patch Manager operasi yang setara.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

**catatan**  
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau tanpa kesalahan. Dalam kasus seperti itu, operasi penambalan terkait berlangsung tanpa menginstal pembaruan dari repositori dan diakhiri dengan sukses. Untuk menerapkan pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.  
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).

------
#### [ AlmaLinux, RHEL, and Linux Rocky  ]

Pada AlmaLinux,Red Hat Enterprise Linux, dan node Rocky Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

1. API pembaruan YUM (pada RHEL 7) atau API pembaruan DNF (pada AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) diterapkan pada tambalan yang disetujui sesuai dengan aturan berikut:

    

**Skenario 1: Pembaruan non-keamanan dikecualikan**
   + **Berlaku untuk**: Garis dasar patch default yang telah ditentukan yang disediakan oleh AWS dan baseline patch kustom.
   + **Sertakan kotak centang pembaruan non-keamanan**: *Tidak* dipilih.
   + **Patch diterapkan**: Patch yang ditentukan dalam `updateinfo.xml` (hanya pembaruan keamanan) diterapkan *hanya* jika keduanya cocok dengan konfigurasi baseline patch dan ditemukan di repo yang dikonfigurasi.

     Dalam beberapa kasus, tambalan yang ditentukan `updateinfo.xml` mungkin tidak lagi tersedia di repo yang dikonfigurasi. Repo yang dikonfigurasi biasanya hanya memiliki versi terbaru dari tambalan, yang merupakan roll-up kumulatif dari semua pembaruan sebelumnya, tetapi versi terbaru mungkin tidak cocok dengan aturan dasar tambalan dan dihilangkan dari operasi penambalan.
   + **Perintah**: Untuk RHEL 7, perintah yum yang setara untuk alur kerja ini adalah: 

     ```
     sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
     ```

     Untuk AlmaLinux, RHEL 8, danRocky Linux, perintah dnf yang setara untuk alur kerja ini adalah:

     ```
     sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \
     sudo dnf update-minimal --sec-severity=Important --bugfix -y
     ```
**catatan**  
Untuk AlmaLinux,RHEL, dan Rocky Linux Rocky Linux, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara yang diinstal. `dnf` Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).   
Misalnya, `dnf upgrade-minimal --security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal *versi terbaru yang tersedia* dari dependensi transitif yang sama.

**Skenario 2: Pembaruan non-keamanan disertakan**
   + **Apel ke**: Garis dasar tambalan khusus.
   + **Sertakan kotak centang pembaruan non-keamanan**: Dipilih.
   + **Patch diterapkan**: Patch in `updateinfo.xml` *dan* yang tidak masuk `updateinfo.xml` diterapkan (pembaruan keamanan dan nonsecurity).
   + **Perintah**: Untuk RHEL 7, perintah yum yang setara untuk alur kerja ini adalah:

     ```
     sudo yum update --security --bugfix -y
     ```

     Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

     ```
     sudo dnf update --security --bugfix -y
     ```
**catatan**  
Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini `yum` atau `dnf` perintah di luar. Patch Manager Namun, mereka *tidak* diinstal oleh Patch Manager operasi yang setara.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

**catatan**  
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau tanpa kesalahan. Dalam kasus seperti itu, operasi penambalan terkait berlangsung tanpa menginstal pembaruan dari repositori dan diakhiri dengan sukses. Untuk menerapkan pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.  
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).

------
#### [ SLES ]

Pada node terkelola SUSE Linux Enterprise Server (SLES), alur kerja instalasi patch adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

1. API pembaruan Zypper diterapkan untuk patch yang disetujui.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

------
#### [ Ubuntu Server ]

Pada node Ubuntu Server terkelola, alur kerja instalasi patch adalah sebagai berikut:

1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut. 

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui. 
**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. 

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

   Namun, aturan persetujuan juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
**catatan**  
Untuk setiap versiUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:  
Ubuntu Server16.04 LTS: `xenial-security`
Ubuntu Server18.04 LTS: `bionic-security`
Ubuntu Server20.04 LTS): `focal-security`
Ubuntu Server22.04 LTS: `jammy-security`
Ubuntu Server24.04 LTS () `noble-security`
Ubuntu Server25.04 () `plucky-security`

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.

1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

1. Pustaka APT digunakan untuk memutakhirkan paket.
**catatan**  
Patch Managertidak mendukung penggunaan `Pin-Priority` opsi APT untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)

------
#### [ Windows Server ]

Ketika operasi patching dilakukan pada node Windows Server terkelola, node meminta snapshot dari baseline patch yang sesuai dari Systems Manager. snapshot ini berisi daftar semua pembaruan yang tersedia di dasar patch yang disetujui untuk deployment. Daftar pembaruan ini dikirim ke Windows Update API, yang menentukan pembaruan mana yang berlaku untuk node terkelola dan menginstalnya sesuai kebutuhan. Windows hanya mengizinkan versi KB terbaru yang tersedia untuk diinstal. Patch Managermenginstal versi terbaru KB saat KB, atau versi KB sebelumnya, cocok dengan baseline patch yang diterapkan. Jika ada pembaruan yang diinstal, node terkelola akan di-boot ulang setelahnya, sebanyak yang diperlukan untuk menyelesaikan semua tambalan yang diperlukan. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).) Ringkasan operasi penambalan dapat ditemukan di output Run Command permintaan. Log tambahan dapat ditemukan pada node terkelola di `%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs` folder.

Karena API Pembaruan Windows digunakan untuk mengunduh dan menginstal KBs, semua pengaturan Kebijakan Grup untuk Pembaruan Windows dihormati. Tidak ada pengaturan Kebijakan Grup yang diperlukan untuk digunakanPatch Manager, tetapi pengaturan apa pun yang telah Anda tetapkan akan diterapkan, seperti mengarahkan node terkelola ke server Windows Server Update Services (WSUS).

**catatan**  
Secara default, Windows mengunduh semua KBs dari situs Pembaruan Windows Microsoft karena Patch Manager menggunakan API Pembaruan Windows untuk mendorong unduhan dan penginstalan KBs. Akibatnya, node yang dikelola harus dapat mencapai situs Pembaruan Microsoft Windows atau tambalan akan gagal. Atau, Anda dapat mengonfigurasi server WSUS untuk berfungsi sebagai repositori KB dan mengonfigurasi node terkelola Anda untuk menargetkan server WSUS menggunakan Kebijakan Grup.  
Patch Managermungkin mereferensikan KB IDs saat membuat baseline tambalan khusus untukWindows Server, seperti ketika daftar **tambalan yang Disetujui** atau daftar **tambalan Ditolak** disertakan konfigurasi dasar. Hanya pembaruan yang diberi ID KB di Pembaruan Microsoft Windows atau server WSUS yang diinstal olehPatch Manager. Pembaruan yang tidak memiliki ID KB tidak termasuk dalam operasi penambalan.   
Untuk informasi tentang membuat baseline patch kustom, lihat topik berikut:  
 [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
 [Buat baseline patch (CLI)](patch-manager-create-a-patch-baseline-for-windows.md)
[Format nama paket untuk sistem operasi Windows](patch-manager-approved-rejected-package-name-formats.md#patch-manager-approved-rejected-package-name-formats-windows)

------

# Cara kerja aturan dasar patch pada sistem berbasis Linux
<a name="patch-manager-linux-rules"></a>

Aturan dalam dasar patch untuk distribusi Linux beroperasi dengan cara yang berbeda berdasarkan jenis distribusi. Tidak seperti pembaruan tambalan pada node Windows Server terkelola, aturan dievaluasi pada setiap node untuk mempertimbangkan repo yang dikonfigurasi pada instance. Patch Manager, alat di AWS Systems Manager, menggunakan manajer paket asli untuk mendorong instalasi tambalan yang disetujui oleh baseline patch.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), atau dari metrik yang dirilis oleh [National](https://nvd.nist.gov/vuln) Vulnerability Database (NVD).

**Topics**
+ [Cara kerja aturan dasar patch di Amazon Linux 2 dan Amazon Linux 2023](#linux-rules-amazon-linux)
+ [Cara kerja aturan dasar patch pada CentOS Stream](#linux-rules-centos)
+ [Cara kerja aturan dasar patch pada Debian Server](#linux-rules-debian)
+ [Cara kerja aturan dasar patch pada macOS](#linux-rules-macos)
+ [Cara kerja aturan dasar patch pada Oracle Linux](#linux-rules-oracle)
+ [Cara kerja aturan dasar tambalan AlmaLinux,, dan RHEL Rocky Linux](#linux-rules-rhel)
+ [Cara kerja aturan dasar patch pada SUSE Linux Enterprise Server](#linux-rules-sles)
+ [Cara kerja aturan dasar patch pada Ubuntu Server](#linux-rules-ubuntu)

## Cara kerja aturan dasar patch di Amazon Linux 2 dan Amazon Linux 2023
<a name="linux-rules-amazon-linux"></a>

**catatan**  
Amazon Linux 2023 (AL2023) menggunakan repositori berversi yang dapat dikunci ke versi tertentu melalui satu atau beberapa pengaturan sistem. Untuk semua operasi penambalan pada instans AL2023 EC2Patch Manager, gunakan versi repositori terbaru, terlepas dari konfigurasi sistem. Untuk informasi selengkapnya, lihat [Peningkatan deterministik melalui repositori berversi](https://docs.aws.amazon.com/linux/al2023/ug/deterministic-upgrades.html) di Panduan Pengguna *Amazon* Linux 2023.

Di Amazon Linux 2 dan Amazon Linux 2023, proses pemilihan tambalan adalah sebagai berikut:

1. Pada node terkelola, perpustakaan YUM (Amazon Linux 2) atau pustaka DNF (Amazon Linux 2023) mengakses `updateinfo.xml` file untuk setiap repo yang dikonfigurasi. 

   **Jika tidak ada `updateinfo.xml` file yang ditemukan, apakah patch diinstal tergantung pada pengaturan untuk **Sertakan pembaruan non-keamanan** dan Persetujuan otomatis.** Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

1. Setiap pemberitahuan pembaruan di `updateinfo.xml` mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.  
**Atribut pemberitahuan pembaruan**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

   Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.

1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Cara kerja aturan dasar patch pada CentOS Stream
<a name="linux-rules-centos"></a>

Repositori CentOS Stream default tidak menyertakan file`updateinfo.xml`. Namun, repositori khusus yang Anda buat atau gunakan mungkin menyertakan file ini. Dalam topik ini, referensi hanya `updateinfo.xml` berlaku untuk repositori kustom ini.

Pada CentOS Stream, proses pemilihan patch adalah sebagai berikut:

1. Pada node terkelola, pustaka DNF mengakses `updateinfo.xml` file, jika ada di repositori khusus, untuk setiap repo yang dikonfigurasi.

   **Jika tidak `updateinfo.xml` ditemukan, yang selalu menyertakan repo default, apakah tambalan diinstal tergantung pada pengaturan untuk **Sertakan pembaruan non-keamanan** dan Persetujuan otomatis.** Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

1. Jika `updateinfo.xml` ada, setiap pemberitahuan pembaruan dalam file menyertakan beberapa atribut yang menunjukkan properti paket dalam pemberitahuan, seperti yang dijelaskan dalam tabel berikut.  
**Atribut pemberitahuan pembaruan**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

   Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

1. Dalam semua kasus, produk dari node yang dikelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.

1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Cara kerja aturan dasar patch pada Debian Server
<a name="linux-rules-debian"></a>

*PadaDebian Server, layanan baseline patch menawarkan pemfilteran pada bidang *Prioritas dan Bagian*.* Bidang ini biasanya hadir untuk semua Debian Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:

1. Pada Debian Server sistem, setara `sudo apt-get update` dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar `sources`.

1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)

1. Selanjutnya [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)daftar [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)dan diterapkan.
**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukDebian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

   Repo ini dinamakan sebagai berikut:
   + Debian Server11: `debian-security bullseye`
   + Debian Server12: `debian-security bookworm`

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

   Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

Untuk melihat konten bidang *Prioritas* dan *Bagian*, jalankan perintah `aptitude` berikut ini: 

**catatan**  
Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Debian Server sistem.

```
aptitude search -F '%p %P %s %t %V#' '~U'
```

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

```
name, priority, section, archive, candidate version
```

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Cara kerja aturan dasar patch pada macOS
<a name="linux-rules-macos"></a>

Pada macOS, proses pemilihan patch adalah sebagai berikut:

1. Pada node terkelola, Patch Manager mengakses konten `InstallHistory.plist` file yang diurai dan mengidentifikasi nama dan versi paket. 

   Untuk detail tentang proses penguraian, lihat tab **macOS** dalam [Cara menginstal patch](patch-manager-installing-patches.md).

1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.

1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Cara kerja aturan dasar patch pada Oracle Linux
<a name="linux-rules-oracle"></a>

Pada Oracle Linux, proses pemilihan patch adalah sebagai berikut:

1. Pada node terkelola, pustaka YUM mengakses `updateinfo.xml` file untuk setiap repo yang dikonfigurasi.
**catatan**  
file `updateinfo.xml` mungkin tidak tersedia jika repo tidak dikelola oleh Oracle. **Jika tidak `updateinfo.xml` ditemukan, apakah patch diinstal tergantung pada pengaturan untuk **Sertakan pembaruan non-keamanan** dan Persetujuan otomatis.** Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

1. Setiap pemberitahuan pembaruan di `updateinfo.xml` mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.  
**Atribut pemberitahuan pembaruan**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

   Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.

1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Cara kerja aturan dasar tambalan AlmaLinux,, dan RHEL Rocky Linux
<a name="linux-rules-rhel"></a>

Pada AlmaLinux, Red Hat Enterprise Linux (RHEL), danRocky Linux, proses pemilihan tambalan adalah sebagai berikut:

1. Pada node terkelola, perpustakaan YUM (RHEL7) atau pustaka DNF (AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) mengakses `updateinfo.xml` file untuk setiap repo yang dikonfigurasi.
**catatan**  
file `updateinfo.xml` mungkin tidak tersedia jika repo tidak dikelola oleh Red Hat. Jika tidak ada `updateinfo.xml` yang ditemukan, tidak ada patch yang diterapkan.

1. Setiap pemberitahuan pembaruan di `updateinfo.xml` mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.  
**Atribut pemberitahuan pembaruan**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

   Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.

1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

## Cara kerja aturan dasar patch pada SUSE Linux Enterprise Server
<a name="linux-rules-sles"></a>

Pada SLES, setiap patch mencakup atribut berikut ini yang menunjukkan properti paket dalam patch tersebut:
+ **Kategori**: Sesuai dengan nilai atribut kunci **Klasifikasi** dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch. Menunjukkan jenis patch yang disertakan dalam pemberitahuan pembaruan.

  Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah **[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html)** atau operasi API**[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html)**. Anda juga dapat melihat daftar di area **Aturan persetujuan** pada halaman **Buat dasar patch** atau halaman **Edit dasar patch** di konsol Systems Manager.
+ **Keparahan**: Sesuai dengan nilai atribut kunci **Keparahan** dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch. Menunjukkan tingkat kepelikan patch.

  Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah **[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html)** atau operasi API**[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html)**. Anda juga dapat melihat daftar di area **Aturan persetujuan** pada halaman **Buat dasar patch** atau halaman **Edit dasar patch** di konsol Systems Manager.

Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci **Produk** dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch. 

Untuk setiap patch, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan. 

Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

## Cara kerja aturan dasar patch pada Ubuntu Server
<a name="linux-rules-ubuntu"></a>

*PadaUbuntu Server, layanan baseline patch menawarkan pemfilteran pada bidang *Prioritas dan Bagian*.* Bidang ini biasanya hadir untuk semua Ubuntu Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:

1. Pada Ubuntu Server sistem, setara `sudo apt-get update` dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar `sources`.

1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)

1. Selanjutnya [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)daftar [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)dan diterapkan.
**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

   Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.

   Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:
   + Ubuntu Server16.04 LTS: `xenial-security`
   + Ubuntu Server18.04 LTS: `bionic-security`
   + Ubuntu Server20.04 LTS: `focal-security`
   + Ubuntu Server22,04 LTS () `jammy-security`
   + Ubuntu Server24.04 LTS () `noble-security`
   + Ubuntu Server25.04 () `plucky-security`

   Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

   Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

Untuk melihat konten bidang *Prioritas* dan *Bagian*, jalankan perintah `aptitude` berikut ini: 

**catatan**  
Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Ubuntu Server 16 sistem.

```
aptitude search -F '%p %P %s %t %V#' '~U'
```

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

```
name, priority, section, archive, candidate version
```

Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

# Menambal perbedaan operasi antara Linux dan Windows Server
<a name="patch-manager-windows-and-linux-differences"></a>

Topik ini menjelaskan perbedaan penting antara Linux dan Windows Server patching inPatch Manager, alat di AWS Systems Manager.

**catatan**  
Untuk menambal node yang dikelola Linux, node Anda harus menjalankan SSM Agent versi 2.0.834.0 atau yang lebih baru.  
Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.

## Perbedaan 1: Evaluasi patch
<a name="patch-evaluation_diff"></a>

Patch Managermenggunakan proses yang berbeda pada node yang dikelola Windows dan node yang dikelola Linux untuk mengevaluasi tambalan mana yang harus ada. 

**Linux**  
*Untuk patch Linux, Systems Manager mengevaluasi aturan dasar patch dan daftar patch disetujui dan ditolak pada setiap node terkelola.* Systems Manager harus mengevaluasi patching pada setiap node karena layanan mengambil daftar patch yang diketahui dan update dari repositori yang dikonfigurasi pada node terkelola.

**Windows**  
Untuk patching Windows, Systems Manager mengevaluasi aturan dasar patch dan daftar patch yang disetujui dan ditolak pada *secara langsung dalam layanan*. Hal ini dapat dilakukan karena patch Windows ditarik dari satu repositori (Windows Update).

## Perbedaan 2: patch `Not Applicable`
<a name="not-applicable-diff"></a>

Karena banyaknya paket yang tersedia untuk sistem operasi Linux, Systems Manager tidak melaporkan detail tentang patch yang berstatus *Tidak Berlaku*. Patch `Not Applicable` adalah, sebagai contoh, sebuah patch untuk perangkat lunak Apache ketika instans tidak memiliki Apache yang sudah diinstal. Systems Manager melaporkan jumlah `Not Applicable` tambalan dalam ringkasan, tetapi jika Anda memanggil [DescribeInstancePatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html)API untuk node terkelola, data yang dikembalikan tidak menyertakan tambalan dengan status. `Not Applicable` Perilaku ini berbeda dari Windows.

## Perbedaan 3: support dokumen SSM
<a name="document-support-diff"></a>

Dokumen `AWS-ApplyPatchBaseline` Systems Manager (dokumen SSM) tidak mendukung node yang dikelola Linux. Untuk menerapkan baseline patch ke Linux,macOS, dan node Windows Server terkelola, dokumen SSM yang disarankan adalah. `AWS-RunPatchBaseline` Untuk informasi selengkapnya, lihat [Dokumen SSM Command untuk menambal node terkelola](patch-manager-ssm-documents.md) dan [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

## Perbedaan 4: Patch aplikasi
<a name="application-patches-diff"></a>

Fokus utama Patch Manager adalah menerapkan patch ke sistem operasi. Namun, Anda juga dapat menggunakan Patch Manager untuk menerapkan tambalan ke beberapa aplikasi pada node terkelola Anda.

**Linux**  
Pada sistem operasi Linux, Patch Manager menggunakan repositori yang dikonfigurasi untuk pembaruan, dan tidak membedakan antara sistem operasi dan patch aplikasi. Anda dapat menggunakan Patch Manager untuk menentukan repositori mana untuk mengambil pembaruan dari. Untuk informasi selengkapnya, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).

**Windows**  
Pada node Windows Server terkelola, Anda dapat menerapkan aturan persetujuan, serta pengecualian patch yang *Disetujui* dan *Ditolak*, untuk aplikasi yang dirilis oleh Microsoft, seperti Microsoft Word 2016 dan Microsoft Exchange Server 2016. Untuk informasi selengkapnya, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

## Perbedaan 5: Opsi daftar tambalan yang ditolak di baseline patch kustom
<a name="rejected-patches-diff"></a>

Saat Anda membuat baseline patch kustom, Anda dapat menentukan satu atau beberapa tambalan untuk daftar tambalan **Ditolak**. Untuk node yang dikelola Linux, Anda juga dapat memilih untuk mengizinkannya diinstal jika mereka dependensi untuk patch lain yang diizinkan oleh baseline.

Windows Server, bagaimanapun, tidak mendukung konsep dependensi tambalan. Anda dapat menambahkan tambalan ke daftar **tambalan Ditolak** di baseline khusus untukWindows Server, tetapi hasilnya tergantung pada (1) apakah tambalan yang ditolak sudah diinstal pada node terkelola atau tidak, dan (2) opsi mana yang Anda pilih untuk tindakan tambalan **Ditolak**.

Lihat tabel berikut untuk detail tentang opsi tambalan yang ditolakWindows Server.


| Status instalasi | Opsi: “Izinkan sebagai ketergantungan” | Opsi: “Blokir” | 
| --- | --- | --- | 
| Patch sudah diinstal | Status yang dilaporkan: INSTALLED\$1OTHER | Status yang dilaporkan: INSTALLED\$1REJECTED | 
| Patch belum diinstal | Patch dilewati | Patch dilewati | 

Setiap patch untuk Windows Server rilis Microsoft biasanya berisi semua informasi yang diperlukan agar instalasi berhasil. Namun, kadang-kadang, paket prasyarat mungkin diperlukan, yang harus Anda instal secara manual. Patch Managertidak melaporkan informasi tentang prasyarat ini. Untuk informasi terkait, lihat [Pemecahan masalah Pembaruan Windows di situs](https://learn.microsoft.com/en-us/troubleshoot/windows-client/installing-updates-features-roles/windows-update-issues-troubleshooting) web Microsoft.

# Dokumen SSM Command untuk menambal node terkelola
<a name="patch-manager-ssm-documents"></a>

Topik ini menjelaskan sembilan dokumen Systems Manager (dokumen SSM) yang tersedia untuk membantu Anda menjaga node terkelola tetap ditambal dengan pembaruan terkait keamanan terbaru. 

Kami merekomendasikan hanya menggunakan lima dokumen ini dalam operasi patching Anda. Bersama-sama, lima dokumen SSM ini memberi Anda berbagai macam opsi patching menggunakan AWS Systems Manager. Empat dari dokumen-dokumen ini dirilis belakangan daripada empat dokumen SSM warisan yang mereka gantikan dan mewakili ekspansi atau konsolidasi fungsi.

**Dokumen SSM yang direkomendasikan untuk ditambal**  
Sebaiknya gunakan lima dokumen SSM berikut dalam operasi patching Anda.
+ `AWS-ConfigureWindowsUpdate`
+ `AWS-InstallWindowsUpdates`
+ `AWS-RunPatchBaseline`
+ `AWS-RunPatchBaselineAssociation`
+ `AWS-RunPatchBaselineWithHooks`

**Dokumen SSM lama untuk ditambal**  
Empat dokumen SSM lama berikut tetap tersedia di beberapa Wilayah AWS tetapi tidak lagi diperbarui atau didukung. Dokumen-dokumen ini tidak dijamin untuk bekerja di IPv6 lingkungan dan dukungan saja IPv4. Mereka tidak dapat dijamin untuk bekerja di semua skenario dan mungkin kehilangan dukungan di masa depan. Kami menyarankan Anda untuk tidak menggunakan dokumen ini untuk operasi patching.
+ `AWS-ApplyPatchBaseline`
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`

Untuk langkah-langkah menyiapkan operasi penambalan di lingkungan yang hanya mendukung, lihat IPv6. [Tutorial: Menambal server di IPv6 satu-satunya lingkungan](patch-manager-server-patching-iPv6-tutorial.md)

Rujuk ke bagian berikut ini untuk informasi selengkapnya tentang menggunakan dokumen SSM ini di operasi patching Anda.

**Topics**
+ [Dokumen SSM direkomendasikan untuk menambal node terkelola](#patch-manager-ssm-documents-recommended)
+ [Dokumen SSM lama untuk menambal node terkelola](#patch-manager-ssm-documents-legacy)
+ [Keterbatasan yang diketahui dari dokumen SSM untuk menambal node terkelola](#patch-manager-ssm-documents-known-limitations)
+ [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)
+ [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)
+ [Contoh skenario untuk menggunakan InstallOverrideList parameter di `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`](patch-manager-override-lists.md)
+ [Menggunakan BaselineOverride parameter](patch-manager-baselineoverride-parameter.md)

## Dokumen SSM direkomendasikan untuk menambal node terkelola
<a name="patch-manager-ssm-documents-recommended"></a>

Lima dokumen SSM berikut direkomendasikan untuk digunakan dalam operasi patching node terkelola Anda.

**Topics**
+ [`AWS-ConfigureWindowsUpdate`](#patch-manager-ssm-documents-recommended-AWS-ConfigureWindowsUpdate)
+ [`AWS-InstallWindowsUpdates`](#patch-manager-ssm-documents-recommended-AWS-InstallWindowsUpdates)
+ [`AWS-RunPatchBaseline`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaseline)
+ [`AWS-RunPatchBaselineAssociation`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineAssociation)
+ [`AWS-RunPatchBaselineWithHooks`](#patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineWithHooks)

### `AWS-ConfigureWindowsUpdate`
<a name="patch-manager-ssm-documents-recommended-AWS-ConfigureWindowsUpdate"></a>

Support konfigurasi fungsi Windows Update dasar dan menggunakannya untuk menginstal pembaruan secara otomatis (atau mematikan pembaruan otomatis). Tersedia di semua Wilayah AWS.

Dokumen SSM ini meminta Pembaruan Windows untuk mengunduh dan menginstal pembaruan yang ditentukan dan me-reboot node yang dikelola sesuai kebutuhan. Gunakan dokumen ini denganState Manager, alat di AWS Systems Manager, untuk memastikan Pembaruan Windows mempertahankan konfigurasinya. Anda juga dapat menjalankannya secara manual menggunakanRun Command, alat di AWS Systems Manager, untuk mengubah konfigurasi Pembaruan Windows. 

Parameter yang tersedia dalam support dokumen ini menentukan kategori pembaruan untuk diinstal (atau apakah akan mematikan pembaruan otomatis), serta menentukan hari dan waktu untuk menjalankan operasi patching. Dokumen SSM ini sangat berguna jika Anda tidak memerlukan kendali ketat atas Windows Update dan tidak perlu mengumpulkan informasi kepatuhan. 

**Menggantikan dokumen SSM lama:**
+ *Tidak ada*

### `AWS-InstallWindowsUpdates`
<a name="patch-manager-ssm-documents-recommended-AWS-InstallWindowsUpdates"></a>

Menginstal pembaruan pada node Windows Server terkelola. Tersedia di semua Wilayah AWS.

Dokumen SSM ini menyediakan fungsi patching dasar dalam kasus ketika Anda ingin menginstal pembaruan tertentu (menggunakan parameter `Include Kbs`), atau ingin menginstal patch dengan klasifikasi atau kategori tertentu tetapi tidak memerlukan informasi kepatuhan patch. 

**Menggantikan dokumen SSM lama:**
+ `AWS-FindWindowsUpdates`
+ `AWS-InstallMissingWindowsUpdates`
+ `AWS-InstallSpecificWindowsUpdates`

Ketiga dokumen warisan melakukan fungsi yang berbeda, tetapi Anda dapat meraih hasil yang sama dengan menggunakan pengaturan parameter yang berbeda dengan dokumen SSM yang lebih baru `AWS-InstallWindowsUpdates`. Pengaturan parameter ini dijelaskan dalam [Dokumen SSM lama untuk menambal node terkelola](#patch-manager-ssm-documents-legacy).

### `AWS-RunPatchBaseline`
<a name="patch-manager-ssm-documents-recommended-AWS-RunPatchBaseline"></a>

Menginstal patch pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS.

`AWS-RunPatchBaseline` memungkinkan Anda untuk mengendalikan persetujuan patch menggunakan dasar patch yang ditetapkan sebagai "default" untuk sebuah jenis sistem operasi. Melaporkan informasi kepatuhan patch yang dapat Anda lihat menggunakan alat Kepatuhan Systems Manager. Alat-alat ini memberi Anda wawasan tentang status kepatuhan patch dari node terkelola Anda, seperti node mana yang tidak memiliki tambalan dan apa tambalan tersebut. Saat Anda menggunakan `AWS-RunPatchBaseline`, informasi kepatuhan patch dicatat menggunakan perintah API `PutInventory`. Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk tambalan dari repositori sumber default yang dikonfigurasi pada node terkelola dan dari repositori sumber alternatif apa pun yang Anda tentukan dalam baseline patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat [AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

 **Menggantikan dokumen lama:**
+ `AWS-ApplyPatchBaseline`

Dokumen lama hanya `AWS-ApplyPatchBaseline` berlaku untuk node Windows Server terkelola, dan tidak memberikan dukungan untuk patching aplikasi. `AWS-RunPatchBaseline` yang lebih baru menyediakan support yang sama untuk sistem Windows dan Linux. Versi 2.0.834.0 atau yang lebih baru SSM Agent diperlukan untuk menggunakan dokumen. `AWS-RunPatchBaseline` 

Untuk informasi lebih lanjut tentang dokumen SSM `AWS-RunPatchBaseline`, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

### `AWS-RunPatchBaselineAssociation`
<a name="patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineAssociation"></a>

Menginstal patch pada instans Anda atau memindai instans untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS komersial. 

`AWS-RunPatchBaselineAssociation` berbeda dengan `AWS-RunPatchBaseline` dalam beberapa hal penting:
+ `AWS-RunPatchBaselineAssociation`dimaksudkan untuk digunakan terutama dengan State Manager asosiasi yang dibuat menggunakanQuick Setup, alat di AWS Systems Manager. Secara khusus, ketika Anda menggunakan jenis konfigurasi Manajemen Quick Setup Host, jika Anda memilih opsi **Pindai instance untuk tambalan yang hilang setiap hari**, sistem menggunakan `AWS-RunPatchBaselineAssociation` untuk operasi.

  Namun, dalam kebanyakan kasus, saat menyiapkan operasi patching Anda sendiri, Anda harus memilih [`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) atau [`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md) sebagai ganti `AWS-RunPatchBaselineAssociation`. 

  Untuk informasi selengkapnya, lihat topik berikut:
  + [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)
  + [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)
+ `AWS-RunPatchBaselineAssociation` mendukung penggunaan tag untuk mengidentifikasi dasar patch yang digunakan dengan serangkaian target ketika dijalankan. 
+ Untuk operasi penambalan yang digunakan`AWS-RunPatchBaselineAssociation`, data kepatuhan tambalan dikompilasi dalam hal State Manager asosiasi tertentu. data kepatuhan patch dikumpulkan saat `AWS-RunPatchBaselineAssociation` berjalan dicatat menggunakan perintah API `PutComplianceItems` dan bukan perintah `PutInventory`. Hal ini mencegah data kepatuhan yang tidak terkait dengan asosiasi khusus ini ditimpa.

  Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk patch dari repositori sumber default yang dikonfigurasi pada sebuah instans dan juga dari repositori sumber alternatif lain yang Anda tentukan pada sebuah dasar patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat [AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

 **Menggantikan dokumen lama:**
+ **Tidak ada**

Untuk informasi lebih lanjut tentang dokumen SSM `AWS-RunPatchBaselineAssociation`, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md).

### `AWS-RunPatchBaselineWithHooks`
<a name="patch-manager-ssm-documents-recommended-AWS-RunPatchBaselineWithHooks"></a>

Menginstal patch pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang, dengan kait opsional yang dapat Anda gunakan untuk menjalankan dokumen SSM di tiga titik selama siklus patching. Tersedia di semua Wilayah AWS komersial. Tidak didukung padamacOS.

`AWS-RunPatchBaselineWithHooks` berbeda dengan `AWS-RunPatchBaseline` dalam hal operasi `Install`.

`AWS-RunPatchBaselineWithHooks`mendukung kait siklus hidup yang berjalan pada titik yang ditentukan selama patch node terkelola. Karena instalasi patch kadang-kadang memerlukan node terkelola untuk reboot, operasi patching dibagi menjadi dua peristiwa, dengan total tiga kait yang mendukung fungsionalitas kustom. Kait pertama adalah sebelum operasi `Install with NoReboot`. Kait kedua adalah setelah operasi `Install with NoReboot`. Kait ketiga tersedia setelah reboot node.

 **Menggantikan dokumen lama:**
+ **Tidak ada**

Untuk informasi lebih lanjut tentang dokumen SSM `AWS-RunPatchBaselineWithHooks`, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).

## Dokumen SSM lama untuk menambal node terkelola
<a name="patch-manager-ssm-documents-legacy"></a>

Empat dokumen SSM berikut masih tersedia di beberapa Wilayah AWS. Namun, mereka tidak lagi diperbarui dan mungkin tidak lagi didukung di masa mendatang, jadi kami tidak merekomendasikan penggunaannya. Sebagai gantinya, gunakan dokumen yang dijelaskan dalam [Dokumen SSM direkomendasikan untuk menambal node terkelola](#patch-manager-ssm-documents-recommended).

**Topics**
+ [`AWS-ApplyPatchBaseline`](#patch-manager-ssm-documents-legacy-AWS-ApplyPatchBaseline)
+ [`AWS-FindWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-AWS-FindWindowsUpdates)
+ [`AWS-InstallMissingWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallMissingWindowsUpdates)
+ [`AWS-InstallSpecificWindowsUpdates`](#patch-manager-ssm-documents-legacy-AWS-InstallSpecificWindowsUpdates)

### `AWS-ApplyPatchBaseline`
<a name="patch-manager-ssm-documents-legacy-AWS-ApplyPatchBaseline"></a>

Mendukung hanya node Windows Server terkelola, tetapi tidak termasuk dukungan untuk menambal aplikasi yang ditemukan dalam penggantinya,`AWS-RunPatchBaseline`. Tidak tersedia di Wilayah AWS diluncurkan setelah Agustus 2017.

**catatan**  
Penggantian untuk dokumen SSM ini,`AWS-RunPatchBaseline`, memerlukan versi 2.0.834.0 atau versi yang lebih baru. SSM Agent Anda dapat menggunakan `AWS-UpdateSSMAgent` dokumen untuk memperbarui node terkelola Anda ke versi terbaru agen. 

### `AWS-FindWindowsUpdates`
<a name="patch-manager-ssm-documents-legacy-AWS-AWS-FindWindowsUpdates"></a>

Digantikan oleh `AWS-InstallWindowsUpdates`, yang dapat melakukan semua tindakan yang sama. Tidak tersedia di Wilayah AWS diluncurkan setelah April 2017.

Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, `AWS-InstallWindowsUpdates`:
+ `Action` = `Scan`
+ `Allow Reboot` = `False`

### `AWS-InstallMissingWindowsUpdates`
<a name="patch-manager-ssm-documents-legacy-AWS-InstallMissingWindowsUpdates"></a>

Digantikan oleh `AWS-InstallWindowsUpdates`, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.

Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, `AWS-InstallWindowsUpdates`:
+ `Action` = `Install`
+ `Allow Reboot` = `True`

### `AWS-InstallSpecificWindowsUpdates`
<a name="patch-manager-ssm-documents-legacy-AWS-InstallSpecificWindowsUpdates"></a>

Digantikan oleh `AWS-InstallWindowsUpdates`, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.

Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, `AWS-InstallWindowsUpdates`:
+ `Action` = `Install`
+ `Allow Reboot` = `True`
+ `Include Kbs` = *comma-separated list of KB articles*

## Keterbatasan yang diketahui dari dokumen SSM untuk menambal node terkelola
<a name="patch-manager-ssm-documents-known-limitations"></a>

### Gangguan reboot eksternal
<a name="patch-manager-ssm-documents-known-limitations-external-reboot"></a>

Jika reboot dimulai oleh sistem pada node selama instalasi patch (misalnya, untuk menerapkan pembaruan ke firmware atau fitur seperti SecureBoot), eksekusi dokumen patching dapat terganggu dan ditandai sebagai gagal meskipun patch berhasil diinstal. Hal ini terjadi karena Agen SSM tidak dapat bertahan dan melanjutkan status eksekusi dokumen di seluruh reboot eksternal.

Untuk memverifikasi status instalasi patch setelah eksekusi gagal, jalankan operasi `Scan` patching, lalu periksa data kepatuhan patch di Patch Manager untuk menilai status kepatuhan saat ini.

# Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`
<a name="patch-manager-aws-runpatchbaseline"></a>

AWS Systems Manager mendukung`AWS-RunPatchBaseline`, dokumen Systems Manager (dokumen SSM) untukPatch Manager, alat di AWS Systems Manager. Dokumen SSM ini melakukan operasi penambalan pada node terkelola untuk pembaruan terkait keamanan dan jenis pembaruan lainnya. Ketika dokumen dijalankan, ia menggunakan dasar patch yang ditetapkan sebagai "default" untuk suatu jenis sistem operasi jika tidak ada grup patch yang ditentukan. Jika tidak, ia menggunakan dasar patch yang terkait dengan grup patch. Untuk informasi tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md). 

Anda dapat menggunakan `AWS-RunPatchBaseline` untuk menerapkan patch untuk sistem operasi dan aplikasi. (Pada Windows Server, support aplikasi dibatasi pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.)

Dokumen ini mendukung Linux,macOS, dan node Windows Server terkelola. Dokumen ini akan melakukan tindakan yang sesuai untuk setiap platform. 

**catatan**  
Patch Managerjuga mendukung dokumen SSM lama. `AWS-ApplyPatchBaseline` Namun, dokumen ini mendukung penambalan pada node yang dikelola Windows saja. Kami mendorong Anda untuk menggunakan `AWS-RunPatchBaseline` sebagai gantinya karena mendukung patching di Linux,macOS, dan node Windows Server terkelola. Versi 2.0.834.0 atau yang lebih baru SSM Agent diperlukan untuk menggunakan dokumen. `AWS-RunPatchBaseline`

------
#### [ Windows Server ]

Pada node Windows Server terkelola, `AWS-RunPatchBaseline` dokumen mengunduh dan memanggil PowerShell modul, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. snapshot dasar patch ini berisi daftar patch yang disetujui yang dikumpulkan dengan melakukan kueri dasar patch pada server Windows Server Update Services (WSUS). Daftar ini diteruskan ke API Windows Update, yang mengendalikan pengunduhan dan instalasi patch yang disetujui sesuai kebutuhan. 

------
#### [ Linux ]

Pada node yang dikelola Linux, `AWS-RunPatchBaseline` dokumen tersebut memanggil modul Python, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. Snapshot dasar tambalan ini menggunakan aturan yang ditentukan dan daftar tambalan yang disetujui dan diblokir untuk mendorong manajer paket yang sesuai untuk setiap jenis node: 
+ Amazon Linux 2,Oracle Linux, dan RHEL 7 node terkelola menggunakan YUM. Untuk operasi YUM, Patch Manager membutuhkan `Python 2.6` atau versi yang didukung yang lebih baru (2.6 - 3.12). Amazon Linux 2023 menggunakan DNF. Untuk operasi DNF, Patch Manager memerlukan versi yang didukung dari `Python 2` atau `Python 3` (2.6 - 3.12).
+ RHEL8 node terkelola menggunakan DNF. Untuk operasi DNF, Patch Manager memerlukan versi yang didukung dari `Python 2` atau `Python 3` (2.6 - 3.12). (Tidak ada versi yang diinstal secara default pada RHEL 8. Anda harus menginstal satu atau yang lain secara manual.)
+ Debian Server, dan Ubuntu Server contoh menggunakan APT. Untuk operasi APT, Patch Manager memerlukan versi yang didukung `Python 3` (3.0 - 3.12).

------
#### [ macOS ]

Pada node macOS terkelola, `AWS-RunPatchBaseline` dokumen memanggil modul Python, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. Selanjutnya, subproses Python memanggil AWS Command Line Interface (AWS CLI) pada node untuk mengambil instalasi dan memperbarui informasi untuk manajer paket tertentu dan untuk mendorong manajer paket yang sesuai untuk setiap paket pembaruan.

------

Setiap snapshot khusus untuk, grup patch Akun AWS, sistem operasi, dan ID snapshot. Snapshot dikirimkan melalui URL Amazon Simple Storage Service (Amazon S3) yang telah ditandatangani sebelumnya, yang kedaluwarsa 24 jam setelah snapshot dibuat. Namun, setelah URL kedaluwarsa, jika Anda ingin menerapkan konten snapshot yang sama ke node terkelola lainnya, Anda dapat membuat URL Amazon S3 yang telah ditetapkan sebelumnya hingga 3 hari setelah snapshot dibuat. Untuk melakukannya, gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-deployable-patch-snapshot-for-instance.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-deployable-patch-snapshot-for-instance.html). 

Setelah semua pembaruan yang disetujui dan berlaku telah diinstal, dengan reboot dilakukan seperlunya, informasi kepatuhan tambalan dihasilkan pada node yang dikelola dan dilaporkan kembali kePatch Manager. 

**catatan**  
Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi selengkapnya, lihat [Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaseline-parameters-norebootoption).

Untuk informasi tentang melihat data kepatuhan patch, lihat [Tentang kepatuhan patch](compliance-about.md#compliance-monitor-patch). 

## Parameter `AWS-RunPatchBaseline`
<a name="patch-manager-aws-runpatchbaseline-parameters"></a>

`AWS-RunPatchBaseline` support enam parameter. parameter `Operation` diperlukan. `RebootOption`Parameter `InstallOverrideList``BaselineOverride`,, dan bersifat opsional. `Snapshot-ID`secara teknis opsional, tetapi kami menyarankan Anda memberikan nilai khusus untuk itu ketika Anda menjalankan `AWS-RunPatchBaseline` di luar jendela pemeliharaan. Patch Managerdapat memberikan nilai kustom secara otomatis ketika dokumen dijalankan sebagai bagian dari operasi jendela pemeliharaan.

**Topics**
+ [Nama parameter: `Operation`](#patch-manager-aws-runpatchbaseline-parameters-operation)
+ [Nama parameter: `AssociationId`](#patch-manager-aws-runpatchbaseline-parameters-association-id)
+ [Nama parameter: `Snapshot ID`](#patch-manager-aws-runpatchbaseline-parameters-snapshot-id)
+ [Nama parameter: `InstallOverrideList`](#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)
+ [Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaseline-parameters-norebootoption)
+ [Nama parameter: `BaselineOverride`](#patch-manager-aws-runpatchbaseline-parameters-baselineoverride)
+ [Nama parameter: `StepTimeoutSeconds`](#patch-manager-aws-runpatchbaseline-parameters-steptimeoutseconds)

### Nama parameter: `Operation`
<a name="patch-manager-aws-runpatchbaseline-parameters-operation"></a>

**Penggunaan**: Wajib.

**Opsi**: `Scan` \$1 `Install`. 

Pemindaian  
Saat Anda memilih `Scan` opsi, `AWS-RunPatchBaseline` tentukan status kepatuhan patch dari node terkelola dan laporkan informasi ini kembali kePatch Manager. `Scan`tidak meminta pembaruan untuk diinstal atau node yang dikelola untuk di-boot ulang. Sebaliknya, operasi mengidentifikasi di mana pembaruan hilang yang disetujui dan berlaku untuk node. 

Menginstal  
Ketika Anda memilih `Install` opsi, `AWS-RunPatchBaseline` mencoba untuk menginstal pembaruan yang disetujui dan berlaku yang hilang dari node terkelola. Informasi kepatuhan patch yang dihasilkan sebagai bagian operasi `Install` tidak mencantumkan pembaruan yang hilang, tetapi mungkin melaporkan pembaruan yang berstatus gagal jika instalasi pembaruan tidak berhasil karena alasan apa pun. Setiap kali pembaruan diinstal pada node terkelola, node di-reboot untuk memastikan pembaruan diinstal dan aktif. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)  
Jika patch yang ditentukan oleh aturan dasar diinstal *sebelum* Patch Manager memperbarui node terkelola, sistem mungkin tidak reboot seperti yang diharapkan. Hal ini dapat terjadi ketika patch diinstal secara manual oleh pengguna atau diinstal secara otomatis oleh program lain, seperti `unattended-upgrades` paket aktifUbuntu Server.

### Nama parameter: `AssociationId`
<a name="patch-manager-aws-runpatchbaseline-parameters-association-id"></a>

**Penggunaan**: Opsional.

`AssociationId`adalah ID dari asosiasi yang ada diState Manager, alat di AWS Systems Manager. Ini digunakan oleh Patch Manager untuk menambahkan data kepatuhan ke asosiasi tertentu. Asosiasi ini terkait dengan operasi penambalan yang [diatur dalam kebijakan tambalan di Quick Setup](quick-setup-patch-manager.md). 

**catatan**  
Dengan`AWS-RunPatchBaseline`, jika `AssociationId` nilai diberikan bersama dengan penggantian dasar kebijakan tambalan, penambalan dilakukan sebagai `PatchPolicy` operasi dan `ExecutionType` nilai yang dilaporkan juga. `AWS:ComplianceItem` `PatchPolicy` Jika tidak ada `AssociationId` nilai yang diberikan, penambalan dilakukan sebagai `Command` operasi dan laporan `ExecutionType` nilai pada yang `AWS:ComplianceItem` diserahkan juga`Command`. 

Jika Anda belum memiliki asosiasi yang ingin Anda gunakan, Anda dapat membuatnya dengan menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html)perintah. 

### Nama parameter: `Snapshot ID`
<a name="patch-manager-aws-runpatchbaseline-parameters-snapshot-id"></a>

**Penggunaan**: Opsional.

`Snapshot ID`adalah ID unik (GUID) yang digunakan oleh Patch Manager untuk memastikan bahwa satu set node terkelola yang ditambal dalam satu operasi semuanya memiliki set patch yang disetujui yang sama persis. Meskipun parameter didefinisikan sebagai opsional, rekomendasi praktik terbaik kami bergantung pada apakah Anda menjalankan `AWS-RunPatchBaseline` atau tidak di jendela pemeliharaan, seperti yang dijelaskan dalam tabel berikut.


**Praktik terbaik `AWS-RunPatchBaseline`**  

| Mode | Praktik terbaik | Detail | 
| --- | --- | --- | 
| Menjalankan AWS-RunPatchBaseline di dalam jendela pemeliharaan | Jangan berikan ID Snapshot. Patch Managerakan memasoknya untuk Anda. |  Jika Anda menggunakan jendela pemeliharaan untuk menjalankan`AWS-RunPatchBaseline`, Anda seharusnya tidak memberikan ID Snapshot yang dibuat sendiri. Dalam skenario ini, Systems Manager menyediakan nilai GUID berdasarkan ID eksekusi jendela pemeliharaan. Hal ini memastikan bahwa digunakan ID yang benar untuk semua pemanggilan `AWS-RunPatchBaseline` dalam jendela pemeliharaan tersebut.  Jika Anda menentukan nilai dalam skenario ini, perhatikan bahwa snapshot dari baseline patch mungkin tidak tetap di tempatnya selama lebih dari 3 hari. Setelah itu, snapshot baru akan dihasilkan bahkan jika Anda menentukan ID yang sama setelah snapshot berakhir.   | 
| Menjalankan AWS-RunPatchBaseline di luar jendela pemeliharaan | Menghasilkan dan menentukan nilai GUID kustom untuk ID Snapshot.¹ |  Bila Anda tidak menggunakan jendela pemeliharaan untuk menjalankan`AWS-RunPatchBaseline`, kami sarankan Anda membuat dan menentukan ID Snapshot unik untuk setiap baseline patch, terutama jika Anda menjalankan `AWS-RunPatchBaseline` dokumen pada beberapa node terkelola dalam operasi yang sama. Jika Anda tidak menentukan ID dalam skenario ini, Systems Manager akan menghasilkan ID Snapshot yang berbeda untuk setiap node terkelola tempat perintah dikirim. Hal ini dapat mengakibatkan berbagai set patch yang ditentukan di antara node terkelola. Misalnya, katakan bahwa Anda menjalankan `AWS-RunPatchBaseline` dokumen secara langsung melaluiRun Command, alat di AWS Systems Manager, dan menargetkan sekelompok 50 node terkelola. Menentukan ID Snapshot kustom menghasilkan pembuatan snapshot dasar tunggal yang digunakan untuk mengevaluasi dan menambal semua node, memastikan bahwa mereka berakhir dalam keadaan konsisten.   | 
|  ¹ Anda dapat menggunakan alat yang mampu menghasilkan GUID untuk menghasilkan nilai untuk parameter ID Snapshot. Misalnya, di PowerShell, Anda dapat menggunakan `New-Guid` cmdlet untuk menghasilkan GUID dalam format. `12345699-9405-4f69-bc5e-9315aEXAMPLE`  | 

### Nama parameter: `InstallOverrideList`
<a name="patch-manager-aws-runpatchbaseline-parameters-installoverridelist"></a>

**Penggunaan**: Opsional.

Dengan menggunakan `InstallOverrideList`, Anda menentukan URL https atau URL ala jalur Amazon S3 ke daftar patch yang akan diinstal. Daftar instalasi patch ini, yang Anda pertahankan dalam format YAML, menggantikan patch yang ditentukan oleh dasar patch default saat ini. Ini memberi Anda kontrol yang lebih terperinci atas tambalan mana yang diinstal pada node terkelola Anda. 

**penting**  
Nama `InstallOverrideList` file tidak dapat berisi karakter berikut: backtick (`), kutipan tunggal ('), kutipan ganda (“), dan tanda dolar (\$1).

Perilaku operasi patching saat menggunakan `InstallOverrideList` parameter berbeda antara Linux & node macOS terkelola dan node Windows Server terkelola. Di Linux &macOS, Patch Manager upaya untuk menerapkan tambalan yang disertakan dalam daftar `InstallOverrideList` tambalan yang ada di repositori apa pun yang diaktifkan pada node, apakah tambalan cocok dengan aturan dasar tambalan atau tidak. Namun, pada Windows Server node, tambalan dalam daftar `InstallOverrideList` tambalan diterapkan *hanya* jika mereka juga cocok dengan aturan dasar patch.

Sadarilah bahwa laporan kepatuhan mencerminkan status patch berdasarkan apa yang ditentukan dalam dasar patch, bukan apa yang Anda tentukan dalam daftar patch `InstallOverrideList`. Dengan kata lain, operasi Pemindaian mengabaikan parameter `InstallOverrideList`. Hal ini untuk memastikan bahwa laporan kepatuhan secara konsisten mencerminkan keadaan patch berdasarkan kebijakan daripada apa yang disetujui untuk operasi patching tertentu. 

**catatan**  
Saat Anda menambal node yang hanya menggunakan IPv6, pastikan URL yang disediakan dapat dijangkau dari node. Jika opsi SSM Agent konfigurasi `UseDualStackEndpoint` disetel ke`true`, maka klien S3 dualstack digunakan saat URL S3 disediakan. Lihat [Tutorial: Menambal server di IPv6 satu-satunya lingkungan](patch-manager-server-patching-iPv6-tutorial.md) untuk informasi selengkapnya tentang mengonfigurasi agen untuk menggunakan dualstack.

Untuk penjelasan tentang cara Anda dapat menggunakan parameter `InstallOverrideList` untuk menerapkan berbagai jenis patch berbeda ke sebuah grup target, pada jadwal jendela pemeliharaan yang berbeda, sembari tetap menggunakan dasar patch tunggal, lihat [Contoh skenario untuk menggunakan InstallOverrideList parameter di `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`](patch-manager-override-lists.md).

**Format URL yang valid**

**catatan**  
Jika file Anda disimpan dalam bucket yang tersedia secara publik, Anda dapat menentukan format URL https atau URL ala jalur Amazon S3. Jika file Anda disimpan dalam bucket privat, Anda harus menentukan URL ala jalur Amazon S3.
+ **format URL https**:

  ```
  https://s3.aws-api-domain/amzn-s3-demo-bucket/my-windows-override-list.yaml
  ```
+ **URL ala jalur Amazon S3**:

  ```
  s3://amzn-s3-demo-bucket/my-windows-override-list.yaml
  ```

**Format konten YAMM yang valid**

Format yang Anda gunakan untuk menentukan tambalan dalam daftar Anda bergantung pada sistem operasi node terkelola Anda. Namun, format yang umum adalah seperti berikut ini:

```
patches:
    - 
        id: '{patch-d}'
        title: '{patch-title}'
        {additional-fields}:{values}
```

Meskipun Anda dapat memberikan bidang tambahan dalam file YAML Anda, mereka diabaikan selama operasi patch.

Selain itu, kami merekomendasikan untuk memverifikasi bahwa format file YAML Anda valid sebelum menambahkan atau memperbarui daftar di bucket S3 Anda. Untuk informasi lebih lanjut tentang format YAML, lihat [yaml.org](http://www.yaml.org). Untuk pilihan alat validasi, lakukan pencarian web untuk "validator format yaml".

------
#### [ Linux ]

**id**  
Bidang **id** wajib diisi. Gunakan untuk menentukan patch menggunakan nama paket dan arsitektur. Sebagai contoh: `'dhclient.x86_64'`. Anda dapat menggunakan wildcard dalam id untuk menunjukkan lebih dari satu paket. Sebagai contoh: `'dhcp*'` dan `'dhcp*1.*'`.

**judul**  
Bidang **judul** bersifat opsional, tetapi pada sistem Linux bidang tersebut memberikan kemampuan filter tambahan. Jika Anda menggunakan **judul**, sebaiknya berisi informasi versi paket dalam salah satu format berikut:

YUM/SUSE Linux Enterprise Server (SLES):

```
{name}.{architecture}:{epoch}:{version}-{release}
```

APT

```
{name}.{architecture}:{version}
```

Untuk judul patch Linux, Anda dapat menggunakan satu atau lebih wildcard di posisi apa pun untuk memperluas jumlah kecocokan paket. Sebagai contoh: `'*32:9.8.2-0.*.rc1.57.amzn1'`. 

Contoh: 
+ paket apt versi 1.2.25 saat ini diinstal pada node terkelola Anda, tetapi versi 1.2.27 sekarang tersedia. 
+ Anda menambahkan apt.amd64 versi 1.2.27 ke daftar patch. Hal ini tergantung pada apt utils.amd64 versi 1.2.27, tapi apt-utils.amd64 versi 1.2.25 ditentukan dalam daftar. 

Dalam hal ini, apt versi 1.2.27 akan diblokir dari instalasi dan dilaporkan sebagai “Gagal-.” NonCompliant

------
#### [ Windows Server ]

**id**  
Bidang **id** wajib diisi. Gunakan untuk menentukan patch menggunakan Microsoft Knowledge Base IDs (misalnya, KB2736693) dan Microsoft Security Bulletin IDs (misalnya, MS17 -023). 

Bidang lain yang ingin Anda berikan dalam daftar patch untuk Windows bersifat opsional dan hanya digunakan sebagai informasi Anda sendiri. Anda dapat menggunakan bidang tambahan seperti **judul**, **klasifikasi**, **Tingkat kepelikan**, atau yang lainnya untuk memberikan informasi lebih detail tentang patch yang ditentukan.

------
#### [ macOS ]

**id**  
Bidang **id** wajib diisi. Nilai untuk bidang **id** dapat diberikan menggunakan format `{package-name}.{package-version}` atau format \$1nama\$1paket\$1.

------

**Contoh daftar tambalan**
+ **Amazon Linux 2**

  ```
  patches:
      -
          id: 'kernel.x86_64'
      -
          id: 'bind*.x86_64'
          title: '39.11.4-26.P2.amzn2.5.2'
  
          id: 'glibc*'
      -
          id: 'dhclient*'
          title: '*4.2.5-58.amzn2'
      -
          id: 'dhcp*'
          title: '*4.2.5-77.amzn2'
  ```
+ **Debian Server**

  ```
  patches:
      -
          id: 'apparmor.amd64'
          title: '2.10.95-0ubuntu2.9'
      -
          id: 'cryptsetup.amd64'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'cryptsetup-bin.*'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'apt.amd64'
          title: '*1.2.27'
      -
          id: 'apt-utils.amd64'
          title: '*1.2.25'
  ```
+ **macOS**

  ```
  patches:
      -
          id: 'XProtectPlistConfigData'
      -
          id: 'MRTConfigData.1.61'
      -
          id: 'Command Line Tools for Xcode.11.5'
      -
          id: 'Gatekeeper Configuration Data'
  ```
+ **Oracle Linux**

  ```
  patches:
      -
          id: 'audit-libs.x86_64'
          title: '*2.8.5-4.el7'
      -
          id: 'curl.x86_64'
          title: '*.el7'
      -
          id: 'grub2.x86_64'
          title: 'grub2.x86_64:1:2.02-0.81.0.1.el7'
      -
          id: 'grub2.x86_64'
          title: 'grub2.x86_64:1:*-0.81.0.1.el7'
  ```
+ **Red Hat Enterprise Linux (RHEL)**

  ```
  patches:
      -
          id: 'NetworkManager.x86_64'
          title: '*1:1.10.2-14.el7_5'
      -
          id: 'NetworkManager-*.x86_64'
          title: '*1:1.10.2-14.el7_5'
      -
          id: 'audit.x86_64'
          title: '*0:2.8.1-3.el7'
      -
          id: 'dhclient.x86_64'
          title: '*.el7_5.1'
      -
          id: 'dhcp*.x86_64'
          title: '*12:5.2.5-68.el7'
  ```
+ **SUSE Linux Enterprise Server (SLES)**

  ```
  patches:
      -
          id: 'amazon-ssm-agent.x86_64'
      -
          id: 'binutils'
          title: '*0:2.26.1-9.12.1'
      -
          id: 'glibc*.x86_64'
          title: '*2.19*'
      -
          id: 'dhcp*'
          title: '0:4.3.3-9.1'
      -
          id: 'lib*'
  ```
+ **Ubuntu Server **

  ```
  patches:
      -
          id: 'apparmor.amd64'
          title: '2.10.95-0ubuntu2.9'
      -
          id: 'cryptsetup.amd64'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'cryptsetup-bin.*'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'apt.amd64'
          title: '*1.2.27'
      -
          id: 'apt-utils.amd64'
          title: '*1.2.25'
  ```
+ **Windows**

  ```
  patches:
      -
          id: 'KB4284819'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)'
      -
          id: 'KB4284833'
      -
          id: 'KB4284835'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)'
      -
          id: 'KB4284880'
      -
          id: 'KB4338814'
  ```

### Nama parameter: `RebootOption`
<a name="patch-manager-aws-runpatchbaseline-parameters-norebootoption"></a>

**Penggunaan**: Opsional.

**Pilihan**: `RebootIfNeeded` \$1 `NoReboot` 

**Default**: `RebootIfNeeded`

**Awas**  
Opsi default-nya adalah `RebootIfNeeded`. Pastikan untuk memilih opsi yang benar untuk kasus penggunaan Anda. Misalnya, jika node terkelola Anda harus segera reboot untuk menyelesaikan proses konfigurasi, pilih`RebootIfNeeded`. Atau, jika Anda perlu mempertahankan ketersediaan node terkelola hingga waktu reboot yang dijadwalkan, pilih`NoReboot`.

**penting**  
Kami tidak menyarankan penggunaan Patch Manager untuk menambal instance cluster di Amazon EMR (sebelumnya disebut Amazon Elastic). MapReduce Secara khusus, jangan pilih `RebootIfNeeded` opsi untuk `RebootOption` parameter. (Opsi ini tersedia dalam dokumen Perintah SSM untuk ditambal`AWS-RunPatchBaseline`,`AWS-RunPatchBaselineAssociation`, dan`AWS-RunPatchBaselineWithHooks`.)  
Perintah yang mendasari untuk menambal menggunakan Patch Manager penggunaan `yum` dan `dnf` perintah. Oleh karena itu, operasi mengakibatkan ketidakcocokan karena bagaimana paket diinstal. Untuk informasi tentang metode yang disukai untuk memperbarui perangkat lunak di klaster EMR Amazon, lihat [Menggunakan default untuk AMI Amazon EMR di Panduan Manajemen EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-default-ami.html) *Amazon*.

RebootIfNeeded  
Saat Anda memilih `RebootIfNeeded` opsi, node terkelola di-boot ulang dalam salah satu kasus berikut:   
+ Patch Managermemasang satu atau lebih tambalan. 

  Patch Managertidak mengevaluasi apakah reboot *diperlukan* oleh tambalan. Sistem di-boot ulang bahkan jika tambalan tidak memerlukan reboot.
+ Patch Managermendeteksi satu atau lebih tambalan dengan status `INSTALLED_PENDING_REBOOT` selama operasi. `Install` 

  `INSTALLED_PENDING_REBOOT`Status dapat berarti bahwa opsi `NoReboot` dipilih saat terakhir kali `Install` operasi dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang.
Mem-boot ulang node terkelola dalam dua kasus ini memastikan bahwa paket yang diperbarui dikeluarkan dari memori dan menjaga perilaku patching dan reboot tetap konsisten di semua sistem operasi.

NoReboot  
Ketika Anda memilih `NoReboot` opsi, Patch Manager tidak me-reboot node terkelola bahkan jika itu menginstal tambalan selama `Install` operasi. Opsi ini berguna jika Anda tahu bahwa node terkelola Anda tidak memerlukan reboot setelah tambalan diterapkan, atau Anda memiliki aplikasi atau proses yang berjalan pada node yang seharusnya tidak terganggu oleh reboot operasi patching. Ini juga berguna ketika Anda ingin lebih banyak kontrol atas waktu reboot node terkelola, seperti dengan menggunakan jendela pemeliharaan.  
Jika Anda memilih opsi `NoReboot` dan sebuah patch diinstal, patch diberikan status `InstalledPendingReboot`. Node yang dikelola itu sendiri, bagaimanapun, ditandai sebagai`Non-Compliant`. Setelah reboot terjadi dan `Scan` operasi dijalankan, status node terkelola diperbarui ke`Compliant`.  
`NoReboot`Opsi ini hanya mencegah restart tingkat sistem operasi. Restart tingkat layanan masih dapat terjadi sebagai bagian dari proses patching. Misalnya, ketika Docker diperbarui, layanan dependen seperti Amazon Elastic Container Service mungkin secara otomatis dimulai ulang bahkan dengan `NoReboot` diaktifkan. Jika Anda memiliki layanan penting yang tidak boleh diganggu, pertimbangkan langkah-langkah tambahan seperti menghapus sementara instance dari layanan atau menjadwalkan penambalan selama jendela pemeliharaan.

**File pelacakan instalasi patch**: Untuk melacak instalasi patch, terutama patch yang diinstal sejak reboot sistem terakhir, Systems Manager memelihara file pada node terkelola.

**penting**  
Jangan menghapus atau memodifikasi file pelacakan. Jika file ini dihapus atau rusak, laporan kepatuhan patch untuk node terkelola tidak akurat. Jika ini terjadi, reboot node dan jalankan operasi Pindai tambalan untuk memulihkan file.

File pelacakan ini disimpan di lokasi berikut pada node terkelola Anda:
+ Sistem operasi Linux: 
  + `/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json`
  + `/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json`
+ Sistem operasi Windows Server:
  + `C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json`
  + `C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json`

### Nama parameter: `BaselineOverride`
<a name="patch-manager-aws-runpatchbaseline-parameters-baselineoverride"></a>

**Penggunaan**: Opsional.

Anda dapat menentukan preferensi patching pada saat runtime menggunakan parameter `BaselineOverride`. Baseline override ini disimpan sebagai objek JSON dalam bucket S3. Ini memastikan operasi patching menggunakan dasar yang disediakan yang cocok dengan sistem operasi host bukannya menerapkan aturan dari dasar patch default

**penting**  
Nama `BaselineOverride` file tidak dapat berisi karakter berikut: backtick (`), kutipan tunggal ('), kutipan ganda (“), dan tanda dolar (\$1).

Untuk informasi selengkapnya tentang cara menggunakan `BaselineOverride` parameter, lihat [Menggunakan BaselineOverride parameter](patch-manager-baselineoverride-parameter.md).

### Nama parameter: `StepTimeoutSeconds`
<a name="patch-manager-aws-runpatchbaseline-parameters-steptimeoutseconds"></a>

**Penggunaan**: Wajib.

Waktu dalam detik—antara 1 dan 36000 detik (10 jam) —untuk sebuah perintah diselesaikan sebelum dianggap gagal.

# Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineAssociation`
<a name="patch-manager-aws-runpatchbaselineassociation"></a>

Seperti dokumen `AWS-RunPatchBaseline`, `AWS-RunPatchBaselineAssociation` melakukan operasi patching pada instans untuk jenis pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda juga dapat menggunakan dokumen `AWS-RunPatchBaselineAssociation` untuk menerapkan patch untuk sistem operasi dan aplikasi. (Pada Windows Server, support aplikasi dibatasi pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.)

Dokumen ini mendukung instans Amazon Elastic Compute Cloud (Amazon EC2) untuk Linux, macOS, dan Windows Server. Ini tidak mendukung node non-EC2 di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types). Dokumen akan melakukan tindakan yang sesuai untuk setiap platform, menjalankan modul Python di Linux macOS dan instance, dan PowerShell modul pada instance Windows.

Namun, `AWS-RunPatchBaselineAssociation` berbeda dari `AWS-RunPatchBaseline` dengan cara berikut: 
+ `AWS-RunPatchBaselineAssociation`dimaksudkan untuk digunakan terutama dengan State Manager asosiasi yang dibuat menggunakan [Quick Setup](systems-manager-quick-setup.md), alat di AWS Systems Manager. Secara khusus, ketika Anda menggunakan jenis konfigurasi Manajemen Quick Setup Host, jika Anda memilih opsi **Pindai instance untuk tambalan yang hilang setiap hari**, sistem menggunakan `AWS-RunPatchBaselineAssociation` untuk operasi.

  Namun, dalam kebanyakan kasus, saat menyiapkan operasi patching Anda sendiri, Anda harus memilih [`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) atau [`AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md) sebagai ganti `AWS-RunPatchBaselineAssociation`.
+ Saat Anda menggunakan dokumen `AWS-RunPatchBaselineAssociation`, Anda dapat menentukan pasangan kunci tag dalam bidang parameter `BaselineTags` pada dokumen. Jika baseline patch kustom di Anda Akun AWS membagikan tag ini, alat di Patch Manager AWS Systems Manager, menggunakan baseline yang diberi tag saat berjalan pada instance target alih-alih baseline patch “default” yang saat ini ditentukan untuk jenis sistem operasi.
**catatan**  
Jika Anda memilih untuk menggunakan `AWS-RunPatchBaselineAssociation` dalam operasi penambalan selain yang disiapkan menggunakanQuick Setup, dan Anda ingin menggunakan `BaselineTags` parameter opsionalnya, Anda harus memberikan beberapa izin tambahan ke [profil instans untuk instans](setup-instance-permissions.md) Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi selengkapnya, lihat [Nama parameter: `BaselineTags`](#patch-manager-aws-runpatchbaselineassociation-parameters-baselinetags).

  Kedua format berikut ini valid untuk parameter `BaselineTags` Anda:

  `Key=tag-key,Values=tag-value`

  `Key=tag-key,Values=tag-value1,tag-value2,tag-value3`
**penting**  
Kunci dan nilai tag tidak dapat berisi karakter berikut: backtick (`), kutipan tunggal ('), kutipan ganda (“), dan tanda dolar (\$1).
+ Saat `AWS-RunPatchBaselineAssociation` berjalan, data kepatuhan patch yang dikumpulkan dicatat menggunakan perintah API `PutComplianceItems` bukannya perintah `PutInventory`, yang digunakan oleh `AWS-RunPatchBaseline`. Perbedaan ini berarti bahwa informasi kepatuhan patch yang disimpan dan dilaporkan per *asosiasi* spesifik. data kepatuhan patch yang dihasilkan di luar asosiasi ini tidak ditimpa.
+ Informasi kepatuhan patch yang dilaporkan setelah menjalankan `AWS-RunPatchBaselineAssociation`menunjukkan apakah suatu instans patuh atau tidak. Itu tidak termasuk detail tingkat tambalan, seperti yang ditunjukkan oleh output dari perintah AWS Command Line Interface (AWS CLI) berikut. Filter perintah pada `Association` sebagai tipe kepatuhan:

  ```
  aws ssm list-compliance-items \
      --resource-ids "i-02573cafcfEXAMPLE" \
      --resource-types "ManagedInstance" \
      --filters "Key=ComplianceType,Values=Association,Type=EQUAL" \
      --region us-east-2
  ```

  Sistem mengembalikan informasi seperti berikut ini.

  ```
  {
      "ComplianceItems": [
          {
              "Status": "NON_COMPLIANT", 
              "Severity": "UNSPECIFIED", 
              "Title": "MyPatchAssociation", 
              "ResourceType": "ManagedInstance", 
              "ResourceId": "i-02573cafcfEXAMPLE", 
              "ComplianceType": "Association", 
              "Details": {
                  "DocumentName": "AWS-RunPatchBaselineAssociation", 
                  "PatchBaselineId": "pb-0c10e65780EXAMPLE", 
                  "DocumentVersion": "1"
              }, 
              "ExecutionSummary": {
                  "ExecutionTime": 1590698771.0
              }, 
              "Id": "3e5d5694-cd07-40f0-bbea-040e6EXAMPLE"
          }
      ]
  }
  ```

Jika nilai key pair tag telah ditentukan sebagai parameter untuk `AWS-RunPatchBaselineAssociation` dokumen, Patch Manager mencari baseline patch kustom yang cocok dengan jenis sistem operasi dan telah ditandai dengan pasangan tag-key yang sama. Pencarian ini tidak terbatas pada dasar patch default yang ditetapkan saat ini atau dasar yang ditetapkan ke grup patch. Jika tidak ada garis dasar yang ditemukan dengan tag yang ditentukan, Patch Manager selanjutnya mencari grup tambalan, jika salah satu ditentukan dalam perintah yang berjalan. `AWS-RunPatchBaselineAssociation` Jika tidak ada grup patch yang cocok, Patch Manager kembali ke baseline patch default saat ini untuk akun sistem operasi. 

Jika lebih dari satu baseline patch ditemukan dengan tag yang ditentukan dalam `AWS-RunPatchBaselineAssociation` dokumen, Patch Manager mengembalikan pesan kesalahan yang menunjukkan bahwa hanya satu baseline patch yang dapat ditandai dengan pasangan kunci-nilai agar operasi dapat dilanjutkan.

**catatan**  
Pada node Linux, manajer paket yang sesuai untuk setiap jenis node digunakan untuk menginstal paket:   
Amazon Linux 2,Oracle Linux, dan RHEL instans menggunakan YUM. Untuk operasi YUM, Patch Manager membutuhkan `Python 2.6` atau versi yang didukung yang lebih baru (2.6 - 3.12). Amazon Linux 2023 menggunakan DNF. Untuk operasi DNF, Patch Manager memerlukan versi `Python 2` atau yang didukung `Python 3` (2.6 - 3.12)
Debian Serverdan Ubuntu Server contoh menggunakan APT. Untuk operasi APT, Patch Manager memerlukan versi yang didukung `Python 3` (3.0 - 3.12).

Setelah pemindaian selesai, atau setelah semua pembaruan yang disetujui dan berlaku telah diinstal, dengan reboot dilakukan seperlunya, informasi kepatuhan patch dihasilkan pada sebuah instans dan dilaporkan kembali ke layanan Patch Manager. 

**catatan**  
Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaselineAssociation` dokumen, instance tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi selengkapnya, lihat [Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaselineassociation-parameters-norebootoption).

Untuk informasi tentang melihat data kepatuhan patch, lihat [Tentang kepatuhan patch](compliance-about.md#compliance-monitor-patch). 

## Parameter `AWS-RunPatchBaselineAssociation`
<a name="patch-manager-aws-runpatchbaselineassociation-parameters"></a>

`AWS-RunPatchBaselineAssociation` support lima parameter. Parameter `Operation` dan `AssociationId` diperlukan. Parameter `InstallOverrideList`, `RebootOption`, dan `BaselineTags` bersifat opsional. 

**Topics**
+ [Nama parameter: `Operation`](#patch-manager-aws-runpatchbaselineassociation-parameters-operation)
+ [Nama parameter: `BaselineTags`](#patch-manager-aws-runpatchbaselineassociation-parameters-baselinetags)
+ [Nama parameter: `AssociationId`](#patch-manager-aws-runpatchbaselineassociation-parameters-association-id)
+ [Nama parameter: `InstallOverrideList`](#patch-manager-aws-runpatchbaselineassociation-parameters-installoverridelist)
+ [Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaselineassociation-parameters-norebootoption)

### Nama parameter: `Operation`
<a name="patch-manager-aws-runpatchbaselineassociation-parameters-operation"></a>

**Penggunaan**: Wajib.

**Opsi**: `Scan` \$1 `Install`. 

Pemindaian  
Saat Anda memilih `Scan` opsi, `AWS-RunPatchBaselineAssociation` tentukan status kepatuhan patch dari instance dan laporkan informasi ini kembali kePatch Manager. `Scan`tidak meminta pembaruan untuk diinstal atau instance untuk di-boot ulang. Sebaliknya, operasi ini mengidentifikasi keberadaan pembaruan hilang yang disetujui dan dapat diterapkan ke instans tersebut. 

Pasang  
Saat Anda memilih opsi `Install`, `AWS-RunPatchBaselineAssociation` mencoba untuk menginstal pembaruan yang disetujui dan dapat diterapkan yang hilang dari instans tersebut. Informasi kepatuhan patch yang dihasilkan sebagai bagian operasi `Install` tidak mencantumkan pembaruan yang hilang, tetapi mungkin melaporkan pembaruan yang berstatus gagal jika instalasi pembaruan tidak berhasil karena alasan apa pun. Setiap kali pembaruan diinstal pada sebuah instans, instans tersebut di-reboot untuk memastikan pembaruan telah terinstal dan aktif. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaselineAssociation` dokumen, instance tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaselineassociation-parameters-norebootoption).)  
Jika tambalan yang ditentukan oleh aturan dasar diinstal *sebelum* Patch Manager memperbarui instance, sistem mungkin tidak reboot seperti yang diharapkan. Hal ini dapat terjadi ketika patch diinstal secara manual oleh pengguna atau diinstal secara otomatis oleh program lain, seperti `unattended-upgrades` paket aktifUbuntu Server.

### Nama parameter: `BaselineTags`
<a name="patch-manager-aws-runpatchbaselineassociation-parameters-baselinetags"></a>

**Penggunaan**: Opsional. 

`BaselineTags` adalah pasangan nilai kunci tag unik yang Anda pilih dan tetapkan ke dasar patch kustom individu. Anda dapat menentukan satu atau lebih nilai untuk parameter ini. Kedua format berikut ini valid:

`Key=tag-key,Values=tag-value`

`Key=tag-key,Values=tag-value1,tag-value2,tag-value3`

**penting**  
Kunci dan nilai tag tidak dapat berisi karakter berikut: backtick (`), kutipan tunggal ('), kutipan ganda (“), dan tanda dolar (\$1).

`BaselineTags`Nilai ini digunakan oleh Patch Manager untuk memastikan bahwa satu set instance yang ditambal dalam satu operasi semuanya memiliki set patch yang disetujui yang sama persis. Saat operasi penambalan berjalan, Patch Manager periksa untuk melihat apakah garis dasar tambalan untuk jenis sistem operasi ditandai dengan pasangan nilai kunci yang sama yang Anda tentukan. `BaselineTags` Jika ada kecocokan, dasar patch kustom ini digunakan. Jika tidak ada kecocokan, dasar patch diidentifikasi menurut grup patch yang ditentukan untuk operasi patching tersebut. Jika tidak ada, baseline patch standar AWS terkelola untuk sistem operasi itu digunakan. 

**Persyaratan izin tambahan**  
Jika Anda menggunakan `AWS-RunPatchBaselineAssociation` dalam operasi penambalan selain yang disiapkan menggunakanQuick Setup, dan Anda ingin menggunakan `BaselineTags` parameter opsional, Anda harus menambahkan izin berikut ke [profil instans untuk instans](setup-instance-permissions.md) Amazon Elastic Compute Cloud (Amazon EC2).

**catatan**  
Quick Setupdan `AWS-RunPatchBaselineAssociation` tidak mendukung server lokal dan mesin virtual (VMs).

```
{
    "Effect": "Allow",
    "Action": [
        "ssm:DescribePatchBaselines",
        "tag:GetResources"
    ],
    "Resource": "*"
},
{
    "Effect": "Allow",
    "Action": [
        "ssm:GetPatchBaseline",
        "ssm:DescribeEffectivePatchesForPatchBaseline"
    ],
    "Resource": "patch-baseline-arn"
}
```

Ganti *patch-baseline-arn* dengan Amazon Resource Name (ARN) dari baseline patch yang ingin Anda berikan akses, dalam format. `arn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE`

### Nama parameter: `AssociationId`
<a name="patch-manager-aws-runpatchbaselineassociation-parameters-association-id"></a>

**Penggunaan**: Wajib.

`AssociationId`adalah ID dari asosiasi yang ada diState Manager, alat di AWS Systems Manager. Ini digunakan oleh Patch Manager untuk menambahkan data kepatuhan ke asosiasi tertentu. Asosiasi ini terkait dengan `Scan` operasi tambalan yang diaktifkan dalam [konfigurasi Manajemen Host yang dibuat di Quick Setup](quick-setup-host-management.md). Dengan mengirimkan hasil penambalan sebagai data kepatuhan asosiasi alih-alih data kepatuhan inventaris, informasi kepatuhan inventaris yang ada untuk instans Anda tidak ditimpa setelah operasi penambalan, atau untuk asosiasi lainnya. IDs Jika Anda belum memiliki asosiasi yang ingin Anda gunakan, Anda dapat membuatnya dengan menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-association.html)perintah. Contoh:

------
#### [ Linux & macOS ]

```
aws ssm create-association \
    --name "AWS-RunPatchBaselineAssociation" \
    --association-name "MyPatchHostConfigAssociation" \
    --targets "Key=instanceids,Values=[i-02573cafcfEXAMPLE,i-07782c72faEXAMPLE,i-07782c72faEXAMPLE]" \
    --parameters "Operation=Scan" \
    --schedule-expression "cron(0 */30 * * * ? *)" \
    --sync-compliance "MANUAL" \
    --region us-east-2
```

------
#### [ Windows Server ]

```
aws ssm create-association ^
    --name "AWS-RunPatchBaselineAssociation" ^
    --association-name "MyPatchHostConfigAssociation" ^
    --targets "Key=instanceids,Values=[i-02573cafcfEXAMPLE,i-07782c72faEXAMPLE,i-07782c72faEXAMPLE]" ^
    --parameters "Operation=Scan" ^
    --schedule-expression "cron(0 */30 * * * ? *)" ^
    --sync-compliance "MANUAL" ^
    --region us-east-2
```

------

### Nama parameter: `InstallOverrideList`
<a name="patch-manager-aws-runpatchbaselineassociation-parameters-installoverridelist"></a>

**Penggunaan**: Opsional.

Dengan menggunakan `InstallOverrideList`, Anda menentukan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) ke daftar patch yang akan diinstal. Daftar instalasi patch ini, yang Anda pertahankan dalam format YAML, menggantikan patch yang ditentukan oleh dasar patch default saat ini. Hal ini memberikan Anda kendali yang lebih terperinci atas patch apa yang diinstal pada instans Anda.

**penting**  
Nama `InstallOverrideList` file tidak dapat berisi karakter berikut: backtick (`), kutipan tunggal ('), kutipan ganda (“), dan tanda dolar (\$1).

Perilaku operasi patching saat menggunakan `InstallOverrideList` parameter berbeda antara Linux & node macOS terkelola dan node Windows Server terkelola. Di Linux &macOS, Patch Manager upaya untuk menerapkan tambalan yang disertakan dalam daftar `InstallOverrideList` tambalan yang ada di repositori apa pun yang diaktifkan pada node, apakah tambalan cocok dengan aturan dasar tambalan atau tidak. Namun, pada Windows Server node, tambalan dalam daftar `InstallOverrideList` tambalan diterapkan *hanya* jika mereka juga cocok dengan aturan dasar patch.

Sadarilah bahwa laporan kepatuhan mencerminkan status patch berdasarkan apa yang ditentukan dalam dasar patch, bukan apa yang Anda tentukan dalam daftar patch `InstallOverrideList`. Dengan kata lain, operasi Pemindaian mengabaikan parameter `InstallOverrideList`. Hal ini untuk memastikan bahwa laporan kepatuhan secara konsisten mencerminkan keadaan patch berdasarkan kebijakan daripada apa yang disetujui untuk operasi patching tertentu. 

**Format URL yang valid**

**catatan**  
Jika file Anda disimpan dalam bucket yang tersedia secara publik, Anda dapat menentukan format URL https atau URL ala jalur Amazon S3. Jika file Anda disimpan dalam bucket privat, Anda harus menentukan URL ala jalur Amazon S3.
+ **Contoh format URL https**:

  ```
  https://s3.amazonaws.com/amzn-s3-demo-bucket/my-windows-override-list.yaml
  ```
+ Contoh URL gaya jalur **Amazon S3:**

  ```
  s3://amzn-s3-demo-bucket/my-windows-override-list.yaml
  ```

**Format konten YAMM yang valid**

Format yang Anda gunakan untuk menentukan patch dalam daftar Anda tergantung pada sistem operasi instans Anda. Namun, format yang umum adalah seperti berikut ini:

```
patches:
    - 
        id: '{patch-d}'
        title: '{patch-title}'
        {additional-fields}:{values}
```

Meskipun Anda dapat memberikan bidang tambahan dalam file YAML Anda, mereka diabaikan selama operasi patch.

Selain itu, kami merekomendasikan untuk memverifikasi bahwa format file YAML Anda valid sebelum menambahkan atau memperbarui daftar di bucket S3 Anda. Untuk informasi lebih lanjut tentang format YAML, lihat [yaml.org](http://www.yaml.org). Untuk pilihan alat validasi, lakukan pencarian web untuk "validator format yaml".
+ Microsoft Windows

**id**  
Bidang **id** wajib diisi. Gunakan untuk menentukan patch menggunakan Microsoft Knowledge Base IDs (misalnya, KB2736693) dan Microsoft Security Bulletin IDs (misalnya, MS17 -023). 

  Bidang lain yang ingin Anda berikan dalam daftar patch untuk Windows bersifat opsional dan hanya digunakan sebagai informasi Anda sendiri. Anda dapat menggunakan bidang tambahan seperti **judul**, **klasifikasi**, **Tingkat kepelikan**, atau yang lainnya untuk memberikan informasi lebih detail tentang patch yang ditentukan.
+ Linux

**id**  
Bidang **id** wajib diisi. Gunakan untuk menentukan patch menggunakan nama paket dan arsitektur. Sebagai contoh: `'dhclient.x86_64'`. Anda dapat menggunakan wildcard dalam id untuk menunjukkan lebih dari satu paket. Sebagai contoh: `'dhcp*'` dan `'dhcp*1.*'`.

**title**  
Bidang **judul** bersifat opsional, tetapi pada sistem Linux bidang tersebut memberikan kemampuan filter tambahan. Jika Anda menggunakan **judul**, sebaiknya berisi informasi versi paket dalam salah satu format berikut:

  YUM/Red Hat Enterprise Linux (RHEL):

  ```
  {name}.{architecture}:{epoch}:{version}-{release}
  ```

  APT

  ```
  {name}.{architecture}:{version}
  ```

  Untuk judul patch Linux, Anda dapat menggunakan satu atau lebih wildcard di posisi apa pun untuk memperluas jumlah kecocokan paket. Sebagai contoh: `'*32:9.8.2-0.*.rc1.57.amzn1'`. 

  Sebagai contoh: 
  + Paket apt versi 1.2.25 saat ini telah diinstal pada instans Anda, tetapi versi 1.2.27 sekarang telah tersedia. 
  + Anda menambahkan apt.amd64 versi 1.2.27 ke daftar patch. Hal ini tergantung pada apt utils.amd64 versi 1.2.27, tapi apt-utils.amd64 versi 1.2.25 ditentukan dalam daftar. 

  Dalam hal ini, apt versi 1.2.27 akan diblokir dari instalasi dan dilaporkan sebagai “Gagal-.” NonCompliant

**Bidang Lainnya**  
Bidang lain yang ingin Anda berikan dalam daftar patch untuk Linux bersifat opsional dan hanya digunakan sebagai informasi Anda sendiri. Anda dapat menggunakan bidang tambahan seperti **klasifikasi**, **tingkat kepelikan**, atau yang lainnya untuk memberikan informasi lebih detail tentang patch yang ditentukan.

**Contoh daftar tambalan**
+ **Windows**

  ```
  patches:
      -
          id: 'KB4284819'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)'
      -
          id: 'KB4284833'
      -
          id: 'KB4284835'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)'
      -
          id: 'KB4284880'
      -
          id: 'KB4338814'
  ```
+ **APT**

  ```
  patches:
      -
          id: 'apparmor.amd64'
          title: '2.10.95-0ubuntu2.9'
      -
          id: 'cryptsetup.amd64'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'cryptsetup-bin.*'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'apt.amd64'
          title: '*1.2.27'
      -
          id: 'apt-utils.amd64'
          title: '*1.2.25'
  ```
+ **Amazon Linux 2**

  ```
  patches:
      -
          id: 'kernel.x86_64'
      -
          id: 'bind*.x86_64'
          title: '39.11.4-26.P2.amzn2.5.2'
  
          id: 'glibc*'
      -
          id: 'dhclient*'
          title: '*4.2.5-58.amzn2'
      -
          id: 'dhcp*'
          title: '*4.2.5-77.amzn2'
  ```
+ **Red Hat Enterprise Linux (RHEL)**

  ```
  patches:
      -
          id: 'NetworkManager.x86_64'
          title: '*1:1.10.2-14.el7_5'
      -
          id: 'NetworkManager-*.x86_64'
          title: '*1:1.10.2-14.el7_5'
      -
          id: 'audit.x86_64'
          title: '*0:2.8.1-3.el7'
      -
          id: 'dhclient.x86_64'
          title: '*.el7_5.1'
      -
          id: 'dhcp*.x86_64'
          title: '*12:5.2.5-68.el7'
  ```
+ **SUSE Linux Enterprise Server (SLES)**

  ```
  patches:
      -
          id: 'amazon-ssm-agent.x86_64'
      -
          id: 'binutils'
          title: '*0:2.26.1-9.12.1'
      -
          id: 'glibc*.x86_64'
          title: '*2.19*'
      -
          id: 'dhcp*'
          title: '0:4.3.3-9.1'
      -
          id: 'lib*'
  ```
+ **Ubuntu Server **

  ```
  patches:
      -
          id: 'apparmor.amd64'
          title: '2.10.95-0ubuntu2.9'
      -
          id: 'cryptsetup.amd64'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'cryptsetup-bin.*'
          title: '*2:1.6.6-5ubuntu2.1'
      -
          id: 'apt.amd64'
          title: '*1.2.27'
      -
          id: 'apt-utils.amd64'
          title: '*1.2.25'
  ```
+ **Windows**

  ```
  patches:
      -
          id: 'KB4284819'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)'
      -
          id: 'KB4284833'
      -
          id: 'KB4284835'
          title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)'
      -
          id: 'KB4284880'
      -
          id: 'KB4338814'
  ```

### Nama parameter: `RebootOption`
<a name="patch-manager-aws-runpatchbaselineassociation-parameters-norebootoption"></a>

**Penggunaan**: Opsional.

**Pilihan**: `RebootIfNeeded` \$1 `NoReboot` 

**Default**: `RebootIfNeeded`

**Awas**  
Opsi default-nya adalah `RebootIfNeeded`. Pastikan untuk memilih opsi yang benar untuk kasus penggunaan Anda. Misalnya, jika instance Anda harus segera reboot untuk menyelesaikan proses konfigurasi, pilih`RebootIfNeeded`. Atau, jika Anda perlu mempertahankan ketersediaan instance hingga waktu reboot yang dijadwalkan, pilih`NoReboot`.

**penting**  
`NoReboot`Opsi ini hanya mencegah restart tingkat sistem operasi. Restart tingkat layanan masih dapat terjadi sebagai bagian dari proses patching. Misalnya, ketika Docker diperbarui, layanan dependen seperti Amazon Elastic Container Service mungkin secara otomatis dimulai ulang bahkan dengan `NoReboot` diaktifkan. Jika Anda memiliki layanan penting yang tidak boleh diganggu, pertimbangkan langkah-langkah tambahan seperti menghapus sementara instance dari layanan atau menjadwalkan penambalan selama jendela pemeliharaan.

**penting**  
Kami tidak menyarankan penggunaan Patch Manager untuk menambal instance cluster di Amazon EMR (sebelumnya disebut Amazon Elastic). MapReduce Secara khusus, jangan pilih `RebootIfNeeded` opsi untuk `RebootOption` parameter. (Opsi ini tersedia di dokumen Perintah SSM untuk ditambal`AWS-RunPatchBaseline`,`AWS-RunPatchBaselineAssociation`, dan`AWS-RunPatchBaselineWithHooks`.)  
Perintah yang mendasari untuk menambal menggunakan Patch Manager penggunaan `yum` dan `dnf` perintah. Oleh karena itu, operasi mengakibatkan ketidakcocokan karena bagaimana paket diinstal. Untuk informasi tentang metode yang disukai untuk memperbarui perangkat lunak di klaster EMR Amazon, lihat [Menggunakan default untuk AMI Amazon EMR di Panduan Manajemen EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-default-ami.html) *Amazon*.

RebootIfNeeded  
Saat Anda memilih `RebootIfNeeded` opsi, instance di-boot ulang dalam salah satu kasus berikut:   
+ Patch Managermemasang satu atau lebih tambalan. 

  Patch Managertidak mengevaluasi apakah reboot *diperlukan* oleh tambalan. Sistem di-boot ulang bahkan jika tambalan tidak memerlukan reboot.
+ Patch Managermendeteksi satu atau lebih tambalan dengan status `INSTALLED_PENDING_REBOOT` selama operasi. `Install` 

  `INSTALLED_PENDING_REBOOT`Status dapat berarti bahwa opsi `NoReboot` dipilih saat terakhir kali `Install` operasi dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang.
Mem-boot ulang instance dalam dua kasus ini memastikan bahwa paket yang diperbarui dikeluarkan dari memori dan menjaga perilaku patching dan reboot tetap konsisten di semua sistem operasi.

NoReboot  
Ketika Anda memilih `NoReboot` opsi, Patch Manager tidak me-reboot sebuah instance bahkan jika itu menginstal patch selama `Install` operasi. Opsi ini berguna jika Anda tahu bahwa instans Anda tidak memerlukan reboot setelah patch diterapkan, atau Anda memiliki aplikasi atau proses yang berjalan pada instans yang seharusnya tidak terganggu oleh reboot operasi patching. Hal ini juga berguna ketika Anda ingin memiliki kendali lebih besar atas waktu reboot instans, seperti dengan menggunakan jendela pemeliharaan.

**File pelacakan instalasi patch**: Untuk melacak instalasi patch, terutama patch yang telah diinstal sejak reboot sistem terakhir kali, Systems Manager mempertahankan file pada instans terkelola.

**penting**  
Jangan menghapus atau memodifikasi file pelacakan. Jika file ini dihapus atau rusak, laporan kepatuhan patch untuk instans tidak akurat. Jika ini terjadi, reboot instans dan jalankan patch operasi Pemindaian untuk memulihkan file tersebut.

file pelacakan ini disimpan di lokasi-lokasi berikut ini pada instans terkelola Anda:
+ Sistem operasi Linux: 
  + `/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json`
  + `/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json`
+ Sistem operasi Windows Server:
  + `C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json`
  + `C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json`

# Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineWithHooks`
<a name="patch-manager-aws-runpatchbaselinewithhooks"></a>

AWS Systems Manager mendukung`AWS-RunPatchBaselineWithHooks`, dokumen Systems Manager (dokumen SSM) untukPatch Manager, alat di AWS Systems Manager. Dokumen SSM ini melakukan operasi penambalan pada node terkelola untuk pembaruan terkait keamanan dan jenis pembaruan lainnya. 

`AWS-RunPatchBaselineWithHooks` berbeda dari `AWS-RunPatchBaseline` dengan cara berikut:
+ **Dokumen pembungkus** – `AWS-RunPatchBaselineWithHooks` adalah pembungkus untuk `AWS-RunPatchBaseline` dan bergantung pada `AWS-RunPatchBaseline` untuk beberapa operasinya.
+ **`Install`Operasi** — `AWS-RunPatchBaselineWithHooks` mendukung kait siklus hidup yang berjalan pada titik yang ditentukan selama patch node terkelola. Karena instalasi patch kadang-kadang memerlukan node terkelola untuk reboot, operasi patching dibagi menjadi dua peristiwa, dengan total tiga kait yang mendukung fungsionalitas kustom. Kait pertama adalah sebelum operasi `Install with NoReboot`. Kait kedua adalah setelah operasi `Install with NoReboot`. Kait ketiga tersedia setelah reboot dari node terkelola.
+ **Tidak ada support daftar patch kustom** – `AWS-RunPatchBaselineWithHooks` tidak support parameter `InstallOverrideList`.
+ **SSM Agentdukungan** - `AWS-RunPatchBaselineWithHooks` mengharuskan SSM Agent 3.0.502 atau yang lebih baru diinstal pada node yang dikelola untuk menambal.

Saat dokumen dijalankan, ia menggunakan dasar patch yang ditentukan saat ini sebagai "default" untuk suatu jenis sistem operasi jika tidak ada grup patch yang ditentukan. Jika tidak, ia menggunakan dasar patch yang terkait dengan grup patch. Untuk informasi tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md). 

Anda dapat menggunakan `AWS-RunPatchBaselineWithHooks` untuk menerapkan patch untuk sistem operasi dan aplikasi. (Pada Windows Server, support aplikasi dibatasi pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.)

Dokumen ini mendukung Linux dan node Windows Server terkelola. Dokumen ini akan melakukan tindakan yang sesuai untuk setiap platform.

**catatan**  
`AWS-RunPatchBaselineWithHooks`tidak didukung padamacOS.

------
#### [ Linux ]

Pada node yang dikelola Linux, `AWS-RunPatchBaselineWithHooks` dokumen tersebut memanggil modul Python, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. Snapshot dasar tambalan ini menggunakan aturan yang ditentukan dan daftar tambalan yang disetujui dan diblokir untuk mendorong manajer paket yang sesuai untuk setiap jenis node: 
+ Amazon Linux 2,Oracle Linux, dan RHEL 7 node terkelola menggunakan YUM. Untuk operasi YUM, Patch Manager membutuhkan `Python 2.6` atau versi yang didukung yang lebih baru (2.6 - 3.12). Amazon Linux 2023 menggunakan DNF. Untuk operasi DNF, Patch Manager memerlukan versi yang didukung dari `Python 2` atau `Python 3` (2.6 - 3.12).
+ RHEL8 node terkelola menggunakan DNF. Untuk operasi DNF, Patch Manager memerlukan versi yang didukung dari `Python 2` atau `Python 3` (2.6 - 3.12). (Tidak ada versi yang diinstal secara default pada RHEL 8. Anda harus menginstal satu atau yang lain secara manual.)
+ Debian Serverdan Ubuntu Server contoh menggunakan APT. Untuk operasi APT, Patch Manager memerlukan versi yang didukung `Python 3` (3.0 - 3.12).

------
#### [ Windows Server ]

Pada node Windows Server terkelola, `AWS-RunPatchBaselineWithHooks` dokumen mengunduh dan memanggil PowerShell modul, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. snapshot dasar patch ini berisi daftar patch yang disetujui yang dikumpulkan dengan melakukan kueri dasar patch pada server Windows Server Update Services (WSUS). Daftar ini diteruskan ke API Windows Update, yang mengendalikan pengunduhan dan instalasi patch yang disetujui sesuai kebutuhan. 

------

Setiap snapshot khusus untuk, grup patch Akun AWS, sistem operasi, dan ID snapshot. Snapshot dikirimkan melalui URL Amazon Simple Storage Service (Amazon S3) yang telah ditandatangani sebelumnya, yang kedaluwarsa 24 jam setelah snapshot dibuat. Namun, setelah URL kedaluwarsa, jika Anda ingin menerapkan konten snapshot yang sama ke node terkelola lainnya, Anda dapat membuat URL Amazon S3 yang telah ditetapkan sebelumnya hingga tiga hari setelah snapshot dibuat. Untuk melakukannya, gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-deployable-patch-snapshot-for-instance.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-deployable-patch-snapshot-for-instance.html). 

Setelah semua pembaruan yang disetujui dan berlaku telah diinstal, dengan reboot dilakukan seperlunya, informasi kepatuhan tambalan dihasilkan pada node yang dikelola dan dilaporkan kembali kePatch Manager. 

Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaselineWithHooks` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi selengkapnya, lihat [Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).

**penting**  
Meskipun `NoReboot` opsi mencegah restart sistem operasi, itu tidak mencegah restart tingkat layanan yang mungkin terjadi ketika paket tertentu diperbarui. Misalnya, memperbarui paket seperti Docker dapat memicu restart otomatis layanan dependen (seperti layanan orkestrasi kontainer) bahkan ketika ditentukan. `NoReboot`

Untuk informasi tentang melihat data kepatuhan patch, lihat [Tentang kepatuhan patch](compliance-about.md#compliance-monitor-patch).

## Langkah-langkah operasional `AWS-RunPatchBaselineWithHooks`
<a name="patch-manager-aws-runpatchbaselinewithhooks-steps"></a>

Saat `AWS-RunPatchBaselineWithHooks` berjalan, langkah-langkah berikut dilakukan:

1. **Pindai** - `Scan` Operasi yang `AWS-RunPatchBaseline` digunakan dijalankan pada node terkelola, dan laporan kepatuhan dibuat dan diunggah. 

1. **Verifikasi status patch lokal** - Script dijalankan untuk menentukan langkah-langkah apa yang akan dilakukan berdasarkan operasi yang dipilih dan hasil `Scan` dari Langkah 1. 

   1. Jika operasi yang dipilih adalah `Scan`, operasi ditandai selesai. Operasi berakhir. 

   1. Jika operasi yang dipilih adalah`Install`, Patch Manager mengevaluasi `Scan` hasil dari Langkah 1 untuk menentukan apa yang akan dijalankan selanjutnya: 

      1. Jika tidak terdeteksi ada patch yang hilang, dan tidak perlu reboot tertunda, operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati. 

      1. Jika tidak terdeteksi ada patch yang hilang, tapi ada reboot tertunda yang diperlukan dan opsi reboot yang dipilih adalah `NoReboot`, operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati. 

      1. Jika tidak, operasi dilanjutkan ke langkah berikutnya.

1. **Operasi kait pra-tambalan** - Dokumen SSM yang telah Anda sediakan untuk hook siklus hidup pertama,`PreInstallHookDocName`, dijalankan pada node terkelola. 

1. **Instal dengan NoReboot** - `Install` Operasi dengan opsi reboot untuk `NoReboot` menggunakan `AWS-RunPatchBaseline` dijalankan pada node yang dikelola, dan laporan kepatuhan dibuat dan diunggah. 

1. **Operasi kait pasca-instal** - Dokumen SSM yang telah Anda sediakan untuk hook siklus hidup kedua,`PostInstallHookDocName`, dijalankan pada node terkelola.

1. **Verifikasi reboot** - Skrip berjalan untuk menentukan apakah reboot diperlukan untuk node terkelola dan langkah-langkah apa yang harus dijalankan:

   1. Jika opsi reboot yang dipilih adalah `NoReboot`, operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati. 

   1. Jika opsi reboot yang dipilih adalah`RebootIfNeeded`, Patch Manager periksa apakah ada reboot tertunda yang diperlukan dari inventaris yang dikumpulkan di Langkah 4. Ini berarti bahwa operasi berlanjut ke Langkah 7 dan node terkelola di-boot ulang dalam salah satu kasus berikut:

      1. Patch Managermemasang satu atau lebih tambalan. (Patch Managertidak mengevaluasi apakah reboot diperlukan oleh tambalan. Sistem di-boot ulang bahkan jika tambalan tidak memerlukan reboot.)

      1. Patch Managermendeteksi satu atau lebih tambalan dengan status `INSTALLED_PENDING_REBOOT` selama operasi Instal. `INSTALLED_PENDING_REBOOT`Status dapat berarti bahwa opsi `NoReboot` dipilih saat terakhir kali operasi Instal dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang. 

      Jika tidak ada patch yang memenuhi kriteria ini ditemukan, operasi patch node terkelola selesai, dan operasi berlanjut langsung ke langkah terakhir (Langkah 8), yang mencakup hook yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati.

1. **Reboot dan laporkan** - Operasi instalasi dengan opsi reboot `RebootIfNeeded` berjalan pada node terkelola menggunakan`AWS-RunPatchBaseline`, dan laporan kepatuhan dibuat dan diunggah. 

1. **Operasi kait pasca-reboot** - Dokumen SSM yang telah Anda sediakan untuk hook siklus hidup ketiga,`OnExitHookDocName`, dijalankan pada node terkelola. 

Untuk operasi `Scan`, jika Langkah 1 gagal, proses menjalankan dokumen berhenti dan langkah tersebut dilaporkan gagal, meskipun langkah-langkah berikutnya dilaporkan sebagai sukses. 

 Untuk operasi `Install`, jika salah satu langkah `aws:runDocument` gagal selama operasi, langkah-langkah tersebut dilaporkan gagal, dan operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati. Langkah ini dilaporkan gagal, langkah terakhir melaporkan status hasil operasi, dan semua langkah di antaranya dilaporkan sebagai sukses.

## Parameter `AWS-RunPatchBaselineWithHooks`
<a name="patch-manager-aws-runpatchbaselinewithhooks-parameters"></a>

`AWS-RunPatchBaselineWithHooks` support enam parameter. 

parameter `Operation` diperlukan. 

Parameter `RebootOption`, `PreInstallHookDocName`, `PostInstallHookDocName`, dan `OnExitHookDocName` bersifat opsional. 

`Snapshot-ID` secara teknis opsional, tetapi kami merekomendasikan Anda untuk menyediakan nilai kustom untuknya ketika Anda menjalankan `AWS-RunPatchBaselineWithHooks` di luar jendela pemeliharaan. Biarkan Patch Manager memberikan nilai secara otomatis ketika dokumen dijalankan sebagai bagian dari operasi jendela pemeliharaan.

**Topics**
+ [Nama parameter: `Operation`](#patch-manager-aws-runpatchbaseline-parameters-operation)
+ [Nama parameter: `Snapshot ID`](#patch-manager-aws-runpatchbaselinewithhook-parameters-snapshot-id)
+ [Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaselinewithhooks-parameters-norebootoption)
+ [Nama parameter: `PreInstallHookDocName`](#patch-manager-aws-runpatchbaselinewithhooks-parameters-preinstallhookdocname)
+ [Nama parameter: `PostInstallHookDocName`](#patch-manager-aws-runpatchbaselinewithhooks-parameters-postinstallhookdocname)
+ [Nama parameter: `OnExitHookDocName`](#patch-manager-aws-runpatchbaselinewithhooks-parameters-onexithookdocname)

### Nama parameter: `Operation`
<a name="patch-manager-aws-runpatchbaseline-parameters-operation"></a>

**Penggunaan**: Wajib.

**Opsi**: `Scan` \$1 `Install`. 

Pemindaian  
Ketika Anda memilih `Scan` opsi, sistem menggunakan `AWS-RunPatchBaseline` dokumen untuk menentukan status kepatuhan patch dari node terkelola dan melaporkan informasi ini kembali kePatch Manager. `Scan`tidak meminta pembaruan untuk diinstal atau node yang dikelola untuk di-boot ulang. Sebaliknya, operasi mengidentifikasi di mana pembaruan hilang yang disetujui dan berlaku untuk node. 

Menginstal  
Ketika Anda memilih `Install` opsi, `AWS-RunPatchBaselineWithHooks` mencoba untuk menginstal pembaruan yang disetujui dan berlaku yang hilang dari node terkelola. Informasi kepatuhan patch yang dihasilkan sebagai bagian operasi `Install` tidak mencantumkan pembaruan yang hilang, tetapi mungkin melaporkan pembaruan yang berstatus gagal jika instalasi pembaruan tidak berhasil karena alasan apa pun. Setiap kali pembaruan diinstal pada node terkelola, node di-reboot untuk memastikan pembaruan diinstal dan aktif. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaselineWithHooks` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](#patch-manager-aws-runpatchbaselinewithhooks-parameters-norebootoption).)  
Jika patch yang ditentukan oleh aturan dasar diinstal *sebelum* Patch Manager memperbarui node terkelola, sistem mungkin tidak reboot seperti yang diharapkan. Hal ini dapat terjadi ketika patch diinstal secara manual oleh pengguna atau diinstal secara otomatis oleh program lain, seperti `unattended-upgrades` paket aktifUbuntu Server.

### Nama parameter: `Snapshot ID`
<a name="patch-manager-aws-runpatchbaselinewithhook-parameters-snapshot-id"></a>

**Penggunaan**: Opsional.

`Snapshot ID`adalah ID unik (GUID) yang digunakan oleh Patch Manager untuk memastikan bahwa satu set node terkelola yang ditambal dalam satu operasi semuanya memiliki set patch yang disetujui yang sama persis. Meskipun parameter didefinisikan sebagai opsional, rekomendasi praktik terbaik kami bergantung pada apakah Anda menjalankan `AWS-RunPatchBaselineWithHooks` atau tidak di jendela pemeliharaan, seperti yang dijelaskan dalam tabel berikut.


**Praktik terbaik `AWS-RunPatchBaselineWithHooks`**  

| Mode | Praktik terbaik | Detail | 
| --- | --- | --- | 
| Menjalankan AWS-RunPatchBaselineWithHooks di dalam jendela pemeliharaan | Jangan berikan ID Snapshot. Patch Managerakan memasoknya untuk Anda. |  Jika Anda menggunakan jendela pemeliharaan untuk menjalankan`AWS-RunPatchBaselineWithHooks`, Anda seharusnya tidak memberikan ID Snapshot yang dibuat sendiri. Dalam skenario ini, Systems Manager menyediakan nilai GUID berdasarkan ID eksekusi jendela pemeliharaan. Hal ini memastikan bahwa digunakan ID yang benar untuk semua pemanggilan `AWS-RunPatchBaselineWithHooks` dalam jendela pemeliharaan tersebut.  Jika Anda menentukan nilai dalam skenario ini, perhatikan bahwa snapshot dari baseline patch mungkin tidak tetap di tempatnya selama lebih dari 3 hari. Setelah itu, snapshot baru akan dihasilkan bahkan jika Anda menentukan ID yang sama setelah snapshot berakhir.   | 
| Menjalankan AWS-RunPatchBaselineWithHooks di luar jendela pemeliharaan | Menghasilkan dan menentukan nilai GUID kustom untuk ID Snapshot.¹ |  Bila Anda tidak menggunakan jendela pemeliharaan untuk menjalankan`AWS-RunPatchBaselineWithHooks`, kami sarankan Anda membuat dan menentukan ID Snapshot unik untuk setiap baseline patch, terutama jika Anda menjalankan `AWS-RunPatchBaselineWithHooks` dokumen pada beberapa node terkelola dalam operasi yang sama. Jika Anda tidak menentukan ID dalam skenario ini, Systems Manager akan menghasilkan ID Snapshot yang berbeda untuk setiap node terkelola tempat perintah dikirim. Hal ini dapat mengakibatkan berbagai set patch yang ditentukan di antara node. Misalnya, katakan bahwa Anda menjalankan `AWS-RunPatchBaselineWithHooks` dokumen secara langsung, alat di Run CommandAWS Systems Manager, dan menargetkan sekelompok 50 node terkelola. Menentukan ID Snapshot kustom menghasilkan pembuatan snapshot dasar tunggal yang digunakan untuk mengevaluasi dan menambal semua node yang dikelola, memastikan bahwa mereka berakhir dalam status konsisten.   | 
|  ¹ Anda dapat menggunakan alat yang mampu menghasilkan GUID untuk menghasilkan nilai untuk parameter ID Snapshot. Misalnya, di PowerShell, Anda dapat menggunakan `New-Guid` cmdlet untuk menghasilkan GUID dalam format. `12345699-9405-4f69-bc5e-9315aEXAMPLE`  | 

### Nama parameter: `RebootOption`
<a name="patch-manager-aws-runpatchbaselinewithhooks-parameters-norebootoption"></a>

**Penggunaan**: Opsional.

**Pilihan**: `RebootIfNeeded` \$1 `NoReboot` 

**Default**: `RebootIfNeeded`

**Awas**  
Opsi default-nya adalah `RebootIfNeeded`. Pastikan untuk memilih opsi yang benar untuk kasus penggunaan Anda. Misalnya, jika node terkelola Anda harus segera reboot untuk menyelesaikan proses konfigurasi, pilih`RebootIfNeeded`. Atau, jika Anda perlu mempertahankan ketersediaan node terkelola hingga waktu reboot yang dijadwalkan, pilih`NoReboot`.

**penting**  
Kami tidak menyarankan penggunaan Patch Manager untuk menambal instance cluster di Amazon EMR (sebelumnya disebut Amazon Elastic). MapReduce Secara khusus, jangan pilih `RebootIfNeeded` opsi untuk `RebootOption` parameter. (Opsi ini tersedia dalam dokumen Perintah SSM untuk ditambal`AWS-RunPatchBaseline`,`AWS-RunPatchBaselineAssociation`, dan`AWS-RunPatchBaselineWithHooks`.)  
Perintah yang mendasari untuk menambal menggunakan Patch Manager penggunaan `yum` dan `dnf` perintah. Oleh karena itu, operasi mengakibatkan ketidakcocokan karena bagaimana paket diinstal. Untuk informasi tentang metode yang disukai untuk memperbarui perangkat lunak di klaster EMR Amazon, lihat [Menggunakan default untuk AMI Amazon EMR di Panduan Manajemen EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-default-ami.html) *Amazon*.

RebootIfNeeded  
Saat Anda memilih `RebootIfNeeded` opsi, node terkelola di-boot ulang dalam salah satu kasus berikut:   
+ Patch Managermemasang satu atau lebih tambalan. 

  Patch Managertidak mengevaluasi apakah reboot *diperlukan* oleh tambalan. Sistem di-boot ulang bahkan jika tambalan tidak memerlukan reboot.
+ Patch Managermendeteksi satu atau lebih tambalan dengan status `INSTALLED_PENDING_REBOOT` selama operasi. `Install` 

  `INSTALLED_PENDING_REBOOT`Status dapat berarti bahwa opsi `NoReboot` dipilih saat terakhir kali `Install` operasi dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang.
Mem-boot ulang node terkelola dalam dua kasus ini memastikan bahwa paket yang diperbarui dikeluarkan dari memori dan menjaga perilaku patching dan reboot tetap konsisten di semua sistem operasi.

NoReboot  
Ketika Anda memilih `NoReboot` opsi, Patch Manager tidak me-reboot node terkelola bahkan jika itu menginstal tambalan selama `Install` operasi. Opsi ini berguna jika Anda tahu bahwa node terkelola Anda tidak memerlukan reboot setelah tambalan diterapkan, atau Anda memiliki aplikasi atau proses yang berjalan pada node yang seharusnya tidak terganggu oleh reboot operasi patching. Ini juga berguna ketika Anda ingin lebih banyak kontrol atas waktu reboot node terkelola, seperti dengan menggunakan jendela pemeliharaan.  
Jika Anda memilih opsi `NoReboot` dan sebuah patch diinstal, patch diberikan status `InstalledPendingReboot`. Node yang dikelola itu sendiri, bagaimanapun, ditandai sebagai`Non-Compliant`. Setelah reboot terjadi dan `Scan` operasi dijalankan, status node diperbarui ke`Compliant`.

**File pelacakan instalasi patch**: Untuk melacak instalasi patch, terutama patch yang diinstal sejak reboot sistem terakhir, Systems Manager memelihara file pada node terkelola.

**penting**  
Jangan menghapus atau memodifikasi file pelacakan. Jika file ini dihapus atau rusak, laporan kepatuhan patch untuk node terkelola tidak akurat. Jika ini terjadi, reboot node dan jalankan operasi Pindai tambalan untuk memulihkan file.

File pelacakan ini disimpan di lokasi berikut pada node terkelola Anda:
+ Sistem operasi Linux: 
  + `/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json`
  + `/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json`
+ Sistem operasi Windows Server:
  + `C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json`
  + `C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json`

### Nama parameter: `PreInstallHookDocName`
<a name="patch-manager-aws-runpatchbaselinewithhooks-parameters-preinstallhookdocname"></a>

**Penggunaan**: Opsional.

**Default**: `AWS-Noop`. 

Nilai untuk disediakan untuk parameter `PreInstallHookDocName` adalah nama atau Amazon Resource Name (ARN) dari dokumen SSM pilihan Anda. Anda dapat memberikan nama dokumen AWS terkelola atau nama atau ARN dari dokumen SSM khusus yang telah Anda buat atau yang telah dibagikan dengan Anda. (Untuk dokumen SSM yang telah dibagikan dengan Anda dari yang berbeda Akun AWS, Anda harus menentukan ARN sumber daya lengkap, seperti`arn:aws:ssm:us-east-2:123456789012:document/MySharedDocument`.)

Dokumen SSM yang Anda tentukan dijalankan sebelum `Install` operasi dan melakukan tindakan apa pun yang didukungSSM Agent, seperti skrip shell untuk memeriksa pemeriksaan kesehatan aplikasi sebelum penambalan dilakukan pada node terkelola. (Untuk daftar tindakan, lihat [Referensi plugin dokumen perintah](documents-command-ssm-plugin-reference.md)). Nama dokumen SSM default adalah`AWS-Noop`, yang tidak melakukan operasi apa pun pada node terkelola. 

Untuk informasi tentang membuat dokumen SSM kustom, lihat [Membuat konten dokumen SSM](documents-creating-content.md). 

### Nama parameter: `PostInstallHookDocName`
<a name="patch-manager-aws-runpatchbaselinewithhooks-parameters-postinstallhookdocname"></a>

**Penggunaan**: Opsional.

**Default**: `AWS-Noop`. 

Nilai untuk disediakan untuk parameter `PostInstallHookDocName` adalah nama atau Amazon Resource Name (ARN) dari dokumen SSM pilihan Anda. Anda dapat memberikan nama dokumen AWS terkelola atau nama atau ARN dari dokumen SSM khusus yang telah Anda buat atau yang telah dibagikan dengan Anda. (Untuk dokumen SSM yang telah dibagikan dengan Anda dari yang berbeda Akun AWS, Anda harus menentukan ARN sumber daya lengkap, seperti`arn:aws:ssm:us-east-2:123456789012:document/MySharedDocument`.)

Dokumen SSM yang Anda tentukan dijalankan setelah `Install with NoReboot` operasi dan melakukan tindakan apa pun yang didukung olehSSM Agent, seperti skrip shell untuk menginstal pembaruan pihak ketiga sebelum reboot. (Untuk daftar tindakan, lihat [Referensi plugin dokumen perintah](documents-command-ssm-plugin-reference.md)). Nama dokumen SSM default adalah`AWS-Noop`, yang tidak melakukan operasi apa pun pada node terkelola. 

Untuk informasi tentang membuat dokumen SSM kustom, lihat [Membuat konten dokumen SSM](documents-creating-content.md). 

### Nama parameter: `OnExitHookDocName`
<a name="patch-manager-aws-runpatchbaselinewithhooks-parameters-onexithookdocname"></a>

**Penggunaan**: Opsional.

**Default**: `AWS-Noop`. 

Nilai untuk disediakan untuk parameter `OnExitHookDocName` adalah nama atau Amazon Resource Name (ARN) dari dokumen SSM pilihan Anda. Anda dapat memberikan nama dokumen AWS terkelola atau nama atau ARN dari dokumen SSM khusus yang telah Anda buat atau yang telah dibagikan dengan Anda. (Untuk dokumen SSM yang telah dibagikan dengan Anda dari Akun AWS berbeda, Anda harus menentukan ARN sumber daya lengkap, seperti `arn:aws:ssm:us-east-2:123456789012:document/MySharedDocument`.)

Dokumen SSM yang Anda tentukan dijalankan setelah operasi reboot node terkelola dan melakukan tindakan apa pun yang didukungSSM Agent, seperti skrip shell untuk memverifikasi kesehatan node setelah operasi patching selesai. (Untuk daftar tindakan, lihat [Referensi plugin dokumen perintah](documents-command-ssm-plugin-reference.md)). Nama dokumen SSM default adalah`AWS-Noop`, yang tidak melakukan operasi apa pun pada node terkelola. 

Untuk informasi tentang membuat dokumen SSM kustom, lihat [Membuat konten dokumen SSM](documents-creating-content.md). 

# Contoh skenario untuk menggunakan InstallOverrideList parameter di `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`
<a name="patch-manager-override-lists"></a>

Anda dapat menggunakan `InstallOverrideList` parameter saat Anda ingin mengganti tambalan yang ditentukan oleh baseline patch default saat iniPatch Manager, alat di. AWS Systems Manager Topik ini memberikan contoh yang menunjukkan cara menggunakan parameter ini untuk mencapai hal berikut:
+ Menerapkan set patch yang berbeda ke kelompok target node terkelola.
+ Menerapkan set patch ini pada frekuensi yang berbeda.
+ Menggunakan dasar patch yang sama untuk kedua operasi.

Katakanlah Anda ingin menginstal dua kategori tambalan yang berbeda di node terkelola Amazon Linux 2 Anda. Anda ingin menginstal patch ini pada jadwal yang berbeda menggunakan jendela pemeliharaan. Anda ingin satu jendela pemeliharaan berjalan setiap minggu dan menginstal semua patch `Security`. Anda ingin jendela pemeliharaan lain untuk berjalan sebulan sekali dan menginstal semua patch yang tersedia, atau kategori patch selain `Security`. 

Namun, hanya satu dasar patch yang dapat didefinisikan sebagai default untuk sistem operasi pada satu waktu. Persyaratan ini membantu menghindari situasi ketika satu dasar patch menyetujui sebuah patch sedangkan yang lain memblokirnya, yang dapat menyebabkan masalah antara versi yang bertentangan.

Dengan strategi berikut ini, Anda menggunakan parameter `InstallOverrideList` untuk menerapkan jenis patch yang berbeda ke grup target, pada jadwal yang berbeda, sambil tetap menggunakan dasar patch yang sama:

1. Dalam dasar patch default, pastikan bahwa hanya pembaruan `Security` yang ditentukan.

1. Buat jendela pemeliharaan yang menjalankan `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation` setiap minggu. Jangan tentukan daftar override.

1. Buat daftar override patch dari semua jenis yang ingin Anda terapkan setiap bulan dan simpan di bucket Amazon Simple Storage Service (Amazon S3). 

1. Buat jendela pemeliharaan kedua yang berjalan sebulan sekali. Namun, untuk Run Command tugas yang Anda daftarkan untuk jendela pemeliharaan ini, tentukan lokasi daftar penggantian Anda.

Hasilnya: Hanya patch `Security`, seperti yang didefinisikan dalam dasar patch default Anda, yang diinstal setiap minggu. Semua patch yang tersedia, atau subset patch lain yang Anda tentukan, diinstal setiap bulan.

**catatan**  
Saat Anda menambal node yang hanya menggunakan IPv6, pastikan URL yang disediakan dapat dijangkau dari node. Jika opsi SSM Agent konfigurasi `UseDualStackEndpoint` disetel ke`true`, maka klien S3 dualstack digunakan saat URL S3 disediakan. Lihat [Tutorial: Menambal server di IPv6 satu-satunya lingkungan](patch-manager-server-patching-iPv6-tutorial.md) untuk informasi selengkapnya tentang mengonfigurasi agen untuk menggunakan dualstack.

Untuk informasi selengkapnya dan daftar sampel, lihat[Nama parameter: `InstallOverrideList`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist).

# Menggunakan BaselineOverride parameter
<a name="patch-manager-baselineoverride-parameter"></a>

Anda dapat menentukan preferensi patching saat runtime menggunakan fitur baseline override di, alat diPatch Manager. AWS Systems Manager Lakukan ini dengan menentukan bucket Amazon Simple Storage Service (Amazon S3) yang berisi objek JSON dengan daftar dasar patch. Operasi patching menggunakan baseline yang disediakan dalam objek JSON yang cocok dengan sistem operasi host bukannya menerapkan aturan dari dasar patch default.

**penting**  
Nama `BaselineOverride` file tidak dapat berisi karakter berikut: backtick (`), kutipan tunggal ('), kutipan ganda (“), dan tanda dolar (\$1).

Kecuali jika operasi penambalan menggunakan kebijakan tambalan, penggunaan `BaselineOverride` parameter tidak menimpa kepatuhan patch dari baseline yang disediakan dalam parameter. Hasil output dicatat dalam log Stdout dariRun Command, alat di. AWS Systems Manager Hasil hanya mencetak paket yang ditandai sebagai `NON_COMPLIANT`. Ini berarti paket ditandai sebagai `Missing`, `Failed`, `InstalledRejected`, atau `InstalledPendingReboot`.

Namun, ketika operasi tambalan menggunakan kebijakan tambalan, sistem meneruskan parameter override dari bucket S3 terkait, dan nilai kepatuhan diperbarui untuk node terkelola. Untuk informasi selengkapnya tentang perilaku kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

**catatan**  
Saat Anda menambal node yang hanya menggunakan IPv6, pastikan URL yang disediakan dapat dijangkau dari node. Jika opsi SSM Agent konfigurasi `UseDualStackEndpoint` disetel ke`true`, maka klien S3 dualstack digunakan saat URL S3 disediakan. Lihat [Tutorial: Menambal server di IPv6 satu-satunya lingkungan](patch-manager-server-patching-iPv6-tutorial.md) untuk informasi lebih lanjut tentang mengonfigurasi agen untuk menggunakan dualstack.

## Menggunakan override dasar patch dengan parameter Snapshot Id atau Install Override List
<a name="patch-manager-baselineoverride-parameter-other-parameters"></a>

Ada dua kasus ketika override dasar patch memiliki perilaku yang patut diperhatikan.

**Menggunakan baseline override dan Snapshot Id pada saat yang sama**  
Id Snapshot memastikan bahwa semua node yang dikelola dalam perintah patching tertentu semuanya menerapkan hal yang sama. Misalnya, jika Anda menambal 1.000 node sekaligus, tambalan akan sama.

Saat menggunakan Snapshot Id dan override dasar patch, Snapshot Id lebih diutamakan dari override dasar patch. Aturan baseline override masih akan digunakan, tetapi hanya akan dievaluasi sekali. Dalam contoh sebelumnya, tambalan di 1.000 node terkelola Anda akan tetap selalu sama. Jika, di tengah operasi patching, Anda mengubah file JSON di bucket S3 yang direferensikan menjadi sesuatu yang berbeda, patch yang diterapkan akan tetap sama. Hal ini karena Snapshot Id telah disediakan.

**Menggunakan baseline override dan Install Override List pada saat yang sama**  
Anda tidak dapat menggunakan dua parameter ini pada saat yang sama. Dokumen patching gagal jika kedua parameter disediakan, dan tidak melakukan pemindaian atau penginstalan apa pun pada node terkelola.

## Contoh kode
<a name="patch-manager-baselineoverride-parameter-code"></a>

Contoh kode berikut ini untuk Python menunjukkan cara menghasilkan override dasar patch.

```
import boto3
import json

ssm = boto3.client('ssm')
s3 = boto3.resource('s3')
s3_bucket_name = 'my-baseline-override-bucket'
s3_file_name = 'MyBaselineOverride.json'
baseline_ids_to_export = ['pb-0000000000000000', 'pb-0000000000000001']

baseline_overrides = []
for baseline_id in baseline_ids_to_export:
    baseline_overrides.append(ssm.get_patch_baseline(
        BaselineId=baseline_id
    ))

json_content = json.dumps(baseline_overrides, indent=4, sort_keys=True, default=str)
s3.Object(bucket_name=s3_bucket_name, key=s3_file_name).put(Body=json_content)
```

Ini menghasilkan override dasar patch seperti berikut ini.

```
[
    {
        "ApprovalRules": {
            "PatchRules": [
                {
                    "ApproveAfterDays": 0, 
                    "ComplianceLevel": "UNSPECIFIED", 
                    "EnableNonSecurity": false, 
                    "PatchFilterGroup": {
                        "PatchFilters": [
                            {
                                "Key": "PRODUCT", 
                                "Values": [
                                    "*"
                                ]
                            }, 
                            {
                                "Key": "CLASSIFICATION", 
                                "Values": [
                                    "*"
                                ]
                            }, 
                            {
                                "Key": "SEVERITY", 
                                "Values": [
                                    "*"
                                ]
                            }
                        ]
                    }
                }
            ]
        }, 
        "ApprovedPatches": [], 
        "ApprovedPatchesComplianceLevel": "UNSPECIFIED", 
        "ApprovedPatchesEnableNonSecurity": false, 
        "GlobalFilters": {
            "PatchFilters": []
        }, 
        "OperatingSystem": "AMAZON_LINUX_2", 
        "RejectedPatches": [], 
        "RejectedPatchesAction": "ALLOW_AS_DEPENDENCY", 
        "Sources": []
    }, 
    {
        "ApprovalRules": {
            "PatchRules": [
                {
                    "ApproveUntilDate": "2021-01-06", 
                    "ComplianceLevel": "UNSPECIFIED", 
                    "EnableNonSecurity": true, 
                    "PatchFilterGroup": {
                        "PatchFilters": [
                            {
                                "Key": "PRODUCT", 
                                "Values": [
                                    "*"
                                ]
                            }, 
                            {
                                "Key": "CLASSIFICATION", 
                                "Values": [
                                    "*"
                                ]
                            }, 
                            {
                                "Key": "SEVERITY", 
                                "Values": [
                                    "*"
                                ]
                            }
                        ]
                    }
                }
            ]
        }, 
        "ApprovedPatches": [
            "open-ssl*"
        ], 
        "ApprovedPatchesComplianceLevel": "UNSPECIFIED", 
        "ApprovedPatchesEnableNonSecurity": false, 
        "GlobalFilters": {
            "PatchFilters": []
        }, 
        "OperatingSystem": "SUSE", 
        "RejectedPatches": [
            "python*"
        ], 
        "RejectedPatchesAction": "ALLOW_AS_DEPENDENCY", 
        "Sources": []
    }
]
```

# Garis dasar patch
<a name="patch-manager-patch-baselines"></a>

Topik di bagian ini memberikan informasi tentang cara kerja baseline patch Patch Manager, alat di AWS Systems Manager, ketika Anda menjalankan `Scan` atau `Install` operasi pada node terkelola Anda.

**Topics**
+ [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md)
+ [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md)
+ [Grup tambalan](patch-manager-patch-groups.md)
+ [Aplikasi patching yang dirilis oleh Microsoft pada Windows Server](patch-manager-patching-windows-applications.md)

# Garis dasar patch yang telah ditentukan dan kustom
<a name="patch-manager-predefined-and-custom-patch-baselines"></a>

Patch Manager, alat di AWS Systems Manager, menyediakan garis dasar patch yang telah ditentukan untuk masing-masing sistem operasi yang didukung oleh. Patch Manager Anda dapat menggunakan baseline ini karena mereka saat ini telah dikonfigurasi (Anda tidak dapat menyesuaikannya) atau Anda dapat membuat dasar patch kustom Anda sendiri. Dasar patch kustom memungkinkan Anda untuk memiliki kendali yang lebih besar atas patch yang disetujui atau ditolak untuk lingkungan Anda. Selain itu, baseline yang telah ditetapkan akan menetapkan tingkat kepatuhan `Unspecified` ke semua patch yang diinstal menggunakan baseline tersebut. Agar nilai kepatuhan ditetapkan, Anda dapat membuat salinan dari baseline yang telah ditetapkan dan menentukan nilai kepatuhan yang ingin Anda tetapkan ke patch. Untuk informasi selengkapnya, lihat [Garis dasar kustom](#patch-manager-baselines-custom) dan [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

**catatan**  
Informasi dalam topik ini berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi penambalan Anda:  
Kebijakan tambalan yang dikonfigurasi di Quick Setup
Opsi Manajemen Host yang dikonfigurasi di Quick Setup
Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
**Patch sesuai permintaan sekarang beroperasi**

**Topics**
+ [Garis dasar yang telah ditentukan](#patch-manager-baselines-pre-defined)
+ [Garis dasar kustom](#patch-manager-baselines-custom)

## Garis dasar yang telah ditentukan
<a name="patch-manager-baselines-pre-defined"></a>

Tabel berikut menjelaskan garis dasar patch yang telah ditentukan yang disediakan. Patch Manager

Untuk informasi tentang versi mana dari masing-masing sistem operasi yang Patch Manager didukung, lihat[Prasyarat Patch Manager](patch-manager-prerequisites.md).


****  

| Nama | Sistem operasi yang didukung | Detail | 
| --- | --- | --- | 
|  `AWS-AlmaLinuxDefaultPatchBaseline`  |  AlmaLinux  |  Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹  | 
| AWS-AmazonLinux2DefaultPatchBaseline | Amazon Linux 2 | Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan dengan klasifikasi “Bugfix”. Patch disetujui secara otomatis 7 hari setelah rilis.¹ | 
| AWS-AmazonLinux2023DefaultPatchBaseline | Amazon Linux 2023 |  Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Patch disetujui secara otomatis tujuh hari setelah rilis. Juga menyetujui semua patch dengan klasifikasi "Bugfix" tujuh hari setelah rilis.  | 
| AWS-CentOSDefaultPatchBaseline | CentOS Stream | Menyetujui semua pembaruan 7 hari setelah tersedia, termasuk pembaruan non-keamanan. | 
| AWS-DebianDefaultPatchBaseline | Debian Server | Segera menyetujui semua patch terkait keamanan sistem operasi yang memiliki prioritas "Wajib", "Penting", "Standar", "Opsional", atau "Ekstra." Tidak perlu menunggu sebelum persetujuan karena tanggal rilis yang andal tidak tersedia di repositori. | 
| AWS-MacOSDefaultPatchBaseline | macOS | Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan". Juga menyetujui semua paket dengan pembaruan saat ini. | 
| AWS-OracleLinuxDefaultPatchBaseline | Oracle Linux | Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Penting" atau "Sedang". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix” 7 hari setelah rilis. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹ | 
|  `AWS-RedHatDefaultPatchBaseline`  |  Red Hat Enterprise Linux (RHEL)   |  Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹  | 
|  `AWS-RockyLinuxDefaultPatchBaseline`  |  Rocky Linux  |  Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹  | 
| AWS-SuseDefaultPatchBaseline | SUSE Linux Enterprise Server (SLES) | Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan dengan kepelikan "Kritis" atau "Penting". Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹ | 
|  `AWS-UbuntuDefaultPatchBaseline`  |  Ubuntu Server  |  Segera menyetujui semua patch terkait keamanan sistem operasi yang memiliki prioritas "Wajib", "Penting", "Standar", "Opsional", atau "Ekstra." Tidak perlu menunggu sebelum persetujuan karena tanggal rilis yang andal tidak tersedia di repositori.  | 
| AWS-DefaultPatchBaseline |  Windows Server  |  Menyetujui semua tambalan sistem Windows Server operasi yang diklasifikasikan sebagai "" atau CriticalUpdates "SecurityUpdates" dan yang memiliki tingkat keparahan MSRC “Kritis” atau “Penting”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.²  | 
| AWS-WindowsPredefinedPatchBaseline-OS |  Windows Server  |  Menyetujui semua tambalan sistem Windows Server operasi yang diklasifikasikan sebagai "" atau CriticalUpdates "SecurityUpdates" dan yang memiliki tingkat keparahan MSRC “Kritis” atau “Penting”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.²  | 
| AWS-WindowsPredefinedPatchBaseline-OS-Applications | Windows Server | Untuk sistem Windows Server operasi, setujui semua tambalan yang diklasifikasikan sebagai "" atau "CriticalUpdatesSecurityUpdates" dan yang memiliki tingkat keparahan MSRC “Kritis” atau “Penting”. Untuk aplikasi yang dirilis oleh Microsoft, menyetujui semua patch. Patch untuk OS dan aplikasi disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.² | 

¹ Untuk Amazon Linux 2, penantian 7 hari sebelum patch disetujui secara otomatis dihitung dari `Updated Date` nilai masuk`updateinfo.xml`, bukan nilai. `Release Date` Berbagai faktor dapat mempengaruhi `Updated Date` nilai. Sistem operasi lain menangani tanggal rilis dan pembaruan secara berbeda. Untuk informasi yang membantu Anda menghindari hasil yang tidak terduga dengan penundaan persetujuan otomatis, lihat. [Bagaimana tanggal rilis paket dan tanggal pembaruan dihitung](patch-manager-release-dates.md)

² UntukWindows Server, baseline default mencakup penundaan persetujuan otomatis 7 hari. Untuk menginstal patch dalam 7 hari setelah rilis, Anda harus membuat baseline kustom.

## Garis dasar kustom
<a name="patch-manager-baselines-custom"></a>

Gunakan informasi berikut untuk membantu Anda membuat baseline patch kustom untuk memenuhi tujuan patching Anda.

**Topics**
+ [Menggunakan persetujuan otomatis di baseline kustom](#baselines-auto-approvals)
+ [Informasi tambahan untuk membuat baseline patch](#baseline-additional-info)

### Menggunakan persetujuan otomatis di baseline kustom
<a name="baselines-auto-approvals"></a>

Jika Anda membuat dasar patch Anda sendiri, Anda dapat memilih patch mana yang akan disetujui secara otomatis dengan menggunakan kategori berikut.
+ **Sistem operasi**: Versi yang didukung dariWindows Server, Amazon LinuxUbuntu Server, dan sebagainya.
+ **Nama produk** (untuk sistem operasi): Misalnya, RHEL 7.5, Amazon Linux 2023 2023.8.20250808, Windows Server 2012, 2012 R2, dan seterusnya. Windows Server
+ **Nama produk** (untuk aplikasi yang dirilis oleh Microsoft Windows Server hanya): Misalnya, Word 2016, BizTalk Server, dan sebagainya.
+ **Klasifikasi**: Misalnya, Pembaruan kritis, Pembaruan keamanan, dan sebagainya.
+ **Keparahan**: Misalnya, Kritis, Penting, dan sebagainya.

Untuk setiap aturan persetujuan yang Anda buat, Anda dapat memilih untuk menentukan penundaan persetujuan otomatis atau menentukan tanggal cutoff persetujuan patch. 

**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

Penundaan persetujuan otomatis adalah jumlah hari untuk menunggu setelah tambalan dirilis atau terakhir diperbarui, sebelum tambalan secara otomatis disetujui untuk ditambal. Misalnya, jika Anda membuat aturan menggunakan `CriticalUpdates` klasifikasi dan mengonfigurasinya selama 7 hari penundaan persetujuan otomatis, maka patch kritis baru yang dirilis pada 7 Juli secara otomatis disetujui pada 14 Juli.

Jika repositori Linux tidak memberikan informasi tanggal rilis untuk paket, Patch Manager gunakan waktu pembuatan paket sebagai tanggal untuk spesifikasi tanggal persetujuan otomatis untuk Amazon Linux 2, Amazon Linux 2023, dan (). Red Hat Enterprise Linux RHEL Jika waktu pembuatan paket tidak dapat ditentukan, Patch Manager gunakan tanggal default 1 Januari 1970. Ini menghasilkan Patch Manager melewati spesifikasi tanggal persetujuan otomatis apa pun di garis dasar tambalan yang dikonfigurasi untuk menyetujui tambalan untuk tanggal apa pun setelah 1 Januari 1970.

Saat Anda menentukan tanggal batas persetujuan otomatis, Patch Manager secara otomatis menerapkan semua tambalan yang dirilis atau terakhir diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023 sebagai tanggal cutoff, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023 yang diinstal secara otomatis.

Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. `Critical` `High` Jika status tambalan dari tambalan yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

### Informasi tambahan untuk membuat baseline patch
<a name="baseline-additional-info"></a>

Ingatlah hal-hal berikut ini saat Anda membuat dasar patch:
+ Patch Managermenyediakan satu baseline patch yang telah ditentukan untuk setiap sistem operasi yang didukung. Dasar patch yang telah ditetapkan ini digunakan sebagai dasar patch default untuk setiap jenis sistem operasi kecuali Anda membuat dasar patch Anda sendiri dan menunjuknya sebagai default untuk jenis sistem operasi yang sesuai. 
**catatan**  
Untuk Windows Server, disediakan tiga dasar patch yang telah ditetapkan. Garis dasar patch `AWS-DefaultPatchBaseline` dan hanya `AWS-WindowsPredefinedPatchBaseline-OS` mendukung pembaruan sistem operasi pada sistem operasi Windows itu sendiri. `AWS-DefaultPatchBaseline`digunakan sebagai baseline patch default untuk node Windows Server terkelola kecuali Anda menentukan baseline patch yang berbeda. Pengaturan konfigurasi di dua dasar patch ini sama. Yang lebih baru dari keduanya, `AWS-WindowsPredefinedPatchBaseline-OS`, dibuat untuk membedakannya dari dasar patch ketiga yang telah ditetapkan untuk Windows Server. Dasar patch tersebut, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, dapat digunakan untuk menerapkan patch ke ke sistem operasi Windows Server dan aplikasi yang didukung yang dirilis oleh Microsoft.
+ Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan `ApproveUntilDate` parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalam `ApproveUntilDate` parameter adalah sebelum tanggal patch terbaru, maka patch baru tidak diinstal saat operasi patching berjalan. Untuk informasi selengkapnya tentang aturan Windows Server penambalan, lihat Windows Server tab di[Cara pemilihan patch keamanan](patch-manager-selecting-patches.md).

  Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan `ApproveAfterDays` parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu. `ApproveAfterDays` 
+ Windows ServerHanya saja, patch pembaruan keamanan yang tersedia yang tidak disetujui oleh baseline patch dapat memiliki nilai kepatuhan `Compliant` atau`Non-Compliant`, seperti yang didefinisikan dalam baseline patch kustom. 

  Saat Anda membuat atau memperbarui baseline patch, Anda memilih status yang ingin Anda tetapkan ke patch keamanan yang tersedia tetapi tidak disetujui karena tidak memenuhi kriteria instalasi yang ditentukan dalam baseline patch. Misalnya, patch keamanan yang mungkin ingin Anda instal dapat dilewati jika Anda telah menentukan jangka waktu yang lama untuk menunggu setelah patch dirilis sebelum instalasi. Jika pembaruan pada tambalan dirilis selama masa tunggu yang Anda tentukan, masa tunggu untuk menginstal tambalan dimulai lagi. Jika masa tunggu terlalu lama, beberapa versi patch dapat dirilis tetapi tidak pernah diinstal.

  Menggunakan konsol untuk membuat atau memperbarui garis dasar tambalan, Anda menentukan opsi ini di bidang **Status kepatuhan pembaruan keamanan yang tersedia**. Menggunakan AWS CLI untuk menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)or, Anda menentukan opsi ini dalam `available-security-updates-compliance-status` parameter. 
+ Untuk server lokal dan mesin virtual (VMs), Patch Manager mencoba menggunakan baseline patch default kustom Anda. Jika tidak tersedia dasar patch default kustom, sistem menggunakan dasar patch yang telah ditetapkan untuk sistem operasi yang sesuai.
+ Jika sebuah patch terdaftar sebagai disetujui dan ditolak dalam dasar patch yang sama, patch ditolak.
+ Node terkelola hanya dapat memiliki satu baseline patch yang ditentukan untuknya.
+ Format nama paket yang dapat Anda tambahkan ke daftar patch yang disetujui dan patch yang ditolak untuk dasar patch tergantung pada jenis sistem operasi yang Anda patching.

  Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
+ Jika Anda menggunakan [konfigurasi kebijakan tambalan](patch-manager-policies.md)Quick Setup, pembaruan yang Anda buat ke baseline patch kustom disinkronkan dengan Quick Setup satu jam sekali. 

  Jika baseline patch kustom yang direferensikan dalam kebijakan tambalan dihapus, spanduk akan ditampilkan di halaman **Detail Quick Setup konfigurasi** untuk kebijakan tambalan Anda. Spanduk memberi tahu Anda bahwa kebijakan tambalan mereferensikan baseline tambalan yang tidak ada lagi, dan operasi penambalan berikutnya akan gagal. Dalam hal ini, kembali ke halaman Quick Setup **Konfigurasi**, pilih Patch Manager konfigurasi, dan pilih **Tindakan**, **Edit konfigurasi**. Nama dasar patch yang dihapus disorot, dan Anda harus memilih baseline patch baru untuk sistem operasi yang terpengaruh.
+ Saat Anda membuat aturan persetujuan dengan beberapa `Classification` dan `Severity` nilai, tambalan disetujui berdasarkan atribut yang tersedia. Paket dengan keduanya `Classification` dan `Severity` atribut akan cocok dengan nilai dasar yang dipilih untuk kedua bidang. Paket dengan `Classification` atribut hanya dicocokkan dengan nilai dasar `Classification` yang dipilih. Persyaratan keparahan dalam aturan yang sama diabaikan untuk paket yang tidak memiliki `Severity` atribut. 

Untuk informasi tentang membuat dasar patch, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md) dan [Tutorial: Menambal lingkungan server menggunakan AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md).

# Format nama paket untuk daftar patch yang disetujui dan ditolak
<a name="patch-manager-approved-rejected-package-name-formats"></a>

Format nama paket yang dapat Anda tambahkan ke daftar patch yang disetujui dan patch yang ditolak tergantung pada jenis sistem operasi yang Anda patching.

## Format nama paket untuk sistem operasi Linux
<a name="patch-manager-approved-rejected-package-name-formats-linux"></a>

Format yang dapat Anda tentukan untuk patch yang disetujui dan ditolak di dasar patch Anda bervariasi berdasarkan jenis Linux. Secara lebih spesifik, format yang didukung bergantung pada pengelola paket yang digunakan oleh jenis sistem operasi Linux.

**Topics**
+ [Amazon Linux 2, Amazon Linux 2023,Oracle Linux, dan Red Hat Enterprise Linux () RHEL](#patch-manager-approved-rejected-package-name-formats-standard)
+ [Debian Server dan Ubuntu Server](#patch-manager-approved-rejected-package-name-formats-ubuntu)
+ [SUSE Linux Enterprise Server (SLES)](#patch-manager-approved-rejected-package-name-formats-sles)

### Amazon Linux 2, Amazon Linux 2023,Oracle Linux, dan Red Hat Enterprise Linux () RHEL
<a name="patch-manager-approved-rejected-package-name-formats-standard"></a>

**Package manager**: YUM, kecuali Amazon Linux 2023, dan RHEL 8, yang menggunakan DNF sebagai manajer paket.

**Patch yang disetujui**: Untuk patch yang disetujui, Anda dapat menentukan salah satu dari berikut:
+ Bugzilla IDs, dalam format `1234567` (Sistem memproses string hanya nomor sebagai Bugzilla.) IDs
+ CVE IDs, dalam format `CVE-2018-1234567`
+ Penasihat IDs, dalam format seperti dan `RHSA-2017:0864` `ALAS-2018-123`
+ Nama Package yang dibangun menggunakan satu atau lebih komponen yang tersedia untuk penamaan paket. Untuk mengilustrasikan, untuk paket bernama`dbus.x86_64:1:1.12.28-1.amzn2023.0.1`, komponennya adalah sebagai berikut: 
  + `name`: `dbus`
  + `architecture`: `x86_64`
  + `epoch`: `1`
  + `version`: `1.12.28`
  + `release`: `1.amzn2023.0.1`

  Nama Package dengan konstruksi berikut didukung:
  + `name`
  + `name.arch`
  + `name-version`
  + `name-version-release`
  + `name-version-release.arch`
  + `version`
  + `version-release`
  + `epoch:version-release`
  + `name-epoch:version-release`
  + `name-epoch:version-release.arch`
  + `epoch:name-version-release.arch`
  + `name.arch:epoch:version-release`

  Beberapa contoh:
  + `dbus.x86_64`
  + `dbus-1.12.28`
  + `dbus-1.12.28-1.amzn2023.0.1`
  + `dbus-1:1.12.28-1.amzn2023.0.1.x86_64`
+ Kami juga mendukung komponen nama paket dengan kartu liar tunggal dalam format di atas, seperti berikut ini:
  + `dbus*` 
  + `dbus-1.12.2*`
  + `dbus-*:1.12.28-1.amzn2023.0.1.x86_64`

**Patch yang ditolak**: Untuk patch yang ditolak, Anda dapat menentukan salah satu dari berikut:
+ Nama Package yang dibangun menggunakan satu atau lebih komponen yang tersedia untuk penamaan paket. Untuk mengilustrasikan, untuk paket bernama`dbus.x86_64:1:1.12.28-1.amzn2023.0.1`, komponennya adalah sebagai berikut: 
  + `name`: `dbus`
  + `architecture`; `x86_64`
  + `epoch`: `1`
  + `version`: `1.12.28`
  + `release`: `1.amzn2023.0.1`

  Nama Package dengan konstruksi berikut didukung:
  + `name`
  + `name.arch`
  + `name-version`
  + `name-version-release`
  + `name-version-release.arch`
  + `version`
  + `version-release`
  + `epoch:version-release`
  + `name-epoch:version-release`
  + `name-epoch:version-release.arch`
  + `epoch:name-version-release.arch`
  + `name.arch:epoch:version-release`

  Beberapa contoh:
  + `dbus.x86_64`
  + `dbus-1.12.28`
  + `dbus-1.12.28-1.amzn2023.0.1`
  + `dbus-1:1.12.28-1.amzn2023.0.1.x86_64` 
+ Kami juga mendukung komponen nama paket dengan kartu liar tunggal dalam format di atas, seperti berikut ini:
  + `dbus*` 
  + `dbus-1.12.2*`
  + `dbus-*:1.12.28-1.amzn2023.0.1.x86_64`

### Debian Server dan Ubuntu Server
<a name="patch-manager-approved-rejected-package-name-formats-ubuntu"></a>

**Pengelola paket**: APT

**Patch yang disetujui** dan **patch yang ditolak**: Untuk patch yang disetujui dan ditolak, tentukan hal berikut:
+ Nama paket, dalam format `ExamplePkg33`
**catatan**  
Untuk Debian Server daftar, dan Ubuntu Server daftar, jangan sertakan elemen seperti arsitektur atau versi. Sebagai contoh, Anda menentukan nama paket `ExamplePkg33` untuk menyertakan semua hal berikut dalam daftar patch:  
`ExamplePkg33.x86.1`
`ExamplePkg33.x86.2`
`ExamplePkg33.x64.1`
`ExamplePkg33.3.2.5-364.noarch`

### SUSE Linux Enterprise Server (SLES)
<a name="patch-manager-approved-rejected-package-name-formats-sles"></a>

**Pengelola paket**: Zypper

**Patch yang disetujui** dan **patch yang ditolak**: Untuk daftar patch yang disetujui dan ditolak, Anda dapat menentukan salah satu hal berikut:
+ Nama paket lengkap, dalam format seperti:
  + `SUSE-SLE-Example-Package-15-2023-123`
  + `example-pkg-2023.15.4-46.17.1.x86_64.rpm`
+ Nama-paket dengan satu wildcard, seperti:
  + `SUSE-SLE-Example-Package-15-2023-*`
  + `example-pkg-2023.15.4-46.17.1.*.rpm`

## Format nama paket untuk macOS
<a name="patch-manager-approved-rejected-package-name-formats-macos"></a>

**Pengelola paket yang didukung**: softwareupdate, installer, Brew, Brew Cask

**Patch yang disetujui** dan **patch yang ditolak**: Untuk daftar patch yang disetujui dan ditolak, Anda menentukan nama paket lengkap, dalam format seperti:
+ `XProtectPlistConfigData`
+ `MRTConfigData`

Wildcard tidak didukung dalam daftar patch yang disetujui dan ditolak untuk macOS.

## Format nama paket untuk sistem operasi Windows
<a name="patch-manager-approved-rejected-package-name-formats-windows"></a>

Untuk sistem operasi Windows, tentukan patch menggunakan Microsoft Knowledge Base IDs dan Microsoft Security Bulletin IDs; misalnya:

```
KB2032276,KB2124261,MS10-048
```

# Grup tambalan
<a name="patch-manager-patch-groups"></a>

**catatan**  
Grup tambalan tidak digunakan dalam operasi penambalan yang didasarkan pada *kebijakan tambalan*. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).  
Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.

Anda dapat menggunakan *grup tambalan* untuk mengaitkan node terkelola dengan baseline patch tertentu di Patch Manager, alat di AWS Systems Manager. Grup tambalan membantu memastikan bahwa Anda menerapkan tambalan yang sesuai, berdasarkan aturan dasar tambalan terkait, ke kumpulan node yang benar. Grup patch juga dapat membantu Anda menghindari men-deploy patch sebelum diuji secara memadai. Sebagai contoh, Anda dapat membuat grup patch untuk lingkungan yang berbeda (seperti pengembangan, pengujian, dan produksi) dan mendaftarkan setiap grup patch ke dasar patch yang sesuai. 

Saat Anda menjalankan `AWS-RunPatchBaseline` atau dokumen Perintah SSM lainnya untuk ditambal, Anda dapat menargetkan node terkelola menggunakan ID atau tag mereka. SSM Agent and Patch Manager kemudian evaluasi baseline patch mana yang akan digunakan berdasarkan nilai grup patch yang Anda tambahkan ke node terkelola.

## Menggunakan tag untuk menentukan grup tambalan
<a name="patch-group-tags"></a>

Anda membuat grup tambalan menggunakan tag yang diterapkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) dan EC2 non-node di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types). Perhatikan detail berikut tentang penggunaan tag untuk grup tambalan:
+ 

  Grup patch harus didefinisikan menggunakan kunci tag `Patch Group` atau `PatchGroup` diterapkan ke node terkelola Anda. Saat mendaftarkan grup tambalan untuk garis dasar tambalan, *nilai* identik apa pun yang ditentukan untuk kedua kunci ini ditafsirkan sebagai bagian dari grup yang sama. Misalnya, katakan bahwa Anda telah menandai lima node dengan yang pertama dari pasangan kunci-nilai berikut, dan lima dengan yang kedua:
  + `key=PatchGroup,value=DEV` 
  + `key=Patch Group,value=DEV`

  Bagian Patch Manager perintah untuk membuat baseline menggabungkan 10 node terkelola ini ke dalam satu grup berdasarkan nilai. `DEV` AWS CLI Setara dengan perintah untuk membuat baseline patch untuk grup patch adalah sebagai berikut:

  ```
  aws ssm register-patch-baseline-for-patch-group \
      --baseline-id pb-0c10e65780EXAMPLE \
      --patch-group DEV
  ```

  Menggabungkan nilai-nilai dari kunci yang berbeda ke dalam satu target adalah unik untuk ini Patch Manager perintah untuk membuat grup patch baru dan tidak didukung oleh tindakan API lainnya. Misalnya, jika Anda menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)tindakan menggunakan `PatchGroup` dan `Patch Group` kunci dengan nilai yang sama, Anda menargetkan dua set node yang sama sekali berbeda:

  ```
  aws ssm send-command \
      --document-name AWS-RunPatchBaseline \
      --targets "Key=tag:PatchGroup,Values=DEV"
  ```

  ```
  aws ssm send-command \
      --document-name AWS-RunPatchBaseline \
      --targets "Key=tag:Patch Group,Values=DEV"
  ```
+ Ada batasan pada penargetan berbasis tag. Setiap array target untuk `SendCommand` dapat berisi maksimal lima pasangan kunci-nilai.
+ Kami menyarankan Anda memilih hanya satu dari konvensi kunci tag ini, baik `PatchGroup` (tanpa spasi) atau `Patch Group` (dengan spasi). Namun, jika Anda telah [mengizinkan tag dalam metadata EC2 instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS) pada sebuah instance, Anda harus menggunakannya. `PatchGroup`
+ Kunci ini peka terhadap huruf besar-kecil. Anda dapat menentukan *nilai* apa pun untuk membantu Anda mengidentifikasi dan menargetkan sumber daya dalam grup itu, misalnya “server web” atau “US-EAST-PROD”, tetapi kuncinya harus atau. `Patch Group` `PatchGroup`

Setelah Anda membuat grup patch dan menandai node terkelola, Anda dapat mendaftarkan grup patch dengan baseline patch. Mendaftarkan grup patch dengan baseline patch memastikan bahwa node dalam grup patch menggunakan aturan yang ditentukan dalam baseline patch terkait. 

Untuk informasi selengkapnya tentang cara membuat grup patch dan mengaitkan grup patch ke dasar patch, lihat [Membuat dan mengelola grup patch](patch-manager-tag-a-patch-group.md) dan [Menambahkan grup patch ke dasar patch](patch-manager-tag-a-patch-group.md#sysman-patch-group-patchbaseline).

Untuk melihat contoh membuat dasar patch dan grup patch dengan menggunakan AWS Command Line Interface (AWS CLI), lihat [Tutorial: Menambal lingkungan server menggunakan AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md). Untuk informasi selengkapnya tentang EC2 tag Amazon, lihat [Menandai EC2 sumber daya Amazon Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *di Panduan EC2 Pengguna Amazon*.

## Cara kerjanya
<a name="how-it-works-patch-groups"></a>

Ketika sistem menjalankan tugas untuk menerapkan baseline patch ke node terkelola, SSM Agent memverifikasi bahwa nilai grup patch didefinisikan untuk node. Jika node ditugaskan ke grup patch, Patch Manager kemudian memverifikasi baseline patch mana yang terdaftar ke grup itu. Jika garis dasar tambalan ditemukan untuk grup itu, Patch Manager mengabari SSM Agent untuk menggunakan baseline patch terkait. Jika node tidak dikonfigurasi untuk grup tambalan, Patch Manager secara otomatis memberi tahu SSM Agent untuk menggunakan baseline patch default yang saat ini dikonfigurasi.

**penting**  
Node terkelola hanya dapat berada dalam satu grup patch.  
Suatu grup patch hanya dapat didaftarkan dengan satu dasar patch untuk setiap jenis sistem operasi.  
Anda tidak dapat menerapkan `Patch Group` tag (dengan spasi) ke EC2 instance Amazon jika opsi **metadata Izinkan tag dalam instance** diaktifkan pada instance. Mengizinkan tag dalam metadata instance mencegah nama kunci tag berisi spasi. Jika Anda telah [mengizinkan tag dalam metadata EC2 instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan kunci tag `PatchGroup` (tanpa spasi).

**Diagram 1: Contoh umum aliran proses operasi penambalan**

Ilustrasi berikut menunjukkan contoh umum dari proses yang dilakukan Systems Manager saat mengirim Run Command tugas ke armada server Anda untuk menambal menggunakan Patch Manager. Proses ini menentukan garis dasar tambalan mana yang akan digunakan dalam operasi penambalan. (Proses serupa digunakan ketika jendela pemeliharaan dikonfigurasi untuk mengirim perintah untuk menambal menggunakan Patch Manager.)

Proses lengkapnya dijelaskan di bawah ilustrasi.

![\[Patch Manager alur kerja untuk menentukan baseline patch mana yang akan digunakan saat melakukan operasi patching.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/patch-groups-how-it-works.png)


Dalam contoh ini, kita memiliki tiga kelompok EC2 contoh untuk Windows Server dengan tag berikut diterapkan:


****  

| EC2 kelompok contoh | Tanda | 
| --- | --- | 
|  Grup 1  |  `key=OS,value=Windows` `key=PatchGroup,value=DEV`  | 
|  Grup 2  |  `key=OS,value=Windows`  | 
|  Grup 3  |  `key=OS,value=Windows` `key=PatchGroup,value=QA`  | 

Untuk contoh ini, kami juga memiliki dua Windows Server garis dasar tambalan:


****  

| ID dasar patch | Default | Grup patch terkait | 
| --- | --- | --- | 
|  `pb-0123456789abcdef0`  |  Ya  |  `Default`  | 
|  `pb-9876543210abcdef0`  |  Tidak  |  `DEV`  | 

Proses umum untuk memindai atau menginstal tambalan menggunakan Run Command, alat di AWS Systems Manager, dan Patch Manager adalah sebagai berikut:

1. **Mengirim perintah untuk menambal**: Gunakan konsol Systems Manager, SDK, AWS Command Line Interface (AWS CLI), atau AWS Tools for Windows PowerShell untuk mengirim Run Command tugas menggunakan dokumen`AWS-RunPatchBaseline`. Diagram menunjukkan Run Command tugas untuk menambal instance terkelola dengan menargetkan tag. `key=OS,value=Windows`

1. **Penentuan dasar tambalan**: SSM Agent memverifikasi tag grup tambalan yang diterapkan pada EC2 instance dan kueri Patch Manager untuk baseline patch yang sesuai.
   + **Mencocokkan nilai grup tambalan yang terkait dengan baseline patch:**

     1. SSM Agent, yang diinstal pada EC2 instance di grup satu, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance memiliki nilai tag grup tambalan yang diterapkan dan kueri `DEV` Patch Manager untuk baseline patch terkait.

     1. Patch Manager memverifikasi bahwa baseline tambalan `pb-9876543210abcdef0` memiliki grup `DEV` tambalan yang terkait dan memberi tahu SSM Agent.

     1. SSM Agent mengambil snapshot baseline patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi `pb-9876543210abcdef0` dan dilanjutkan ke langkah berikutnya.
   + **Tidak ada tag grup tambalan yang ditambahkan ke instance:**

     1. SSM Agent, yang diinstal pada EC2 instance di grup dua, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance tidak memiliki `PatchGroup` tag `Patch Group` atau diterapkan dan sebagai hasilnya, SSM Agent pertanyaan Patch Manager untuk baseline patch Windows default.

     1. Patch Manager memverifikasi bahwa default Windows Server patch baseline adalah `pb-0123456789abcdef0` dan memberi tahu SSM Agent.

     1. SSM Agent mengambil snapshot baseline patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi dalam baseline patch default `pb-0123456789abcdef0` dan melanjutkan ke langkah berikutnya.
   + **Tidak ada nilai grup patch yang cocok yang terkait dengan baseline patch:**

     1. SSM Agent, yang diinstal pada EC2 instance di grup tiga, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance memiliki nilai tag grup tambalan yang diterapkan dan kueri `QA` Patch Manager untuk baseline patch terkait.

     1. Patch Manager tidak menemukan garis dasar tambalan yang terkait dengan grup `QA` tambalan.

     1. Patch Manager mengabari SSM Agent untuk menggunakan `pb-0123456789abcdef0` baseline patch Windows default.

     1. SSM Agent mengambil snapshot baseline patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi dalam baseline patch default `pb-0123456789abcdef0` dan melanjutkan ke langkah berikutnya.

1. **Patch scan atau install**: Setelah menentukan baseline patch yang sesuai untuk digunakan, SSM Agent mulai memindai atau menginstal tambalan berdasarkan nilai operasi yang ditentukan dalam Langkah 1. Patch yang dipindai atau diinstal ditentukan oleh aturan persetujuan dan pengecualian tambalan yang ditentukan dalam snapshot dasar patch yang disediakan oleh Patch Manager.

**Info lebih lanjut**  
+ [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md)

# Aplikasi patching yang dirilis oleh Microsoft pada Windows Server
<a name="patch-manager-patching-windows-applications"></a>

Gunakan informasi dalam topik ini untuk membantu Anda mempersiapkan untuk menambal aplikasi saat Windows Server menggunakanPatch Manager, alat di AWS Systems Manager.

**Patching aplikasi Microsoft**  
Menambal dukungan untuk aplikasi pada node Windows Server terkelola terbatas pada aplikasi yang dirilis oleh Microsoft.

**catatan**  
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui `01/01/1970` disediakan secara default.

**Dasar patch untuk patching aplikasi yang dirilis oleh Microsoft**  
Untuk Windows Server, disediakan tiga dasar patch yang telah ditetapkan. Garis dasar patch `AWS-DefaultPatchBaseline` dan hanya `AWS-WindowsPredefinedPatchBaseline-OS` mendukung pembaruan sistem operasi pada sistem operasi Windows itu sendiri. `AWS-DefaultPatchBaseline`digunakan sebagai baseline patch default untuk node Windows Server terkelola kecuali Anda menentukan baseline patch yang berbeda. Pengaturan konfigurasi di dua dasar patch ini sama. Yang lebih baru dari keduanya, `AWS-WindowsPredefinedPatchBaseline-OS`, dibuat untuk membedakannya dari dasar patch ketiga yang telah ditetapkan untuk Windows Server. Dasar patch tersebut, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, dapat digunakan untuk menerapkan patch ke ke sistem operasi Windows Server dan aplikasi yang didukung yang dirilis oleh Microsoft.

Anda juga dapat membuat dasar patch kustom untuk memperbarui aplikasi yang dirilis oleh Microsoft pada mesin Windows Server.

**Support untuk menambal aplikasi yang dirilis oleh Microsoft di server lokal, perangkat edge, VM, dan node non-EC2 lainnya**  
Untuk menambal aplikasi yang dirilis oleh Microsoft pada mesin virtual (VM) dan node terkelola non-EC2 lainnya, Anda harus mengaktifkan tingkat instance lanjutan. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. **Namun, tidak ada biaya tambahan untuk menambal aplikasi yang dirilis oleh Microsoft di instans Amazon Elastic Compute Cloud (Amazon EC2).** Untuk informasi selengkapnya, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md).

**Opsi Windows Update untuk "produk Microsoft lainnya"**  
Agar dapat Patch Manager menambal aplikasi yang dirilis oleh Microsoft pada node Windows Server terkelola Anda, opsi Pembaruan Windows **Beri saya pembaruan untuk produk Microsoft lainnya ketika saya memperbarui Windows** harus diaktifkan pada node yang dikelola. 

Untuk informasi tentang mengizinkan opsi ini pada satu node terkelola, lihat [Memperbarui Office dengan Microsoft Update](https://support.microsoft.com/en-us/office/update-office-with-microsoft-update-f59d3f9d-bd5d-4d3b-a08e-1dd659cf5282) di situs web Dukungan Microsoft.

Untuk armada node terkelola yang menjalankan Windows Server 2016 dan yang lebih baru, Anda dapat menggunakan Objek Kebijakan Grup (GPO) untuk mengaktifkan pengaturan. Di Editor Pengelolaan Kebijakan Grup, buka **Konfigurasi Komputer**, **Templat Administratif**, **Komponen Windows**, **Windows Update**, dan pilih **Instal pembaruan untuk produk Microsoft lainnya**. Kami juga merekomendasikan untuk mengonfigurasi GPO dengan parameter tambahan yang mencegah pembaruan otomatis yang tidak direncanakan dan reboot di luar. Patch Manager Untuk informasi selengkapnya, lihat [Mengonfigurasi Pembaruan Otomatis di Lingkungan Direktori Non-Aktif](https://docs.microsoft.com/de-de/security-updates/windowsupdateservices/18127499) di situs web dokumentasi teknis Microsoft.

Untuk armada node terkelola yang menjalankan Windows Server 2012 atau 2012 R2, Anda dapat mengaktifkan opsi dengan menggunakan skrip, seperti yang dijelaskan dalam [Mengaktifkan dan Menonaktifkan Pembaruan Microsoft di Windows 7 melalui Script di situs web](https://docs.microsoft.com/en-us/archive/blogs/technet/danbuche/enabling-and-disabling-microsoft-update-in-windows-7-via-script) Microsoft Docs Blog. Sebagai contoh, Anda dapat melakukan hal berikut:

1. Simpan script dari posting blog dalam sebuah file.

1. Unggah file ke bucket Amazon Simple Storage Service (Amazon S3) atau lokasi lain yang dapat diakses.

1. GunakanRun Command, alat di AWS Systems Manager, untuk menjalankan skrip pada node terkelola Anda menggunakan dokumen Systems Manager (dokumen SSM) `AWS-RunPowerShellScript` dengan perintah yang mirip dengan berikut ini.

   ```
   Invoke-WebRequest `
       -Uri "https://s3.aws-api-domain/amzn-s3-demo-bucket/script.vbs" `
       -Outfile "C:\script.vbs" cscript c:\script.vbs
   ```

**Persyaratan parameter minimum**  
Untuk menyertakan aplikasi yang dirilis oleh Microsoft di dasar patch kustom Anda, Anda harus, minimal, menentukan produk yang ingin Anda patch. Perintah berikut AWS Command Line Interface (AWS CLI) menunjukkan persyaratan minimal untuk menambal produk, seperti Microsoft Office 2016.

------
#### [ Linux & macOS ]

```
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
```

------
#### [ Windows Server ]

```
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
```

------

Jika Anda menentukan keluarga produk aplikasi Microsoft, setiap produk yang Anda tentukan harus menjadi anggota yang didukung dari keluarga produk yang dipilih. Sebagai contoh, untuk mem-patch produk "Active Directory Rights Management Services Client 2.0," Anda harus menentukan keluarga produk sebagai "Active Directory" dan bukan, misalnya, "Office" atau "SQL Server." AWS CLI Perintah berikut menunjukkan pasangan yang cocok dari keluarga produk dan produk.

------
#### [ Linux & macOS ]

```
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
```

------
#### [ Windows Server ]

```
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
```

------

**catatan**  
Jika Anda menerima pesan kesalahan tentang pasangan produk dan keluarga yang tidak cocok, lihat [Masalah: pasangan produk yang tidak cocok family/product](patch-manager-troubleshooting.md#patch-manager-troubleshooting-product-family-mismatch) untuk membantu menyelesaikan masalah ini.

# Menggunakan node Kernel Live Patching terkelola Amazon Linux 2
<a name="patch-manager-kernel-live-patching"></a>

Kernel Live Patchinguntuk Amazon Linux 2 memungkinkan Anda menerapkan kerentanan keamanan dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa reboot atau gangguan pada aplikasi yang sedang berjalan. Ini memungkinkan Anda mendapatkan keuntungan dari peningkatan ketersediaan layanan dan aplikasi, sambil menjaga infrastruktur Anda tetap aman dan mutakhir. Kernel Live Patchingdidukung pada instans Amazon EC2, perangkat AWS IoT Greengrass inti, dan [mesin virtual lokal yang menjalankan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-2-virtual-machine.html) Amazon Linux 2.

Untuk informasi umum tentangKernel Live Patching, lihat [Kernel Live Patching AL2di](https://docs.aws.amazon.com/linux/al2/ug/al2-live-patching.html) *Panduan Pengguna Amazon Linux 2*.

Setelah Anda mengaktifkan node terkelola Amazon Linux 2, Anda dapat menggunakanPatch Manager, alat di AWS Systems Manager, untuk menerapkan patch langsung kernel ke node terkelola. Kernel Live Patching Menggunakan Patch Manager adalah alternatif untuk menggunakan alur kerja yum yang ada di node untuk menerapkan pembaruan.

**Sebelum Anda mulai**  
Patch ManagerUntuk menerapkan tambalan langsung kernel ke node terkelola Amazon Linux 2 Anda, pastikan node Anda didasarkan pada arsitektur dan versi kernel yang benar. *Untuk selengkapnya, lihat [Konfigurasi dan prasyarat yang didukung di](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) Panduan Pengguna Amazon EC2.*

**Topics**
+ [Kernel Live Patchingmenggunakan Patch Manager](#about-klp)
+ [Cara Kernel Live Patching menggunakan Patch Manager karya](#how-klp-works)
+ [Menghidupkan Kernel Live Patching memakai Run Command](enable-klp.md)
+ [Menerapkan tambalan langsung kernel menggunakan Run Command](install-klp.md)
+ [Mematikan Kernel Live Patching memakai Run Command](disable-klp.md)

## Kernel Live Patchingmenggunakan Patch Manager
<a name="about-klp"></a>

Memperbarui versi kernel  
Anda tidak perlu me-reboot node terkelola setelah menerapkan pembaruan patch langsung kernel. Namun, AWS menyediakan tambalan langsung kernel untuk versi kernel Amazon Linux 2 hingga tiga bulan setelah dirilis. Setelah periode tiga bulan, Anda harus memperbarui ke versi kernel berikutnya untuk terus menerima patch live kernel. Sebaiknya gunakan jendela pemeliharaan untuk menjadwalkan reboot node Anda setidaknya sekali setiap tiga bulan untuk meminta pembaruan versi kernel.

Menghapus instalasi patch live kernel  
Patch langsung kernel tidak dapat dihapus menggunakan. Patch Manager Sebagai gantinya, Anda dapat mematikanKernel Live Patching, yang menghapus paket RPM untuk patch live kernel yang diterapkan. Untuk informasi selengkapnya, lihat [Mematikan Kernel Live Patching memakai Run Command](disable-klp.md).

Kepatuhan kernel  
Dalam beberapa kasus, menginstal semua perbaikan CVE dari patch live untuk versi kernel saat ini dapat membawa kernel tersebut ke dalam keadaan kepatuhan yang sama dengan versi kernel yang lebih baru. Ketika itu terjadi, versi yang lebih baru dilaporkan sebagai`Installed`, dan node terkelola dilaporkan sebagai`Compliant`. Namun, tidak ada waktu instalasi yang dilaporkan untuk versi kernel yang lebih baru.

Satu tambalan langsung kernel, banyak CVEs  
Jika tambalan langsung kernel menangani beberapa CVEs, dan itu CVEs memiliki berbagai nilai klasifikasi dan tingkat keparahan, hanya klasifikasi dan tingkat keparahan tertinggi dari antara CVEs yang dilaporkan untuk tambalan. 

Sisa bagian ini menjelaskan cara menggunakan untuk menerapkan patch langsung kernel Patch Manager ke node terkelola yang memenuhi persyaratan ini.

## Cara Kernel Live Patching menggunakan Patch Manager karya
<a name="how-klp-works"></a>

AWS merilis dua jenis tambalan langsung kernel untuk Amazon Linux 2: pembaruan keamanan dan perbaikan bug. Untuk menerapkan kedua jenis patch tersebut, Anda menggunakan dokumen dasar patch yang menargetkan hanya klasifikasi dan kepelikan yang tercantum dalam tabel berikut.


| Klasifikasi | Kepelikan | 
| --- | --- | 
| Security | Critical, Important | 
| Bugfix | All | 

Anda dapat membuat dasar patch kustom yang menargetkan hanya patch ini, atau menggunakan dasar patch `AWS-AmazonLinux2DefaultPatchBaseline` yang telah ditentukan. Dengan kata lain, Anda dapat menggunakan `AWS-AmazonLinux2DefaultPatchBaseline` dengan node terkelola Amazon Linux 2 yang Kernel Live Patching dihidupkan, dan pembaruan langsung kernel akan diterapkan.

**catatan**  
`AWS-AmazonLinux2DefaultPatchBaseline`Konfigurasi menentukan masa tunggu 7 hari setelah patch dirilis atau terakhir diperbarui sebelum diinstal secara otomatis. Jika Anda tidak ingin menunggu 7 hari agar tambalan langsung kernel disetujui secara otomatis, Anda dapat membuat dan menggunakan baseline patch khusus. Di dasar patch Anda, Anda dapat menentukan tidak ada periode tunggu persetujuan otomatis, atau menentukan waktu yang lebih pendek atau lebih lama. Untuk informasi selengkapnya, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

Kami merekomendasikan strategi berikut untuk menambal node terkelola Anda dengan pembaruan langsung kernel:

1. Kernel Live PatchingNyalakan node terkelola Amazon Linux 2 Anda.

1. GunakanRun Command, alat di AWS Systems Manager, untuk menjalankan `Scan` operasi pada node terkelola Anda menggunakan baseline patch yang telah ditentukan `AWS-AmazonLinux2DefaultPatchBaseline` atau kustom yang juga menargetkan hanya `Security` pembaruan dengan tingkat keparahan yang diklasifikasikan sebagai `Critical` dan`Important`, dan tingkat keparahan`Bugfix`. `All` 

1. Gunakan Kepatuhan, alat di AWS Systems Manager, untuk meninjau apakah ketidakpatuhan untuk patching dilaporkan untuk salah satu node terkelola yang dipindai. Jika demikian, lihat detail kepatuhan node untuk menentukan apakah patch langsung kernel hilang dari node terkelola.

1. Untuk menginstal patch live kernel yang hilang, gunakan Run Command dengan baseline patch yang sama yang Anda tentukan sebelumnya, tetapi kali ini jalankan `Install` operasi alih-alih operasi. `Scan`

   Karena patch live kernel diinstal tanpa perlu reboot, Anda dapat memilih opsi reboot `NoReboot` untuk operasi ini. 
**catatan**  
Anda masih dapat me-reboot node terkelola jika diperlukan untuk jenis tambalan lain yang diinstal di dalamnya, atau jika Anda ingin memperbarui ke kernel yang lebih baru. Dalam kasus ini, pilih opsi reboot `RebootIfNeeded` sebagai gantinya.

1. Kembali ke Kepatuhan untuk memverifikasi bahwa patch live kernel telah diinstal.

# Menghidupkan Kernel Live Patching memakai Run Command
<a name="enable-klp"></a>

Untuk menghidupkan Kernel Live Patching, Anda dapat menjalankan `yum` perintah pada node terkelola atau menggunakan Run Command dan dokumen Systems Manager kustom (dokumen SSM) yang Anda buat.

Untuk informasi tentang menyalakan Kernel Live Patching dengan menjalankan `yum` perintah langsung pada node terkelola, lihat [ Aktifkan Kernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq)di *Panduan EC2 Pengguna Amazon*.

**catatan**  
Ketika Anda mengaktifkan Kernel Live Patching, jika kernel yang sudah berjalan pada node terkelola lebih *awal* dari `kernel-4.14.165-131.185.amzn2.x86_64` (versi minimum yang didukung), proses menginstal versi kernel terbaru yang tersedia dan me-reboot node terkelola. Jika node sudah berjalan `kernel-4.14.165-131.185.amzn2.x86_64` atau lebih baru, proses tidak menginstal versi yang lebih baru dan tidak me-reboot node.

**Untuk menghidupkan Kernel Live Patching memakai Run Command (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih **Jalankan perintah**.

1. Di daftar **Dokumen perintah**, pilih dokumen SSM kustom `AWS-ConfigureKernelLivePatching`.

1. Di bagian **Command parameters**, tentukan apakah Anda ingin node terkelola reboot sebagai bagian dari operasi ini.

1. Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat [Menjalankan perintah dari konsol](running-commands-console.md).

1. Pilih **Jalankan**.

**Untuk menghidupkan Kernel Live Patching (AWS CLI)**
+ Jalankan perintah berikut di mesin lokal Anda.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --parameters "EnableOrDisable=Enable" \
      --targets "Key=instanceids,Values=instance-id"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --parameters "EnableOrDisable=Enable" ^
      --targets "Key=instanceids,Values=instance-id"
  ```

------

  Ganti *instance-id* dengan ID node terkelola Amazon Linux 2 tempat Anda ingin mengaktifkan fitur, seperti i-02573CAFCFExample. Untuk mengaktifkan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu dari format berikut.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)pada *AWS CLI Command Reference*.

# Menerapkan tambalan langsung kernel menggunakan Run Command
<a name="install-klp"></a>

Untuk menerapkan tambalan langsung kernel, Anda dapat menjalankan `yum` perintah pada node terkelola atau menggunakan Run Command dan dokumen `AWS-RunPatchBaseline` SSM. 

Untuk informasi tentang menerapkan patch langsung kernel dengan menjalankan `yum` perintah langsung di node terkelola, lihat [Menerapkan patch langsung kernel](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-apply) di * EC2 Panduan Pengguna Amazon*.

**Untuk menerapkan tambalan langsung kernel menggunakan Run Command (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih **Jalankan perintah**.

1. Di daftar **Dokumen perintah**, pilih dokumen SSM `AWS-RunPatchBaseline`.

1. Di bagian **Parameter perintah**, lakukan salah satu hal berikut:
   + Jika Anda memeriksa apakah patch live kernel yang baru tersedia, untuk **Operasi**, pilih `Scan`. Untuk **Opsi Reboot**, jika tidak ingin node terkelola Anda reboot setelah operasi ini, pilih`NoReboot`. Setelah operasi selesai, Anda dapat memeriksa patch baru dan status kepatuhan dalam Kepatuhan.
   + Jika Anda sudah memeriksa kepatuhan patch dan siap untuk menerapkan patch live kernel yang tersedia, untuk **Operasi**, pilih `Install`. Untuk **Opsi Reboot**, jika Anda tidak ingin node terkelola Anda reboot setelah operasi ini, pilih`NoReboot`.

1. Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat [Menjalankan perintah dari konsol](running-commands-console.md).

1. Pilih **Jalankan**.

**Untuk menerapkan tambalan langsung kernel menggunakan Run Command (AWS CLI)**

1. Untuk melakukan operasi `Scan` sebelum memeriksa hasil Anda di Kepatuhan, jalankan perintah berikut dari mesin lokal Anda.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Scan"],"RebootOption":["RebootIfNeeded"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Scan\"],\"RebootOption\":[\"RebootIfNeeded\"]}
   ```

------

   Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)dalam *AWS CLI Command Reference*.

1. Untuk melakukan operasi `Install` setelah memeriksa hasil Anda di Kepatuhan, jalankan perintah berikut dari mesin lokal Anda.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Install"],"RebootOption":["NoReboot"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Install\"],\"RebootOption\":[\"NoReboot\"]}
   ```

------

Di kedua perintah sebelumnya, ganti *instance-id* dengan ID node terkelola Amazon Linux 2 tempat Anda ingin menerapkan patch live kernel, seperti i-02573CAFCFExample. Untuk mengaktifkan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu dari format berikut.
+ `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
+ `--targets "Key=tag:tag-key,Values=tag-value"`

Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah ini, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)dalam *AWS CLI Command Reference*.

# Mematikan Kernel Live Patching memakai Run Command
<a name="disable-klp"></a>

Untuk mematikan Kernel Live Patching, Anda dapat menjalankan `yum` perintah pada node terkelola atau menggunakan Run Command dan dokumen `AWS-ConfigureKernelLivePatching` SSM khusus.

**catatan**  
Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja. Dalam kebanyakan kasus, Anda tidak perlu menonaktifkan fitur.

Untuk informasi tentang mematikan Kernel Live Patching dengan menjalankan `yum` perintah langsung pada node terkelola, lihat [ Aktifkan Kernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-enable)di *Panduan EC2 Pengguna Amazon*.

**catatan**  
Saat Anda mematikan Kernel Live Patching, proses menghapus instalasi Kernel Live Patching plugin dan kemudian reboot node terkelola.

**Untuk mematikan Kernel Live Patching memakai Run Command (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih **Jalankan perintah**.

1. Di daftar **Dokumen perintah**, pilih dokumen SSM `AWS-ConfigureKernelLivePatching`.

1. Di bagian **Parameter perintah**, tentukan nilai untuk parameter yang diperlukan.

1. Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat [Menjalankan perintah dari konsol](running-commands-console.md).

1. Pilih **Jalankan**.

**Untuk mematikan Kernel Live Patching (AWS CLI)**
+ Jalankan perintah yang serupa dengan yang berikut ini.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --targets "Key=instanceIds,Values=instance-id" \
      --parameters "EnableOrDisable=Disable"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --targets "Key=instanceIds,Values=instance-id" ^
      --parameters "EnableOrDisable=Disable"
  ```

------

  Ganti *instance-id* dengan ID node terkelola Amazon Linux 2 tempat Anda ingin mematikan fitur, seperti i-02573CAFCFExample. Untuk mematikan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu format berikut.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)pada *AWS CLI Command Reference*.

# Bekerja dengan Patch Manager sumber daya dan kepatuhan menggunakan konsol
<a name="patch-manager-console"></a>

Untuk menggunakanPatch Manager, alat di AWS Systems Manager, selesaikan tugas-tugas berikut. Tugas-tugas ini diterangkan dengan lebih detail dalam bagian ini.

1. Verifikasi bahwa baseline patch yang AWS telah ditentukan untuk setiap jenis sistem operasi yang Anda gunakan memenuhi kebutuhan Anda. Jika tidak, buat baseline patch yang mendefinisikan kumpulan patch standar untuk tipe node terkelola itu dan tetapkan sebagai default.

1. Atur node terkelola ke dalam grup tambalan menggunakan tag Amazon Elastic Compute Cloud (Amazon EC2) (opsional, tetapi disarankan).

1. Lakukan salah satu tindakan berikut:
   + (Disarankan) Konfigurasikan kebijakan tambalan diQuick Setup, alat di Systems Manager, yang memungkinkan Anda menginstal tambalan yang hilang pada jadwal untuk seluruh organisasi, subset unit organisasi, atau satu. Akun AWS Untuk informasi selengkapnya, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md).
   + Buat jendela pemeliharaan yang menggunakan dokumen Systems Manager (dokumen SSM) `AWS-RunPatchBaseline` dalam tipe Run Command tugas. Untuk informasi selengkapnya, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).
   + Jalankan secara manual `AWS-RunPatchBaseline` dalam suatu Run Command operasi. Untuk informasi selengkapnya, lihat [Menjalankan perintah dari konsol](running-commands-console.md).
   + Patch node secara manual sesuai permintaan menggunakan fitur **Patch now**. Untuk informasi selengkapnya, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

1. Pantau patching untuk memverifikasi kepatuhan dan menyelidiki kegagalan.

**Topics**
+ [Membuat kebijakan tambalan](patch-manager-create-a-patch-policy.md)
+ [Melihat ringkasan Patch Dasbor](patch-manager-view-dashboard-summaries.md)
+ [Bekerja dengan laporan kepatuhan tambalan](patch-manager-compliance-reports.md)
+ [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md)
+ [Bekerja dengan baseline patch](patch-manager-create-a-patch-baseline.md)
+ [Melihat metrik yang tersedia](patch-manager-view-available-patches.md)
+ [Membuat dan mengelola grup patch](patch-manager-tag-a-patch-group.md)
+ [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md)

# Membuat kebijakan tambalan
<a name="patch-manager-create-a-patch-policy"></a>

Kebijakan tambalan adalah konfigurasi yang Anda atur menggunakanQuick Setup, alat di AWS Systems Manager. Kebijakan patch memberikan kontrol yang lebih luas dan lebih terpusat atas operasi patching Anda daripada yang tersedia dengan metode lain untuk mengonfigurasi patching. Kebijakan patch menentukan jadwal dan baseline yang akan digunakan saat menambal node dan aplikasi Anda secara otomatis.

Untuk informasi selengkapnya, lihat topik berikut:
+ [Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md)
+ [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md)

# Melihat ringkasan Patch Dasbor
<a name="patch-manager-view-dashboard-summaries"></a>

Tab **Dasbor** di Patch Manager memberi Anda tampilan ringkasan di konsol yang dapat Anda gunakan untuk memantau operasi penambalan Anda dalam tampilan gabungan. Patch Manageradalah alat di AWS Systems Manager. Pada tab **Dashboard**, Anda dapat melihat yang berikut:
+ Cuplikan tentang berapa banyak node terkelola yang sesuai dan tidak sesuai dengan aturan penambalan.
+ Cuplikan usia hasil kepatuhan patch untuk node terkelola Anda.
+ Hitungan terkait berapa banyak node terkelola yang tidak patuh yang ada untuk masing-masing alasan paling umum untuk ketidakpatuhan.
+ Daftar tertaut dari operasi penambalan terbaru.
+ Daftar tertaut dari tugas patching berulang yang telah disiapkan.

**Untuk melihat ringkasan Patch Dasbor**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Dasbor**.

1. Gulir ke bagian yang berisi data ringkasan yang ingin Anda lihat:
   + **Manajemen instans Amazon EC2**
   + **Ringkasan kepatuhan**
   + **Ketidakpatuhan diperhitungkan**
   + **Laporan kepatuhan**
   + **Operasi berbasis kebijakan non-patch**
   + **Tugas berulang berbasis kebijakan non-patch**

# Bekerja dengan laporan kepatuhan tambalan
<a name="patch-manager-compliance-reports"></a>

Gunakan informasi dalam topik berikut untuk membantu Anda menghasilkan dan bekerja dengan laporan kepatuhan tambalan diPatch Manager, alat di AWS Systems Manager.

Informasi dalam topik berikut berlaku, apa pun metode atau jenis konfigurasi yang Anda gunakan untuk operasi penambalan Anda: 
+ Kebijakan tambalan yang dikonfigurasi di Quick Setup
+ Opsi Manajemen Host yang dikonfigurasi di Quick Setup
+ Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
+ **Patch sesuai permintaan sekarang beroperasi**

**penting**  
Laporan kepatuhan tambalan adalah point-in-time snapshot yang dihasilkan hanya oleh operasi penambalan yang berhasil. Setiap laporan berisi waktu pengambilan yang mengidentifikasi kapan status kepatuhan dihitung.  
Jika Anda memiliki beberapa jenis operasi untuk memindai instans Anda untuk kepatuhan patch, perhatikan bahwa setiap pemindaian menimpa data kepatuhan patch dari pemindaian sebelumnya. Akibatnya, Anda mungkin berakhir dengan hasil yang tidak terduga dalam data kepatuhan patch Anda. Untuk informasi selengkapnya, lihat [Mengidentifikasi eksekusi yang membuat data kepatuhan patch](patch-manager-compliance-data-overwrites.md).  
**Untuk memverifikasi baseline patch mana yang digunakan untuk menghasilkan informasi kepatuhan terbaru, buka tab **Pelaporan kepatuhan** diPatch Manager, cari baris untuk node terkelola yang ingin Anda informasikan, lalu pilih ID dasar di kolom ID Baseline yang digunakan.**

**Topics**
+ [Melihat hasil kepatuhan patch](patch-manager-view-compliance-results.md)
+ [Menghasilkan laporan kepatuhan patch .csv](patch-manager-store-compliance-results-in-s3.md)
+ [Memediasi node terkelola yang tidak sesuai dengan Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Mengidentifikasi eksekusi yang membuat data kepatuhan patch](patch-manager-compliance-data-overwrites.md)

# Melihat hasil kepatuhan patch
<a name="patch-manager-view-compliance-results"></a>

Gunakan prosedur ini untuk melihat informasi kepatuhan tambalan tentang node terkelola Anda.

Prosedur ini berlaku untuk operasi patch yang menggunakan dokumen `AWS-RunPatchBaseline`. Untuk informasi tentang melihat informasi kepatuhan patch untuk operasi patch yang menggunakan dokumen `AWS-RunPatchBaselineAssociation`, lihat [Mengidentifikasi node terkelola yang tidak sesuai](patch-manager-find-noncompliant-nodes.md).

**catatan**  
Operasi pemindaian patch untuk Quick Setup dan Explorer menggunakan `AWS-RunPatchBaselineAssociation` dokumen. Quick Setupdan Explorer keduanya merupakan alat di AWS Systems Manager.

**Identifikasi solusi patch untuk masalah CVE tertentu (Linux)**  
Untuk banyak sistem operasi berbasis Linux, hasil kepatuhan patch menunjukkan masalah buletin Common Vulnerabilities and Exposure (CVE) apa yang diselesaikan oleh patch tertentu. Informasi ini dapat membantu Anda menentukan seberapa mendesak Anda perlu menginstal patch yang hilang atau gagal.

Detail CVE disertakan untuk versi yang didukung dari jenis sistem operasi berikut:
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux

**catatan**  
Secara default, CentOS Stream tidak memberikan informasi CVE tentang pembaruan. Namun, Anda dapat mengizinkan support ini dengan menggunakan repositori pihak ketiga seperti repositori Extra Packages for Enterprise Linux (EPEL) yang diterbitkan oleh Fedora. Untuk informasi, lihat [EPEL](https://fedoraproject.org/wiki/EPEL) di Fedora Wiki.  
Saat ini, nilai ID CVE dilaporkan hanya untuk tambalan dengan status atau. `Missing` `Failed`

Anda juga dapat menambahkan CVE IDs ke daftar tambalan yang disetujui atau ditolak di garis dasar tambalan Anda, seperti yang diperlukan oleh situasi dan tujuan penambalan Anda.

Untuk informasi tentang bekerja dengan daftar patch yang disetujui dan ditolak, lihat topik berikut:
+ [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md)
+ [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md)
+ [Cara kerja aturan dasar patch pada sistem berbasis Linux](patch-manager-linux-rules.md)
+ [Cara menginstal patch](patch-manager-installing-patches.md)

**catatan**  
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui `01/01/1970` disediakan secara default.

## Melihat hasil patching compliance
<a name="viewing-patch-compliance-results-console"></a>

Gunakan prosedur berikut ini untuk melihat hasil kepatuhan patch di konsol AWS Systems Manager . 

**catatan**  
Untuk informasi tentang menghasilkan laporan kepatuhan patch yang diunduh ke bucket Amazon Simple Storage Service (Amazon S3), lihat [Menghasilkan laporan kepatuhan patch .csv](patch-manager-store-compliance-results-in-s3.md).

**Untuk melihat hasil kepatuhan patch**

1. Lakukan salah satu hal berikut ini.

   **Opsi 1** (disarankan) - Navigasi dariPatch Manager, alat di AWS Systems Manager:
   + Di panel navigasi, pilih **Patch Manager**.
   + Pilih tab **Pelaporan kepatuhan**.
   + Di area **detail penambalan Node**, pilih ID node dari node terkelola yang ingin Anda tinjau hasil kepatuhan tambalan. Node yang sedang `stopped` atau tidak `terminated` akan ditampilkan di sini.
   + Di area **Detail**, dalam daftar **Properti**, pilih **Patch**.

   **Opsi 2** — Navigasi dari Kepatuhan, alat di AWS Systems Manager:
   + Di panel navigasi, pilih **Kepatuhan**.
   + Untuk **Ringkasan sumber daya kepatuhan**, pilih nomor di kolom untuk jenis sumber daya patch yang ingin Anda tinjau, seperti **Sumber daya yang tidak patuh**.
   + Di bawah ini, dalam daftar **Sumber Daya**, pilih ID node terkelola yang ingin Anda tinjau hasil kepatuhan tambalan.
   + Di area **Detail**, dalam daftar **Properti**, pilih **Patch**.

   **Opsi 3** - Navigasi dariFleet Manager, alat masuk AWS Systems Manager.
   + Di panel navigasi, pilih **Fleet Manager**.
   + Di area **Instans terkelola**, pilih ID node terkelola yang ingin Anda tinjau hasil kepatuhan tambalan.
   + Di area **Detail**, dalam daftar **Properti**, pilih **Patch**.

1. (Opsional) Di kotak pencarian (![\[The Search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), pilih dari filter yang tersedia.

   Sebagai contoh, untuk Red Hat Enterprise Linux (RHEL), pilih dari yang berikut ini:
   + Nama
   + Klasifikasi
   + Keadaan
   + Kepelikan

    Untuk Windows Server, pilih dari yang berikut ini:
   + KB
   + Klasifikasi
   + Keadaan
   + Kepelikan

1. Pilih salah satu nilai yang tersedia untuk jenis filter yang Anda pilih. Misalnya, jika Anda memilih **Negara**, sekarang pilih status kepatuhan seperti **InstalledPendingReboot**, **Gagal** atau **Hilang**.
**catatan**  
Saat ini, nilai ID CVE dilaporkan hanya untuk tambalan dengan status atau. `Missing` `Failed`

1. Bergantung pada status kepatuhan node terkelola, Anda dapat memilih tindakan apa yang harus diambil untuk memperbaiki node yang tidak patuh.

   Misalnya, Anda dapat memilih untuk segera menambal node terkelola yang tidak sesuai. Untuk informasi tentang menambal node terkelola sesuai permintaan, lihat[Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

   Untuk informasi tentang nilai keadaan kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).

# Menghasilkan laporan kepatuhan patch .csv
<a name="patch-manager-store-compliance-results-in-s3"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk menghasilkan laporan kepatuhan patch yang disimpan sebagai file.csv ke bucket Amazon Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan sesuai permintaan tunggal atau menentukan jadwal untuk menghasilkan laporan secara otomatis. 

Laporan dapat dibuat untuk satu node terkelola atau untuk semua node terkelola di yang Anda pilih Akun AWS dan Wilayah AWS. Untuk satu node, laporan berisi detail komprehensif, termasuk IDs tambalan yang terkait dengan node yang tidak sesuai. Untuk laporan tentang semua node terkelola, hanya informasi ringkasan dan jumlah patch node yang tidak sesuai yang disediakan.

Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon Quick untuk mengimpor dan menganalisis data. Quick adalah layanan intelijen bisnis (BI) yang dapat Anda gunakan untuk mengeksplorasi dan menafsirkan informasi dalam lingkungan visual yang interaktif. Untuk informasi selengkapnya, lihat [Panduan Pengguna Cepat Amazon](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).

**catatan**  
Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. `Critical` `High` Jika status tambalan dari tambalan yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

Anda juga dapat menentukan topik Amazon Simple Notification Service (Amazon SNS) yang digunakan untuk mengirim notifikasi ketika laporan dibuat.

**Peran layanan untuk membuat laporan kepatuhan patch**  
Saat pertama kali membuat laporan, Systems Manager membuat peran Automation asumsi bernama `AWS-SystemsManager-PatchSummaryExportRole` untuk digunakan untuk proses ekspor ke S3.

**catatan**  
Jika Anda mengekspor data kepatuhan ke bucket S3 terenkripsi, Anda harus memperbarui kebijakan AWS KMS kunci terkait untuk memberikan izin yang diperlukan. `AWS-SystemsManager-PatchSummaryExportRole` Misalnya, tambahkan izin yang serupa dengan ini ke AWS KMS kebijakan bucket S3 Anda:  

```
{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}
```
Ganti *role-arn* dengan Nama Sumber Daya Amazon (ARN) yang dibuat di akun Anda, dalam format. `arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`  
Untuk informasi selengkapnya, lihat [Kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan Developer AWS Key Management Service *.

Pertama kali Anda membuat laporan pada jadwal, Systems Manager membuat peran layanan lain bernama`AWS-EventBridge-Start-SSMAutomationRole`, bersama dengan peran layanan `AWS-SystemsManager-PatchSummaryExportRole` (jika belum dibuat) untuk digunakan untuk proses ekspor. `AWS-EventBridge-Start-SSMAutomationRole`memungkinkan Amazon EventBridge untuk memulai otomatisasi menggunakan runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Kami merekomendasikan agar tidak mencoba mengubah kebijakan dan peran ini. Melakukan hal itu dapat menyebabkan pembuatan laporan kepatuhan patch gagal. Untuk informasi selengkapnya, lihat [Memecahkan masalah pembuatan laporan kepatuhan patch](#patch-compliance-reports-troubleshooting).

**Topics**
+ [Apa yang ada dalam laporan kepatuhan patch yang dibuat?](#patch-compliance-reports-to-s3-examples)
+ [Membuat laporan kepatuhan tambalan untuk satu node terkelola](#patch-compliance-reports-to-s3-one-instance)
+ [Membuat laporan kepatuhan tambalan untuk semua node terkelola](#patch-compliance-reports-to-s3-all-instances)
+ [Melihat riwayat pelaporan kepatuhan patch](#patch-compliance-reporting-history)
+ [Melihat jadwal pelaporan kepatuhan patch](#patch-compliance-reporting-schedules)
+ [Memecahkan masalah pembuatan laporan kepatuhan patch](#patch-compliance-reports-troubleshooting)

## Apa yang ada dalam laporan kepatuhan patch yang dibuat?
<a name="patch-compliance-reports-to-s3-examples"></a>

Topik ini menyediakan informasi tentang jenis konten yang disertakan dalam laporan kepatuhan patch yang dihasilkan dan diunduh ke bucket S3 tertentu.

### Format laporan untuk satu node terkelola
<a name="patch-compliance-reports-to-s3-examples-single-instance"></a>

Laporan yang dihasilkan untuk satu node terkelola memberikan ringkasan dan informasi rinci.

[Unduh laporan sampel (simpul tunggal)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)

Informasi ringkasan untuk satu node terkelola mencakup yang berikut:
+ Indeks
+ ID instans
+ Nama instans
+ IP instans
+ Nama platform
+ Versi Platform
+ Versi SSM Agent
+ Dasar patch
+ Grup patch
+ Status kepatuhan
+ Kepelikan kepatuhan
+ Jumlah patch dengan kepelikan Kritis yang tidak patuh
+ Jumlah patch dengan kepelikan Tinggi yang tidak patuh
+ Jumlah patch dengan kepelikan Medium yang tidak patuh
+ Jumlah patch dengan kepelikan Rendah yang tidak patuh
+ Jumlah patch dengan kepelikan Informasional yang tidak patuh
+ Jumlah patch dengan kepelikan Tidak Ditentukan yang tidak patuh

Informasi terperinci untuk satu node terkelola mencakup yang berikut:
+ Indeks
+ ID instans
+ Nama instans
+ Nama patch
+  ID/Patch ID KB
+ Keadaan patch
+ Waktu laporan terakhir
+ Tingkat kepatuhan
+ Kepelikan patch
+ Klasifikasi patch
+ ID CVE
+ Dasar patch
+ URL Log
+ IP instans
+ Nama platform
+ Versi Platform
+ Versi SSM Agent

**catatan**  
Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. `Critical` `High` Jika status tambalan dari tambalan yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

### Format laporan untuk semua node terkelola
<a name="patch-compliance-reports-to-s3-examples-all-instances"></a>

Laporan yang dibuat untuk semua node terkelola hanya menyediakan informasi ringkasan.

[Unduh contoh laporan (semua node terkelola)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)

Informasi ringkasan untuk semua node terkelola mencakup yang berikut:
+ Indeks
+ ID instans
+ Nama instans
+ IP instans
+ Nama platform
+ Versi Platform
+ Versi SSM Agent
+ Dasar patch
+ Grup patch
+ Status kepatuhan
+ Kepelikan kepatuhan
+ Jumlah patch dengan kepelikan Kritis yang tidak patuh
+ Jumlah patch dengan kepelikan Tinggi yang tidak patuh
+ Jumlah patch dengan kepelikan Medium yang tidak patuh
+ Jumlah patch dengan kepelikan Rendah yang tidak patuh
+ Jumlah patch dengan kepelikan Informasional yang tidak patuh
+ Jumlah patch dengan kepelikan Tidak Ditentukan yang tidak patuh

## Membuat laporan kepatuhan tambalan untuk satu node terkelola
<a name="patch-compliance-reports-to-s3-one-instance"></a>

Gunakan prosedur berikut untuk menghasilkan laporan ringkasan tambalan untuk satu node terkelola di Anda Akun AWS. Laporan untuk satu node terkelola memberikan detail tentang setiap tambalan yang tidak sesuai, termasuk nama tambalan dan IDs. 

**Untuk menghasilkan laporan kepatuhan tambalan untuk satu node terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih tombol untuk baris node terkelola yang ingin Anda hasilkan laporannya, lalu pilih **Lihat detail**.

1. Di bagian **Ringkasan tambalan**, pilih **Ekspor ke S3**.

1. Untuk **Nama laporan**, masukkan nama untuk membantu Anda mengidentifikasi laporan nanti.

1. Untuk **Frekuensi pelaporan**, pilih salah satu hal berikut:
   + **Sesuai permintaan** — Buat laporan satu kali. Lewati ke Langkah 9.
   + **Sesuai jadwal** — Tentukan jadwal berulang untuk membuat laporan secara otomatis. Lanjutkan ke Langkah 8.

1. Untuk **Jenis jadwal**, tentukan ekspresi rate, seperti setiap 3 hari, atau berikan ekspresi cron untuk mengatur frekuensi laporan.

   Untuk informasi tentang ekspresi cron, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

1. Untuk **Nama bucket**, pilih nama bucket S3 tempat Anda ingin menyimpan file laporan .csv.
**penting**  
Jika Anda bekerja di sebuah Wilayah AWS yang diluncurkan setelah 20 Maret 2019, Anda harus memilih bucket S3 di Wilayah yang sama. Region yang diluncurkan setelah tanggal tersebut dimatikan secara default. Untuk informasi selengkapnya dan daftar Wilayah ini, lihat [Mengaktifkan Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) di. *Referensi Umum Amazon Web Services*

1. (Opsional) Untuk mengirim pemberitahuan saat laporan dibuat, keluarkan bagian **topik SNS, lalu pilih topik** Amazon SNS yang ada dari **topik SNS Nama Sumber Daya Amazon** (ARN).

1. Pilih **Kirim**.

Untuk informasi tentang melihat riwayat laporan yang dibuat, lihat [Melihat riwayat pelaporan kepatuhan patch](#patch-compliance-reporting-history).

Untuk informasi tentang melihat detail jadwal pelaporan yang telah Anda buat, lihat [Melihat jadwal pelaporan kepatuhan patch](#patch-compliance-reporting-schedules).

## Membuat laporan kepatuhan tambalan untuk semua node terkelola
<a name="patch-compliance-reports-to-s3-all-instances"></a>

Gunakan prosedur berikut untuk menghasilkan laporan ringkasan tambalan untuk semua node terkelola di Anda Akun AWS. Laporan untuk semua node terkelola menunjukkan node mana yang tidak sesuai dan jumlah tambalan yang tidak sesuai. Ini tidak memberikan nama atau pengidentifikasi lain dari patch. Untuk detail tambahan ini, Anda dapat membuat laporan kepatuhan patch untuk satu node terkelola. Untuk informasi, lihat [Membuat laporan kepatuhan tambalan untuk satu node terkelola](#patch-compliance-reports-to-s3-one-instance) sebelumnya dalam topik ini. 

**Untuk menghasilkan laporan kepatuhan tambalan untuk semua node terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih **Ekspor ke S3**. (Jangan pilih ID node terlebih dahulu.)

1. Untuk **Nama laporan**, masukkan nama untuk membantu Anda mengidentifikasi laporan nanti.

1. Untuk **Frekuensi pelaporan**, pilih salah satu hal berikut:
   + **Sesuai permintaan** — Buat laporan satu kali. Lewati ke Langkah 8.
   + **Sesuai jadwal** — Tentukan jadwal berulang untuk membuat laporan secara otomatis. Lanjutkan ke Langkah 7.

1. Untuk **Jenis jadwal**, tentukan ekspresi rate, seperti setiap 3 hari, atau berikan ekspresi cron untuk mengatur frekuensi laporan.

   Untuk informasi tentang ekspresi cron, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

1. Untuk **Nama bucket**, pilih nama bucket S3 tempat Anda ingin menyimpan file laporan .csv.
**penting**  
Jika Anda bekerja di sebuah Wilayah AWS yang diluncurkan setelah 20 Maret 2019, Anda harus memilih bucket S3 di Wilayah yang sama. Region yang diluncurkan setelah tanggal tersebut dimatikan secara default. Untuk informasi selengkapnya dan daftar Wilayah ini, lihat [Mengaktifkan Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) di. *Referensi Umum Amazon Web Services*

1. (Opsional) Untuk mengirim pemberitahuan saat laporan dibuat, keluarkan bagian **topik SNS, lalu pilih topik** Amazon SNS yang ada dari **topik SNS Nama Sumber Daya Amazon** (ARN).

1. Pilih **Kirim**.

Untuk informasi tentang melihat riwayat laporan yang dibuat, lihat [Melihat riwayat pelaporan kepatuhan patch](#patch-compliance-reporting-history).

Untuk informasi tentang melihat detail jadwal pelaporan yang telah Anda buat, lihat [Melihat jadwal pelaporan kepatuhan patch](#patch-compliance-reporting-schedules).

## Melihat riwayat pelaporan kepatuhan patch
<a name="patch-compliance-reporting-history"></a>

Gunakan informasi dalam topik ini untuk membantu Anda melihat detail tentang laporan kepatuhan tambalan yang dihasilkan di Anda Akun AWS.

**Untuk melihat riwayat pelaporan kepatuhan patch**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih **Lihat semua ekspor S3**, lalu pilih tab **Riwayat ekspor**.

## Melihat jadwal pelaporan kepatuhan patch
<a name="patch-compliance-reporting-schedules"></a>

Gunakan informasi dalam topik ini untuk membantu Anda melihat detail tentang jadwal pelaporan kepatuhan tambalan yang dibuat di situs Anda Akun AWS.

**Untuk melihat riwayat pelaporan kepatuhan patch**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pelaporan kepatuhan**.

1. Pilih **Lihat semua ekspor S3**, lalu pilih tab **Aturan jadwal laporan**.

## Memecahkan masalah pembuatan laporan kepatuhan patch
<a name="patch-compliance-reports-troubleshooting"></a>

Gunakan informasi berikut untuk membantu Anda memecahkan masalah dengan menghasilkan pembuatan laporan kepatuhan tambalan diPatch Manager, alat di. AWS Systems Manager

**Topics**
+ [Pesan melaporkan bahwa kebijakan `AWS-SystemsManager-PatchManagerExportRolePolicy` rusak](#patch-compliance-reports-troubleshooting-1)
+ [Setelah menghapus kebijakan atau peran kepatuhan patch, laporan terjadwal tidak berhasil dibuat](#patch-compliance-reports-troubleshooting-2)

### Pesan melaporkan bahwa kebijakan `AWS-SystemsManager-PatchManagerExportRolePolicy` rusak
<a name="patch-compliance-reports-troubleshooting-1"></a>

**Masalah**: Anda menerima pesan kesalahan yang serupa dengan berikut ini, menunjukkan `AWS-SystemsManager-PatchManagerExportRolePolicy` rusak:

```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
```
+ **Solusi**: Gunakan Patch Manager konsol atau AWS CLI untuk menghapus peran dan kebijakan yang terpengaruh sebelum membuat laporan kepatuhan patch baru.

**Untuk menghapus kebijakan korup menggunakan konsol**

  1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

  1. Lakukan salah satu tindakan berikut:

     **Laporan sesuai permintaan** — Jika masalah terjadi saat membuat laporan sesuai permintaan satu kali, di navigasi sebelah kiri, pilih **Kebijakan**, cari `AWS-SystemsManager-PatchManagerExportRolePolicy`, lalu hapus kebijakan tersebut. Selanjutnya, pilih **Peran**, cari `AWS-SystemsManager-PatchSummaryExportRole`, lalu hapus peran tersebut.

     **Laporan terjadwal** — Jika masalah terjadi saat membuat laporan sesuai jadwal, di navigasi kiri, pilih **Kebijakan**, cari satu per satu`AWS-SystemsManager-PatchManagerExportRolePolicy`, `AWS-EventBridge-Start-SSMAutomationRolePolicy` dan hapus setiap kebijakan. Selanjutnya, pilih **Peran**, cari satu per satu untuk `AWS-EventBridge-Start-SSMAutomationRole` dan `AWS-SystemsManager-PatchSummaryExportRole`, dan hapus masing-masing peran.

**Untuk menghapus kebijakan korup menggunakan AWS CLI**

  Ganti *placeholder values* dengan ID akun Anda.
  + Jika masalah terjadi saat membuat laporan on-demand satu kali, jalankan perintah berikut:

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

    Jika masalah terjadi saat membuat laporan pada jadwal, jalankan perintah berikut:

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
    ```

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

  Setelah menyelesaikan salah satu prosedur, ikuti langkah-langkah untuk membuat atau menjadwalkan laporan kepatuhan patch baru.

### Setelah menghapus kebijakan atau peran kepatuhan patch, laporan terjadwal tidak berhasil dibuat
<a name="patch-compliance-reports-troubleshooting-2"></a>

**Masalah**: Pertama kali Anda membuat laporan, Systems Manager membuat peran layanan dan kebijakan untuk digunakan untuk proses ekspor (`AWS-SystemsManager-PatchSummaryExportRole` dan `AWS-SystemsManager-PatchManagerExportRolePolicy`). Pertama kali Anda membuat laporan terjadwal, Systems Manager membuat peran layanan lain dan kebijakan (`AWS-EventBridge-Start-SSMAutomationRole` dan `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Ini memungkinkan Amazon EventBridge memulai otomatisasi menggunakan runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Jika Anda menghapus salah satu kebijakan atau peran ini, hubungan antara jadwal Anda dan bucket S3 yang ditentukan dan topik Amazon SNS mungkin hilang. 
+ **Solusi**: Untuk mengatasi masalah ini, kami merekomendasikan untuk menghapus jadwal sebelumnya dan membuat jadwal baru untuk menggantikan jadwal yang mengalami masalah.

# Memediasi node terkelola yang tidak sesuai dengan Patch Manager
<a name="patch-manager-noncompliant-nodes"></a>

Topik di bagian ini memberikan ikhtisar tentang cara mengidentifikasi node terkelola yang tidak sesuai dengan patch dan bagaimana membawa node ke dalam kepatuhan.

**Topics**
+ [Mengidentifikasi node terkelola yang tidak sesuai](patch-manager-find-noncompliant-nodes.md)
+ [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md)
+ [Menambal node terkelola yang tidak sesuai](patch-manager-compliance-remediation.md)

# Mengidentifikasi node terkelola yang tidak sesuai
<a name="patch-manager-find-noncompliant-nodes"></a>

Out-of-compliance node terkelola diidentifikasi ketika salah satu dari dua AWS Systems Manager dokumen (dokumen SSM) dijalankan. Dokumen SSM ini mereferensikan baseline patch yang sesuai untuk setiap node terkelola diPatch Manager, sebuah alat di. AWS Systems Manager Mereka kemudian mengevaluasi status patch dari node terkelola dan kemudian membuat hasil kepatuhan tersedia untuk Anda.

Ada dua dokumen SSM yang digunakan untuk mengidentifikasi atau memperbarui node terkelola yang tidak sesuai: dan. `AWS-RunPatchBaseline` `AWS-RunPatchBaselineAssociation` Masing-masing digunakan oleh proses yang berbeda, dan hasil kepatuhan mereka tersedia melalui saluran yang berbeda. Tabel berikut ini menguraikan perbedaan antara dokumen-dokumen ini.

**catatan**  
Data kepatuhan tambalan dari Patch Manager dapat dikirim ke AWS Security Hub CSPM. Security Hub CSPM memberi Anda pandangan komprehensif tentang peringatan keamanan prioritas tinggi dan status kepatuhan Anda. Hub juga memantau status patching armada Anda. Untuk informasi selengkapnya, lihat [Integrasi dengan Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md). 


|  | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` | 
| --- | --- | --- | 
| Proses yang menggunakan dokumen |  **Patch on demand** - Anda dapat memindai atau menambal node yang dikelola sesuai permintaan menggunakan opsi **Patch now**. Untuk informasi, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md). **Kebijakan Quick Setup patch Systems Manager** — Anda dapat membuat konfigurasi tambalanQuick Setup, alat di AWS Systems Manager, yang dapat memindai atau menginstal tambalan yang hilang pada jadwal terpisah untuk seluruh organisasi, subset unit organisasi, atau satu. Akun AWS Untuk informasi, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md). **Jalankan perintah** - Anda dapat menjalankan `AWS-RunPatchBaseline` secara manual dalam operasi diRun Command, alat di AWS Systems Manager. Untuk informasi, lihat [Menjalankan perintah dari konsol](running-commands-console.md). **Jendela pemeliharaan** - Anda dapat membuat jendela pemeliharaan yang menggunakan dokumen SSM `AWS-RunPatchBaseline` dalam tipe Run Command tugas. Untuk informasi, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).  |  **Manajemen Quick Setup Host Systems Manager** — Anda dapat mengaktifkan opsi konfigurasi Manajemen Host Quick Setup untuk memindai instans terkelola untuk kepatuhan patch setiap hari. Untuk informasi, lihat [Siapkan manajemen host Amazon EC2 menggunakan Quick Setup](quick-setup-host-management.md). **Systems Manager [Explorer](Explorer.md)**— Bila Anda mengizinkanExplorer, alat masuk AWS Systems Manager, alat ini secara teratur memindai instans terkelola Anda untuk kepatuhan tambalan dan hasil laporan di dasbor. Explorer  | 
| Format data hasil pemindaian patch |  Setelah `AWS-RunPatchBaseline` berjalan, Patch Manager mengirim `AWS:PatchSummary` objek ke Inventory, alat di AWS Systems Manager. Laporan ini dihasilkan hanya oleh operasi penambalan yang berhasil dan mencakup waktu pengambilan yang mengidentifikasi kapan status kepatuhan dihitung.  |  Setelah `AWS-RunPatchBaselineAssociation` berjalan, Patch Manager mengirimkan `AWS:ComplianceItem` objek ke Systems Manager Inventory.  | 
| Melihat laporan kepatuhan patch di konsol |  Anda dapat melihat informasi kepatuhan patch untuk proses yang menggunakan `AWS-RunPatchBaseline` dalam [Kepatuhan Konfigurasi Systems Manager](systems-manager-compliance.md) dan [Bekerja dengan node terkelola](fleet-manager-managed-nodes.md). Untuk informasi selengkapnya, lihat [Melihat hasil kepatuhan patch](patch-manager-view-compliance-results.md).  |  Jika digunakan Quick Setup untuk memindai instans terkelola untuk kepatuhan tambalan, Anda dapat melihat laporan kepatuhan di [Systems Manager Fleet Manager](fleet-manager.md). Di Fleet Manager konsol, pilih ID node dari node terkelola Anda. Di menu **Umum**, pilih **Kepatuhan konfigurasi**. Jika digunakan Explorer untuk memindai instans terkelola untuk kepatuhan tambalan, Anda dapat melihat laporan kepatuhan di keduanya Explorer dan [Systems Manager OpsCenter](OpsCenter.md).  | 
| AWS CLI perintah untuk melihat hasil kepatuhan patch |  Untuk proses yang digunakan`AWS-RunPatchBaseline`, Anda dapat menggunakan AWS CLI perintah berikut untuk melihat informasi ringkasan tentang tambalan pada node terkelola. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  |  Untuk proses yang digunakan`AWS-RunPatchBaselineAssociation`, Anda dapat menggunakan AWS CLI perintah berikut untuk melihat informasi ringkasan tentang tambalan pada sebuah instance. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  | 
| Operasi patching |  Untuk proses yang menggunakan `AWS-RunPatchBaseline`, Anda menentukan apakah Anda ingin operasi untuk menjalankan operasi `Scan` saja, atau operasi `Scan and install`. Jika tujuan Anda adalah mengidentifikasi node terkelola yang tidak sesuai dan tidak memperbaikinya, jalankan hanya operasi. `Scan`  | Quick Setupdan Explorer proses, yang menggunakanAWS-RunPatchBaselineAssociation, hanya menjalankan Scan operasi. | 
| Info selengkapnya |  [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)  |  [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)  | 

Untuk informasi tentang berbagai keadaan kepatuhan patch yang mungkin Anda lihat dilaporkan, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md)

Untuk informasi tentang remediasi node terkelola yang tidak sesuai dengan patch, lihat[Menambal node terkelola yang tidak sesuai](patch-manager-compliance-remediation.md).

# Nilai status kepatuhan tambalan
<a name="patch-manager-compliance-states"></a>

Informasi tentang patch untuk node terkelola mencakup laporan status, atau status, dari setiap patch individu.

**Tip**  
Jika Anda ingin menetapkan status kepatuhan patch tertentu ke node terkelola, Anda dapat menggunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface (AWS CLI) atau operasi [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API. Penetapan keadaan kepatuhan tidak di-support di konsol.

Gunakan informasi dalam tabel berikut untuk membantu Anda mengidentifikasi mengapa node terkelola mungkin tidak sesuai dengan patch.

## Nilai kepatuhan tambalan untuk Debian Server dan Ubuntu Server
<a name="patch-compliance-values-ubuntu"></a>

Untuk Debian Server danUbuntu Server, aturan untuk klasifikasi paket ke dalam negara kepatuhan yang berbeda dijelaskan dalam tabel berikut.

**catatan**  
Ingatlah hal berikut saat mengevaluasi`INSTALLED`,`INSTALLED_OTHER`, dan nilai `MISSING` status: Jika Anda tidak memilih kotak centang **Sertakan pembaruan nonkeamanan** saat membuat atau memperbarui baseline tambalan, versi kandidat tambalan terbatas pada tambalan di repositori berikut:.   
Ubuntu Server16.04 LTS: `xenial-security`
Ubuntu Server18.04 LTS: `bionic-security`
Ubuntu Server20.04 LTS: `focal-security`
Ubuntu Server22,04 LTS () `jammy-security`
Ubuntu Server24.04 LTS () `noble-security`
Ubuntu Server25.04 () `plucky-security`
`debian-security` (Debian Server)
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan**, patch dari repositori lain turut dipertimbangkan.


| Keadaan patch | Deskripsi | Status kepatuhan | 
| --- | --- | --- | 
|  **`INSTALLED`**  |  Patch terdaftar di baseline patch dan diinstal pada node terkelola. Itu bisa diinstal baik secara manual oleh individu atau secara otomatis Patch Manager ketika `AWS-RunPatchBaseline` dokumen dijalankan pada node yang dikelola.  | Patuh | 
|  **`INSTALLED_OTHER`**  |  Patch tidak disertakan dalam baseline atau tidak disetujui oleh baseline tetapi diinstal pada node terkelola. Patch mungkin telah diinstal secara manual, paket bisa menjadi ketergantungan yang diperlukan dari patch lain yang disetujui, atau patch mungkin telah disertakan dalam InstallOverrideList operasi. Jika Anda tidak menentukan `Block` sebagai tindakan **Patch ditolak**, patch `INSTALLED_OTHER` juga mencakup patch yang terinstal tetapi ditolak.   | Patuh | 
|  **`INSTALLED_PENDING_REBOOT`**  |  `INSTALLED_PENDING_REBOOT`dapat berarti salah satu dari dua hal: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-compliance-states.html) Dalam kedua kasus itu tidak berarti bahwa tambalan dengan status ini *memerlukan* reboot, hanya saja node belum di-boot ulang sejak tambalan diinstal.  | Tidak Patuh | 
|  **`INSTALLED_REJECTED`**  |  Patch diinstal pada node terkelola tetapi ditentukan dalam daftar **tambalan Ditolak**. Ini biasanya berarti patch telah diinstal sebelum ditambahkan ke daftar patch yang ditolak.  | Tidak Patuh | 
|  **`MISSING`**  |  Patch disetujui di baseline, tetapi tidak diinstal pada node terkelola. Jika Anda mengonfigurasi tugas dokumen `AWS-RunPatchBaseline` untuk memindai (bukan menginstal), sistem melaporkan status ini untuk patch yang diletakkan selama pemindaian tetapi belum diinstal.  | Tidak Patuh | 
|  **`FAILED`**  |  patch disetujui dalam baseline, tapi tidak dapat diinstal. Untuk memecahkan masalah situasi ini, tinjau output perintah untuk informasi yang mungkin membantu Anda memahami masalah.  | Tidak Patuh | 

## Nilai kepatuhan patch untuk sistem operasi lain
<a name="patch-compliance-values"></a>

Untuk semua sistem operasi selain Debian Server danUbuntu Server, aturan untuk klasifikasi paket ke dalam status kepatuhan yang berbeda dijelaskan dalam tabel berikut. 


|  Keadaan patch | Deskripsi | Nilai kepatuhan | 
| --- | --- | --- | 
|  **`INSTALLED`**  |  Patch terdaftar di baseline patch dan diinstal pada node terkelola. Itu bisa diinstal baik secara manual oleh individu atau secara otomatis Patch Manager ketika `AWS-RunPatchBaseline` dokumen dijalankan pada node.  | Patuh | 
|  **`INSTALLED_OTHER`**¹  |  Patch tidak ada di baseline, tetapi diinstal pada node terkelola. Ada dua kemungkinan alasan untuk ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-compliance-states.html)  | Patuh | 
|  **`INSTALLED_REJECTED`**  |  Patch diinstal pada node terkelola tetapi ditentukan dalam daftar tambalan yang ditolak. Ini biasanya berarti patch telah diinstal sebelum ditambahkan ke daftar patch yang ditolak.  | Tidak Patuh | 
|  **`INSTALLED_PENDING_REBOOT`**  |  `INSTALLED_PENDING_REBOOT`dapat berarti salah satu dari dua hal: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-compliance-states.html) Dalam kedua kasus itu tidak berarti bahwa tambalan dengan status ini *memerlukan* reboot, hanya saja node belum di-boot ulang sejak tambalan diinstal.  | Tidak Patuh | 
|  **`MISSING`**  |  Patch disetujui di baseline, tetapi tidak diinstal pada node terkelola. Jika Anda mengonfigurasi tugas dokumen `AWS-RunPatchBaseline` untuk memindai (bukan menginstal), sistem melaporkan status ini untuk patch yang diletakkan selama pemindaian tetapi belum diinstal.  | Tidak Patuh | 
|  **`FAILED`**  |  patch disetujui dalam baseline, tapi tidak dapat diinstal. Untuk memecahkan masalah situasi ini, tinjau output perintah untuk informasi yang mungkin membantu Anda memahami masalah.  | Tidak Patuh | 
|  **`NOT_APPLICABLE`**¹  |  *Status kepatuhan ini dilaporkan hanya untuk sistem Windows Server operasi.* Patch disetujui di baseline, tetapi layanan atau fitur yang menggunakan tambalan tidak diinstal pada node terkelola. Misalnya, patch untuk layanan server web seperti Internet Information Services (IIS) akan menunjukkan `NOT_APPLICABLE` apakah itu disetujui di baseline, tetapi layanan web tidak diinstal pada node terkelola. Sebuah patch juga dapat ditandai `NOT_APPLICABLE` jika telah digantikan oleh pembaruan berikutnya. Ini berarti bahwa pembaruan yang setelahnya diinstal dan pembaruan `NOT_APPLICABLE` tidak lagi diperlukan.  | Tidak berlaku | 
| AVAILABLE\$1SECURITY\$1UPDATES |  *Status kepatuhan ini dilaporkan hanya untuk sistem Windows Server operasi.* Patch pembaruan keamanan yang tersedia yang tidak disetujui oleh baseline patch dapat memiliki nilai kepatuhan `Compliant` atau`Non-Compliant`, seperti yang didefinisikan dalam baseline patch kustom. Saat Anda membuat atau memperbarui baseline patch, Anda memilih status yang ingin Anda tetapkan ke patch keamanan yang tersedia tetapi tidak disetujui karena tidak memenuhi kriteria instalasi yang ditentukan dalam baseline patch. Misalnya, patch keamanan yang mungkin ingin Anda instal dapat dilewati jika Anda telah menentukan jangka waktu yang lama untuk menunggu setelah patch dirilis sebelum instalasi. Jika pembaruan pada tambalan dirilis selama masa tunggu yang Anda tentukan, masa tunggu untuk menginstal tambalan dimulai lagi. Jika masa tunggu terlalu lama, beberapa versi patch dapat dirilis tetapi tidak pernah diinstal. Untuk hitungan ringkasan tambalan, ketika tambalan dilaporkan sebagai`AvailableSecurityUpdate`, itu akan selalu disertakan. `AvailableSecurityUpdateCount` Jika baseline dikonfigurasi untuk melaporkan patch ini sebagai`NonCompliant`, itu juga termasuk dalam. `SecurityNonCompliantCount` Jika baseline dikonfigurasi untuk melaporkan patch ini sebagai`Compliant`, mereka tidak termasuk dalam. `SecurityNonCompliantCount` Tambalan ini selalu dilaporkan dengan tingkat keparahan yang tidak ditentukan dan tidak pernah disertakan dalam. `CriticalNonCompliantCount`  |  Compliant atau Non-Compliant, tergantung pada opsi yang dipilih untuk pembaruan keamanan yang tersedia.  Menggunakan konsol untuk membuat atau memperbarui garis dasar tambalan, Anda menentukan opsi ini di bidang **Status kepatuhan pembaruan keamanan yang tersedia**. Menggunakan AWS CLI untuk menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)perintah [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)or, Anda menentukan opsi ini dalam `available-security-updates-compliance-status` parameter.   | 

¹ Untuk tambalan dengan status `INSTALLED_OTHER` dan`NOT_APPLICABLE`, Patch Manager menghilangkan beberapa data dari hasil kueri berdasarkan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html)perintah, seperti nilai untuk `Classification` dan. `Severity` Hal ini dilakukan untuk membantu mencegah melebihi batas data untuk node individu di Inventory, alat di AWS Systems Manager. Untuk melihat semua detail tambalan, Anda dapat menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html)perintah. 

# Menambal node terkelola yang tidak sesuai
<a name="patch-manager-compliance-remediation"></a>

Banyak AWS Systems Manager alat dan proses yang sama yang dapat Anda gunakan untuk memeriksa node terkelola untuk kepatuhan patch dapat digunakan untuk membuat node sesuai dengan aturan tambalan yang saat ini berlaku untuk mereka. Untuk membawa node terkelola ke dalam kepatuhan patchPatch Manager,, alat di AWS Systems Manager, harus menjalankan `Scan and install` operasi. (Jika tujuan Anda hanya untuk mengidentifikasi node terkelola yang tidak sesuai dan tidak memperbaikinya, jalankan operasi sebagai `Scan` gantinya. Untuk informasi lebih lanjut, lihat[Mengidentifikasi node terkelola yang tidak sesuai](patch-manager-find-noncompliant-nodes.md).)

**Instal patch menggunakan Systems Manager**  
Anda dapat memilih dari beberapa alat untuk menjalankan operasi `Scan and install`:
+ (Disarankan) Konfigurasikan kebijakan tambalan diQuick Setup, alat di Systems Manager, yang memungkinkan Anda menginstal tambalan yang hilang pada jadwal untuk seluruh organisasi, subset unit organisasi, atau satu. Akun AWS Untuk informasi selengkapnya, lihat [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md).
+ Buat jendela pemeliharaan yang menggunakan dokumen Systems Manager (dokumen SSM) `AWS-RunPatchBaseline` dalam tipe Run Command tugas. Untuk informasi, lihat [Tutorial: Buat jendela pemeliharaan untuk menambal menggunakan konsol](maintenance-window-tutorial-patching.md).
+ Jalankan secara manual `AWS-RunPatchBaseline` dalam suatu Run Command operasi. Untuk informasi, lihat [Menjalankan perintah dari konsol](running-commands-console.md).
+ Instal patch sesuai permintaan menggunakan opsi **Patch sekarang**. Untuk informasi, lihat [Menambal node terkelola sesuai permintaan](patch-manager-patch-now-on-demand.md).

# Mengidentifikasi eksekusi yang membuat data kepatuhan patch
<a name="patch-manager-compliance-data-overwrites"></a>

Data kepatuhan tambalan mewakili point-in-time snapshot dari operasi patching terbaru yang berhasil. Setiap laporan kepatuhan mencakup ID eksekusi dan waktu pengambilan yang membantu Anda mengidentifikasi operasi mana yang membuat data kepatuhan dan kapan dibuat.

Jika Anda memiliki beberapa jenis operasi untuk memindai instans Anda untuk kepatuhan patch, setiap pemindaian menimpa data kepatuhan patch dari pemindaian sebelumnya. Akibatnya, Anda mungkin berakhir dengan hasil yang tidak terduga dalam data kepatuhan patch Anda.

Misalnya, Anda membuat kebijakan tambalan yang memindai kepatuhan patch setiap hari pada pukul 2 pagi waktu setempat. Kebijakan tambalan itu menggunakan garis dasar tambalan yang menargetkan tambalan dengan tingkat keparahan yang ditandai sebagai`Critical`,, `Important` dan. `Moderate` Garis dasar tambalan ini juga menentukan beberapa tambalan yang ditolak secara khusus. 

Juga misalkan Anda sudah memiliki jendela pemeliharaan yang disiapkan untuk memindai kumpulan node terkelola yang sama setiap hari pada pukul 4 pagi waktu setempat, yang tidak Anda hapus atau nonaktifkan. Tugas jendela pemeliharaan itu menggunakan baseline tambalan yang berbeda, tugas yang hanya menargetkan tambalan dengan `Critical` tingkat keparahan dan tidak mengecualikan tambalan tertentu. 

Ketika pemindaian kedua ini dilakukan oleh jendela pemeliharaan, data kepatuhan patch dari pemindaian pertama dihapus dan diganti dengan kepatuhan patch dari pemindaian kedua. 

Oleh karena itu, kami sangat menyarankan hanya menggunakan satu metode otomatis untuk memindai dan menginstal dalam operasi penambalan Anda. Jika Anda menyiapkan kebijakan tambalan, Anda harus menghapus atau menonaktifkan metode pemindaian lain untuk kepatuhan tambalan. Untuk informasi selengkapnya, lihat topik berikut: 
+ Untuk menghapus tugas operasi tambalan dari jendela pemeliharaan - [Memperbarui atau membatalkan pendaftaran tugas jendela pemeliharaan menggunakan konsol](sysman-maintenance-update.md#sysman-maintenance-update-tasks) 
+ Untuk menghapus State Manager asosiasi —[Menghapus asosiasi](systems-manager-state-manager-delete-association.md).

Untuk menonaktifkan pemindaian kepatuhan patch harian dalam konfigurasi Manajemen Host, lakukan hal berikut di: Quick Setup

1. Di panel navigasi, pilih **Quick Setup**.

1. Pilih konfigurasi Manajemen Host untuk diperbarui.

1. Pilih **Tindakan, Edit konfigurasi**.

1. Kosongkan kotak centang **instance Pindai untuk patch yang hilang setiap hari**.

1. Pilih **Perbarui**.

**catatan**  
Menggunakan opsi **Patch now** untuk memindai node terkelola untuk kepatuhan juga menghasilkan penimpaan data kepatuhan patch. 

# Menambal node terkelola sesuai permintaan
<a name="patch-manager-patch-now-on-demand"></a>

Menggunakan opsi **Patch now** diPatch Manager, alat di AWS Systems Manager, Anda dapat menjalankan operasi patching sesuai permintaan dari konsol Systems Manager. Ini berarti Anda tidak perlu membuat jadwal untuk memperbarui status kepatuhan node terkelola Anda atau untuk menginstal tambalan pada node yang tidak sesuai. Anda juga tidak perlu mengganti konsol Systems Manager antara Patch Manager danMaintenance Windows, alat di AWS Systems Manager, untuk mengatur atau memodifikasi jendela patching terjadwal.

**Patch sekarang** sangat berguna ketika Anda harus menerapkan pembaruan zero-day atau menginstal patch penting lainnya pada node terkelola Anda sesegera mungkin.

**catatan**  
Penambalan sesuai permintaan didukung untuk satu Akun AWSWilayah AWS pasangan sekaligus. Itu tidak dapat digunakan dengan operasi penambalan yang didasarkan pada *kebijakan tambalan*. Sebaiknya gunakan kebijakan tambalan untuk menjaga agar semua node terkelola tetap sesuai. Untuk informasi selengkapnya tentang bekerja dengan kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

**Topics**
+ [Cara kerja 'Patch sekarang'](#patch-on-demand-how-it-works)
+ [Menjalankan 'Patch sekarang'](#run-patch-now)

## Cara kerja 'Patch sekarang'
<a name="patch-on-demand-how-it-works"></a>

Untuk menjalankan **Patch sekarang**, Anda hanya menentukan dua pengaturan yang diperlukan:
+ Apakah akan memindai patch yang hilang saja, atau untuk memindai *dan* menginstal tambalan pada node terkelola Anda
+ Yang mengelola node untuk menjalankan operasi pada

Ketika operasi **Patch sekarang** berjalan, ini menentukan baseline patch mana yang akan digunakan dengan cara yang sama yang dipilih untuk operasi patching lainnya. Jika node terkelola dikaitkan dengan grup tambalan, baseline patch yang ditentukan untuk grup tersebut akan digunakan. Jika node terkelola tidak terkait dengan grup patch, operasi menggunakan baseline patch yang saat ini ditetapkan sebagai default untuk jenis sistem operasi dari node terkelola. Ini bisa berupa baseline yang telah ditentukan sebelumnya, atau baseline kustom yang telah Anda tetapkan sebagai default. Untuk informasi lebih lanjut tentang pemilihan dasar tambalan, lihat. [Grup tambalan](patch-manager-patch-groups.md) 

Opsi yang dapat Anda tentukan untuk **Patch sekarang** termasuk memilih kapan, atau apakah, untuk me-reboot node terkelola setelah menambal, menentukan bucket Amazon Simple Storage Service (Amazon S3) untuk menyimpan data log untuk operasi penambalan, dan menjalankan dokumen Systems Manager (dokumen SSM) sebagai kait siklus hidup selama penambalan.

### Ambang batas konkurensi dan kesalahan untuk 'Patch sekarang'
<a name="patch-on-demand-concurrency"></a>

Untuk operasi **Patch now**, opsi konkurensi dan ambang kesalahan ditangani oleh. Patch Manager Anda tidak perlu menentukan berapa banyak node terkelola untuk ditambal sekaligus, atau berapa banyak kesalahan yang diizinkan sebelum operasi gagal. Patch Managermenerapkan pengaturan ambang konkurensi dan kesalahan yang dijelaskan dalam tabel berikut saat Anda menambal sesuai permintaan.

**penting**  
Ambang batas berikut hanya berlaku untuk `Scan and install` operasi. Untuk `Scan` operasi, Patch Manager mencoba memindai hingga 1.000 node secara bersamaan, dan lanjutkan pemindaian hingga mengalami hingga 1.000 kesalahan.


**Konkurensi: Instal operasi**  

| Jumlah total node terkelola dalam operasi **Patch sekarang** | Jumlah node terkelola yang dipindai atau ditambal pada suatu waktu | 
| --- | --- | 
| Kurang dari 25 | 1 | 
| 25-100 | 5% | 
| 101 hingga 1.000 | 8% | 
| Lebih dari 1.000 | 10% | 


**Ambang kesalahan: Instal operasi**  

| Jumlah total node terkelola dalam operasi **Patch sekarang** | Jumlah kesalahan yang diizinkan sebelum operasi gagal | 
| --- | --- | 
| Kurang dari 25 | 1 | 
| 25-100 | 5 | 
| 101 hingga 1.000 | 10 | 
| Lebih dari 1.000 | 10 | 

### Menggunakan kait siklus hidup 'Patch sekarang'
<a name="patch-on-demand-hooks"></a>

**Patch sekarang** memberi Anda kemampuan untuk menjalankan dokumen Perintah SSM sebagai kait siklus hidup selama operasi penambalan. `Install` Anda dapat menggunakan kait ini untuk tugas-tugas seperti mematikan aplikasi sebelum menambal atau menjalankan pemeriksaan kesehatan pada aplikasi Anda setelah menambal atau setelah reboot. 

Untuk informasi selengkapnya tentang penggunaan kait siklus hidup, lihat. [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md)

Tabel berikut mencantumkan kait siklus hidup yang tersedia untuk masing-masing dari tiga opsi **Patch now** reboot, selain penggunaan sampel untuk setiap hook.


**Kait siklus hidup dan penggunaan sampel**  

| Opsi reboot | Hook: Sebelum instalasi | Hook: Setelah instalasi | Hook: Saat keluar | Hook: Setelah dijadwalkan reboot | 
| --- | --- | --- | --- | --- | 
| Reboot jika diperlukan |  Jalankan dokumen SSM sebelum penambalan dimulai. Contoh penggunaan: Matikan aplikasi dengan aman sebelum proses patching dimulai.   |  Jalankan dokumen SSM di akhir operasi patching dan sebelum reboot node terkelola. Contoh penggunaan: Jalankan operasi seperti menginstal aplikasi pihak ketiga sebelum reboot potensial.  |  Jalankan dokumen SSM setelah operasi patching selesai dan instance di-reboot. Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah patch.  | Tidak tersedia | 
| Jangan reboot instance saya | Sama seperti di atas. |  Jalankan dokumen SSM di akhir operasi patching. Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah patch.  |  *Tidak tersedia*   |  *Tidak tersedia*   | 
| Jadwalkan waktu reboot | Sama seperti di atas. | Sama seperti untuk Jangan reboot instance saya. | Tidak tersedia |  Jalankan dokumen SSM segera setelah reboot terjadwal selesai. Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah reboot.  | 

## Menjalankan 'Patch sekarang'
<a name="run-patch-now"></a>

Gunakan prosedur berikut untuk menambal node terkelola Anda sesuai permintaan.

**Untuk menjalankan 'Patch sekarang'**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih **Patch sekarang**.

1. Untuk **Operasi patching**, pilih salah satu hal berikut:
   + **Pindai**: Patch Manager menemukan tambalan mana yang hilang dari node terkelola Anda tetapi tidak menginstalnya. Anda dapat melihat hasil di dasbor **Kepatuhan** atau alat lain yang Anda gunakan untuk melihat kepatuhan patch.
   + **Pindai dan instal**: Patch Manager menemukan tambalan mana yang hilang dari node terkelola Anda dan menginstalnya.

1. Gunakan langkah ini hanya jika Anda memilih **Pindai dan instal** pada langkah sebelumnya. Untuk **Opsi reboot**, pilih salah satu hal berikut:
   + **Reboot jika diperlukan**: Setelah instalasi, Patch Manager reboot node terkelola hanya jika diperlukan untuk menyelesaikan instalasi patch.
   + **Jangan reboot instance saya**: Setelah instalasi, Patch Manager tidak me-reboot node yang dikelola. Anda dapat me-reboot node secara manual ketika Anda memilih atau mengelola reboot di luar. Patch Manager
   + **Jadwalkan waktu reboot**: Tentukan tanggal, waktu, dan zona waktu UTC Patch Manager untuk me-reboot node terkelola Anda. Setelah Anda menjalankan operasi **Patch now**, reboot terjadwal terdaftar sebagai asosiasi State Manager dengan nama`AWS-PatchRebootAssociation`.
**penting**  
Jika Anda membatalkan operasi penambalan utama setelah dimulai, `AWS-PatchRebootAssociation` asosiasi di State Manager TIDAK dibatalkan secara otomatis. Untuk mencegah reboot yang tidak terduga, Anda harus menghapus `AWS-PatchRebootAssociation` secara manual State Manager jika Anda tidak lagi ingin reboot terjadwal terjadi. Kegagalan untuk melakukannya dapat mengakibatkan reboot sistem yang tidak direncanakan yang dapat memengaruhi beban kerja produksi. Anda dapat menemukan asosiasi ini di konsol Systems Manager di bawah **State Manager**> **Associations**.

1. Untuk **Instans untuk di-patch**, pilih salah satu hal berikut:
   + **Patch semua instance**: Patch Manager menjalankan operasi yang ditentukan pada semua node terkelola Akun AWS di Anda saat ini Wilayah AWS.
   + **Hanya menambal instance target yang saya tentukan**: Anda menentukan node terkelola mana yang akan ditargetkan pada langkah berikutnya.

1. Gunakan langkah ini hanya jika Anda memilih **Patch instans target yang saya tentukan saja** di langkah sebelumnya. Di bagian **Pemilihan target**, identifikasi node tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih node secara manual, atau menentukan grup sumber daya.
**catatan**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.  
Jika Anda memilih untuk menargetkan grup sumber daya, perhatikan bahwa grup sumber daya yang didasarkan pada AWS CloudFormation tumpukan harus tetap ditandai dengan `aws:cloudformation:stack-id` tag default. Jika telah dihapus, Patch Manager mungkin tidak dapat menentukan node terkelola mana yang termasuk dalam grup sumber daya.

1. (Opsional) Untuk **Penyimpanan log patching**, jika Anda ingin membuat dan menyimpan log dari operasi patching ini, pilih bucket S3 untuk menyimpan log.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instans (untuk instans EC2) atau peran layanan IAM (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan milik pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. (Opsional) Jika Anda ingin menjalankan dokumen SSM sebagai kait siklus hidup selama titik tertentu dari operasi patching, lakukan hal berikut:
   + Pilih **Gunakan kait siklus hidup**.
   + Untuk setiap kait yang tersedia, pilih dokumen SSM untuk dijalankan pada titik operasi yang ditentukan:
     + Sebelum instalasi
     + Setelah instalasi
     + Saat keluar
     + Setelah reboot terjadwal
**catatan**  
Dokumen default, `AWS-Noop`, tidak menjalankan operasi apa pun.

1. Pilih **Patch sekarang**.

   Halaman **Ringkasan eksekusi asosiasi** terbuka. (Patch sekarang menggunakan asosiasi diState Manager, alat di AWS Systems Manager, untuk operasinya.) Di area **ringkasan Operasi**, Anda dapat memantau status pemindaian atau penambalan pada node terkelola yang Anda tentukan.

# Bekerja dengan baseline patch
<a name="patch-manager-create-a-patch-baseline"></a>

Sebuah patch baseline inPatch Manager, alat di AWS Systems Manager, mendefinisikan patch mana yang disetujui untuk instalasi pada node terkelola Anda. Anda dapat menentukan patch yang disetujui atau ditolak satu per satu. Anda juga dapat membuat aturan persetujuan otomatis untuk menentukan bahwa jenis pembaruan tertentu (misalnya, pembaruan penting) harus disetujui secara otomatis. Daftar yang ditolak menggantikan aturan dan daftar persetujuan. Untuk menggunakan daftar patch yang disetujui untuk menginstal paket tertentu, pertama-tama Anda menghapus semua aturan persetujuan otomatis. Jika Anda secara eksplisit mengidentifikasi patch sebagai ditolak, patch tidak akan disetujui atau diinstal, bahkan jika cocok dengan semua kriteria dalam aturan persetujuan otomatis. Juga, tambalan diinstal pada node terkelola hanya jika itu berlaku untuk perangkat lunak pada node, bahkan jika patch tersebut telah disetujui untuk node terkelola.

**Topics**
+ [Melihat AWS baseline patch yang telah ditentukan](patch-manager-view-predefined-patch-baselines.md)
+ [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md)
+ [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md)

**Info lebih lanjut**  
+ [Garis dasar patch](patch-manager-patch-baselines.md)

# Melihat AWS baseline patch yang telah ditentukan
<a name="patch-manager-view-predefined-patch-baselines"></a>

Patch Manager, alat di AWS Systems Manager, termasuk baseline patch yang telah ditentukan untuk setiap sistem operasi yang didukung oleh. Patch Manager Anda dapat menggunakan dasar patch ini (Anda tidak dapat menyesuaikannya), atau Anda dapat membuat milik Anda sendiri. Prosedur berikut ini menjelaskan cara melihat dasar patch yang telah ditetapkan untuk melihat apakah memenuhi kebutuhan Anda. Untuk mempelajari selengkapnya tentang dasar patch, lihat [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md).

**Untuk melihat garis dasar AWS tambalan yang telah ditentukan**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Dalam daftar dasar patch, pilih ID baseline dari salah satu dasar patch yang telah ditetapkan.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih ID dasar** dari salah satu garis dasar tambalan yang telah ditentukan.
**catatan**  
Untuk Windows Server, disediakan tiga dasar patch yang telah ditetapkan. Garis dasar patch `AWS-DefaultPatchBaseline` dan hanya `AWS-WindowsPredefinedPatchBaseline-OS` mendukung pembaruan sistem operasi pada sistem operasi Windows itu sendiri. `AWS-DefaultPatchBaseline`digunakan sebagai baseline patch default untuk node Windows Server terkelola kecuali Anda menentukan baseline patch yang berbeda. Pengaturan konfigurasi di dua dasar patch ini sama. Yang lebih baru dari keduanya, `AWS-WindowsPredefinedPatchBaseline-OS`, dibuat untuk membedakannya dari dasar patch ketiga yang telah ditetapkan untuk Windows Server. Dasar patch tersebut, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, dapat digunakan untuk menerapkan patch ke ke sistem operasi Windows Server dan aplikasi yang didukung yang dirilis oleh Microsoft.  
Untuk informasi selengkapnya, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan**, tinjau konfigurasi baseline patch.

1. Jika konfigurasi dapat diterima untuk node terkelola Anda, Anda dapat langsung melanjutkan ke prosedur[Membuat dan mengelola grup patch](patch-manager-tag-a-patch-group.md). 

   -atau-

   Untuk membuat dasar patch default Anda sendiri, lanjutkan ke topik [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

# Bekerja dengan dasar patch kustom
<a name="patch-manager-manage-patch-baselines"></a>

Patch Manager, alat di AWS Systems Manager, termasuk baseline patch yang telah ditentukan untuk setiap sistem operasi yang didukung oleh. Patch Manager Anda dapat menggunakan dasar patch ini (Anda tidak dapat menyesuaikannya), atau Anda dapat membuat milik Anda sendiri. 

Prosedur berikut ini menjelaskan cara membuat, memperbarui, dan menghapus dasar patch kustom Anda sendiri. Untuk mempelajari selengkapnya tentang dasar patch, lihat [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md).

**Topics**
+ [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Membuat baseline patch khusus untuk macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Memperbarui atau menghapus baseline patch kustom](patch-manager-update-or-delete-a-patch-baseline.md)

# Membuat baseline patch khusus untuk Linux
<a name="patch-manager-create-a-patch-baseline-for-linux"></a>

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node yang dikelola Linux diPatch Manager, alat di. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node macOS terkelola, lihat. [Membuat baseline patch khusus untuk macOS](patch-manager-create-a-patch-baseline-for-macos.md) Untuk informasi tentang membuat baseline patch untuk node terkelola Windows, lihat. [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)

**Untuk membuat baseline patch khusus untuk node yang dikelola Linux**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih **Buat** baseline** patch.

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MyRHELPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih suatu sistem operasi, misalnya, `Red Hat Enterprise Linux`.

1. Jika Anda ingin mulai menggunakan baseline patch ini sebagai default untuk sistem operasi yang dipilih segera setelah Anda membuatnya, centang kotak di sebelah **Setel baseline patch ini sebagai baseline patch default** untuk instance. *operating system name*
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti`RedhatEnterpriseLinux7.4`. Pilihan default adalah `All`.
   + **Klasifikasi**: Jenis patch yang diberlakukan aturan persetujuan, seperti `Security` atau `Enhancement`. Pilihan default adalah `All`. 
**Tip**  
Anda dapat mengonfigurasi baseline patch untuk mengontrol apakah upgrade versi minor untuk Linux diinstal, seperti 7.8. RHEL Upgrade versi minor dapat diinstal secara otomatis dengan Patch Manager asalkan pembaruan tersedia di repositori yang sesuai.  
Untuk sistem operasi Linux, pemutakhiran versi minor tidak diklasifikasikan secara konsisten. Mereka dapat diklasifikasikan sebagai perbaikan bug atau pembaruan keamanan, atau tidak diklasifikasikan, bahkan dalam versi kernel yang sama. Berikut ini adalah beberapa pilihan untuk mengendalikan apakah dasar patch menginstalnya.   
**Opsi 1**: Aturan persetujuan terluas untuk memastikan pemutakhiran versi minor diinstal ketika tersedia adalah dengan menentukan **Klasifikasi** sebagai `All` (\$1) dan pilih opsi **Sertakan pembaruan non-keamanan**.
**Opsi 2**: Untuk memastikan patch untuk versi sistem operasi diinstal, Anda dapat menggunakan wildcard (\$1) untuk menentukan format kernel di bagian **Pengecualian patch** dari baseline. Sebagai contoh, format kernel untuk RHEL 7.\$1 adalah `kernel-3.10.0-*.el7.x86_64`.  
Masukkan `kernel-3.10.0-*.el7.x86_64` daftar **Patch yang disetujui** di baseline patch Anda untuk memastikan semua tambalan, termasuk peningkatan versi minor, diterapkan ke node terkelola 7.\$1 Anda. RHEL (Jika Anda tahu persis nama paket dari patch versi minor, Anda dapat memasukkan itu sebagai gantinya.)
**Opsi 3**: Anda dapat memiliki kontrol paling besar atas tambalan mana yang diterapkan ke node terkelola Anda, termasuk peningkatan versi minor, dengan menggunakan [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)parameter dalam dokumen. `AWS-RunPatchBaseline` Untuk informasi selengkapnya, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan, seperti `Critical`. Pilihan default adalah `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
**catatan**  
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau terakhir diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Pelaporan kepatuhan**: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. `Critical` `High`
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.
   + **Sertakan pembaruan non-keamanan**: Pilih kotak centang untuk menginstal patch sistem operasi Linux non-keamanan yang tersedia di repositori sumber, selain patch terkait keamanan. 

   Untuk informasi selengkapnya tentang bekerja dengan aturan persetujuan di dasar patch kustom, lihat [Garis dasar kustom](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Jika Anda ingin secara eksplisit menyetujui patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang disetujui**, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + (Opsional) Untuk **Tingkat kepatuhan patch yang disetujui**, tetapkan tingkat kepatuhan pada patch dalam daftar.
   + Jika ada patch yang disetujui yang Anda tentukan tidak terkait dengan keamanan, pilih kotak centang **Sertakan pembaruan non-keamanan** untuk tambalan ini yang akan diinstal pada sistem operasi Linux Anda juga.

1. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang ditolak**, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + Untuk **tindakan tambalan Ditolak**, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan **Ditolak**. Patch Manager
     + **Diizinkan sebagai dependensi**: Sebuah paket di daftar **Patch yang ditolak** diinstal hanya jika merupakan dependensi dari paket lain. Ini dianggap sesuai dengan baseline patch dan statusnya dilaporkan sebagai. *InstalledOther* Ini adalah tindakan default jika tidak ada pilihan yang ditentukan.
     + **Blokir**: Paket dalam daftar **tambalan Ditolak**, dan paket yang menyertakannya sebagai dependensi, tidak diinstal dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar **tambalan Ditolak**, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. *InstalledRejected*
**catatan**  
Patch Managermencari dependensi tambalan secara rekursif.

1. **(Opsional) Jika Anda ingin menentukan repositori patch alternatif untuk versi sistem operasi yang berbeda, seperti *AmazonLinux2016.03 dan *AmazonLinux2017.09**, lakukan hal berikut untuk setiap produk di bagian Sumber Patch:**
   + Di **Nama**, masukkan nama untuk membantu Anda mengidentifikasi konfigurasi sumber.
   + Di **Produk**, pilih versi sistem operasi yang digunakan untuk repositori sumber patch, seperti `RedhatEnterpriseLinux7.4`.
   + Dalam **Konfigurasi**, masukkan nilai konfigurasi repositori untuk digunakan dalam format yang sesuai:

------
#### [  Example for yum repositories  ]

     ```
     [main]
     name=MyCustomRepository
     baseurl=https://my-custom-repository
     enabled=1
     ```

**Tip**  
Untuk informasi tentang opsi lain yang tersedia untuk konfigurasi repositori yum Anda, lihat [dnf.conf (5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).

------
#### [  Examples for Ubuntu Server and Debian Server ]

      `deb http://security.ubuntu.com/ubuntu jammy main` 

      `deb https://site.example.com/debian distribution component1 component2 component3` 

     Informasi repo untuk Ubuntu Server repositori harus ditentukan dalam satu baris. [https://wiki.debian.org/SourcesList#sources.list_format](https://wiki.debian.org/SourcesList#sources.list_format)

------

     Pilih **Tambah sumber lain** untuk menentukan repositori sumber untuk setiap versi sistem operasi tambahan, hingga maksimum 20.

     Untuk informasi selengkapnya tentang repositori patch sumber alternatif, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, keluarga sistem operasi tempat patch diterapkan, dan jenis lingkungan. Dalam hal ini, Anda dapat menentukan tag yang mirip dengan name/value pasangan kunci berikut:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Pilih **Buat dasar patch**.

# Membuat baseline patch khusus untuk macOS
<a name="patch-manager-create-a-patch-baseline-for-macos"></a>

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node macOS terkelola diPatch Manager, alat di. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node Windows Server terkelola, lihat. [Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md) Untuk informasi tentang membuat baseline patch untuk node terkelola Linux, lihat. [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md) 

**catatan**  
macOStidak didukung sama sekali Wilayah AWS. Untuk informasi selengkapnya tentang dukungan Amazon EC2macOS, lihat instans [Amazon EC2 Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) di Panduan Pengguna Amazon *EC2*.

**Untuk membuat baseline patch kustom untuk macOS node terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih **Buat** baseline** patch.

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MymacOSPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih macOS.

1. Jika Anda ingin mulai menggunakan dasar patch ini sebagai default untuk macOS segera setelah Anda membuatnya, centang kotak di sebelah **Atur dasar patch ini sebagai dasar patch default untuk instans macOS**.
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti `BigSur11.3.1` atau`Ventura13.7`. Pilihan default adalah `All`.
   + **Klasifikasi**: Pengelola paket atau beberapa pengelola paket yang Anda ingin terapkan paket selama proses patching. Anda memilih dari yang berikut ini:
     + softwareupdate
     + installer
     + brew
     + brew cask

     Pilihan default adalah `All`. 
   + (Opsional) **Pelaporan kepatuhan**: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. `Critical` `High`
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

   Untuk informasi selengkapnya tentang bekerja dengan aturan persetujuan di dasar patch kustom, lihat [Garis dasar kustom](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Jika Anda ingin secara eksplisit menyetujui patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang disetujui**, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + (Opsional) Untuk **Tingkat kepatuhan patch yang disetujui**, tetapkan tingkat kepatuhan pada patch dalam daftar.

1. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang ditolak**, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + Untuk **tindakan tambalan Ditolak**, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan **Ditolak**. Patch Manager
     + **Diizinkan sebagai dependensi**: Sebuah paket di daftar **Patch yang ditolak** diinstal hanya jika merupakan dependensi dari paket lain. Ini dianggap sesuai dengan baseline patch dan statusnya dilaporkan sebagai. *InstalledOther* Ini adalah tindakan default jika tidak ada pilihan yang ditentukan.
     + **Blokir**: Paket dalam daftar **tambalan Ditolak**, dan paket yang menyertakannya sebagai dependensi, tidak diinstal dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar **tambalan Ditolak**, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. *InstalledRejected*

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, pengelola paket tempat patch diterapkan, dan jenis lingkungan. Dalam hal ini, Anda dapat menentukan tag yang mirip dengan name/value pasangan kunci berikut:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=PackageManager,Value=softwareupdate`
   + `Key=Environment,Value=Production`

1. Pilih **Buat dasar patch**.

# Membuat baseline patch khusus untuk Windows Server
<a name="patch-manager-create-a-patch-baseline-for-windows"></a>

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node yang dikelola Windows diPatch Manager, alat di. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node terkelola Linux, lihat. [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md) Untuk informasi tentang membuat baseline patch untuk node macOS terkelola, lihat. [Membuat baseline patch khusus untuk macOS](patch-manager-create-a-patch-baseline-for-macos.md)

Untuk contoh membuat dasar patch yang terbatas untuk menginstal Windows Service Pack saja, lihat [Tutorial: Buat baseline patch untuk menginstal Paket Layanan Windows menggunakan konsol](patch-manager-windows-service-pack-patch-baseline-tutorial.md).

**Untuk membuat dasar patch kustom (Windows)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline. 

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, pilih tab **Garis dasar Patch, lalu pilih **Buat** baseline** patch.

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MyWindowsPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih `Windows`.

1. ****Untuk **status kepatuhan pembaruan keamanan yang tersedia**, pilih status yang ingin Anda tetapkan ke patch keamanan yang tersedia tetapi tidak disetujui karena tidak memenuhi kriteria penginstalan yang ditentukan dalam baseline patch, Non-Compliant atau Compliant.****

   Contoh skenario: Patch keamanan yang mungkin ingin Anda instal dapat dilewati jika Anda telah menentukan jangka waktu yang lama untuk menunggu setelah patch dirilis sebelum instalasi. Jika pembaruan tambalan dirilis selama masa tunggu yang Anda tentukan, masa tunggu untuk menginstal tambalan dimulai lagi. Jika masa tunggu terlalu lama, beberapa versi patch dapat dirilis tetapi tidak pernah diinstal.

1. Jika Anda ingin mulai menggunakan dasar patch ini sebagai default untuk Windows segera setelah Anda membuatnya, pilih **Atur dasar patch ini sebagai dasar patch default untuk instans Windows Server**.
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti`WindowsServer2012`. Pilihan default adalah `All`.
   + **Klasifikasi**: Jenis patch yang diberlakukan aturan persetujuan, seperti `CriticalUpdates`, `Drivers`, dan `Tools`. Pilihan default adalah `All`. 
**Tip**  
Anda dapat menyertakan instalasi Windows Service Pack dalam aturan persetujuan Anda dengan menyertakan `ServicePacks` atau dengan memilih `All` di daftar **Klasifikasi** Anda. Sebagai contoh, lihat [Tutorial: Buat baseline patch untuk menginstal Paket Layanan Windows menggunakan konsol](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan, seperti `Critical`. Pilihan default adalah `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Laporan kepatuhan**: Tingkat kepelikan yang ingin Anda tetapkan untuk patch yang disetujui oleh baseline, seperti `High`.
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

1. (Opsional) Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
**catatan**  
Alih-alih menentukan aturan persetujuan, Anda dapat menentukan daftar patch yang disetujui dan ditolak sebagai pengecualian patch. Lihat langkah 10 dan 11. 
   + **Keluarga produk**: Keluarga produk Microsoft umum yang Anda ingin tentukan aturan, seperti `Office` atau `Exchange Server`.
   + **Produk**: Versi aplikasi yang berlaku untuk aturan persetujuan, seperti `Office 2016` atau`Active Directory Rights Management Services Client 2.0 2016`. Pilihan default adalah `All`.
   + **Klasifikasi**: Jenis patch yang diberlakukan aturan persetujuan, seperti `CriticalUpdates`. Pilihan default adalah `All`. 
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan, seperti `Critical`. Pilihan default adalah `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Pelaporan kepatuhan**: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. `Critical` `High`
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

1. (Opsional) Jika Anda ingin secara eksplisit menyetujui patch apa saja dan bukan membiarkan patch dipilih sesuai dengan aturan persetujuan, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang disetujui**, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + (Opsional) Untuk **Tingkat kepatuhan patch yang disetujui**, tetapkan tingkat kepatuhan pada patch dalam daftar.

1. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian **Pengecualian patch**:
   + Untuk **Patch yang ditolak**, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

     Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
   + Untuk **tindakan tambalan Ditolak**, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan **Ditolak**. Patch Manager
     + **Izinkan sebagai ketergantungan**: Windows Server tidak mendukung konsep dependensi paket. Jika sebuah paket dalam daftar **tambalan Ditolak** dan sudah diinstal pada node, statusnya dilaporkan sebagai`INSTALLED_OTHER`. Paket apa pun yang belum diinstal pada node dilewati. 
     + **Blokir**: Paket dalam daftar **tambalan Ditolak** tidak diinstal oleh dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar **tambalan Ditolak**, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. `INSTALLED_REJECTED`

     Untuk informasi selengkapnya tentang tindakan paket yang ditolak, lihat [Opsi daftar tambalan yang ditolak di garis dasar tambalan kustom](patch-manager-windows-and-linux-differences.md#rejected-patches-diff). 

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, keluarga sistem operasi tempat patch diterapkan, dan jenis lingkungan. Dalam hal ini, Anda dapat menentukan tag yang mirip dengan name/value pasangan kunci berikut:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Pilih **Buat dasar patch**.

# Memperbarui atau menghapus baseline patch kustom
<a name="patch-manager-update-or-delete-a-patch-baseline"></a>

Anda dapat memperbarui atau menghapus baseline patch kustom yang telah Anda buatPatch Manager, alat di. AWS Systems Manager Ketika Anda memperbarui dasar patch, Anda dapat mengubah nama atau deskripsi, aturan persetujuan, dan pengecualian untuk patch yang disetujui dan ditolak. Anda juga dapat memperbarui tag yang diterapkan ke dasar patch. Anda tidak dapat mengubah jenis sistem operasi yang telah dibuat untuk baseline patch, dan Anda tidak dapat membuat perubahan pada baseline patch yang telah ditentukan sebelumnya yang disediakan oleh. AWS

## Memperbarui atau menghapus baseline patch
<a name="sysman-maintenance-update-mw"></a>

Ikuti langkah-langkah berikut ini untuk memperbarui atau menghapus dasar patch.

**penting**  
 Berhati-hatilah saat menghapus baseline patch kustom yang mungkin digunakan oleh konfigurasi kebijakan tambalan di. Quick Setup  
Jika Anda menggunakan [konfigurasi kebijakan tambalan](patch-manager-policies.md) diQuick Setup, pembaruan yang Anda buat ke baseline patch kustom disinkronkan dengan Quick Setup satu jam sekali.   
Jika baseline patch kustom yang direferensikan dalam kebijakan tambalan dihapus, spanduk akan ditampilkan di halaman **Detail Quick Setup konfigurasi** untuk kebijakan tambalan Anda. Spanduk memberi tahu Anda bahwa kebijakan tambalan mereferensikan baseline tambalan yang tidak ada lagi, dan operasi penambalan berikutnya akan gagal. Dalam hal ini, kembali ke halaman Quick Setup **Konfigurasi**, pilih Patch Manager konfigurasi, dan pilih **Tindakan**, **Edit konfigurasi**. Nama dasar patch yang dihapus disorot, dan Anda harus memilih baseline patch baru untuk sistem operasi yang terpengaruh.

**Untuk memperbarui atau menghapus baseline patch**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih dasar patch yang ingin Anda perbarui atau hapus, lalu lakukan salah satu hal berikut:
   + **Untuk menghapus baseline patch dari Anda Akun AWS, pilih Hapus.** Sistem meminta Anda untuk mengonfirmasi tindakan Anda. 
   + Untuk membuat perubahan pada nama atau deskripsi, aturan persetujuan, atau pengecualian patch untuk dasar patch tersebut, pilih **Edit**. Pada halaman **Edit dasar patch**, ubah nilai dan pilihan yang Anda inginkan, lalu pilih **Simpan perubahan**. 
   + Untuk menambah, mengubah, atau menghapus tag yang diterapkan ke dasar patch, pilih tab **Tag**, dan kemudian pilih **Edit tag**. Pada halaman **Edit tag dasar patch**, buat pembaruan ke tag dasar patch, lalu pilih **Simpan perubahan**. 

   Untuk informasi tentang pilihan konfigurasi yang dapat Anda buat, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

# Mengatur dasar patch yang ada sebagai default
<a name="patch-manager-default-patch-baseline"></a>

**penting**  
Setiap pilihan dasar tambalan default yang Anda buat di sini tidak berlaku untuk operasi penambalan yang didasarkan pada kebijakan tambalan. Kebijakan patch menggunakan spesifikasi dasar patch mereka sendiri. Untuk informasi selengkapnya tentang kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

Saat Anda membuat baseline patch kustom diPatch Manager, alat di AWS Systems Manager, Anda dapat mengatur baseline sebagai default untuk jenis sistem operasi terkait segera setelah Anda membuatnya. Untuk informasi, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).

Anda juga dapat mengatur dasar patch yang ada sebagai default untuk sebuah jenis sistem operasi.

**catatan**  
Langkah-langkah yang Anda ikuti bergantung pada apakah Anda pertama kali mengakses Patch Manager sebelum atau setelah rilis kebijakan tambalan pada 22 Desember 2022. Jika Anda menggunakan Patch Manager sebelum tanggal itu, Anda dapat menggunakan prosedur konsol. Jika tidak, gunakan AWS CLI prosedurnya. Menu **Tindakan** yang direferensikan dalam prosedur konsol tidak ditampilkan di Wilayah yang Patch Manager tidak digunakan sebelum rilis kebijakan tambalan.

**Untuk mengatur dasar patch yang ada sebagai default**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Dasar patch**.

1. Dalam daftar dasar patch, pilih tombol dasar patch yang saat ini tidak diatur sebagai default untuk suatu jenis sistem operasi.

   Kolom **Baseline default** menunjukkan baseline apa yang saat ini diatur sebagai default.

1. Di menu **Tindakan**, pilih **Atur dasar patch default**.
**penting**  
Menu **Tindakan** tidak tersedia jika Anda tidak bekerja dengan Patch Manager saat ini Akun AWS dan Wilayah sebelum 22 Desember 2022. Lihat **Catatan** sebelumnya dalam topik ini untuk informasi lebih lanjut.

1. Di kotak dialog konfirmasi, pilih **Atur default**.

**Untuk mengatur baseline patch sebagai default ()AWS CLI**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html)perintah untuk melihat daftar baseline patch yang tersedia dan mereka dan IDs Amazon Resource Names ()ARNs.

   ```
   aws ssm describe-patch-baselines
   ```

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html)perintah untuk menetapkan garis dasar sebagai default untuk sistem operasi yang terkait dengannya. Ganti *baseline-id-or-ARN* dengan ID baseline patch kustom atau baseline yang telah ditentukan untuk digunakan. 

------
#### [ Linux & macOS ]

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id baseline-id-or-ARN
   ```

   Berikut ini adalah contoh pengaturan baseline kustom sebagai default.

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id pb-abc123cf9bEXAMPLE
   ```

   Berikut ini adalah contoh pengaturan garis dasar yang telah ditentukan yang dikelola oleh AWS sebagai default.

   ```
   aws ssm register-default-patch-baseline \
       --baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id baseline-id-or-ARN
   ```

   Berikut ini adalah contoh pengaturan baseline kustom sebagai default.

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id pb-abc123cf9bEXAMPLE
   ```

   Berikut ini adalah contoh pengaturan garis dasar yang telah ditentukan yang dikelola oleh AWS sebagai default.

   ```
   aws ssm register-default-patch-baseline ^
       --baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
   ```

------

# Melihat metrik yang tersedia
<a name="patch-manager-view-available-patches"></a>

DenganPatch Manager, alat di AWS Systems Manager, Anda dapat melihat semua tambalan yang tersedia untuk sistem operasi tertentu dan, secara opsional, versi sistem operasi tertentu.

**Tip**  
Untuk menghasilkan daftar tambalan yang tersedia dan menyimpannya ke file, Anda dapat menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html)perintah dan menentukan [output](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html) pilihan Anda.

**Untuk melihat patch yang tersedia**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch**.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, lalu pilih tab **Patch**.
**catatan**  
UntukWindows Server, tab **Patch** menampilkan pembaruan yang tersedia dari Windows Server Update Service (WSUS).

1. Untuk **Sistem operasi**, pilih sistem operasi yang ingin Anda lihat patch yang tersedia, seperti `Windows` atau `Amazon Linux`.

1. (Opsional) Untuk **Produk**, pilih versi OS, seperti `WindowsServer2019` atau `AmazonLinux2018.03`.

1. (Opsional) Untuk menambah atau menghapus kolom informasi untuk hasil Anda, pilih tombol konfigurasikan (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/configure-button.png)) di kanan atas daftar **Patch**. (Secara default, tab **Patch** menampilkan kolom untuk hanya beberapa metadata patch yang tersedia.)

   Untuk informasi tentang jenis metadata yang dapat Anda tambahkan ke tampilan Anda, lihat [Patch](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) dalam *Referensi API AWS Systems Manager *.

# Membuat dan mengelola grup patch
<a name="patch-manager-tag-a-patch-group"></a>

Jika Anda *tidak* menggunakan kebijakan tambalan dalam operasi Anda, Anda dapat mengatur upaya penambalan Anda dengan menambahkan node terkelola ke grup tambalan dengan menggunakan tag.

**catatan**  
Grup tambalan tidak digunakan dalam operasi penambalan yang didasarkan pada *kebijakan tambalan*. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).  
Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.

Untuk menggunakan tag dalam operasi penambalan, Anda harus menerapkan kunci tag `Patch Group` atau `PatchGroup` ke node terkelola Anda. Anda juga harus menentukan nama yang ingin Anda berikan pada grup tambalan sebagai nilai tag. Anda dapat menentukan nilai tag apa pun, tetapi kunci tag harus `Patch Group` atau`PatchGroup`.

`PatchGroup`(tanpa spasi) diperlukan jika Anda [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS). 

Setelah mengelompokkan node terkelola menggunakan tag, Anda menambahkan nilai grup patch ke baseline patch. Dengan mendaftarkan grup patch dengan dasar patch, Anda memastikan bahwa patch yang benar diinstal selama operasi patching. Untuk informasi selengkapnya tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md).

Selesaikan tugas dalam topik ini untuk mempersiapkan node terkelola Anda untuk ditambal menggunakan tag dengan node dan patch baseline Anda. Tugas 1 hanya diperlukan jika Anda menambal instans Amazon EC2. Tugas 2 hanya diperlukan jika Anda menambal instans non-EC2 di lingkungan [hybrid](operating-systems-and-machine-types.md#supported-machine-types) dan multicloud. Tugas 3 diperlukan untuk semua node yang dikelola.

**Tip**  
Anda juga dapat menambahkan tag ke node terkelola menggunakan AWS CLI perintah `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` atau operasi Systems Manager API ssm-agent-minimum-s `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)` 3-permissions-required.

**Topics**
+ [Tugas 1: Tambahkan instans EC2 ke grup patch menggunakan tag](#sysman-patch-group-tagging-ec2)
+ [Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag](#sysman-patch-group-tagging-managed)
+ [Tugas 3: Tambahkan grup patch ke dasar patch](#sysman-patch-group-patchbaseline)

## Tugas 1: Tambahkan instans EC2 ke grup patch menggunakan tag
<a name="sysman-patch-group-tagging-ec2"></a>

Anda dapat menambahkan tag ke instans EC2 menggunakan konsol Systems Manager atau konsol Amazon EC2. Tugas ini hanya diperlukan jika Anda menambal instans Amazon EC2.

**penting**  
Anda tidak dapat menerapkan `Patch Group` tag (dengan spasi) ke instans Amazon EC2 jika opsi **Izinkan tag dalam metadata instans diaktifkan pada instance**. Mengizinkan tag dalam metadata instance mencegah nama kunci tag berisi spasi. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan kunci tag `PatchGroup` (tanpa spasi).

**Opsi 1: Untuk menambahkan instans EC2 ke grup patch (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Dalam daftar **Managed nodes**, pilih ID dari instans EC2 terkelola yang ingin Anda konfigurasikan untuk ditambal. ID node untuk instans EC2 dimulai dengan. `i-`
**catatan**  
Saat menggunakan konsol Amazon EC2 dan AWS CLI, Anda dapat menerapkan `Key = Patch Group` atau memberi `Key = PatchGroup` tag ke instance yang belum dikonfigurasi untuk digunakan dengan Systems Manager.  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Pilih tab **Tag**, lalu pilih **Edit**.

1. Di kolom kiri, masukkan **Patch Group** atau**PatchGroup**. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi).

1. Di kolom kanan, masukkan nilai tag untuk dijadikan nama untuk grup tambalan.

1. Pilih **Simpan**.

1. Ulangi prosedur ini untuk menambahkan instance EC2 lainnya ke grup patch yang sama.

**Opsi 2: Untuk menambahkan instans EC2 ke grup tambalan (konsol Amazon EC2)**

1. Buka [konsol Amazon EC2](https://console.aws.amazon.com/ec2/), lalu pilih **Instans** di panel navigasi. 

1. Di daftar instans terkelola, pilih instans yang ingin Anda konfigurasikan untuk patching.

1. Di menu **Tindakan**, pilih **Pengaturan instans**, **Kelola tag**.

1. Pilih **Tambahkan tag baru**.

1. Untuk **Kunci**, masukkan **Patch Group** atau**PatchGroup**. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi).

1. Untuk **Nilai**, masukkan nilai untuk dijadikan nama untuk grup patch.

1. Pilih **Simpan**.

1. Ulangi prosedur ini untuk menambahkan instans lainnya ke grup patch yang sama.

## Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag
<a name="sysman-patch-group-tagging-managed"></a>

Ikuti langkah-langkah dalam topik ini untuk menambahkan tag ke perangkat AWS IoT Greengrass inti dan node terkelola yang diaktifkan hibrida non-EC2 (mi-\$1). Tugas ini hanya diperlukan jika Anda menambal instans non-EC2 di lingkungan hybrid dan multicloud.

**catatan**  
Anda tidak dapat menambahkan tag untuk node terkelola non-EC2 menggunakan konsol Amazon EC2.

**Untuk menambahkan node terkelola non-EC2 ke grup patch (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Dalam daftar **Managed nodes**, pilih nama node terkelola yang ingin Anda konfigurasikan untuk ditambal.
**catatan**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Pilih tab **Tag**, lalu pilih **Edit**.

1. Di kolom kiri, masukkan **Patch Group** atau**PatchGroup**. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi).

1. Di kolom kanan, masukkan nilai tag untuk dijadikan nama untuk grup tambalan.

1. Pilih **Simpan**.

1. Ulangi prosedur ini untuk menambahkan node terkelola lainnya ke grup patch yang sama.

## Tugas 3: Tambahkan grup patch ke dasar patch
<a name="sysman-patch-group-patchbaseline"></a>

Untuk mengaitkan baseline patch tertentu dengan node terkelola Anda, Anda harus menambahkan nilai grup patch ke baseline patch. Dengan mendaftarkan grup patch dengan dasar patch, Anda memastikan bahwa patch yang benar diinstal selama operasi patching. Tugas ini diperlukan apakah Anda menambal instans EC2, node terkelola non-EC2, atau keduanya.

Untuk informasi selengkapnya tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md).

**catatan**  
Langkah-langkah yang Anda ikuti bergantung pada apakah Anda pertama kali mengakses Patch Manager sebelum atau setelah rilis [kebijakan tambalan](patch-manager-policies.md) pada 22 Desember 2022.

**Untuk menambahkan grup patch ke baseline patch (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Jika Anda mengakses Patch Manager untuk pertama kalinya di saat ini Wilayah AWS dan halaman Patch Manager awal terbuka, pilih **Mulai dengan ikhtisar**.

1. Pilih tab **Patch baselines**, dan kemudian di daftar **garis dasar Patch, pilih nama baseline** patch yang ingin Anda konfigurasikan untuk grup patch Anda.

   Jika Anda tidak mengakses terlebih dahulu Patch Manager hingga setelah rilis kebijakan tambalan, Anda harus memilih baseline khusus yang telah Anda buat.

1. Jika halaman detail **ID Baseline** menyertakan menu **Tindakan**, lakukan hal berikut: 
   + Pilih **Tindakan**, kemudian **Modifikasi grup patch**.
   + Masukkan *nilai* tag yang Anda tambahkan ke node terkelola[Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag](#sysman-patch-group-tagging-managed), lalu pilih **Tambah**.

   Jika halaman detail **ID Dasar** *tidak* menyertakan menu **Tindakan**, grup tambalan tidak dapat dikonfigurasi di konsol. Sebagai gantinya, Anda dapat melakukan salah satu dari hal berikut:
   + (Disarankan) Siapkan kebijakan tambalan diQuick Setup, alat di AWS Systems Manager, untuk memetakan baseline tambalan ke satu atau beberapa instans EC2.

     Untuk informasi selengkapnya, lihat [Menggunakan kebijakan Quick Setup tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) dan [Mengotomatiskan penambalan di seluruh organisasi menggunakan kebijakan tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html). Quick Setup
   + Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html)perintah di AWS Command Line Interface (AWS CLI) untuk mengkonfigurasi grup patch.

# Integrasi dengan Patch Manager AWS Security Hub CSPM
<a name="patch-manager-security-hub-integration"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberi Anda pandangan komprehensif tentang keadaan keamanan Anda di AWS. Security Hub CSPM mengumpulkan data keamanan dari seluruh Akun AWS Layanan AWS, dan mendukung produk mitra pihak ketiga. Dengan Security Hub CSPM, Anda dapat memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub CSPM membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi.

Dengan menggunakan integrasi antaraPatch Manager, alat di, dan Security Hub CSPM AWS Systems Manager, Anda dapat mengirim temuan tentang node yang tidak sesuai dari ke Security Patch Manager Hub CSPM. Temuan adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub CSPM kemudian dapat menyertakan temuan terkait tambalan tersebut dalam analisisnya tentang postur keamanan Anda.

Informasi dalam topik berikut berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi patching Anda:
+ Kebijakan tambalan yang dikonfigurasi di Quick Setup
+ Opsi Manajemen Host yang dikonfigurasi di Quick Setup
+ Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
+ **Patch sesuai permintaan sekarang beroperasi**

**Contents**
+ [Cara Patch Manager mengirimkan temuan ke Security Hub CSPM](#securityhub-integration-sending-findings)
  + [Jenis temuan yang dikirim Patch Manager](#securityhub-integration-finding-types)
  + [Latensi untuk mengirim temuan](#securityhub-integration-finding-latency)
  + [Mencoba lagi saat CSPM Security Hub tidak tersedia](#securityhub-integration-retry-send)
  + [Melihat temuan di Security Hub CSPM](#securityhub-integration-view-findings)
+ [Temuan standar dari Patch Manager](#securityhub-integration-finding-example)
+ [Mengaktifkan dan mengonfigurasikan integrasi](#securityhub-integration-enable)
+ [Bagaimana cara menghentikan pengiriman temuan](#securityhub-integration-disable)

## Cara Patch Manager mengirimkan temuan ke Security Hub CSPM
<a name="securityhub-integration-sending-findings"></a>

Di Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh pihak lain Layanan AWS atau oleh mitra pihak ketiga. Security Hub CSPM juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

 Patch Manageradalah salah satu alat Systems Manager yang mengirimkan temuan ke Security Hub CSPM. Setelah Anda melakukan operasi penambalan dengan menjalankan dokumen SSM (`AWS-RunPatchBaseline`,, atau`AWS-RunPatchBaselineWithHooks`)`AWS-RunPatchBaselineAssociation`, informasi penambalan dikirim ke Inventaris atau Kepatuhan, alat di AWS Systems Manager, atau keduanya. Setelah Inventaris, Kepatuhan, atau keduanya menerima data, Patch Manager menerima pemberitahuan. Kemudian, Patch Manager mengevaluasi data untuk akurasi, pemformatan, dan kepatuhan. Jika semua kondisi terpenuhi, Patch Manager teruskan data ke Security Hub CSPM.

Security Hub CSPM menyediakan alat untuk mengelola temuan dari seluruh sumber ini. Anda dapat melihat dan mem-filter daftar temuan dan melihat detail suatu temuan. Untuk informasi lebih lanjut, lihat [Melihat temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) dalam *Panduan Pengguna AWS Security Hub *. Anda juga dapat melacak status penyelidikan temuan. Untuk informasi lebih lanjut, lihat [Mengambil tindakan pada temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) dalam *Panduan Pengguna AWS Security Hub *.

Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi lebih lanjut, lihat [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) di *Panduan Pengguna AWS Security Hub *.

### Jenis temuan yang dikirim Patch Manager
<a name="securityhub-integration-finding-types"></a>

Patch Managermengirimkan temuan ke Security Hub CSPM menggunakan [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). Dalam ASFF, bidang `Types` menyediakan jenis temuan. Temuan dari Patch Manager memiliki nilai sebagai berikut untuk`Types`:
+  Checks/Patch Manajemen Perangkat Lunak dan Konfigurasi

 Patch Managermengirimkan satu temuan per node terkelola yang tidak sesuai. Temuan ini dilaporkan dengan tipe sumber daya [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance)sehingga temuan dapat dikorelasikan dengan integrasi CSPM Security Hub lainnya yang melaporkan jenis sumber daya. `AwsEc2Instance` Patch Managerhanya meneruskan temuan ke Security Hub CSPM jika operasi menemukan node yang dikelola tidak sesuai. Temuan ini mencakup hasil Ringkasan Patch. 

**catatan**  
Setelah melaporkan node yang tidak sesuai ke Security Hub CSPM. Patch Managertidak mengirim pembaruan ke Security Hub CSPM setelah node dibuat sesuai. Anda dapat menyelesaikan temuan secara manual di Security Hub CSPM setelah patch yang diperlukan diterapkan ke node terkelola.

Untuk informasi selengkapnya tentang definisi kepatuhan, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md). Untuk informasi selengkapnya`PatchSummary`, lihat [PatchSummary](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)di *Referensi AWS Security Hub API*.

### Latensi untuk mengirim temuan
<a name="securityhub-integration-finding-latency"></a>

Saat Patch Manager membuat temuan baru, biasanya dikirim ke Security Hub CSPM dalam beberapa detik hingga 2 jam. Kecepatan ini bergantung pada lalu lintas dalam Wilayah AWS yang sedang diproses pada saat itu.

### Mencoba lagi saat CSPM Security Hub tidak tersedia
<a name="securityhub-integration-retry-send"></a>

Jika ada pemadaman layanan, AWS Lambda fungsi dijalankan untuk mengembalikan pesan ke antrian utama setelah layanan berjalan lagi. Setelah pesan berada di antrean utama, coba lagi berjalan secara otomatis.

Jika Security Hub CSPM tidak tersedia, Patch Manager coba lagi mengirimkan temuan sampai diterima.

### Melihat temuan di Security Hub CSPM
<a name="securityhub-integration-view-findings"></a>

Prosedur ini menjelaskan cara melihat temuan di Security Hub CSPM tentang node terkelola di armada Anda yang tidak sesuai dengan patch.

**Untuk meninjau temuan CSPM Security Hub untuk kepatuhan patch**

1. Masuk ke Konsol Manajemen AWS dan buka AWS Security Hub CSPM konsol di [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).

1. Di panel navigasi, pilih **Temuan**.

1. Pilih kotak **Tambahkan filter** (![\[The Search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)).

1. Di menu, di bawah **Filter**, pilih **Nama produk**.

1. Di kotak dialog yang terbuka, pilih **ada** di bidang pertama dan kemudian masukkan **Systems Manager Patch Manager** di bidang kedua.

1. Pilih **Terapkan**.

1. Tambahkan filter tambahan yang Anda inginkan untuk membantu mempersempit hasil Anda.

1. Dalam daftar hasil, pilih judul temuan yang Anda inginkan informasi lebih lanjut.

   Panel terbuka di sisi kanan layar dengan detail lebih lanjut tentang sumber daya, masalah yang ditemukan, dan perbaikan yang disarankan.
**penting**  
Pada saat ini, Security Hub CSPM melaporkan jenis sumber daya dari semua node yang dikelola sebagai. `EC2 Instance` Ini termasuk server lokal dan mesin virtual (VMs) yang telah Anda daftarkan untuk digunakan dengan Systems Manager.

**Klasifikasi keparahan**  
Daftar temuan untuk **Systems Manager Patch Manager** mencakup laporan tingkat keparahan temuan. **Tingkat keparahan** meliputi yang berikut, dari terendah ke tertinggi:
+ **INFORMASI** - Tidak ada masalah yang ditemukan.
+ **RENDAH** — Masalah ini tidak memerlukan remediasi.
+ **MEDIUM** — Masalah ini harus ditangani tetapi tidak mendesak.
+ **TINGGI** — Masalah ini harus ditangani sebagai prioritas.
+ **KRITIS** — Masalah ini harus segera diperbaiki untuk menghindari eskalasi.

Tingkat keparahan ditentukan oleh paket noncompliant yang paling parah pada sebuah instance. Karena Anda dapat memiliki beberapa garis dasar tambalan dengan beberapa tingkat keparahan, tingkat keparahan tertinggi dilaporkan dari semua paket yang tidak sesuai. Misalnya, Anda memiliki dua paket yang tidak sesuai di mana tingkat keparahan paket A adalah “Kritis” dan tingkat keparahan paket B adalah “Rendah”. “Kritis” akan dilaporkan sebagai tingkat keparahan.

Perhatikan bahwa bidang keparahan berkorelasi langsung dengan bidang. Patch Manager `Compliance` Ini adalah bidang yang Anda tetapkan tetapkan ke tambalan individual yang cocok dengan aturan. Karena `Compliance` bidang ini ditetapkan ke tambalan individual, itu tidak tercermin pada tingkat Ringkasan Patch.

**Konten terkait**
+ [Temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) dalam *Panduan AWS Security Hub Pengguna*
+ [Kepatuhan patch Multi-Akun Patch Manager dan Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) di Blog *AWS Manajemen & Tata Kelola*

## Temuan standar dari Patch Manager
<a name="securityhub-integration-finding-example"></a>

Patch Managermengirimkan temuan ke Security Hub CSPM menggunakan [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

Berikut adalah contoh temuan Patch Manager.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}
```

## Mengaktifkan dan mengonfigurasikan integrasi
<a name="securityhub-integration-enable"></a>

Untuk menggunakan Patch Manager integrasi dengan Security Hub CSPM, Anda harus mengaktifkan Security Hub CSPM. *Untuk informasi tentang cara mengaktifkan CSPM Security Hub, lihat [Menyiapkan CSPM Security Hub di Panduan Pengguna](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).AWS Security Hub *

Prosedur berikut menjelaskan cara mengintegrasikan Patch Manager dan Security Hub CSPM ketika Security Hub CSPM sudah aktif tetapi Patch Manager integrasi dimatikan. Anda hanya perlu menyelesaikan prosedur ini jika integrasi dinonaktifkan secara manual.

**Patch ManagerUntuk menambah integrasi CSPM Security Hub**

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Pengaturan**.

   -atau-

   Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih **Mulai dengan ikhtisar**, lalu pilih tab **Pengaturan**.

1. **Di bagian **CSPM Ekspor ke Security Hub**, di sebelah kanan **temuan kepatuhan Patch tidak diekspor ke Security Hub**, pilih Aktifkan.**

## Bagaimana cara menghentikan pengiriman temuan
<a name="securityhub-integration-disable"></a>

Untuk menghentikan pengiriman temuan ke Security Hub CSPM, Anda dapat menggunakan konsol CSPM Security Hub atau API.

Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna AWS Security Hub *:
+ [Menonaktifkan dan mengaktifkan aliran temuan dari integrasi (konsol)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Menonaktifkan alur temuan dari integrasi (Security Hub CSPM API,) AWS CLI](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)

# Bekerja dengan Patch Manager sumber daya menggunakan AWS CLI
<a name="patch-manager-cli-commands"></a>

Bagian ini mencakup contoh perintah AWS Command Line Interface (AWS CLI) yang dapat Anda gunakan untuk melakukan tugas konfigurasiPatch Manager, alat di AWS Systems Manager.

Untuk ilustrasi penggunaan AWS CLI untuk menambal lingkungan server dengan menggunakan baseline patch kustom, lihat. [Tutorial: Menambal lingkungan server menggunakan AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md)

Untuk informasi selengkapnya tentang penggunaan AWS CLI for AWS Systems Manager task, lihat [AWS Systems Manager bagian Referensi AWS CLI Perintah](https://docs.aws.amazon.com/cli/latest/reference/ssm/index.html).

**Topics**
+ [AWS CLI perintah untuk baseline patch](#patch-baseline-cli-commands)
+ [AWS CLI perintah untuk grup tambalan](#patch-group-cli-commands)
+ [AWS CLI perintah untuk melihat ringkasan dan detail tambalan](#patch-details-cli-commands)
+ [AWS CLI perintah untuk memindai dan menambal node yang dikelola](#patch-operations-cli-commands)

## AWS CLI perintah untuk baseline patch
<a name="patch-baseline-cli-commands"></a>

**Topics**
+ [Membuat dasar patch](#patch-manager-cli-commands-create-patch-baseline)
+ [Buat dasar patch dengan repositori kustom untuk versi OS yang berbeda](#patch-manager-cli-commands-create-patch-baseline-mult-sources)
+ [Perbarui dasar patch](#patch-manager-cli-commands-update-patch-baseline)
+ [Ubah nama dasar patch](#patch-manager-cli-commands-rename-patch-baseline)
+ [Hapus dasar patch](#patch-manager-cli-commands-delete-patch-baseline)
+ [Cantumkan semua dasar patch](#patch-manager-cli-commands-describe-patch-baselines)
+ [Buat daftar semua AWS baseline patch yang disediakan](#patch-manager-cli-commands-describe-patch-baselines-aws)
+ [Cantumkan dasar patch saya](#patch-manager-cli-commands-describe-patch-baselines-custom)
+ [Tampilkan dasar patch](#patch-manager-cli-commands-get-patch-baseline)
+ [Dapatkan dasar patch default](#patch-manager-cli-commands-get-default-patch-baseline)
+ [Atur dasar patch kustom sebagai default](#patch-manager-cli-commands-register-default-patch-baseline)
+ [Setel ulang baseline AWS patch sebagai default](#patch-manager-cli-commands-register-aws-patch-baseline)
+ [Tandai dasar patch](#patch-manager-cli-commands-add-tags-to-resource)
+ [Cantumkan tag untuk dasar patch](#patch-manager-cli-commands-list-tags-for-resource)
+ [Hapus tag dari dasar patch](#patch-manager-cli-commands-remove-tags-from-resource)

### Membuat dasar patch
<a name="patch-manager-cli-commands-create-patch-baseline"></a>

Perintah berikut membuat baseline patch yang menyetujui semua pembaruan keamanan penting dan penting untuk Windows Server 2012 R2 5 hari setelah dirilis. Patch juga telah ditentukan untuk daftar patch yang Disetujui dan Ditolak. Selain itu, dasar patch telah ditandai untuk menunjukkan bahwa itu untuk lingkungan produksi.

------
#### [ Linux & macOS ]

```
aws ssm create-patch-baseline \
    --name "Windows-Server-2012R2" \
    --tags "Key=Environment,Value=Production" \
    --description "Windows Server 2012 R2, Important and Critical security updates" \
    --approved-patches "KB2032276,MS10-048" \
    --rejected-patches "KB2124261" \
    --rejected-patches-action "ALLOW_AS_DEPENDENCY" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Important,Critical]},{Key=CLASSIFICATION,Values=SecurityUpdates},{Key=PRODUCT,Values=WindowsServer2012R2}]},ApproveAfterDays=5}]"
```

------
#### [ Windows Server ]

```
aws ssm create-patch-baseline ^
    --name "Windows-Server-2012R2" ^
    --tags "Key=Environment,Value=Production" ^
    --description "Windows Server 2012 R2, Important and Critical security updates" ^
    --approved-patches "KB2032276,MS10-048" ^
    --rejected-patches "KB2124261" ^
    --rejected-patches-action "ALLOW_AS_DEPENDENCY" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Important,Critical]},{Key=CLASSIFICATION,Values=SecurityUpdates},{Key=PRODUCT,Values=WindowsServer2012R2}]},ApproveAfterDays=5}]"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE"
}
```

### Buat dasar patch dengan repositori kustom untuk versi OS yang berbeda
<a name="patch-manager-cli-commands-create-patch-baseline-mult-sources"></a>

Berlaku untuk node yang dikelola Linux saja. Perintah berikut ini menunjukkan cara menentukan repositori patch yang akan digunakan untuk versi sistem operasi Amazon Linux tertentu. Sampel ini menggunakan repositori sumber yang diizinkan secara default di Amazon Linux 2017.09, tetapi dapat disesuaikan dengan repositori sumber berbeda yang telah Anda konfigurasi untuk node terkelola.

**catatan**  
Untuk memperlihatkan perintah yang lebih kompleks ini secara lebih baik, kami menggunakan opsi `--cli-input-json` dengan opsi tambahan yang disimpan di file JSON eksternal.

1. Buat file JSON dengan nama seperti `my-patch-repository.json` dan tambahkan konten berikut ke file tersebut.

   ```
   {
       "Description": "My patch repository for Amazon Linux 2",
       "Name": "Amazon-Linux-2",
       "OperatingSystem": "AMAZON_LINUX_2",
       "ApprovalRules": {
           "PatchRules": [
               {
                   "ApproveAfterDays": 7,
                   "EnableNonSecurity": true,
                   "PatchFilterGroup": {
                       "PatchFilters": [
                           {
                               "Key": "SEVERITY",
                               "Values": [
                                   "Important",
                                   "Critical"
                               ]
                           },
                           {
                               "Key": "CLASSIFICATION",
                               "Values": [
                                   "Security",
                                   "Bugfix"
                               ]
                           },
                           {
                               "Key": "PRODUCT",
                               "Values": [
                                   "AmazonLinux2"
                               ]
                           }
                       ]
                   }
               }
           ]
       },
       "Sources": [
           {
               "Name": "My-AL2",
               "Products": [
                   "AmazonLinux2"
               ],
               "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes"
           }
       ]
   }
   ```

1. Di direktori tempat Anda menyimpan file, jalankan perintah berikut.

   ```
   aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.json
   ```

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
       "BaselineId": "pb-0c10e65780EXAMPLE"
   }
   ```

### Perbarui dasar patch
<a name="patch-manager-cli-commands-update-patch-baseline"></a>

Perintah berikut ini menambahkan dua patch sebagai yang ditolak dan satu patch yang disetujui ke dasar patch yang ada.

Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).

------
#### [ Linux & macOS ]

```
aws ssm update-patch-baseline \
    --baseline-id pb-0c10e65780EXAMPLE \
    --rejected-patches "KB2032276" "MS10-048" \
    --approved-patches "KB2124261"
```

------
#### [ Windows Server ]

```
aws ssm update-patch-baseline ^
    --baseline-id pb-0c10e65780EXAMPLE ^
    --rejected-patches "KB2032276" "MS10-048" ^
    --approved-patches "KB2124261"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE",
   "Name":"Windows-Server-2012R2",
   "RejectedPatches":[
      "KB2032276",
      "MS10-048"
   ],
   "GlobalFilters":{
      "PatchFilters":[

      ]
   },
   "ApprovalRules":{
      "PatchRules":[
         {
            "PatchFilterGroup":{
               "PatchFilters":[
                  {
                     "Values":[
                        "Important",
                        "Critical"
                     ],
                     "Key":"MSRC_SEVERITY"
                  },
                  {
                     "Values":[
                        "SecurityUpdates"
                     ],
                     "Key":"CLASSIFICATION"
                  },
                  {
                     "Values":[
                        "WindowsServer2012R2"
                     ],
                     "Key":"PRODUCT"
                  }
               ]
            },
            "ApproveAfterDays":5
         }
      ]
   },
   "ModifiedDate":1481001494.035,
   "CreatedDate":1480997823.81,
   "ApprovedPatches":[
      "KB2124261"
   ],
   "Description":"Windows Server 2012 R2, Important and Critical security updates"
}
```

### Ubah nama dasar patch
<a name="patch-manager-cli-commands-rename-patch-baseline"></a>

------
#### [ Linux & macOS ]

```
aws ssm update-patch-baseline \
    --baseline-id pb-0c10e65780EXAMPLE \
    --name "Windows-Server-2012-R2-Important-and-Critical-Security-Updates"
```

------
#### [ Windows Server ]

```
aws ssm update-patch-baseline ^
    --baseline-id pb-0c10e65780EXAMPLE ^
    --name "Windows-Server-2012-R2-Important-and-Critical-Security-Updates"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE",
   "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates",
   "RejectedPatches":[
      "KB2032276",
      "MS10-048"
   ],
   "GlobalFilters":{
      "PatchFilters":[

      ]
   },
   "ApprovalRules":{
      "PatchRules":[
         {
            "PatchFilterGroup":{
               "PatchFilters":[
                  {
                     "Values":[
                        "Important",
                        "Critical"
                     ],
                     "Key":"MSRC_SEVERITY"
                  },
                  {
                     "Values":[
                        "SecurityUpdates"
                     ],
                     "Key":"CLASSIFICATION"
                  },
                  {
                     "Values":[
                        "WindowsServer2012R2"
                     ],
                     "Key":"PRODUCT"
                  }
               ]
            },
            "ApproveAfterDays":5
         }
      ]
   },
   "ModifiedDate":1481001795.287,
   "CreatedDate":1480997823.81,
   "ApprovedPatches":[
      "KB2124261"
   ],
   "Description":"Windows Server 2012 R2, Important and Critical security updates"
}
```

### Hapus dasar patch
<a name="patch-manager-cli-commands-delete-patch-baseline"></a>

```
aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE"
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE"
}
```

### Cantumkan semua dasar patch
<a name="patch-manager-cli-commands-describe-patch-baselines"></a>

```
aws ssm describe-patch-baselines
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineIdentities":[
      {
         "BaselineName":"AWS-DefaultPatchBaseline",
         "DefaultBaseline":true,
         "BaselineDescription":"Default Patch Baseline Provided by AWS.",
         "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
      },
      {
         "BaselineName":"Windows-Server-2012R2",
         "DefaultBaseline":false,
         "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates",
         "BaselineId":"pb-0c10e65780EXAMPLE"
      }
   ]
}
```

Berikut ini adalah perintah lain yang mencantumkan semua dasar patch dalam sebuah Wilayah AWS.

------
#### [ Linux & macOS ]

```
aws ssm describe-patch-baselines \
    --region us-east-2 \
    --filters "Key=OWNER,Values=[All]"
```

------
#### [ Windows Server ]

```
aws ssm describe-patch-baselines ^
    --region us-east-2 ^
    --filters "Key=OWNER,Values=[All]"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineIdentities":[
      {
         "BaselineName":"AWS-DefaultPatchBaseline",
         "DefaultBaseline":true,
         "BaselineDescription":"Default Patch Baseline Provided by AWS.",
         "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
      },
      {
         "BaselineName":"Windows-Server-2012R2",
         "DefaultBaseline":false,
         "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates",
         "BaselineId":"pb-0c10e65780EXAMPLE"
      }
   ]
}
```

### Buat daftar semua AWS baseline patch yang disediakan
<a name="patch-manager-cli-commands-describe-patch-baselines-aws"></a>

------
#### [ Linux & macOS ]

```
aws ssm describe-patch-baselines \
    --region us-east-2 \
    --filters "Key=OWNER,Values=[AWS]"
```

------
#### [ Windows Server ]

```
aws ssm describe-patch-baselines ^
    --region us-east-2 ^
    --filters "Key=OWNER,Values=[AWS]"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineIdentities":[
      {
         "BaselineName":"AWS-DefaultPatchBaseline",
         "DefaultBaseline":true,
         "BaselineDescription":"Default Patch Baseline Provided by AWS.",
         "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
      }
   ]
}
```

### Cantumkan dasar patch saya
<a name="patch-manager-cli-commands-describe-patch-baselines-custom"></a>

------
#### [ Linux & macOS ]

```
aws ssm describe-patch-baselines \
    --region us-east-2 \
    --filters "Key=OWNER,Values=[Self]"
```

------
#### [ Windows Server ]

```
aws ssm describe-patch-baselines ^
    --region us-east-2 ^
    --filters "Key=OWNER,Values=[Self]"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineIdentities":[
      {
         "BaselineName":"Windows-Server-2012R2",
         "DefaultBaseline":false,
         "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates",
         "BaselineId":"pb-0c10e65780EXAMPLE"
      }
   ]
}
```

### Tampilkan dasar patch
<a name="patch-manager-cli-commands-get-patch-baseline"></a>

```
aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE
```

**catatan**  
Untuk dasar patch kustom, Anda dapat menentukan ID dasar patch atau Amazon Resource Name (ARN) lengkap. Untuk baseline patch AWS-provided, Anda harus menentukan ARN lengkap. Misalnya, `arn:aws:ssm:us-east-2:075727635805:patchbaseline/pb-0c10e65780EXAMPLE`.

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE",
   "Name":"Windows-Server-2012R2",
   "PatchGroups":[
      "Web Servers"
   ],
   "RejectedPatches":[

   ],
   "GlobalFilters":{
      "PatchFilters":[

      ]
   },
   "ApprovalRules":{
      "PatchRules":[
         {
            "PatchFilterGroup":{
               "PatchFilters":[
                  {
                     "Values":[
                        "Important",
                        "Critical"
                     ],
                     "Key":"MSRC_SEVERITY"
                  },
                  {
                     "Values":[
                        "SecurityUpdates"
                     ],
                     "Key":"CLASSIFICATION"
                  },
                  {
                     "Values":[
                        "WindowsServer2012R2"
                     ],
                     "Key":"PRODUCT"
                  }
               ]
            },
            "ApproveAfterDays":5
         }
      ]
   },
   "ModifiedDate":1480997823.81,
   "CreatedDate":1480997823.81,
   "ApprovedPatches":[

   ],
   "Description":"Windows Server 2012 R2, Important and Critical security updates"
}
```

### Dapatkan dasar patch default
<a name="patch-manager-cli-commands-get-default-patch-baseline"></a>

```
aws ssm get-default-patch-baseline --region us-east-2
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
```

### Atur dasar patch kustom sebagai default
<a name="patch-manager-cli-commands-register-default-patch-baseline"></a>

------
#### [ Linux & macOS ]

```
aws ssm register-default-patch-baseline \
    --region us-east-2 \
    --baseline-id "pb-0c10e65780EXAMPLE"
```

------
#### [ Windows Server ]

```
aws ssm register-default-patch-baseline ^
    --region us-east-2 ^
    --baseline-id "pb-0c10e65780EXAMPLE"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE"
}
```

### Setel ulang baseline AWS patch sebagai default
<a name="patch-manager-cli-commands-register-aws-patch-baseline"></a>

------
#### [ Linux & macOS ]

```
aws ssm register-default-patch-baseline \
    --region us-east-2 \
    --baseline-id "arn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE"
```

------
#### [ Windows Server ]

```
aws ssm register-default-patch-baseline ^
    --region us-east-2 ^
    --baseline-id "arn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "BaselineId":"pb-0c10e65780EXAMPLE"
}
```

### Tandai dasar patch
<a name="patch-manager-cli-commands-add-tags-to-resource"></a>

------
#### [ Linux & macOS ]

```
aws ssm add-tags-to-resource \
    --resource-type "PatchBaseline" \
    --resource-id "pb-0c10e65780EXAMPLE" \
    --tags "Key=Project,Value=Testing"
```

------
#### [ Windows Server ]

```
aws ssm add-tags-to-resource ^
    --resource-type "PatchBaseline" ^
    --resource-id "pb-0c10e65780EXAMPLE" ^
    --tags "Key=Project,Value=Testing"
```

------

### Cantumkan tag untuk dasar patch
<a name="patch-manager-cli-commands-list-tags-for-resource"></a>

------
#### [ Linux & macOS ]

```
aws ssm list-tags-for-resource \
    --resource-type "PatchBaseline" \
    --resource-id "pb-0c10e65780EXAMPLE"
```

------
#### [ Windows Server ]

```
aws ssm list-tags-for-resource ^
    --resource-type "PatchBaseline" ^
    --resource-id "pb-0c10e65780EXAMPLE"
```

------

### Hapus tag dari dasar patch
<a name="patch-manager-cli-commands-remove-tags-from-resource"></a>

------
#### [ Linux & macOS ]

```
aws ssm remove-tags-from-resource \
    --resource-type "PatchBaseline" \
    --resource-id "pb-0c10e65780EXAMPLE" \
    --tag-keys "Project"
```

------
#### [ Windows Server ]

```
aws ssm remove-tags-from-resource ^
    --resource-type "PatchBaseline" ^
    --resource-id "pb-0c10e65780EXAMPLE" ^
    --tag-keys "Project"
```

------

## AWS CLI perintah untuk grup tambalan
<a name="patch-group-cli-commands"></a>

**Topics**
+ [Buat grup patch](#patch-manager-cli-commands-create-patch-group)
+ [Daftarkan grup patch "server web" dengan dasar patch](#patch-manager-cli-commands-register-patch-baseline-for-patch-group-web-servers)
+ [Daftarkan grup tambalan “Backend” dengan baseline patch AWS yang disediakan](#patch-manager-cli-commands-register-patch-baseline-for-patch-group-backend)
+ [Tampilkan pendaftaran grup patch](#patch-manager-cli-commands-describe-patch-groups)
+ [Batalkan pendaftaran grup patch dari dasar patch](#patch-manager-cli-commands-deregister-patch-baseline-for-patch-group)

### Buat grup patch
<a name="patch-manager-cli-commands-create-patch-group"></a>

**catatan**  
Grup patch tidak digunakan dalam operasi patching yang didasarkan pada *kebijakan patch*. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

Untuk membantu Anda mengatur upaya penambalan, kami sarankan Anda menambahkan node terkelola ke grup tambalan dengan menggunakan tag. Grup patch memerlukan penggunaan kunci tag `Patch Group` atau`PatchGroup`. Jika Anda telah [mengizinkan tag dalam metadata instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), Anda harus menggunakan `PatchGroup` (tanpa spasi). Anda dapat menentukan nilai tag apa pun, tetapi kunci tag harus `Patch Group` atau`PatchGroup`. Untuk informasi selengkapnya tentang grup patch, lihat [Grup tambalan](patch-manager-patch-groups.md).

Setelah mengelompokkan node terkelola menggunakan tag, Anda menambahkan nilai grup patch ke baseline patch. Dengan mendaftarkan grup patch dengan dasar patch, Anda memastikan bahwa patch yang benar diinstal selama operasi patching.

#### Tugas 1: Tambahkan instans EC2 ke grup patch menggunakan tag
<a name="create-patch-group-cli-1"></a>

**catatan**  
Saat menggunakan konsol Amazon Elastic Compute Cloud (Amazon EC2) AWS CLI dan, dimungkinkan untuk `Key = Patch Group` menerapkan `Key = PatchGroup` atau memberi tag ke instance yang belum dikonfigurasi untuk digunakan dengan Systems Manager. Jika instans EC2 yang Anda harapkan untuk dilihat Patch Manager tidak terdaftar setelah menerapkan `Key = PatchGroup` tag `Patch Group` atau, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

Jalankan perintah berikut ini untuk menambahkan tag `PatchGroup` ke sebuah instans EC2.

```
aws ec2 create-tags --resources "i-1234567890abcdef0" --tags "Key=PatchGroup,Value=GroupValue"
```

#### Tugas 2: Tambahkan node terkelola ke grup tambalan menggunakan tag
<a name="create-patch-group-cli-2"></a>

Jalankan perintah berikut untuk menambahkan `PatchGroup` tag ke node terkelola.

------
#### [ Linux & macOS ]

```
aws ssm add-tags-to-resource \
    --resource-type "ManagedInstance" \
    --resource-id "mi-0123456789abcdefg" \
    --tags "Key=PatchGroup,Value=GroupValue"
```

------
#### [ Windows Server ]

```
aws ssm add-tags-to-resource ^
    --resource-type "ManagedInstance" ^
    --resource-id "mi-0123456789abcdefg" ^
    --tags "Key=PatchGroup,Value=GroupValue"
```

------

#### Tugas 3: Tambahkan grup patch ke dasar patch
<a name="create-patch-group-cli-3"></a>

Jalankan perintah berikut untuk mengaitkan nilai tag `PatchGroup` ke dasar patch yang ditentukan.

------
#### [ Linux & macOS ]

```
aws ssm register-patch-baseline-for-patch-group \
    --baseline-id "pb-0c10e65780EXAMPLE" \
    --patch-group "Development"
```

------
#### [ Windows Server ]

```
aws ssm register-patch-baseline-for-patch-group ^
    --baseline-id "pb-0c10e65780EXAMPLE" ^
    --patch-group "Development"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
  "PatchGroup": "Development",
  "BaselineId": "pb-0c10e65780EXAMPLE"
}
```

### Daftarkan grup patch "server web" dengan dasar patch
<a name="patch-manager-cli-commands-register-patch-baseline-for-patch-group-web-servers"></a>

------
#### [ Linux & macOS ]

```
aws ssm register-patch-baseline-for-patch-group \
    --baseline-id "pb-0c10e65780EXAMPLE" \
    --patch-group "Web Servers"
```

------
#### [ Windows Server ]

```
aws ssm register-patch-baseline-for-patch-group ^
    --baseline-id "pb-0c10e65780EXAMPLE" ^
    --patch-group "Web Servers"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "PatchGroup":"Web Servers",
   "BaselineId":"pb-0c10e65780EXAMPLE"
}
```

### Daftarkan grup tambalan “Backend” dengan baseline patch AWS yang disediakan
<a name="patch-manager-cli-commands-register-patch-baseline-for-patch-group-backend"></a>

------
#### [ Linux & macOS ]

```
aws ssm register-patch-baseline-for-patch-group \
    --region us-east-2 \
    --baseline-id "arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" \
    --patch-group "Backend"
```

------
#### [ Windows Server ]

```
aws ssm register-patch-baseline-for-patch-group ^
    --region us-east-2 ^
    --baseline-id "arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" ^
    --patch-group "Backend"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "PatchGroup":"Backend",
   "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
```

### Tampilkan pendaftaran grup patch
<a name="patch-manager-cli-commands-describe-patch-groups"></a>

```
aws ssm describe-patch-groups --region us-east-2
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "PatchGroupPatchBaselineMappings":[
      {
         "PatchGroup":"Backend",
         "BaselineIdentity":{
            "BaselineName":"AWS-DefaultPatchBaseline",
            "DefaultBaseline":false,
            "BaselineDescription":"Default Patch Baseline Provided by AWS.",
            "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
         }
      },
      {
         "PatchGroup":"Web Servers",
         "BaselineIdentity":{
            "BaselineName":"Windows-Server-2012R2",
            "DefaultBaseline":true,
            "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates",
            "BaselineId":"pb-0c10e65780EXAMPLE"
         }
      }
   ]
}
```

### Batalkan pendaftaran grup patch dari dasar patch
<a name="patch-manager-cli-commands-deregister-patch-baseline-for-patch-group"></a>

------
#### [ Linux & macOS ]

```
aws ssm deregister-patch-baseline-for-patch-group \
    --region us-east-2 \
    --patch-group "Production" \
    --baseline-id "arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
```

------
#### [ Windows Server ]

```
aws ssm deregister-patch-baseline-for-patch-group ^
    --region us-east-2 ^
    --patch-group "Production" ^
    --baseline-id "arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "PatchGroup":"Production",
   "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
```

## AWS CLI perintah untuk melihat ringkasan dan detail tambalan
<a name="patch-details-cli-commands"></a>

**Topics**
+ [Dapatkan semua patch yang didefinisikan oleh dasar patch](#patch-manager-cli-commands-describe-effective-patches-for-patch-baseline)
+ [Dapatkan semua patch untuk AmazonLinux 2018.03 yang memiliki Klasifikasi `SECURITY` dan Tingkat Keparahan `Critical`](#patch-manager-cli-commands-describe-available-patches-linux)
+ [Dapatkan semua patch untuk Windows Server 2012 yang memiliki kepelikan MSRC `Critical`](#patch-manager-cli-commands-describe-available-patches)
+ [Dapatkan semua patch yang tersedia](#patch-manager-cli-commands-describe-available-patches)
+ [Dapatkan status ringkasan tambalan per node yang dikelola](#patch-manager-cli-commands-describe-instance-patch-states)
+ [Dapatkan detail kepatuhan tambalan untuk node terkelola](#patch-manager-cli-commands-describe-instance-patches)
+ [Melihat hasil kepatuhan patching (AWS CLI)](#viewing-patch-compliance-results-cli)

### Dapatkan semua patch yang didefinisikan oleh dasar patch
<a name="patch-manager-cli-commands-describe-effective-patches-for-patch-baseline"></a>

**catatan**  
Perintah ini hanya didukung untuk dasar patch Windows Server.

------
#### [ Linux & macOS ]

```
aws ssm describe-effective-patches-for-patch-baseline \
    --region us-east-2 \
    --baseline-id "pb-0c10e65780EXAMPLE"
```

------
#### [ Windows Server ]

```
aws ssm describe-effective-patches-for-patch-baseline ^
    --region us-east-2 ^
    --baseline-id "pb-0c10e65780EXAMPLE"
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "NextToken":"--token string truncated--",
   "EffectivePatches":[
      {
         "PatchStatus":{
            "ApprovalDate":1384711200.0,
            "DeploymentStatus":"APPROVED"
         },
         "Patch":{
            "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331",
            "ProductFamily":"Windows",
            "Product":"WindowsServer2012R2",
            "Vendor":"Microsoft",
            "Description":"A security issue has been identified in a Microsoft software 
               product that could affect your system. You can help protect your system 
               by installing this update from Microsoft. For a complete listing of the 
               issues that are included in this update, see the associated Microsoft 
               Knowledge Base article. After you install this update, you may have to 
               restart your system.",
            "Classification":"SecurityUpdates",
            "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)",
            "ReleaseDate":1384279200.0,
            "MsrcClassification":"Critical",
            "Language":"All",
            "KbNumber":"KB2876331",
            "MsrcNumber":"MS13-089",
            "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d"
         }
      },
      {
         "PatchStatus":{
            "ApprovalDate":1428858000.0,
            "DeploymentStatus":"APPROVED"
         },
         "Patch":{
            "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355",
            "ProductFamily":"Windows",
            "Product":"WindowsServer2012R2",
            "Vendor":"Microsoft",
            "Description":"Windows Server 2012 R2 Update is a cumulative 
               set of security updates, critical updates and updates. You 
               must install Windows Server 2012 R2 Update to ensure that 
               your computer can continue to receive future Windows Updates, 
               including security updates. For a complete listing of the 
               issues that are included in this update, see the associated 
               Microsoft Knowledge Base article for more information. After 
               you install this item, you may have to restart your computer.",
            "Classification":"SecurityUpdates",
            "Title":"Windows Server 2012 R2 Update (KB2919355)",
            "ReleaseDate":1428426000.0,
            "MsrcClassification":"Critical",
            "Language":"All",
            "KbNumber":"KB2919355",
            "MsrcNumber":"MS14-018",
            "Id":"8452bac0-bf53-4fbd-915d-499de08c338b"
         }
      }
     ---output truncated---
```

### Dapatkan semua patch untuk AmazonLinux 2018.03 yang memiliki Klasifikasi `SECURITY` dan Tingkat Keparahan `Critical`
<a name="patch-manager-cli-commands-describe-available-patches-linux"></a>

------
#### [ Linux & macOS ]

```
aws ssm describe-available-patches \
    --region us-east-2 \
    --filters Key=PRODUCT,Values=AmazonLinux2018.03 Key=SEVERITY,Values=Critical
```

------
#### [ Windows Server ]

```
aws ssm describe-available-patches ^
    --region us-east-2 ^
    --filters Key=PRODUCT,Values=AmazonLinux2018.03 Key=SEVERITY,Values=Critical
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
    "Patches": [
        {
            "AdvisoryIds": ["ALAS-2011-1"],
            "BugzillaIds": [ "1234567" ],
            "Classification": "SECURITY",
            "CVEIds": [ "CVE-2011-3192"],
            "Name": "zziplib",
            "Epoch": "0",
            "Version": "2.71",
            "Release": "1.3.amzn1",
            "Arch": "i686",
            "Product": "AmazonLinux2018.03",
            "ReleaseDate": 1590519815,
            "Severity": "CRITICAL"
        }
    ]
}     
---output truncated---
```

### Dapatkan semua patch untuk Windows Server 2012 yang memiliki kepelikan MSRC `Critical`
<a name="patch-manager-cli-commands-describe-available-patches"></a>

------
#### [ Linux & macOS ]

```
aws ssm describe-available-patches \
    --region us-east-2 \
    --filters Key=PRODUCT,Values=WindowsServer2012 Key=MSRC_SEVERITY,Values=Critical
```

------
#### [ Windows Server ]

```
aws ssm describe-available-patches ^
    --region us-east-2 ^
    --filters Key=PRODUCT,Values=WindowsServer2012 Key=MSRC_SEVERITY,Values=Critical
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "Patches":[
      {
         "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528",
         "ProductFamily":"Windows",
         "Product":"WindowsServer2012",
         "Vendor":"Microsoft",
         "Description":"A security issue has been identified that could 
           allow an unauthenticated remote attacker to compromise your 
           system and gain control over it. You can help protect your 
           system by installing this update from Microsoft. After you 
           install this update, you may have to restart your system.",
         "Classification":"SecurityUpdates",
         "Title":"Security Update for Windows Server 2012 (KB2727528)",
         "ReleaseDate":1352829600.0,
         "MsrcClassification":"Critical",
         "Language":"All",
         "KbNumber":"KB2727528",
         "MsrcNumber":"MS12-072",
         "Id":"1eb507be-2040-4eeb-803d-abc55700b715"
      },
      {
         "ContentUrl":"https://support.microsoft.com/en-us/kb/2729462",
         "ProductFamily":"Windows",
         "Product":"WindowsServer2012",
         "Vendor":"Microsoft",
         "Description":"A security issue has been identified that could 
           allow an unauthenticated remote attacker to compromise your 
           system and gain control over it. You can help protect your 
           system by installing this update from Microsoft. After you 
           install this update, you may have to restart your system.",
         "Classification":"SecurityUpdates",
         "Title":"Security Update for Microsoft .NET Framework 3.5 on 
           Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)",
         "ReleaseDate":1352829600.0,
         "MsrcClassification":"Critical",
         "Language":"All",
         "KbNumber":"KB2729462",
         "MsrcNumber":"MS12-074",
         "Id":"af873760-c97c-4088-ab7e-5219e120eab4"
      }
     
---output truncated---
```

### Dapatkan semua patch yang tersedia
<a name="patch-manager-cli-commands-describe-available-patches"></a>

```
aws ssm describe-available-patches --region us-east-2
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "NextToken":"--token string truncated--",
   "Patches":[
      {
            "Classification": "SecurityUpdates",
            "ContentUrl": "https://support.microsoft.com/en-us/kb/4074588",
            "Description": "A security issue has been identified in a Microsoft software 
            product that could affect your system. You can help protect your system by 
            installing this update from Microsoft. For a complete listing of the issues 
            that are included in this update, see the associated Microsoft Knowledge Base 
            article. After you install this update, you may have to restart your system.",
            "Id": "11adea10-0701-430e-954f-9471595ae246",
            "KbNumber": "KB4074588",
            "Language": "All",
            "MsrcNumber": "",
            "MsrcSeverity": "Critical",
            "Product": "WindowsServer2016",
            "ProductFamily": "Windows",
            "ReleaseDate": 1518548400,
            "Title": "2018-02 Cumulative Update for Windows Server 2016 (1709) for x64-based 
            Systems (KB4074588)",
            "Vendor": "Microsoft"
        },
        {
            "Classification": "SecurityUpdates",
            "ContentUrl": "https://support.microsoft.com/en-us/kb/4074590",
            "Description": "A security issue has been identified in a Microsoft software 
            product that could affect your system. You can help protect your system by 
            installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.",
            "Id": "f5f58231-ac5d-4640-ab1b-9dc8d857c265",
            "KbNumber": "KB4074590",
            "Language": "All",
            "MsrcNumber": "",
            "MsrcSeverity": "Critical",
            "Product": "WindowsServer2016",
            "ProductFamily": "Windows",
            "ReleaseDate": 1518544805,
            "Title": "2018-02 Cumulative Update for Windows Server 2016 for x64-based 
            Systems (KB4074590)",
            "Vendor": "Microsoft"
        }
      ---output truncated---
```

### Dapatkan status ringkasan tambalan per node yang dikelola
<a name="patch-manager-cli-commands-describe-instance-patch-states"></a>

Ringkasan simpul per-kelola memberi Anda jumlah tambalan dalam status berikut per node: "NotApplicable“, “Hilang”, “Gagal”, "InstalledOther" dan “Dipasang”. 

------
#### [ Linux & macOS ]

```
aws ssm describe-instance-patch-states \
    --instance-ids i-08ee91c0b17045407 i-09a618aec652973a9
```

------
#### [ Windows Server ]

```
aws ssm describe-instance-patch-states ^
    --instance-ids i-08ee91c0b17045407 i-09a618aec652973a9
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "InstancePatchStates":[
      {
            "InstanceId": "i-08ee91c0b17045407",
            "PatchGroup": "",
            "BaselineId": "pb-0c10e65780EXAMPLE",
            "SnapshotId": "6d03d6c5-f79d-41d0-8d0e-00a9aEXAMPLE",
            "InstalledCount": 50,
            "InstalledOtherCount": 353,
            "InstalledPendingRebootCount": 0,
            "InstalledRejectedCount": 0,
            "MissingCount": 0,
            "FailedCount": 0,
            "UnreportedNotApplicableCount": -1,
            "NotApplicableCount": 671,
            "OperationStartTime": "2020-01-24T12:37:56-08:00",
            "OperationEndTime": "2020-01-24T12:37:59-08:00",
            "Operation": "Scan",
            "RebootOption": "NoReboot"
        },
        {
            "InstanceId": "i-09a618aec652973a9",
            "PatchGroup": "",
            "BaselineId": "pb-0c10e65780EXAMPLE",
            "SnapshotId": "c7e0441b-1eae-411b-8aa7-973e6EXAMPLE",
            "InstalledCount": 36,
            "InstalledOtherCount": 396,
            "InstalledPendingRebootCount": 0,
            "InstalledRejectedCount": 0,
            "MissingCount": 3,
            "FailedCount": 0,
            "UnreportedNotApplicableCount": -1,
            "NotApplicableCount": 420,
            "OperationStartTime": "2020-01-24T12:37:34-08:00",
            "OperationEndTime": "2020-01-24T12:37:37-08:00",
            "Operation": "Scan",
            "RebootOption": "NoReboot"
        }
     ---output truncated---
```

### Dapatkan detail kepatuhan tambalan untuk node terkelola
<a name="patch-manager-cli-commands-describe-instance-patches"></a>

```
aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407
```

Sistem mengembalikan informasi seperti berikut ini.

```
{
   "NextToken":"--token string truncated--",
   "Patches":[
      {
            "Title": "bind-libs.x86_64:32:9.8.2-0.68.rc1.60.amzn1",
            "KBId": "bind-libs.x86_64",
            "Classification": "Security",
            "Severity": "Important",
            "State": "Installed",
            "InstalledTime": "2019-08-26T11:05:24-07:00"
        },
        {
            "Title": "bind-utils.x86_64:32:9.8.2-0.68.rc1.60.amzn1",
            "KBId": "bind-utils.x86_64",
            "Classification": "Security",
            "Severity": "Important",
            "State": "Installed",
            "InstalledTime": "2019-08-26T11:05:32-07:00"
        },
        {
            "Title": "dhclient.x86_64:12:4.1.1-53.P1.28.amzn1",
            "KBId": "dhclient.x86_64",
            "Classification": "Security",
            "Severity": "Important",
            "State": "Installed",
            "InstalledTime": "2019-08-26T11:05:31-07:00"
        },
    ---output truncated---
```

### Melihat hasil kepatuhan patching (AWS CLI)
<a name="viewing-patch-compliance-results-cli"></a>

**Untuk melihat hasil kepatuhan tambalan untuk satu node terkelola**

Jalankan perintah berikut di AWS Command Line Interface (AWS CLI) untuk melihat hasil kepatuhan patch untuk satu node terkelola.

```
aws ssm describe-instance-patch-states --instance-id instance-id
```

Ganti *instance-id* dengan ID node terkelola yang ingin Anda lihat hasilnya, dalam format `i-02573cafcfEXAMPLE` atau`mi-0282f7c436EXAMPLE`.

Sistem mengembalikan informasi seperti berikut ini.

```
{
    "InstancePatchStates": [
        {
            "InstanceId": "i-02573cafcfEXAMPLE",
            "PatchGroup": "mypatchgroup",
            "BaselineId": "pb-0c10e65780EXAMPLE",            
            "SnapshotId": "a3f5ff34-9bc4-4d2c-a665-4d1c1EXAMPLE",
            "CriticalNonCompliantCount": 2,
            "SecurityNonCompliantCount": 2,
            "OtherNonCompliantCount": 1,
            "InstalledCount": 123,
            "InstalledOtherCount": 334,
            "InstalledPendingRebootCount": 0,
            "InstalledRejectedCount": 0,
            "MissingCount": 1,
            "FailedCount": 2,
            "UnreportedNotApplicableCount": 11,
            "NotApplicableCount": 2063,
            "OperationStartTime": "2021-05-03T11:00:56-07:00",
            "OperationEndTime": "2021-05-03T11:01:09-07:00",
            "Operation": "Scan",
            "LastNoRebootInstallOperationTime": "2020-06-14T12:17:41-07:00",
            "RebootOption": "RebootIfNeeded"
        }
    ]
}
```

**Untuk melihat ringkasan jumlah tambalan untuk semua instans EC2 di Wilayah**

`describe-instance-patch-states` mendukung mengambil hasil untuk satu instans terkelola saja dalam satu waktu. Namun, menggunakan script kustom dengan perintah `describe-instance-patch-states`, Anda dapat membuat laporan yang lebih terperinci.

Sebagai contoh, jika [alat filter jq](https://stedolan.github.io/jq/download/) diinstal pada mesin lokal Anda, Anda dapat menjalankan perintah berikut ini untuk mengidentifikasi instans EC2 apa yang ada di Wilayah AWS tertentu yang berstatus `InstalledPendingReboot`.

```
aws ssm describe-instance-patch-states \
    --instance-ids $(aws ec2 describe-instances --region region | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \
    --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
```

*region*mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti `us-east-2` untuk Wilayah AS Timur (Ohio). Untuk daftar *region* nilai yang didukung, lihat kolom **Region** di [titik akhir layanan Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) di *Referensi Umum Amazon Web Services*.

Contoh:

```
aws ssm describe-instance-patch-states \
    --instance-ids $(aws ec2 describe-instances --region us-east-2 | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \
    --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
```

Sistem mengembalikan informasi seperti berikut ini.

```
1       i-02573cafcfEXAMPLE
0       i-0471e04240EXAMPLE
3       i-07782c72faEXAMPLE
6       i-083b678d37EXAMPLE
0       i-03a530a2d4EXAMPLE
1       i-01f68df0d0EXAMPLE
0       i-0a39c0f214EXAMPLE
7       i-0903a5101eEXAMPLE
7       i-03823c2fedEXAMPLE
```

Selain `InstalledPendingRebootCount`, daftar jenis jumlah yang dapat Anda cari termasuk yang berikut:
+ `CriticalNonCompliantCount`
+ `SecurityNonCompliantCount`
+ `OtherNonCompliantCount`
+ `UnreportedNotApplicableCount `
+ `InstalledPendingRebootCount`
+ `FailedCount`
+ `NotApplicableCount`
+ `InstalledRejectedCount`
+ `InstalledOtherCount`
+ `MissingCount`
+ `InstalledCount`

## AWS CLI perintah untuk memindai dan menambal node yang dikelola
<a name="patch-operations-cli-commands"></a>

Setelah menjalankan perintah berikut ini untuk memindai kepatuhan patch atau menginstal patch, Anda dapat menggunakan perintah di bagian [AWS CLI perintah untuk melihat ringkasan dan detail tambalan](#patch-details-cli-commands) untuk melihat informasi tentang status dan kepatuhan patch.

**Topics**
+ [Pindai node terkelola untuk kepatuhan patch (AWS CLI)](#patch-operations-scan)
+ [Instal tambalan pada node terkelola ()AWS CLI](#patch-operations-install-cli)

### Pindai node terkelola untuk kepatuhan patch (AWS CLI)
<a name="patch-operations-scan"></a>

**Untuk memindai node terkelola tertentu untuk kepatuhan patch**

Jalankan perintah berikut.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name 'AWS-RunPatchBaseline' \
    --targets Key=InstanceIds,Values='i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE' \
    --parameters 'Operation=Scan' \
    --timeout-seconds 600
```

------
#### [ Windows Server ]

```
aws ssm send-command ^
    --document-name "AWS-RunPatchBaseline" ^
    --targets Key=InstanceIds,Values="i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE" ^
    --parameters "Operation=Scan" ^
    --timeout-seconds 600
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
    "Command": {
        "CommandId": "a04ed06c-8545-40f4-87c2-a0babEXAMPLE",
        "DocumentName": "AWS-RunPatchBaseline",
        "DocumentVersion": "$DEFAULT",
        "Comment": "",
        "ExpiresAfter": 1621974475.267,
        "Parameters": {
            "Operation": [
                "Scan"
            ]
        },
        "InstanceIds": [],
        "Targets": [
            {
                "Key": "InstanceIds",
                "Values": [
                    "i-02573cafcfEXAMPLE,
                     i-0471e04240EXAMPLE"
                ]
            }
        ],
        "RequestedDateTime": 1621952275.267,
        "Status": "Pending",
        "StatusDetails": "Pending",
        "TimeoutSeconds": 600,

    ---output truncated---

    }
}
```

**Untuk memindai node terkelola untuk kepatuhan patch dengan tag grup patch**

Jalankan perintah berikut.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name 'AWS-RunPatchBaseline' \
    --targets Key='tag:PatchGroup',Values='Web servers' \
    --parameters 'Operation=Scan' \
    --timeout-seconds 600
```

------
#### [ Windows Server ]

```
aws ssm send-command ^
    --document-name "AWS-RunPatchBaseline" ^
    --targets Key="tag:PatchGroup",Values="Web servers" ^
    --parameters "Operation=Scan" ^
    --timeout-seconds 600
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
    "Command": {
        "CommandId": "87a448ee-8adc-44e0-b4d1-6b429EXAMPLE",
        "DocumentName": "AWS-RunPatchBaseline",
        "DocumentVersion": "$DEFAULT",
        "Comment": "",
        "ExpiresAfter": 1621974983.128,
        "Parameters": {
            "Operation": [
                "Scan"
            ]
        },
        "InstanceIds": [],
        "Targets": [
            {
                "Key": "tag:PatchGroup",
                "Values": [
                    "Web servers"
                ]
            }
        ],
        "RequestedDateTime": 1621952783.128,
        "Status": "Pending",
        "StatusDetails": "Pending",
        "TimeoutSeconds": 600,

    ---output truncated---

    }
}
```

### Instal tambalan pada node terkelola ()AWS CLI
<a name="patch-operations-install-cli"></a>

**Untuk menginstal patch pada node terkelola tertentu**

Jalankan perintah berikut. 

**catatan**  
Node terkelola target reboot sesuai kebutuhan untuk menyelesaikan instalasi patch. Untuk informasi selengkapnya, lihat [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name 'AWS-RunPatchBaseline' \
    --targets Key=InstanceIds,Values='i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE' \
    --parameters 'Operation=Install' \
    --timeout-seconds 600
```

------
#### [ Windows Server ]

```
aws ssm send-command ^
    --document-name "AWS-RunPatchBaseline" ^
    --targets Key=InstanceIds,Values="i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE" ^
    --parameters "Operation=Install" ^
    --timeout-seconds 600
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
    "Command": {
        "CommandId": "5f403234-38c4-439f-a570-93623EXAMPLE",
        "DocumentName": "AWS-RunPatchBaseline",
        "DocumentVersion": "$DEFAULT",
        "Comment": "",
        "ExpiresAfter": 1621975301.791,
        "Parameters": {
            "Operation": [
                "Install"
            ]
        },
        "InstanceIds": [],
        "Targets": [
            {
                "Key": "InstanceIds",
                "Values": [
                    "i-02573cafcfEXAMPLE,
                     i-0471e04240EXAMPLE"
                ]
            }
        ],
        "RequestedDateTime": 1621953101.791,
        "Status": "Pending",
        "StatusDetails": "Pending",
        "TimeoutSeconds": 600,

    ---output truncated---

    }
}
```

**Untuk menginstal patch pada node terkelola dalam grup patch tertentu**

Jalankan perintah berikut.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name 'AWS-RunPatchBaseline' \
    --targets Key='tag:PatchGroup',Values='Web servers' \
    -parameters 'Operation=Install' \
    --timeout-seconds 600
```

------
#### [ Windows Server ]

```
aws ssm send-command ^
    --document-name "AWS-RunPatchBaseline" ^
    --targets Key="tag:PatchGroup",Values="Web servers" ^
    --parameters "Operation=Install" ^
    --timeout-seconds 600
```

------

Sistem mengembalikan informasi seperti berikut ini.

```
{
    "Command": {
        "CommandId": "fa44b086-7d36-4ad5-ac8d-627ecEXAMPLE",
        "DocumentName": "AWS-RunPatchBaseline",
        "DocumentVersion": "$DEFAULT",
        "Comment": "",
        "ExpiresAfter": 1621975407.865,
        "Parameters": {
            "Operation": [
                "Install"
            ]
        },
        "InstanceIds": [],
        "Targets": [
            {
                "Key": "tag:PatchGroup",
                "Values": [
                    "Web servers"
                ]
            }
        ],
        "RequestedDateTime": 1621953207.865,
        "Status": "Pending",
        "StatusDetails": "Pending",
        "TimeoutSeconds": 600,

    ---output truncated---

    }
}
```

# AWS Systems ManagerPatch Managertutorial
<a name="patch-manager-tutorials"></a>

Tutorial di bagian ini menunjukkan cara menggunakanPatch Manager, alat di AWS Systems Manager, untuk beberapa skenario penambalan.

**Topics**
+ [Tutorial: Menambal server di IPv6 satu-satunya lingkungan](patch-manager-server-patching-iPv6-tutorial.md)
+ [Tutorial: Buat baseline patch untuk menginstal Paket Layanan Windows menggunakan konsol](patch-manager-windows-service-pack-patch-baseline-tutorial.md)
+ [Tutorial: Perbarui dependensi aplikasi, tambal node terkelola, dan lakukan pemeriksaan kesehatan khusus aplikasi menggunakan konsol](aws-runpatchbaselinewithhooks-tutorial.md)
+ [Tutorial: Menambal lingkungan server menggunakan AWS CLI](patch-manager-patch-servers-using-the-aws-cli.md)

# Tutorial: Menambal server di IPv6 satu-satunya lingkungan
<a name="patch-manager-server-patching-iPv6-tutorial"></a>

Patch Managermendukung penambalan node di lingkungan yang hanya memiliki IPv6. Dengan memperbarui SSM Agent konfigurasi, operasi patching dapat dikonfigurasi untuk hanya melakukan panggilan ke titik akhir IPv6 layanan.

**Untuk menambal server di IPv6 satu-satunya lingkungan**

1. Pastikan bahwa SSM Agent versi 3.3270.0 atau yang lebih baru diinstal pada node terkelola.

1. Pada node terkelola, navigasikan ke file SSM Agent konfigurasi. Anda dapat menemukan `amazon-ssm-agent.json` file di direktori berikut:
   + Linux: `/etc/amazon/ssm/`
   + macOS: `/opt/aws/ssm/`
   + Windows Server: `C:\Program Files\Amazon\SSM`

   Jika `amazon-ssm-agent.json` belum ada, salin isi di `amazon-ssm-agent.json.template` bawah direktori yang sama ke`amazon-ssm-agent.json`.

1. Perbarui entri berikut untuk mengatur Wilayah yang benar dan atur `UseDualStackEndpoint` ke`true`:

   ```
   {
    --------
       "Agent": {
           "Region": "region",
           "UseDualStackEndpoint": true
       },
   --------
   }
   ```

1. Mulai ulang SSM Agent layanan menggunakan perintah yang sesuai untuk sistem operasi Anda:
   + Linux: `sudo systemctl restart amazon-ssm-agent`
   + Ubuntu Servermenggunakan Snap: `sudo snap restart amazon-ssm-agent`
   + macOS: `sudo launchctl stop com.amazon.aws.ssm` diikuti oleh `sudo launchctl start com.amazon.aws.ssm`
   + Windows Server: `Stop-Service AmazonSSMAgent` diikuti oleh `Start-Service AmazonSSMAgent`

   Untuk daftar lengkap perintah per sistem operasi, lihat[Memeriksa SSM Agent status dan memulai agen](ssm-agent-status-and-restart.md).

1. Jalankan operasi penambalan apa pun untuk memverifikasi operasi penambalan berhasil di lingkungan IPv6 -only Anda. Pastikan node yang ditambal memiliki konektivitas ke sumber patch. Anda dapat memeriksa Run Command output dari eksekusi patching untuk memeriksa peringatan tentang repositori yang tidak dapat diakses. Saat menambal node yang berjalan di lingkungan IPv6 satu-satunya, pastikan bahwa node memiliki konektivitas ke sumber patch. Anda dapat memeriksa Run Command output dari eksekusi patching untuk memeriksa peringatan tentang repositori yang tidak dapat diakses. Untuk sistem operasi berbasis DNF, dimungkinkan untuk mengonfigurasi repositori yang tidak tersedia untuk dilewati selama penambalan jika opsi diatur ke bawah. `skip_if_unavailable` `True` `/etc/dnf/dnf.conf` Sistem operasi berbasis DNF termasuk Amazon Linux 2023, Red Hat Enterprise Linux 8 dan versi yang lebih baru, 8 dan versi yang lebih baru,,Rocky Linux, AlmaLinux & CentOS Oracle Linux 8 dan versi yang lebih baru. Di Amazon Linux 2023, `skip_if_unavailable` opsi diatur ke secara `True` default.
**catatan**  
 Saat menggunakan fitur Install Override List atau Baseline Override, pastikan URL yang disediakan dapat dijangkau dari node. Jika opsi SSM Agent konfigurasi `UseDualStackEndpoint` disetel ke`true`, maka klien S3 dualstack digunakan saat URL S3 disediakan.

# Tutorial: Buat baseline patch untuk menginstal Paket Layanan Windows menggunakan konsol
<a name="patch-manager-windows-service-pack-patch-baseline-tutorial"></a>

Ketika Anda membuat dasar patch kustom, Anda dapat menentukan bahwa semua, beberapa, atau hanya satu jenis patch yang didukung telah diinstal.

Di dasar patch untuk Windows, Anda dapat memilih `ServicePacks` sebagai satu-satunya opsi **Klasifikasi** untuk membatasi pembaruan patching hanya untuk Service Packs. Paket Layanan dapat diinstal secara otomatis olehPatch Manager, alat di AWS Systems Manager, asalkan pembaruan tersedia di Windows Update atau Windows Server Update Services (WSUS).

Anda dapat mengkonfigurasi dasar patch untuk mengendalikan apakah Service Packs untuk semua versi Windows diinstal, atau hanya untuk versi tertentu, seperti Windows 7 atau Windows Server 2016. 

Gunakan prosedur berikut untuk membuat baseline patch kustom untuk digunakan secara eksklusif untuk menginstal semua Paket Layanan pada node terkelola Windows Anda. 

**Untuk membuat baseline patch untuk menginstal Windows Service Packs (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baseline**, lalu pilih **Create patch** baseline. 

1. Untuk **Nama**, masukkan nama untuk dasar patch baru Anda, misalnya, `MyWindowsServicePackPatchBaseline`.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk dasar patch ini.

1. Untuk **Sistem operasi**, pilih `Windows`.

1. Jika Anda ingin mulai menggunakan dasar patch ini sebagai default untuk Windows segera setelah Anda membuatnya, pilih **Atur dasar patch ini sebagai dasar patch default untuk instans Windows Server**.
**catatan**  
Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum [kebijakan tambalan](patch-manager-policies.md) dirilis pada 22 Desember 2022.  
Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat [Mengatur dasar patch yang ada sebagai default](patch-manager-default-patch-baseline.md).

1. Di bagian **Aturan persetujuan untuk sistem operasi**, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.
   + **Produk**: Versi sistem operasi yang berlaku untuk aturan persetujuan, seperti`WindowsServer2012`. Anda dapat memilih satu, lebih dari satu, atau semua versi Windows yang didukung. Pilihan default adalah `All`.
   + **Klasifikasi**: Pilih `ServicePacks`. 
   + **Kepelikan**: Nilai kepelikan patch yang diberlakukan aturan. Untuk memastikan bahwa semua Service Packs disertakan oleh aturan, pilih `All`. 
   + **Persetujuan otomatis**: Metode untuk memilih patch untuk persetujuan otomatis.
     + **Menyetujui patch setelah beberapa hari tertentu**: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.
     + **Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal** rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.
   + (Opsional) **Laporan kepatuhan**: Tingkat kepelikan yang ingin Anda tetapkan untuk Service Packs yang disetujui oleh baseline, seperti `High`.
**catatan**  
Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari Paket Layanan yang disetujui dilaporkan sebagai`Missing`, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

1. (Opsional) Untuk **Kelola tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke baseline patch.

   Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Untuk dasar patch ini yang didedikasikan untuk memperbarui Service Packs, Anda dapat menentukan pasangan kunci-nilai seperti berikut:
   + `Key=OS,Value=Windows`
   + `Key=Classification,Value=ServicePacks`

1. Pilih **Buat dasar patch**.

# Tutorial: Perbarui dependensi aplikasi, tambal node terkelola, dan lakukan pemeriksaan kesehatan khusus aplikasi menggunakan konsol
<a name="aws-runpatchbaselinewithhooks-tutorial"></a>

Dalam banyak kasus, node terkelola harus di-boot ulang setelah ditambal dengan pembaruan perangkat lunak terbaru. Namun, me-reboot node dalam produksi tanpa perlindungan di tempat dapat menyebabkan beberapa masalah, seperti memanggil alarm, merekam data metrik yang salah, dan mengganggu sinkronisasi data.

Tutorial ini menunjukkan bagaimana menghindari masalah seperti ini dengan menggunakan AWS Systems Manager dokumen (dokumen SSM) `AWS-RunPatchBaselineWithHooks` untuk mencapai operasi penambalan multi-langkah yang kompleks yang menyelesaikan hal berikut:

1. Mencegah koneksi baru ke aplikasi

1. Menginstal pembaruan sistem operasi

1. Memperbarui dependensi paket aplikasi

1. Memulai ulang sistem

1. Melakukan pemeriksaan kesehatan khusus aplikasi

Untuk contoh ini, kami telah menyiapkan infrastruktur kami dengan cara ini:
+ Mesin virtual yang ditargetkan terdaftar sebagai node terkelola dengan Systems Manager.
+ `Iptables` digunakan sebagai firewall lokal.
+ Aplikasi yang di-host pada node terkelola berjalan pada port 443.
+ Aplikasi yang di-host pada node yang dikelola adalah `nodeJS` aplikasi.
+ Aplikasi yang di-host pada node yang dikelola dikelola oleh manajer proses pm2.
+ Aplikasi ini sudah memiliki titik akhir pemeriksaan kesehatan yang ditentukan.
+ Titik akhir pemeriksaan kesehatan aplikasi tidak memerlukan autentikasi pengguna akhir. Titik akhir memungkinkan dilakukannya pemeriksaan kesehatan yang memenuhi persyaratan organisasi dalam menetapkan ketersediaan. (Di lingkungan Anda, mungkin cukup untuk memastikan bahwa `nodeJS` aplikasi berjalan dan dapat mendengarkan permintaan. Dalam kasus lain, Anda mungkin ingin juga memverifikasi bahwa koneksi ke lapisan caching atau lapisan database telah dibuat.)

Contoh dalam tutorial ini adalah untuk tujuan demonstrasi saja dan tidak dimaksudkan untuk diimplementasikan apa adanya ke dalam lingkungan produksi. Juga, perlu diingat bahwa fitur kait siklus hidup, alat di Systems ManagerPatch Manager, dengan `AWS-RunPatchBaselineWithHooks` dokumen dapat mendukung banyak skenario lainnya. Berikut adalah beberapa contoh tanda.
+ Hentikan agen pelaporan metrik sebelum menambal dan memulai ulang setelah node terkelola reboot.
+ Lepaskan node terkelola dari cluster CRM atau PCS sebelum menambal dan memasang kembali setelah node reboot.
+ Perbarui perangkat lunak pihak ketiga (misalnya, Java, Tomcat, aplikasi Adobe, dan sebagainya) pada Windows Server mesin setelah pembaruan sistem operasi (OS) diterapkan, tetapi sebelum node yang dikelola reboot.

**Untuk memperbarui dependensi aplikasi, tambal node terkelola, dan lakukan pemeriksaan kesehatan khusus aplikasi**

1. Buat dokumen SSM untuk script pra-instalasi Anda dengan konten berikut ini dan berikan nama `NodeJSAppPrePatch`. Ganti *your\$1application* dengan nama aplikasi Anda.

   Script ini segera memblokir permintaan masuk baru dan menyediakan lima detik untuk permintaan yang sudah aktif agar diselesaikan sebelum memulai operasi patching. Untuk opsi `sleep`, tentukan jumlah detik lebih besar daripada yang biasanya diperlukan untuk permintaan masuk diselesaikan.

   ```
   # exit on error
   set -e
   # set up rule to block incoming traffic
   iptables -I INPUT -j DROP -p tcp --syn --destination-port 443 || exit 1
   # wait for current connections to end. Set timeout appropriate to your application's latency
   sleep 5 
   # Stop your application
   pm2 stop your_application
   ```

   Untuk informasi tentang membuat dokumen SSM, lihat [Membuat konten dokumen SSM](documents-creating-content.md).

1. Buat dokumen SSM lain dengan konten berikut ini untuk script pasca instalasi Anda untuk memperbarui dependensi aplikasi Anda dan berikan nama `NodeJSAppPostPatch`. Ganti */your/application/path* dengan jalur ke aplikasi Anda.

   ```
   cd /your/application/path
   npm update 
   # you can use npm-check-updates if you want to upgrade major versions
   ```

1. Buat dokumen SSM lain dengan konten berikut ini untuk script `onExit` Anda untuk menyalakan kembali aplikasi Anda dan melakukan pemeriksaan kesehatan. Namakan dokumen SSM ini `NodeJSAppOnExitPatch`. Ganti *your\$1application* dengan nama aplikasi Anda.

   ```
   # exit on error
   set -e
   # restart nodeJs application
   pm2 start your_application
   # sleep while your application starts and to allow for a crash
   sleep 10
   # check with pm2 to see if your application is running
   pm2 pid your_application
   # re-enable incoming connections
   iptables -D INPUT -j DROP -p tcp --syn --destination-port 
   # perform health check
   /usr/bin/curl -m 10 -vk -A "" http://localhost:443/health-check || exit 1
   ```

1. Buat asosiasi diState Manager, alat di AWS Systems Manager, untuk mengeluarkan operasi dengan melakukan langkah-langkah berikut:

   1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Di panel navigasi, pilih **State Manager**, lalu pilih **Buat asosiasi**.

   1. Untuk **Nama**, berikan nama untuk membantu mengidentifikasi tujuan asosiasi.

   1. Di daftar **Dokumen**, pilih `AWS-RunPatchBaselineWithHooks`.

   1. Untuk **Operasi**, pilih **Instal**.

   1. (Opsional) Untuk **Snapshot Id**, berikan GUID yang Anda buat untuk membantu mempercepat operasi dan memastikan konsistensi. Nilai GUID dapat sesederhana `00000000-0000-0000-0000-111122223333`.

   1. Untuk **Pre Install Hook Doc Name**, masukkan `NodeJSAppPrePatch`. 

   1. Untuk **Post Install Hook Doc Name**, masukkan `NodeJSAppPostPatch`. 

   1. Untuk **On ExitHook Doc Name**, masukkan`NodeJSAppOnExitPatch`. 

1. Untuk **Target**, identifikasi node terkelola Anda dengan menentukan tag, memilih node secara manual, memilih grup sumber daya, atau memilih semua node terkelola.

1. Untuk **Tentukan jadwal**, tentukan seberapa sering untuk menjalankan asosiasi. Untuk patch node terkelola, seminggu sekali adalah irama umum.

1. Di bagian **Rate control**, pilih opsi untuk mengontrol bagaimana asosiasi berjalan pada beberapa node terkelola. Pastikan bahwa hanya sebagian dari node terkelola yang diperbarui pada suatu waktu. Jika tidak, semua atau sebagian besar armada Anda dapat dijadikan offline sekaligus. Untuk informasi lebih lanjut tentang menggunakan kontrol rate, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

1. (Opsional) Untuk **Pilihan output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Pilih **Buat Asosiasi**.

# Tutorial: Menambal lingkungan server menggunakan AWS CLI
<a name="patch-manager-patch-servers-using-the-aws-cli"></a>

Prosedur berikut ini menjelaskan cara melakukan patching untuk lingkungan server dengan menggunakan dasar patch kustom, grup patch, dan jendela pemeliharaan.

**Sebelum Anda mulai**
+ Instal atau perbarui SSM Agent pada node terkelola Anda. Untuk menambal node yang dikelola Linux, node Anda harus menjalankan SSM Agent versi 2.0.834.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat [Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).
+ Konfigurasikan peran dan izin untukMaintenance Windows, alat di AWS Systems Manager. Untuk informasi selengkapnya, lihat [Menyiapkan Maintenance Windows](setting-up-maintenance-windows.md).
+ Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

  Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

**Untuk mengkonfigurasi Patch Manager dan menambal node yang dikelola (baris perintah)**

1. Jalankan perintah berikut ini untuk membuat dasar patch untuk Windows yang bernama `Production-Baseline`. Garis dasar tambalan ini menyetujui tambalan untuk lingkungan produksi 7 hari setelah dirilis atau terakhir diperbarui. Artinya, kami menandai dasar patch untuk menunjukkan bahwa itu untuk lingkungan produksi.
**catatan**  
`OperatingSystem`Parameter dan `PatchFilters` bervariasi tergantung pada sistem operasi node terkelola target yang berlaku untuk patch baseline. Untuk informasi selengkapnya, lihat [OperatingSystem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-OperatingSystem) dan [PatchFilter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html).

------
#### [ Linux & macOS ]

   ```
   aws ssm create-patch-baseline \
       --name "Production-Baseline" \
       --operating-system "WINDOWS" \
       --tags "Key=Environment,Value=Production" \
       --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Critical,Important]},{Key=CLASSIFICATION,Values=[SecurityUpdates,Updates,ServicePacks,UpdateRollups,CriticalUpdates]}]},ApproveAfterDays=7}]" \
       --description "Baseline containing all updates approved for production systems"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm create-patch-baseline ^
       --name "Production-Baseline" ^
       --operating-system "WINDOWS" ^
       --tags "Key=Environment,Value=Production" ^
       --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Critical,Important]},{Key=CLASSIFICATION,Values=[SecurityUpdates,Updates,ServicePacks,UpdateRollups,CriticalUpdates]}]},ApproveAfterDays=7}]" ^
       --description "Baseline containing all updates approved for production systems"
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "BaselineId":"pb-0c10e65780EXAMPLE"
   }
   ```

1. Jalankan perintah berikut ini untuk mendaftarkan dasar patch "Production-Baseline" untuk dua grup patch. Grup tersebut bernama "Database Servers" dan "Front-End Servers".

------
#### [ Linux & macOS ]

   ```
   aws ssm register-patch-baseline-for-patch-group \
       --baseline-id pb-0c10e65780EXAMPLE \
       --patch-group "Database Servers"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-patch-baseline-for-patch-group ^
       --baseline-id pb-0c10e65780EXAMPLE ^
       --patch-group "Database Servers"
   ```

------

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "PatchGroup":"Database Servers",
      "BaselineId":"pb-0c10e65780EXAMPLE"
   }
   ```

------
#### [ Linux & macOS ]

   ```
   aws ssm register-patch-baseline-for-patch-group \
       --baseline-id pb-0c10e65780EXAMPLE \
       --patch-group "Front-End Servers"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-patch-baseline-for-patch-group ^
       --baseline-id pb-0c10e65780EXAMPLE ^
       --patch-group "Front-End Servers"
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "PatchGroup":"Front-End Servers",
      "BaselineId":"pb-0c10e65780EXAMPLE"
   }
   ```

1. Jalankan perintah berikut ini untuk membuat dua jendela pemeliharaan untuk server produksi. Jendela pertama berjalan setiap hari Selasa pukul 10 malam. Jendela kedua berjalan setiap hari Sabtu pukul 10 malam. Selain itu, jendela pemeliharaan telah ditandai untuk menunjukkan bahwa itu untuk lingkungan produksi.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-maintenance-window \
       --name "Production-Tuesdays" \
       --tags "Key=Environment,Value=Production" \
       --schedule "cron(0 0 22 ? * TUE *)" \
       --duration 1 \
       --cutoff 0 \
       --no-allow-unassociated-targets
   ```

------
#### [ Windows Server ]

   ```
   aws ssm create-maintenance-window ^
       --name "Production-Tuesdays" ^
       --tags "Key=Environment,Value=Production" ^
       --schedule "cron(0 0 22 ? * TUE *)" ^
       --duration 1 ^
       --cutoff 0 ^
       --no-allow-unassociated-targets
   ```

------

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "WindowId":"mw-0c50858d01EXAMPLE"
   }
   ```

------
#### [ Linux & macOS ]

   ```
   aws ssm create-maintenance-window \
       --name "Production-Saturdays" \
       --tags "Key=Environment,Value=Production" \
       --schedule "cron(0 0 22 ? * SAT *)" \
       --duration 2 \
       --cutoff 0 \
       --no-allow-unassociated-targets
   ```

------
#### [ Windows Server ]

   ```
   aws ssm create-maintenance-window ^
       --name "Production-Saturdays" ^
       --tags "Key=Environment,Value=Production" ^
       --schedule "cron(0 0 22 ? * SAT *)" ^
       --duration 2 ^
       --cutoff 0 ^
       --no-allow-unassociated-targets
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "WindowId":"mw-9a8b7c6d5eEXAMPLE"
   }
   ```

1. Jalankan perintah berikut ini untuk mendaftarkan grup patch server `Database` dan `Front-End` dengan jendela pemeliharaan masing-masing.

------
#### [ Linux & macOS ]

   ```
   aws ssm register-target-with-maintenance-window \
       --window-id mw-0c50858d01EXAMPLE \
       --targets "Key=tag:PatchGroup,Values=Database Servers" \
       --owner-information "Database Servers" \
       --resource-type "INSTANCE"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-target-with-maintenance-window ^
       --window-id mw-0c50858d01EXAMPLE ^
       --targets "Key=tag:PatchGroup,Values=Database Servers" ^
       --owner-information "Database Servers" ^
       --resource-type "INSTANCE"
   ```

------

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "WindowTargetId":"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
   }
   ```

------
#### [ Linux & macOS ]

   ```
   aws ssm register-target-with-maintenance-window \
   --window-id mw-9a8b7c6d5eEXAMPLE \
   --targets "Key=tag:PatchGroup,Values=Front-End Servers" \
   --owner-information "Front-End Servers" \
   --resource-type "INSTANCE"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-target-with-maintenance-window ^
       --window-id mw-9a8b7c6d5eEXAMPLE ^
       --targets "Key=tag:PatchGroup,Values=Front-End Servers" ^
       --owner-information "Front-End Servers" ^
       --resource-type "INSTANCE"
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "WindowTargetId":"faa01c41-1d57-496c-ba77-ff9caEXAMPLE"
   }
   ```

1. Jalankan perintah berikut ini untuk mendaftarkan sebuah tugas patch yang menginstal pembaruan yang hilang pada server `Database` dan `Front-End` selama jendela pemeliharaan masing-masing.

------
#### [ Linux & macOS ]

   ```
   aws ssm register-task-with-maintenance-window \
       --window-id mw-0c50858d01EXAMPLE \
       --targets "Key=WindowTargetIds,Values=e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE" \
       --task-arn "AWS-RunPatchBaseline" \
       --service-role-arn "arn:aws:iam::123456789012:role/MW-Role" \
       --task-type "RUN_COMMAND" \
       --max-concurrency 2 \
       --max-errors 1 \
       --priority 1 \
       --task-invocation-parameters "RunCommand={Parameters={Operation=Install}}"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-task-with-maintenance-window ^
       --window-id mw-0c50858d01EXAMPLE ^
       --targets "Key=WindowTargetIds,Values=e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE" ^
       --task-arn "AWS-RunPatchBaseline" ^
       --service-role-arn "arn:aws:iam::123456789012:role/MW-Role" ^
       --task-type "RUN_COMMAND" ^
       --max-concurrency 2 ^
       --max-errors 1 ^
       --priority 1 ^
       --task-invocation-parameters "RunCommand={Parameters={Operation=Install}}"
   ```

------

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
      "WindowTaskId":"4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
   }
   ```

------
#### [ Linux & macOS ]

   ```
   aws ssm register-task-with-maintenance-window \
       --window-id mw-9a8b7c6d5eEXAMPLE \
       --targets "Key=WindowTargetIds,Values=faa01c41-1d57-496c-ba77-ff9caEXAMPLE" \
       --task-arn "AWS-RunPatchBaseline" \
       --service-role-arn "arn:aws:iam::123456789012:role/MW-Role" \
       --task-type "RUN_COMMAND" \
       --max-concurrency 2 \
       --max-errors 1 \
       --priority 1 \
       --task-invocation-parameters "RunCommand={Parameters={Operation=Install}}"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm register-task-with-maintenance-window ^
       --window-id mw-9a8b7c6d5eEXAMPLE ^
       --targets "Key=WindowTargetIds,Values=faa01c41-1d57-496c-ba77-ff9caEXAMPLE" ^
       --task-arn "AWS-RunPatchBaseline" ^
       --service-role-arn "arn:aws:iam::123456789012:role/MW-Role" ^
       --task-type "RUN_COMMAND" ^
       --max-concurrency 2 ^
       --max-errors 1 ^
       --priority 1 ^
       --task-invocation-parameters "RunCommand={Parameters={Operation=Install}}"
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "WindowTaskId":"8a5c4629-31b0-4edd-8aea-33698EXAMPLE"
   }
   ```

1. Jalankan perintah berikut ini untuk mendapatkan ringkasan kepatuhan patch tingkat tinggi untuk grup patch. Ringkasan kepatuhan patch tingkat tinggi mencakup jumlah node terkelola dengan tambalan di masing-masing status patch.
**catatan**  
Diharapkan melihat nol untuk jumlah node terkelola dalam ringkasan hingga tugas tambalan berjalan selama jendela pemeliharaan pertama.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-patch-group-state \
       --patch-group "Database Servers"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm describe-patch-group-state ^
       --patch-group "Database Servers"
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "Instances": number,
      "InstancesWithFailedPatches": number,
      "InstancesWithInstalledOtherPatches": number,
      "InstancesWithInstalledPatches": number,
      "InstancesWithInstalledPendingRebootPatches": number,
      "InstancesWithInstalledRejectedPatches": number,
      "InstancesWithMissingPatches": number,
      "InstancesWithNotApplicablePatches": number,
      "InstancesWithUnreportedNotApplicablePatches": number
   }
   ```

1. Jalankan perintah berikut untuk mendapatkan status ringkasan tambalan per node yang dikelola untuk grup tambalan. Ringkasan node per terkelola mencakup sejumlah tambalan di masing-masing status patch per node terkelola untuk grup patch.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-instance-patch-states-for-patch-group \
       --patch-group "Database Servers"
   ```

------
#### [ Windows Server ]

   ```
   aws ssm describe-instance-patch-states-for-patch-group ^
       --patch-group "Database Servers"
   ```

------

   Sistem mengembalikan informasi seperti berikut ini.

   ```
   {
      "InstancePatchStates": [ 
         { 
            "BaselineId": "string",
            "FailedCount": number,
            "InstalledCount": number,
            "InstalledOtherCount": number,
            "InstalledPendingRebootCount": number,
            "InstalledRejectedCount": number,
            "InstallOverrideList": "string",
            "InstanceId": "string",
            "LastNoRebootInstallOperationTime": number,
            "MissingCount": number,
            "NotApplicableCount": number,
            "Operation": "string",
            "OperationEndTime": number,
            "OperationStartTime": number,
            "OwnerInformation": "string",
            "PatchGroup": "string",
            "RebootOption": "string",
            "SnapshotId": "string",
            "UnreportedNotApplicableCount": number
         }
      ]
   }
   ```

Untuk contoh AWS CLI perintah lain yang dapat Anda gunakan untuk tugas Patch Manager konfigurasi Anda, lihat[Bekerja dengan Patch Manager sumber daya menggunakan AWS CLI](patch-manager-cli-commands.md).

# Pemecahan Masalah Patch Manager
<a name="patch-manager-troubleshooting"></a>

Gunakan informasi berikut untuk membantu Anda memecahkan masalah denganPatch Manager, alat di. AWS Systems Manager

**Topics**
+ [Masalah: Kesalahan “Invoke-PatchBaselineOperation : Akses Ditolak” atau kesalahan “Tidak dapat mengunduh file dari S3" untuk `baseline_overrides.json`](#patch-manager-troubleshooting-patch-policy-baseline-overrides)
+ [Masalah: Penambalan gagal tanpa penyebab atau pesan kesalahan yang jelas](#race-condition-conflict)
+ [Masalah: Hasil kepatuhan tambalan yang tidak terduga](#patch-manager-troubleshooting-compliance)
+ [Kesalahan saat menjalankan `AWS-RunPatchBaseline` pada Linux](#patch-manager-troubleshooting-linux)
+ [Kesalahan saat menjalankan `AWS-RunPatchBaseline` pada Windows Server](#patch-manager-troubleshooting-windows)
+ [Kesalahan saat berjalan `AWS-RunPatchBaseline` di macOS](#patch-manager-troubleshooting-macos)
+ [Menggunakan AWS Dukungan runbook Otomasi](#patch-manager-troubleshooting-using-support-runbooks)
+ [Menghubungi AWS Dukungan](#patch-manager-troubleshooting-contact-support)

## Masalah: Kesalahan “Invoke-PatchBaselineOperation : Akses Ditolak” atau kesalahan “Tidak dapat mengunduh file dari S3" untuk `baseline_overrides.json`
<a name="patch-manager-troubleshooting-patch-policy-baseline-overrides"></a>

**Masalah**: Saat operasi penambalan yang ditentukan oleh kebijakan tambalan Anda berjalan, Anda menerima kesalahan yang mirip dengan contoh berikut. 

------
#### [ Example error on Windows Server ]

```
----------ERROR-------
Invoke-PatchBaselineOperation : Access Denied
At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestr
ation\792dd5bd-2ad3-4f1e-931d-abEXAMPLE\PatchWindows\_script.ps1:219 char:13
+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOpera
tion:InstallWindowsUpdateOperation) [Invoke-PatchBaselineOperation], Amazo
nS3Exception
+ FullyQualifiedErrorId : PatchBaselineOperations,Amazon.Patch.Baseline.Op
erations.PowerShellCmdlets.InvokePatchBaselineOperation
failed to run commands: exit status 0xffffffff
```

------
#### [ Example error on Linux ]

```
[INFO]: Downloading Baseline Override from s3://aws-quicksetup-patchpolicy-123456789012-abcde/baseline_overrides.json
[ERROR]: Unable to download file from S3: s3://aws-quicksetup-patchpolicy-123456789012-abcde/baseline_overrides.json.
[ERROR]: Error loading entrance module.
```

------

**Penyebab**: Anda membuat kebijakan tambalan diQuick Setup, dan beberapa node terkelola Anda sudah memiliki profil instance yang dilampirkan (untuk instans EC2) atau peran layanan yang dilampirkan (untuk mesin non-EC2). 

Namun, seperti yang ditunjukkan pada gambar berikut, Anda tidak memilih kotak centang **Tambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda**.

![\[\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/QS-instance-profile-option.png)


Saat Anda membuat kebijakan tambalan, bucket Amazon S3 juga dibuat untuk menyimpan file konfigurasi `baseline_overrides.json` kebijakan. Jika Anda tidak memilih kotak centang **Tambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instans** saat membuat kebijakan, kebijakan IAM dan tag sumber daya yang diperlukan untuk mengakses `baseline_overrides.json` di bucket S3 tidak secara otomatis ditambahkan ke profil instans IAM dan peran layanan yang ada.

**Solusi 1**: Hapus konfigurasi kebijakan tambalan yang ada, lalu buat pengganti, pastikan untuk memilih kotak centang **Tambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda**. Pilihan ini menerapkan kebijakan IAM yang dibuat oleh Quick Setup konfigurasi ini ke node yang sudah memiliki profil instance atau peran layanan yang dilampirkan. (Secara default, Quick Setup menambahkan kebijakan yang diperlukan ke instance dan node yang *belum* memiliki profil instance atau peran layanan.) Untuk informasi selengkapnya, lihat [Mengotomatiskan penambalan di seluruh organisasi menggunakan kebijakan tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html). Quick Setup 

**Solusi 2**: Tambahkan izin dan tag yang diperlukan secara manual ke setiap profil instans IAM dan peran layanan IAM yang Anda gunakan. Quick Setup Untuk petunjuk, lihat [Izin untuk bucket S3 kebijakan patch](quick-setup-patch-manager.md#patch-policy-s3-bucket-permissions).

## Masalah: Penambalan gagal tanpa penyebab atau pesan kesalahan yang jelas
<a name="race-condition-conflict"></a>

**Masalah**: Operasi patching gagal tanpa mengembalikan pesan kesalahan.

**Kemungkinan penyebabnya**: Saat menambal node yang dikelola, eksekusi dokumen dapat terganggu dan ditandai sebagai gagal meskipun tambalan berhasil diinstal. Ini dapat terjadi jika sistem memulai reboot yang tidak terduga selama operasi patching (misalnya, untuk menerapkan pembaruan ke firmware atau fitur seperti SecureBoot). Agen SSM tidak dapat bertahan dan melanjutkan status eksekusi dokumen di seluruh reboot eksternal, sehingga eksekusi dilaporkan gagal. 

**Solusi**: Untuk memverifikasi status instalasi patch setelah eksekusi gagal, jalankan operasi `Scan` patching, lalu periksa data kepatuhan patch di Patch Manager untuk menilai status kepatuhan saat ini.

Jika Anda menentukan bahwa reboot eksternal bukan penyebab kegagalan dalam skenario ini, kami sarankan untuk menghubungi. [AWS Dukungan](#patch-manager-troubleshooting-contact-support)

## Masalah: Hasil kepatuhan tambalan yang tidak terduga
<a name="patch-manager-troubleshooting-compliance"></a>

**Masalah**: Saat meninjau detail kepatuhan penambalan yang dihasilkan setelah `Scan` operasi, hasilnya menyertakan informasi yang tidak mencerminkan aturan yang ditetapkan di baseline patch Anda. Misalnya, pengecualian yang Anda tambahkan ke daftar **tambalan Ditolak** di baseline patch terdaftar sebagai. `Missing` Atau tambalan yang diklasifikasikan sebagai `Important` terdaftar sebagai hilang meskipun baseline patch Anda hanya menentukan `Critical` tambalan.

**Penyebab**: Patch Manager saat ini mendukung beberapa metode menjalankan `Scan` operasi:
+ Kebijakan tambalan yang dikonfigurasi di Quick Setup
+ Opsi Manajemen Host yang dikonfigurasi di Quick Setup
+ Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
+ **Patch sesuai permintaan sekarang beroperasi**

Ketika `Scan` operasi berjalan, itu menimpa detail kepatuhan dari pemindaian terbaru. Jika Anda memiliki lebih dari satu metode yang disiapkan untuk menjalankan `Scan` operasi, dan mereka menggunakan baseline patch yang berbeda dengan aturan yang berbeda, mereka akan menghasilkan hasil kepatuhan patch yang berbeda. 

**Solusi**: Untuk menghindari hasil kepatuhan patch yang tidak terduga, sebaiknya gunakan hanya satu metode pada satu waktu untuk menjalankan Patch Manager `Scan` operasi. Untuk informasi selengkapnya, lihat [Mengidentifikasi eksekusi yang membuat data kepatuhan patch](patch-manager-compliance-data-overwrites.md).

## Kesalahan saat menjalankan `AWS-RunPatchBaseline` pada Linux
<a name="patch-manager-troubleshooting-linux"></a>

**Topics**
+ [Masalah: Kesalahan 'Tidak ada file atau direktori tersebut”](#patch-manager-troubleshooting-linux-1)
+ [Masalah: kesalahan 'proses lain telah mengakuisisi yum lock'](#patch-manager-troubleshooting-linux-2)
+ [Masalah: kesalahan 'Izin ditolak / gagal menjalankan perintah'](#patch-manager-troubleshooting-linux-3)
+ [Masalah: kesalahan 'Tidak dapat mengunduh muatan'](#patch-manager-troubleshooting-linux-4)
+ [Masalah: kesalahan 'kombinasi pengelola paket dan versi python yang tidak didukung’](#patch-manager-troubleshooting-linux-5)
+ [Masalah: Patch Manager tidak menerapkan aturan yang ditentukan untuk mengecualikan paket tertentu](#patch-manager-troubleshooting-linux-6)
+ [Masalah: Penambalan gagal dan Patch Manager melaporkan bahwa ekstensi Indikasi Nama Server ke TLS tidak tersedia](#patch-manager-troubleshooting-linux-7)
+ [Masalah: Patch Manager melaporkan 'Tidak ada lagi cermin untuk dicoba'](#patch-manager-troubleshooting-linux-8)
+ [Masalah: Penambalan gagal dengan 'Kode kesalahan yang dikembalikan dari curl adalah 23'](#patch-manager-troubleshooting-linux-9)
+ [Masalah: Penambalan gagal dengan pesan 'Kesalahan membongkar paket rpm... '](#error-unpacking-rpm)
+ [Masalah: Penambalan gagal dengan 'Temui kesalahan sisi layanan saat mengunggah inventaris'](#inventory-upload-error)
+ [Masalah: Penambalan gagal dengan pesan 'Kesalahan ditemui saat mengunduh paket'](#errors-while-downloading)
+ [Masalah: Penambalan gagal dengan kesalahan kehabisan memori (OOM)](#patch-manager-troubleshooting-linux-oom)
+ [Masalah: Penambalan gagal dengan pesan bahwa 'Tanda tangan berikut tidak dapat diverifikasi karena kunci publik tidak tersedia'](#public-key-unavailable)
+ [Masalah: Penambalan gagal dengan pesan 'NoMoreMirrorsRepoError'](#no-more-mirrors-repo-error)
+ [Masalah: Penambalan gagal dengan pesan 'Tidak dapat mengunduh payload'](#payload-download-error)
+ [Masalah: Penambalan gagal dengan pesan 'kesalahan instal: dpkg: kesalahan: frontend dpkg dikunci oleh proses lain'](#dpkg-frontend-locked)
+ [Masalah: Penambalan Ubuntu Server gagal dengan kesalahan 'dpkg terganggu'](#dpkg-interrupted)
+ [Masalah: Utilitas manajer paket tidak dapat menyelesaikan ketergantungan paket](#unresolved-dependency)
+ [Masalah: Kegagalan ketergantungan kunci paket Zypper pada node yang dikelola SLES](#patch-manager-troubleshooting-linux-zypper-locks)
+ [Masalah: Tidak dapat memperoleh kunci. Operasi penambalan lainnya sedang berlangsung.](#patch-manager-troubleshooting-linux-concurrent-lock)

### Masalah: Kesalahan 'Tidak ada file atau direktori tersebut”
<a name="patch-manager-troubleshooting-linux-1"></a>

**Masalah**: Ketika Anda menjalankan `AWS-RunPatchBaseline`, patching gagal dengan salah satu kesalahan berikut.

```
IOError: [Errno 2] No such file or directory: 'patch-baseline-operations-X.XX.tar.gz'
```

```
Unable to extract tar file: /var/log/amazon/ssm/patch-baseline-operations/patch-baseline-operations-1.75.tar.gz.failed to run commands: exit status 155
```

```
Unable to load and extract the content of payload, abort.failed to run commands: exit status 152
```

**Penyebab 1**: Dua perintah untuk `AWS-RunPatchBaseline` dijalankan berjalan pada saat yang sama pada node terkelola yang sama. Hal ini menciptakan kondisi balapan yang menyebabkan `file patch-baseline-operations*` sementara tidak dibuat atau diakses dengan benar.

**Penyebab 2**: Ruang penyimpanan yang tersisa tidak cukup dalam direktori `/var`. 

**Solusi 1**: Pastikan tidak ada jendela pemeliharaan yang memiliki dua atau lebih Run Command tugas yang berjalan `AWS-RunPatchBaseline` dengan tingkat Prioritas yang sama dan berjalan pada target yang sama IDs. Jika ini masalahnya, susun ulang prioritasnya. Run Commandadalah alat di AWS Systems Manager.

**Solusi 2**: Pastikan bahwa hanya satu jendela pemeliharaan pada satu waktu yang menjalankan Run Command tugas yang digunakan `AWS-RunPatchBaseline` pada target yang sama dan pada jadwal yang sama. Jika demikian, ubah jadwalnya.

**Solusi 3**: Pastikan hanya satu State Manager asosiasi yang berjalan `AWS-RunPatchBaseline` pada jadwal yang sama dan menargetkan node terkelola yang sama. State Manageradalah alat di AWS Systems Manager.

**Solusi 4**: Bebaskan ruang penyimpanan yang cukup dalam direktori `/var` untuk paket pembaruan.

### Masalah: kesalahan 'proses lain telah mengakuisisi yum lock'
<a name="patch-manager-troubleshooting-linux-2"></a>

**Masalah**: Ketika Anda menjalankan `AWS-RunPatchBaseline`, patching gagal dengan kesalahan berikut.

```
12/20/2019 21:41:48 root [INFO]: another process has acquired yum lock, waiting 2 s and retry.
```

**Penyebab**: `AWS-RunPatchBaseline` Dokumen telah mulai berjalan pada node terkelola di mana ia sudah berjalan di operasi lain dan telah memperoleh `yum` proses manajer paket.

**Solusi**: Pastikan tidak ada State Manager asosiasi, tugas jendela pemeliharaan, atau konfigurasi lain yang berjalan sesuai `AWS-RunPatchBaseline` jadwal yang menargetkan node terkelola yang sama sekitar waktu yang sama.

### Masalah: kesalahan 'Izin ditolak / gagal menjalankan perintah'
<a name="patch-manager-troubleshooting-linux-3"></a>

**Masalah**: Ketika Anda menjalankan `AWS-RunPatchBaseline`, patching gagal dengan kesalahan berikut.

```
sh: 
/var/lib/amazon/ssm/instanceid/document/orchestration/commandid/PatchLinux/_script.sh: Permission denied
failed to run commands: exit status 126
```

**Penyebab**: `/var/lib/amazon/` mungkin dipasang dengan izin `noexec`. Ini adalah masalah karena SSM Agent mengunduh skrip payload ke `/var/lib/amazon/ssm` dan menjalankannya dari lokasi itu.

**Solusi**: Pastikan Anda telah mengonfigurasi partisi eksklusif ke `/var/log/amazon` dan`/var/lib/amazon`, dan bahwa partisi tersebut dipasang dengan `exec` izin.

### Masalah: kesalahan 'Tidak dapat mengunduh muatan'
<a name="patch-manager-troubleshooting-linux-4"></a>

**Masalah**: Ketika Anda menjalankan `AWS-RunPatchBaseline`, patching gagal dengan kesalahan berikut.

```
Unable to download payload: https://s3.amzn-s3-demo-bucket.region.amazonaws.com/aws-ssm-region/patchbaselineoperations/linux/payloads/patch-baseline-operations-X.XX.tar.gz.failed to run commands: exit status 156
```

**Penyebab**: Node terkelola tidak memiliki izin yang diperlukan untuk mengakses bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan.

**Solusi**: Perbarui konfigurasi jaringan Anda sehingga titik akhir S3 dapat dijangkau. Untuk detail selengkapnya, lihat informasi tentang akses yang diperlukan ke bucket S3 untuk Patch Manager masuk. [SSM Agentkomunikasi dengan bucket S3 AWS terkelola](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)

### Masalah: kesalahan 'kombinasi pengelola paket dan versi python yang tidak didukung’
<a name="patch-manager-troubleshooting-linux-5"></a>

**Masalah**: Ketika Anda menjalankan `AWS-RunPatchBaseline`, patching gagal dengan kesalahan berikut.

```
An unsupported package manager and python version combination was found. Apt requires Python3 to be installed.
failed to run commands: exit status 1
```

**Penyebab**: Versi python3 yang didukung tidak diinstal pada instance atau. Debian Server Ubuntu Server

**Solusi**: Instal versi python3 yang didukung (3.0 - 3.12) di server, yang diperlukan untuk Debian Server dan mengelola node. Ubuntu Server

### Masalah: Patch Manager tidak menerapkan aturan yang ditentukan untuk mengecualikan paket tertentu
<a name="patch-manager-troubleshooting-linux-6"></a>

**Masalah**: Anda telah mencoba untuk mengecualikan paket-paket tertentu dengan menentukannya dalam `/etc/yum.conf` file, dalam format`exclude=package-name`, tetapi mereka tidak dikecualikan selama operasi. Patch Manager `Install`

**Penyebab**: Patch Manager tidak memasukkan pengecualian yang ditentukan dalam `/etc/yum.conf` file.

**Solusi**: Untuk mengecualikan paket tertentu, buat dasar patch kustom dan buat aturan untuk mengecualikan paket yang tidak ingin diinstal.

### Masalah: Penambalan gagal dan Patch Manager melaporkan bahwa ekstensi Indikasi Nama Server ke TLS tidak tersedia
<a name="patch-manager-troubleshooting-linux-7"></a>

**Masalah**: Operasi patching mengeluarkan pesan berikut ini.

```
/var/log/amazon/ssm/patch-baseline-operations/urllib3/util/ssl_.py:369: 
SNIMissingWarning: An HTTPS request has been made, but the SNI (Server Name Indication) extension
to TLS is not available on this platform. This might cause the server to present an incorrect TLS 
certificate, which can cause validation failures. You can upgrade to a newer version of Python 
to solve this. 
For more information, see https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
```

**Penyebab**: Pesan ini tidak menunjukkan kesalahan. Sebaliknya, ini adalah peringatan bahwa versi lama Python yang didistribusikan dengan sistem operasi tidak mendukung Server Name Indication (SNI) TLS. Skrip payload patch Systems Manager mengeluarkan peringatan ini saat menghubungkan ke SNI dukungan AWS APIs tersebut.

**Solusi**: Untuk memecahkan masalah kegagalan patch ketika pesan ini dilaporkan, tinjau konten file `stdout` dan `stderr`. Jika Anda belum mengonfigurasi baseline patch untuk menyimpan file-file ini di bucket S3 atau di Amazon CloudWatch Logs, Anda dapat menemukan file di lokasi berikut di node terkelola Linux Anda. 

`/var/lib/amazon/ssm/instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux`

### Masalah: Patch Manager melaporkan 'Tidak ada lagi cermin untuk dicoba'
<a name="patch-manager-troubleshooting-linux-8"></a>

**Masalah**: Operasi patching mengeluarkan pesan berikut ini.

```
[Errno 256] No more mirrors to try.
```

**Penyebab**: Repositori yang dikonfigurasi pada node terkelola tidak berfungsi dengan benar. Kemungkinan penyebab untuk hal ini meliputi:
+ Cache `yum` rusak.
+ URL repositori tidak dapat dijangkau karena masalah terkait jaringan.

**Solusi**: Patch Manager menggunakan manajer paket default node terkelola untuk melakukan operasi penambalan. Periksa kembali bahwa repositori dikonfigurasi dan beroperasi dengan benar.

### Masalah: Penambalan gagal dengan 'Kode kesalahan yang dikembalikan dari curl adalah 23'
<a name="patch-manager-troubleshooting-linux-9"></a>

**Masalah**: Operasi patching yang menggunakan `AWS-RunPatchBaseline` gagal dengan kesalahan yang mirip dengan berikut ini:

```
05/01/2025 17:04:30 root [ERROR]: Error code returned from curl is 23
```

**Penyebab**: Alat curl yang digunakan pada sistem Anda tidak memiliki izin yang diperlukan untuk menulis ke sistem file. Ini dapat terjadi ketika jika alat curl default manajer paket digantikan oleh versi yang berbeda, seperti yang diinstal dengan snap.

**Solusi**: Jika versi curl yang disediakan oleh manajer paket dihapus saat versi yang berbeda diinstal, instal ulang.

Jika Anda perlu menginstal beberapa versi curl, pastikan bahwa versi yang terkait dengan manajer paket ada di direktori pertama yang tercantum dalam `PATH` variabel. Anda dapat memeriksa ini dengan menjalankan perintah `echo $PATH` untuk melihat urutan direktori saat ini yang diperiksa untuk file yang dapat dieksekusi pada sistem Anda.

### Masalah: Penambalan gagal dengan pesan 'Kesalahan membongkar paket rpm... '
<a name="error-unpacking-rpm"></a>

**Masalah**: Operasi penambalan gagal dengan kesalahan yang mirip dengan yang berikut ini:

```
Error : Error unpacking rpm package python-urllib3-1.25.9-1.amzn2.0.2.noarch
python-urllib3-1.25.9-1.amzn2.0.1.noarch was supposed to be removed but is not!
failed to run commands: exit status 1
```

**Penyebab 1**: Ketika paket tertentu hadir di beberapa installer paket, seperti keduanya `pip` dan `yum` atau`dnf`, konflik dapat terjadi ketika menggunakan manajer paket default.

Contoh umum terjadi dengan `urllib3` paket, yang ditemukan di`pip`,`yum`, dan`dnf`.

**Penyebab 2**: `python-urllib3` Paket rusak. Hal ini dapat terjadi jika file paket diinstal atau diperbarui oleh `pip` setelah paket `rpm` itu sebelumnya diinstal oleh `yum` atau`dnf`.

**Solusi**: Hapus `python-urllib3` paket dari pip dengan menjalankan perintah`sudo pip uninstall urllib3`, simpan paket hanya di manajer paket default (`yum`atau`dnf`). 

### Masalah: Penambalan gagal dengan 'Temui kesalahan sisi layanan saat mengunggah inventaris'
<a name="inventory-upload-error"></a>

**Masalah**: Saat menjalankan `AWS-RunPatchBaseline` dokumen, Anda menerima pesan galat berikut:

```
Encounter service side error when uploading the inventory
```

**Penyebab**: Dua perintah untuk `AWS-RunPatchBaseline` dijalankan berjalan pada saat yang sama pada node terkelola yang sama. Ini menciptakan kondisi balapan saat menginisialisasi klien boto3 selama operasi penambalan.

**Solusi**: Pastikan tidak ada State Manager asosiasi, tugas jendela pemeliharaan, atau konfigurasi lain yang berjalan sesuai `AWS-RunPatchBaseline` jadwal yang menargetkan node terkelola yang sama sekitar waktu yang sama.

### Masalah: Penambalan gagal dengan pesan 'Kesalahan ditemui saat mengunduh paket'
<a name="errors-while-downloading"></a>

**Masalah**: Selama menambal, Anda menerima kesalahan yang mirip dengan yang berikut ini:

```
YumDownloadError: [u'Errors were encountered while downloading 
packages.', u'libxml2-2.9.1-6.el7_9.6.x86_64: [Errno 5] [Errno 12] 
Cannot allocate memory', u'libxslt-1.1.28-6.el7.x86_64: [Errno 5] 
[Errno 12] Cannot allocate memory', u'libcroco-0.6.12-6.el7_9.x86_64: 
[Errno 5] [Errno 12] Cannot allocate memory', u'openldap-2.4.44-25.el7_9.x86_64: 
[Errno 5] [Errno 12] Cannot allocate memory',
```

**Penyebab**: Kesalahan ini dapat terjadi ketika memori tidak cukup tersedia pada node terkelola.

**Solusi**: Konfigurasikan memori swap, atau tingkatkan instance ke jenis yang berbeda untuk meningkatkan dukungan memori. Kemudian mulailah operasi penambalan baru.

### Masalah: Penambalan gagal dengan kesalahan kehabisan memori (OOM)
<a name="patch-manager-troubleshooting-linux-oom"></a>

**Masalah**: Saat Anda menjalankan`AWS-RunPatchBaseline`, operasi penambalan gagal karena memori yang tidak mencukupi pada node yang dikelola. Anda mungkin melihat kesalahan seperti`Cannot allocate memory`, `Killed` (dari pembunuh Linux OOM), atau operasi gagal secara tak terduga. Kesalahan ini lebih mungkin terjadi pada instance dengan RAM kurang dari 1 GB, tetapi juga dapat memengaruhi instance dengan lebih banyak memori ketika sejumlah besar pembaruan tersedia.

**Penyebab**: Patch Manager menjalankan operasi patching menggunakan manajer paket asli pada node terkelola. Memori yang diperlukan selama operasi penambalan tergantung pada beberapa faktor, termasuk:
+ Jumlah paket yang diinstal dan pembaruan yang tersedia pada node terkelola.
+ Manajer paket yang digunakan dan karakteristik memorinya.
+ Proses lain yang berjalan pada node terkelola pada saat operasi patching.

Node yang dikelola dengan sejumlah besar paket yang diinstal atau sejumlah besar pembaruan yang tersedia memerlukan lebih banyak memori selama operasi penambalan. Ketika memori yang tersedia tidak mencukupi, proses patching akan gagal dan keluar dengan kesalahan. Sistem operasi juga dapat menghentikan proses patching.

**Solusi**: Coba satu atau beberapa hal berikut:
+ Jadwalkan operasi patching selama periode aktivitas beban kerja rendah pada node terkelola, seperti dengan menggunakan jendela pemeliharaan.
+ Tingkatkan instance ke tipe dengan lebih banyak memori.
+ Konfigurasikan memori swap pada node yang dikelola. Perhatikan bahwa pada instans dengan throughput EBS terbatas, penggunaan swap yang berat dapat menyebabkan penurunan kinerja.
+ Tinjau dan kurangi jumlah proses yang berjalan pada node terkelola selama operasi patching.

### Masalah: Penambalan gagal dengan pesan bahwa 'Tanda tangan berikut tidak dapat diverifikasi karena kunci publik tidak tersedia'
<a name="public-key-unavailable"></a>

**Masalah**: Penambalan gagal Ubuntu Server dengan kesalahan yang mirip dengan berikut ini:

```
02/17/2022 21:08:43 root [ERROR]: W:GPG error: 
http://repo.mysql.com/apt/ubuntu  bionic InRelease: The following 
signatures couldn't be verified because the public key is not available: 
NO_PUBKEY 467B942D3A79BD29, E:The repository ' http://repo.mysql.com/apt/ubuntu bionic
```

**Penyebab**: Kunci GNU Privacy Guard (GPG) telah kedaluwarsa atau hilang.

**Solusi**: Segarkan kembali tombol GPG, atau tambahkan kunci lagi.

Misalnya, menggunakan kesalahan yang ditunjukkan sebelumnya, kita melihat bahwa `467B942D3A79BD29` kuncinya hilang dan harus ditambahkan. Untuk melakukannya, jalankan salah satu dari perintah berikut:

```
sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --recv-keys 467B942D3A79BD29
```

```
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 467B942D3A79BD29
```

Atau, untuk menyegarkan semua tombol, jalankan perintah berikut:

```
sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --refresh-keys
```

Jika kesalahan berulang setelah ini, kami sarankan untuk melaporkan masalah ke organisasi yang memelihara repositori. Sampai perbaikan tersedia, Anda dapat mengedit `/etc/apt/sources.list` file untuk menghilangkan repositori selama proses patching.

Untuk melakukannya, buka `sources.list` file untuk diedit, cari baris untuk repositori, dan masukkan `#` karakter di awal baris untuk mengomentarinya. Kemudian simpan dan tutup file.

### Masalah: Penambalan gagal dengan pesan 'NoMoreMirrorsRepoError'
<a name="no-more-mirrors-repo-error"></a>

**Masalah**: Anda menerima kesalahan yang mirip dengan berikut ini:

```
NoMoreMirrorsRepoError: failure: repodata/repomd.xml from pgdg94: [Errno 256] No more mirrors to try.
```

**Penyebab**: Ada kesalahan dalam repositori sumber.

**Solusi**: Kami merekomendasikan pelaporan masalah ke organisasi yang memelihara repositori. Sampai kesalahan diperbaiki, Anda dapat menonaktifkan repositori di tingkat sistem operasi. Untuk melakukannya, jalankan perintah berikut, ganti nilai untuk *repo-name* dengan nama repositori Anda:

```
yum-config-manager --disable repo-name
```

Berikut adalah contohnya.

```
yum-config-manager --disable pgdg94
```

Setelah Anda menjalankan perintah ini, jalankan operasi patching lain.

### Masalah: Penambalan gagal dengan pesan 'Tidak dapat mengunduh payload'
<a name="payload-download-error"></a>

**Masalah**: Anda menerima kesalahan yang mirip dengan berikut ini:

```
Unable to download payload: 
https://s3.dualstack.eu-west-1.amazonaws.com/aws-ssm-eu-west-1/patchbaselineoperations/linux/payloads/patch-baseline-operations-1.83.tar.gz.
failed  to run commands: exit status 156
```

**Penyebab**: Konfigurasi node terkelola berisi kesalahan atau tidak lengkap.

**Solusi**: Pastikan node terkelola dikonfigurasi dengan yang berikut:
+ Aturan TCP 443 keluar dalam grup keamanan.
+ Aturan keluar TCP 443 di NACL.
+ Aturan Ingress TCP 1024-65535 di NACL.
+ NAT/IGW dalam tabel rute untuk menyediakan konektivitas ke titik akhir S3. Jika instans tidak memiliki akses internet, berikan konektivitas dengan titik akhir S3. Untuk melakukan itu, tambahkan titik akhir gateway S3 di VPC dan integrasikan dengan tabel rute node terkelola.

### Masalah: Penambalan gagal dengan pesan 'kesalahan instal: dpkg: kesalahan: frontend dpkg dikunci oleh proses lain'
<a name="dpkg-frontend-locked"></a>

**Masalah**: Penambalan gagal dengan kesalahan yang mirip dengan berikut ini:

```
install errors: dpkg: error: dpkg frontend is locked by another process
failed to run commands: exit status 2
Failed to install package; install status Failed
```

**Penyebab**: Manajer paket sudah menjalankan proses lain pada node terkelola di tingkat sistem operasi. Jika proses lain itu membutuhkan waktu lama untuk diselesaikan, operasi Patch Manager penambalan dapat habis waktu dan gagal.

**Solusi**: Setelah proses lain yang menggunakan manajer paket selesai, jalankan operasi penambalan baru.

### Masalah: Penambalan Ubuntu Server gagal dengan kesalahan 'dpkg terganggu'
<a name="dpkg-interrupted"></a>

**Masalah**: AktifUbuntu Server, penambalan gagal dengan kesalahan yang mirip dengan yang berikut ini:

```
E: dpkg was interrupted, you must manually run
'dpkg --configure -a' to correct the problem.
```

**Penyebab**: Satu atau lebih paket salah dikonfigurasi.

**Solusi**: Lakukan langkah-langkah berikut:

1. Periksa untuk melihat paket mana yang terpengaruh, dan apa masalahnya dengan setiap paket dengan menjalankan perintah berikut, satu per satu:

   ```
   sudo apt-get check
   ```

   ```
   sudo dpkg -C
   ```

   ```
   dpkg-query -W -f='${db:Status-Abbrev} ${binary:Package}\n' | grep -E ^.[^nci]
   ```

1. Perbaiki paket dengan masalah dengan menjalankan perintah berikut:

   ```
   sudo dpkg --configure -a
   ```

1. Jika perintah sebelumnya tidak sepenuhnya menyelesaikan masalah, jalankan perintah berikut:

   ```
   sudo apt --fix-broken install
   ```

### Masalah: Utilitas manajer paket tidak dapat menyelesaikan ketergantungan paket
<a name="unresolved-dependency"></a>

**Masalah**: Manajer paket asli pada node terkelola tidak dapat menyelesaikan ketergantungan paket dan tambalan gagal. Contoh pesan kesalahan berikut menunjukkan jenis kegagalan pada sistem operasi yang digunakan `yum` sebagai manajer paket.

```
09/22/2020 08:56:09 root [ERROR]: yum update failed with result code: 1, 
message: [u'rpm-python-4.11.3-25.amzn2.0.3.x86_64 requires rpm = 4.11.3-25.amzn2.0.3', 
u'awscli-1.18.107-1.amzn2.0.1.noarch requires python2-botocore = 1.17.31']
```

**Penyebab**: Pada sistem operasi Linux, Patch Manager menggunakan manajer paket asli pada mesin untuk menjalankan operasi patching. seperti`yum`,,`dnf`, `apt` dan. `zypper` Aplikasi secara otomatis mendeteksi, menginstal, memperbarui, atau menghapus paket dependen sesuai kebutuhan. Namun, beberapa kondisi dapat mengakibatkan manajer paket tidak dapat menyelesaikan operasi ketergantungan, seperti:
+ Beberapa repositori yang saling bertentangan dikonfigurasi pada sistem operasi.
+ URL repositori jarak jauh tidak dapat diakses karena masalah terkait jaringan.
+ Paket untuk arsitektur yang salah ditemukan di repositori.

**Solusi**: Patching mungkin gagal karena masalah ketergantungan karena berbagai alasan. Oleh karena itu, kami menyarankan Anda menghubungi AWS Dukungan untuk membantu pemecahan masalah.

### Masalah: Kegagalan ketergantungan kunci paket Zypper pada node yang dikelola SLES
<a name="patch-manager-troubleshooting-linux-zypper-locks"></a>

**Masalah**: Saat Anda menjalankan `AWS-RunPatchBaseline` `Install` operasi pada SUSE Linux Enterprise Server instance, penambalan gagal dengan kesalahan pemeriksaan ketergantungan yang terkait dengan kunci paket. Anda mungkin melihat pesan kesalahan yang mirip dengan berikut ini:

```
Problem: mock-pkg-has-dependencies-0.2.0-21.adistro.noarch requires mock-pkg-standalone = 0.2.0, but this requirement cannot be provided
  uninstallable providers: mock-pkg-standalone-0.2.0-21.adistro.noarch[local-repo]
 Solution 1: remove lock to allow installation of mock-pkg-standalone-0.2.0-21.adistro.noarch[local-repo]
 Solution 2: do not install mock-pkg-has-dependencies-0.2.0-21.adistro.noarch
 Solution 3: break mock-pkg-has-dependencies-0.2.0-21.adistro.noarch by ignoring some of its dependencies

Choose from above solutions by number or cancel [1/2/3/c] (c): c
```

Dalam contoh ini, paket `mock-pkg-standalone` terkunci, yang dapat Anda verifikasi dengan menjalankan `sudo zypper locks` dan mencari nama paket ini di output.

Atau Anda mungkin melihat entri log yang menunjukkan kegagalan pemeriksaan ketergantungan:

```
Encountered a known exception in the CLI Invoker: CLIInvokerError(error_message='Dependency check failure during commit process', error_code='4')
```

**catatan**  
Masalah ini hanya terjadi selama `Install` operasi. `Scan`operasi tidak menerapkan kunci paket dan tidak terpengaruh oleh kunci yang ada.”

**Penyebab**: Kesalahan ini terjadi ketika kunci paket zypper mencegah instalasi atau pembaruan paket karena konflik ketergantungan. Package locks dapat hadir karena beberapa alasan:
+ **Kunci yang diterapkan pelanggan**: Anda atau administrator sistem Anda secara manual mengunci paket menggunakan perintah zypper seperti. `zypper addlock`
+ **Patch Manager menolak tambalan**: Patch Manager secara otomatis menerapkan kunci paket saat Anda menentukan paket dalam daftar **tambalan Ditolak** dari baseline tambalan Anda untuk mencegah pemasangannya.
+ **Kunci sisa dari operasi yang terputus**: Dalam kasus yang jarang terjadi, jika operasi tambalan terputus (seperti oleh reboot sistem) sebelum Patch Manager dapat membersihkan kunci sementara, kunci paket sisa mungkin tetap ada di node terkelola Anda.

**Solusi**: Untuk mengatasi masalah kunci paket zypper, ikuti langkah-langkah berikut berdasarkan penyebabnya:

**Langkah 1: Identifikasi paket yang terkunci**

Hubungkan ke node SLES terkelola Anda dan jalankan perintah berikut untuk mencantumkan semua paket yang saat ini terkunci:

```
sudo zypper locks
```

**Langkah 2: Tentukan sumber kunci**
+ Jika paket yang terkunci adalah paket yang sengaja Anda kunci untuk stabilitas sistem, pertimbangkan apakah paket tersebut perlu tetap terkunci atau apakah paket tersebut dapat dibuka sementara untuk ditambal.
+ Jika paket yang terkunci cocok dengan entri dalam daftar tambalan **Ditolak baseline tambalan Anda, ini kemungkinan merupakan kunci sisa dari operasi tambalan** yang terputus. Selama operasi normal, Patch Manager terapkan kunci ini sementara dan lepaskan secara otomatis saat operasi selesai. Anda dapat menghapus paket dari daftar yang ditolak atau memodifikasi aturan dasar tambalan Anda.
+ Jika Anda tidak mengenali paket yang terkunci dan mereka tidak sengaja dikunci, mereka mungkin merupakan kunci sisa dari operasi patch yang terputus sebelumnya.

**Langkah 3: Hapus kunci yang sesuai**

Untuk menghapus kunci paket tertentu, gunakan perintah berikut:

```
sudo zypper removelock package-name
```

Untuk menghapus semua kunci paket (gunakan dengan hati-hati), jalankan:

```
sudo zypper cleanlocks
```

**Langkah 4: Perbarui baseline patch Anda (jika ada)**

Jika kunci disebabkan oleh tambalan yang ditolak di baseline tambalan Anda:

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Patch Manager**.

1. Pilih tab **Patch baselines**, lalu pilih baseline patch kustom Anda.

1. Pilih **Tindakan**, **Ubah baseline patch**.

1. Di bagian **Tambalan yang ditolak**, tinjau paket yang terdaftar dan hapus semua yang diizinkan untuk diinstal.

1. Pilih **Simpan perubahan**.

**Langkah 5: Coba lagi operasi patch**

Setelah menghapus kunci bermasalah dan memperbarui baseline patch Anda jika perlu, jalankan `AWS-RunPatchBaseline` dokumen lagi.

**catatan**  
Saat Patch Manager menerapkan kunci untuk tambalan yang ditolak selama `Install` operasi, ini dirancang untuk membersihkan kunci ini secara otomatis setelah operasi tambalan selesai. Jika Anda melihat kunci ini saat berjalan`sudo zypper locks`, ini menunjukkan operasi tambalan sebelumnya terganggu sebelum pembersihan dapat terjadi. Namun, jika operasi patch terganggu, pembersihan manual mungkin diperlukan seperti yang dijelaskan dalam prosedur ini.

**Pencegahan**: Untuk menghindari konflik kunci zypper di masa depan:
+ Tinjau dengan cermat daftar tambalan yang ditolak baseline patch Anda untuk memastikannya hanya menyertakan paket yang benar-benar ingin Anda kecualikan.
+ Hindari penguncian paket secara manual yang mungkin diperlukan sebagai dependensi untuk pembaruan keamanan.
+ Jika Anda harus mengunci paket secara manual, dokumentasikan alasannya dan tinjau kunci secara berkala.
+ Pastikan operasi patch berhasil diselesaikan dan tidak terganggu oleh reboot sistem atau faktor lainnya.
+ Pantau operasi tambalan hingga selesai dan hindari menyela dengan reboot sistem atau tindakan lain yang dapat mencegah pembersihan kunci sementara yang tepat.

### Masalah: Tidak dapat memperoleh kunci. Operasi penambalan lainnya sedang berlangsung.
<a name="patch-manager-troubleshooting-linux-concurrent-lock"></a>

**Masalah**: Saat Anda menjalankan`AWS-RunPatchBaseline`, tambalan gagal dengan kode kesalahan 4 dan pesan kesalahan berikut.

```
[ERROR]: Cannot acquire lock on /var/log/amazon/ssm/patch-baseline-concurrent.lock. Another patching operation is in progress.
```

**Penyebab**: Kesalahan ini terjadi ketika beberapa operasi penambalan mencoba berjalan pada node terkelola yang sama pada saat yang bersamaan. File kunci mencegah operasi penambalan bersamaan untuk menghindari konflik dan memastikan stabilitas sistem.

**Solusi**: Pastikan bahwa operasi patching tidak dijadwalkan untuk berjalan pada saat yang sama pada node terkelola yang sama. Tinjau konfigurasi berikut untuk mengidentifikasi dan menyelesaikan konflik penjadwalan:
+ **Patch policies**: Periksa konfigurasi kebijakan patch Quick Setup Anda untuk memastikan tidak tumpang tindih dengan jadwal patching lainnya.
+ **Jendela pemeliharaan**: Tinjau asosiasi jendela pemeliharaan Anda untuk memverifikasi bahwa beberapa jendela tidak menargetkan node terkelola yang sama dengan tugas penambalan pada waktu yang tumpang tindih.
+ **Operasi Patch Manual sekarang**: Hindari memulai operasi **Patch manual sekarang** saat patching terjadwal sedang berlangsung.

## Kesalahan saat menjalankan `AWS-RunPatchBaseline` pada Windows Server
<a name="patch-manager-troubleshooting-windows"></a>

**Topics**
+ [Masalah: pasangan produk yang tidak cocok family/product](#patch-manager-troubleshooting-product-family-mismatch)
+ [Masalah: Output `AWS-RunPatchBaseline` mengembalikan sebuah `HRESULT` (Windows Server)](#patch-manager-troubleshooting-hresult)
+ [Masalah: node terkelola tidak memiliki akses ke Katalog Pembaruan Windows atau WSUS](#patch-manager-troubleshooting-instance-access)
+ [Masalah: PatchBaselineOperations PowerShell modul tidak dapat diunduh](#patch-manager-troubleshooting-module-not-downloadable)
+ [Masalah: patch yang hilang](#patch-manager-troubleshooting-missing-patches)
+ [Masalah: Tidak dapat memperoleh kunci. Operasi penambalan lainnya sedang berlangsung.](#patch-manager-troubleshooting-windows-concurrent-lock)

### Masalah: pasangan produk yang tidak cocok family/product
<a name="patch-manager-troubleshooting-product-family-mismatch"></a>

**Masalah**: Ketika Anda membuat dasar patch di konsol Systems Manager, Anda menentukan keluarga produk dan produk. Sebagai contoh, Anda dapat memilih:
+ **Keluarga produk**: `Office`

  **Produk**: `Office 2016`

**Penyebab**: Jika Anda mencoba membuat baseline patch dengan family/product pasangan produk yang tidak cocok, pesan kesalahan akan ditampilkan. Berikut ini adalah beberapa alasan mengapa hal ini terjadi:
+ Anda memilih pasangan keluarga produk dan produk yang valid tetapi kemudian menghapus pilihan keluarga produk.
+ Anda memilih produk dari sub-daftar **Pilihan usang atau tidak cocok** bukan dari sub-daftar **Pilihan yang tersedia dan cocok**. 

  Item dalam sublis **opsi usang atau tidak cocok** produk mungkin telah dimasukkan secara error melalui perintah SDK atau (). AWS Command Line Interface AWS CLI`create-patch-baseline` Ini bisa berarti adanya kesalahan pengetikan atau produk ditugaskan ke keluarga produk yang salah. Sebuah produk juga disertakan dalam sub-daftar **Pilihan usang atau tidak cocok** jika ditentukan untuk dasar patch sebelumnya tetapi tidak memiliki patch yang tersedia dari Microsoft. 

**Solusi**: Untuk menghindari masalah ini di konsol, selalu pilih opsi dari sub-daftar **Pilihan yang tersedia saat ini**.

Anda juga dapat melihat produk yang memiliki patch yang tersedia dengan menggunakan perintah `[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html)` di AWS CLI atau perintah API `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html)`.

### Masalah: Output `AWS-RunPatchBaseline` mengembalikan sebuah `HRESULT` (Windows Server)
<a name="patch-manager-troubleshooting-hresult"></a>

**Masalah**: Anda menerima kesalahan seperti berikut ini.

```
----------ERROR-------
Invoke-PatchBaselineOperation : Exception Details: An error occurred when 
attempting to search Windows Update.
Exception Level 1:
 Error Message: Exception from HRESULT: 0x80240437
 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)..
(Windows updates)
11/22/2020 09:17:30 UTC | Info | Searching for Windows Updates.
11/22/2020 09:18:59 UTC | Error | Searching for updates resulted in error: Exception from HRESULT: 0x80240437
----------ERROR-------
failed to run commands: exit status 4294967295
```

**Penyebab**: Output ini menunjukkan bahwa Pembaruan Windows asli APIs tidak dapat menjalankan operasi penambalan.

**Solusi**: Periksa `HResult` kode dalam topik microsoft.com berikut untuk mengidentifikasi langkah-langkah pemecahan masalah untuk menyelesaikan kesalahan:
+ [Kode kesalahan Pembaruan Windows berdasarkan komponen](https://learn.microsoft.com/en-us/windows/deployment/update/windows-update-error-reference) 
+ [Windows Update kesalahan umum dan mitigasi](https://learn.microsoft.com/en-us/troubleshoot/windows-client/deployment/common-windows-update-errors) 

### Masalah: node terkelola tidak memiliki akses ke Katalog Pembaruan Windows atau WSUS
<a name="patch-manager-troubleshooting-instance-access"></a>

**Masalah**: Anda menerima kesalahan seperti berikut ini.

```
Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.

Extracting PatchBaselineOperations zip file contents to temporary folder.

Verifying SHA 256 of the PatchBaselineOperations PowerShell module files.

Successfully downloaded and installed the PatchBaselineOperations PowerShell module.

Patch Summary for

PatchGroup :

BaselineId :

Baseline : null

SnapshotId :

RebootOption : RebootIfNeeded

OwnerInformation :

OperationType : Scan

OperationStartTime : 1970-01-01T00:00:00.0000000Z

OperationEndTime : 1970-01-01T00:00:00.0000000Z

InstalledCount : -1

InstalledRejectedCount : -1

InstalledPendingRebootCount : -1

InstalledOtherCount : -1

FailedCount : -1

MissingCount : -1

NotApplicableCount : -1

UnreportedNotApplicableCount : -1

EC2AMAZ-VL3099P - PatchBaselineOperations Assessment Results - 2020-12-30T20:59:46.169

----------ERROR-------

Invoke-PatchBaselineOperation : Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String

searchCriteria)

At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\3d2d4864-04b7-4316-84fe-eafff1ea58

e3\PatchWindows\_script.ps1:230 char:13

+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOperation:InstallWindowsUpdateOperation) [Inv

oke-PatchBaselineOperation], Exception

+ FullyQualifiedErrorId : Exception Level 1:

Error Message: Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String searc

---Error truncated----
```

**Penyebab**: Kesalahan ini dapat berhubungan dengan komponen Windows Update, atau tidak adanya konektivitas ke Katalog Windows Update atau Windows Server Update Services (WSUS).

**Solusi**: Konfirmasikan bahwa node terkelola memiliki konektivitas ke [Katalog Pembaruan Microsoft](https://www.catalog.update.microsoft.com/home.aspx) melalui gateway internet, gateway NAT, atau instance NAT. Jika Anda menggunakan WSUS, konfirmasikan bahwa node yang dikelola memiliki konektivitas ke server WSUS di lingkungan Anda. Jika konektivitas tersedia untuk tujuan yang dimaksudkan, periksa dokumentasi Microsoft untuk potensi penyebab `HResult 0x80072EE2`. Ini mungkin menunjukkan masalah tingkat sistem operasi. 

### Masalah: PatchBaselineOperations PowerShell modul tidak dapat diunduh
<a name="patch-manager-troubleshooting-module-not-downloadable"></a>

**Masalah:** Anda menerima pesan kesalahan seperti berikut ini.

```
Preparing to download PatchBaselineOperations PowerShell module from S3.
                    
Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.
----------ERROR-------

C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\aaaaaaaa-bbbb-cccc-dddd-4f6ed6bd5514\

PatchWindows\_script.ps1 : An error occurred when executing PatchBaselineOperations: Unable to connect to the remote server

+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException

+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,_script.ps1

failed to run commands: exit status 4294967295
```

**Solusi**: Periksa konektivitas node terkelola dan izin ke Amazon Simple Storage Service (Amazon S3). Peran node terkelola AWS Identity and Access Management (IAM) harus menggunakan izin minimum yang dikutip. [SSM Agentkomunikasi dengan bucket S3 AWS terkelola](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) Node harus berkomunikasi dengan titik akhir Amazon S3 melalui titik akhir gateway Amazon S3, gateway NAT, atau gateway internet. Untuk informasi selengkapnya tentang persyaratan Titik Akhir VPC untuk AWS Systems Manager SSM Agent (SSM Agent), lihat. [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager](setup-create-vpc.md) 

### Masalah: patch yang hilang
<a name="patch-manager-troubleshooting-missing-patches"></a>

**Masalah**: `AWS-RunPatchbaseline` berhasil diselesaikan, tetapi ada beberapa patch yang hilang.

Berikut ini adalah beberapa penyebab umum dan solusinya.

**Penyebab 1**: Baseline tidak efektif.

**Solusi 1**: Untuk memeriksa apakah ini penyebabnya, gunakan prosedur berikut.

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih tab **Riwayat perintah** lalu pilih perintah yang baseline-nya ingin Anda periksa.

1. Pilih node terkelola yang memiliki tambalan yang hilang.

1. Pilih **Langkah 1 - Output** dan temukan nilai `BaselineId`.

1. Periksa [konfigurasi dasar patch](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom) yang ditetapkan, yaitu, sistem operasi, nama produk, klasifikasi, dan kepelikan untuk dasar patch.

1. Buka [Katalog Microsoft Update](https://www.catalog.update.microsoft.com/home.aspx).

1. Cari artikel Pangkalan Pengetahuan Microsoft (KB) IDs (misalnya, KB3216916).

1. Verifikasi bahwa nilai di bawah **Produk** cocok dengan node terkelola Anda dan pilih **Judul** yang sesuai. Jendela **Detail Pembaruan** baru akan terbuka.

1. Di tab **Gambaran Umum**, **klasifikasi** dan **Kepelikan MSRC** harus cocok dengan konfigurasi dasar patch yang Anda temukan sebelumnya.

**Penyebab 2**: patch diganti.

**Solusi 2**: Untuk memeriksa apakah ini benar, gunakan prosedur berikut.

1. Buka [Katalog Microsoft Update](https://www.catalog.update.microsoft.com/home.aspx).

1. Cari artikel Pangkalan Pengetahuan Microsoft (KB) IDs (misalnya, KB3216916).

1. Verifikasi bahwa nilai di bawah **Produk** cocok dengan node terkelola Anda dan pilih **Judul** yang sesuai. Jendela **Detail Pembaruan** baru akan terbuka.

1. Buka tab **Detail paket**. Cari entri di bawah tajuk **Pembaruan ini telah digantikan oleh pembaruan berikut:**.

**Penyebab 3**: patch yang sama mungkin memiliki nomor KB yang berbeda karena pembaruan online WSUS dan Windows ditangani Release Channels berbeda oleh Microsoft.

**Solusi 3**: Periksa kelayakan patch. Jika paket tidak tersedia di bawah WSUS, instal [OS Build 14393.3115](https://support.microsoft.com/en-us/topic/july-16-2019-kb4507459-os-build-14393-3115-511a3df6-c07e-14e3-dc95-b9898a7a7a57). Jika paket tersedia untuk semua build sistem operasi, instal [OS Build 18362.1256 dan 18363.1256](https://support.microsoft.com/en-us/topic/december-8-2020-kb4592449-os-builds-18362-1256-and-18363-1256-c448f3df-a5f1-1d55-aa31-0e1cf7a440a9).

### Masalah: Tidak dapat memperoleh kunci. Operasi penambalan lainnya sedang berlangsung.
<a name="patch-manager-troubleshooting-windows-concurrent-lock"></a>

**Masalah**: Saat Anda menjalankan`AWS-RunPatchBaseline`, tambalan gagal dengan kode kesalahan 4 dan pesan kesalahan berikut.

```
Cannot acquire lock on C:\ProgramData\Amazon\SSM\patch-baseline-concurrent.lock. Another patching operation is in progress.
```

**Penyebab**: Kesalahan ini terjadi ketika beberapa operasi penambalan mencoba berjalan pada node terkelola yang sama pada saat yang bersamaan. File kunci mencegah operasi penambalan bersamaan untuk menghindari konflik dan memastikan stabilitas sistem.

**Solusi**: Pastikan bahwa operasi patching tidak dijadwalkan untuk berjalan pada saat yang sama pada node terkelola yang sama. Tinjau konfigurasi berikut untuk mengidentifikasi dan menyelesaikan konflik penjadwalan:
+ **Patch policies**: Periksa konfigurasi kebijakan patch Quick Setup Anda untuk memastikan tidak tumpang tindih dengan jadwal patching lainnya.
+ **Jendela pemeliharaan**: Tinjau asosiasi jendela pemeliharaan Anda untuk memverifikasi bahwa beberapa jendela tidak menargetkan node terkelola yang sama dengan tugas penambalan pada waktu yang tumpang tindih.
+ **Operasi Patch Manual sekarang**: Hindari memulai operasi **Patch manual sekarang** saat patching terjadwal sedang berlangsung.

## Kesalahan saat berjalan `AWS-RunPatchBaseline` di macOS
<a name="patch-manager-troubleshooting-macos"></a>

**Topics**
+ [Masalah: Tidak dapat memperoleh kunci. Operasi penambalan lainnya sedang berlangsung.](#patch-manager-troubleshooting-macos-concurrent-lock)

### Masalah: Tidak dapat memperoleh kunci. Operasi penambalan lainnya sedang berlangsung.
<a name="patch-manager-troubleshooting-macos-concurrent-lock"></a>

**Masalah**: Saat Anda menjalankan`AWS-RunPatchBaseline`, tambalan gagal dengan kode kesalahan 4 dan pesan kesalahan berikut.

```
[ERROR]: Cannot acquire lock on /var/log/amazon/ssm/patch-baseline-concurrent.lock. Another patching operation is in progress.
```

**Penyebab**: Kesalahan ini terjadi ketika beberapa operasi penambalan mencoba berjalan pada node terkelola yang sama pada saat yang bersamaan. File kunci mencegah operasi penambalan bersamaan untuk menghindari konflik dan memastikan stabilitas sistem.

**Solusi**: Pastikan bahwa operasi patching tidak dijadwalkan untuk berjalan pada saat yang sama pada node terkelola yang sama. Tinjau konfigurasi berikut untuk mengidentifikasi dan menyelesaikan konflik penjadwalan:
+ **Patch policies**: Periksa konfigurasi kebijakan patch Quick Setup Anda untuk memastikan tidak tumpang tindih dengan jadwal patching lainnya.
+ **Jendela pemeliharaan**: Tinjau asosiasi jendela pemeliharaan Anda untuk memverifikasi bahwa beberapa jendela tidak menargetkan node terkelola yang sama dengan tugas penambalan pada waktu yang tumpang tindih.
+ **Operasi Patch Manual sekarang**: Hindari memulai operasi **Patch manual sekarang** saat patching terjadwal sedang berlangsung.

## Menggunakan AWS Dukungan runbook Otomasi
<a name="patch-manager-troubleshooting-using-support-runbooks"></a>

AWS Dukungan menyediakan dua runbook Otomasi yang dapat Anda gunakan untuk memecahkan masalah tertentu yang terkait dengan penambalan.
+ `AWSSupport-TroubleshootWindowsUpdate`— [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/awssupport-troubleshoot-windows-update.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/awssupport-troubleshoot-windows-update.html)Runbook digunakan untuk mengidentifikasi masalah yang dapat gagal dalam Windows Server pembaruan untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Windows Server
+ `AWSSupport-TroubleshootPatchManagerLinux`— [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-troubleshoot-patch-manager-linux.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-troubleshoot-patch-manager-linux.html)Runbook memecahkan masalah umum yang dapat menyebabkan kegagalan patch pada node terkelola berbasis Linux yang menggunakan. Patch Manager Tujuan utama dari runbook ini adalah untuk mengidentifikasi akar penyebab kegagalan perintah patch dan menyarankan rencana remediasi.

**catatan**  
Ada biaya untuk menjalankan runbook Otomasi. Untuk selengkapnya, lihat [AWS Systems Manager Harga untuk Otomatisasi](https://aws.amazon.com/systems-manager/pricing/#Automation).

## Menghubungi AWS Dukungan
<a name="patch-manager-troubleshooting-contact-support"></a>

Jika Anda tidak dapat menemukan solusi pemecahan masalah di bagian ini atau di masalah Systems Manager di [AWS re:Post](https://repost.aws/tags/TA-UbbRGVYRWCDaCvae6itYg/aws-systems-manager), dan Anda memiliki [Dukungan paket Pengembang, Bisnis, atau Perusahaan](https://aws.amazon.com/premiumsupport/plans), Anda dapat membuat kasus dukungan teknis di. [AWS Dukungan](https://aws.amazon.com/premiumsupport/)

Sebelum Anda menghubungi Dukungan, kumpulkan item berikut:
+ [Log agen SSM](ssm-agent-logs.md)
+ Run CommandID perintah, ID jendela pemeliharaan, atau ID eksekusi Otomasi
+ Untuk node Windows Server terkelola, kumpulkan juga yang berikut ini:
  + `%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs` seperti yang dijelaskan pada tab **Windows** pada [Cara menginstal patch](patch-manager-installing-patches.md)
  + Log pembaruan Windows: Untuk Windows Server 2012 R2 dan yang sebelumnya, gunakan `%windir%/WindowsUpdate.log`. Untuk Windows Server 2016 dan yang lebih baru, jalankan PowerShell perintah terlebih dahulu [https://docs.microsoft.com/en-us/powershell/module/windowsupdate/get-windowsupdatelog?view=win10-ps](https://docs.microsoft.com/en-us/powershell/module/windowsupdate/get-windowsupdatelog?view=win10-ps)sebelum menggunakan `%windir%/WindowsUpdate.log`
+ Untuk node yang dikelola Linux, kumpulkan juga yang berikut ini:
  + Isi direktori `/var/lib/amazon/ssm/instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux`

# AWS Systems Manager Run Command
<a name="run-command"></a>

MenggunakanRun Command, alat di AWS Systems Manager, Anda dapat mengelola konfigurasi node terkelola dari jarak jauh dan aman. *Node terkelola* adalah instans Amazon Elastic Compute Cloud (Amazon EC2) atau EC2 non-mesin di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda yang telah dikonfigurasi untuk Systems Manager. Run Commandmemungkinkan Anda untuk mengotomatiskan tugas administratif umum dan melakukan perubahan konfigurasi satu kali dalam skala besar. Anda dapat menggunakan Run Command dari Konsol Manajemen AWS, AWS Command Line Interface (AWS CLI) AWS Tools for Windows PowerShell, atau AWS SDKs. Run Commandditawarkan tanpa biaya tambahan. Untuk memulaiRun Command, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/run-command). Di panel navigasi, pilih **Run Command**.

Administrator menggunakan Run Command untuk menginstal atau mem-bootstrap aplikasi, membangun pipeline penerapan, menangkap file log saat instance dihapus dari grup Auto Scaling, menggabungkan instance ke domain Windows, dan banyak lagi.

Run CommandAPI mengikuti model konsistensi akhirnya, karena sifat terdistribusi dari sistem yang mendukung API. Ini berarti bahwa hasil dari perintah API yang Anda jalankan yang memengaruhi sumber daya Anda mungkin tidak langsung terlihat oleh semua perintah berikutnya yang Anda jalankan. Anda harus mengingat hal ini ketika Anda menjalankan perintah API yang segera mengikuti perintah API sebelumnya.

**Memulai**  
Tabel berikut mencakup informasi untuk membantu Anda memulaiRun Command.


****  

| Topik | Detail | 
| --- | --- | 
|  [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md)  |  Pastikan Anda telah menyelesaikan persyaratan penyiapan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan EC2 non-mesin di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).  | 
|  [Mengelola node di lingkungan hybrid dan multicloud dengan Systems Manager](systems-manager-hybrid-multicloud.md)  |  (Opsional) Daftarkan server lokal dan VMs dengan AWS demikian Anda dapat mengelolanya menggunakanRun Command.  | 
|  [Mengelola perangkat edge dengan Systems Manager](systems-manager-setting-up-edge-devices.md)  |  (Opsional) Konfigurasikan perangkat tepi sehingga Anda dapat mengelolanya menggunakanRun Command.  | 
|  [Menjalankan perintah pada node terkelola](running-commands.md)  |  Pelajari cara menjalankan perintah yang menargetkan satu atau lebih node terkelola dengan menggunakan Konsol Manajemen AWS.  | 
|  [Run Command penelusuran](run-command-walkthroughs.md)  |  Pelajari cara menjalankan perintah menggunakan Alat untuk Windows PowerShell atau file AWS CLI.  | 

**EventBridge dukungan**  
Alat Systems Manager ini didukung sebagai jenis *peristiwa* dan tipe *target* dalam EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md) dan [Referensi: Pola dan jenis EventBridge acara Amazon untuk Systems Manager](reference-eventbridge-events.md).

**Info lebih lanjut**  
+ [Jarak jauh Run Command pada sebuah EC2 Instance (tutorial 10 menit)](https://aws.amazon.com/getting-started/hands-on/remotely-run-commands-ec2-instance-systems-manager/)
+ [Kuota layanan Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm) di *Referensi Umum Amazon Web Services*
+ [AWS Systems Manager Referensi API](https://docs.aws.amazon.com/systems-manager/latest/APIReference/) 

**Topics**
+ [Menyiapkan Run Command](run-command-setting-up.md)
+ [Menjalankan perintah pada node terkelola](running-commands.md)
+ [Menggunakan kode keluar dalam perintah](run-command-handle-exit-status.md)
+ [Memahami status perintah](monitor-commands.md)
+ [Run Command penelusuran](run-command-walkthroughs.md)
+ [Memecahkan masalah Run Command Systems Manager](troubleshooting-remote-commands.md)

# Menyiapkan Run Command
<a name="run-command-setting-up"></a>

Sebelum Anda dapat mengelola node dengan menggunakanRun Command, alat dalam AWS Systems Manager, mengkonfigurasi kebijakan AWS Identity and Access Management (IAM) untuk setiap pengguna yang akan menjalankan perintah. Jika Anda menggunakan kunci kondisi global untuk `SendCommand` tindakan dalam kebijakan IAM Anda, Anda harus menyertakan kunci `aws:ViaAWSService` kondisi dan menyetel nilai boolean ke. `true` Berikut adalah contohnya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/YourDocument"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": [
                        "vpce-1234567890abcdef0"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/YourDocument"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}
```

------

Anda juga harus mengkonfigurasi node Anda untuk Systems Manager. Untuk informasi selengkapnya, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md).

Sebaiknya selesaikan tugas pengaturan opsional berikut untuk membantu meminimalkan postur keamanan dan day-to-day pengelolaan node terkelola Anda.

Pantau eksekusi perintah menggunakan Amazon EventBridge  
Anda dapat menggunakan EventBridge untuk mencatat perubahan status eksekusi perintah. Anda dapat membuat aturan yang berjalan setiap kali terjadi status transisi, atau saat ada transisi ke satu atau beberapa status yang penting. Anda juga dapat menentukan Run Command sebagai tindakan target ketika suatu EventBridge peristiwa terjadi. Untuk informasi selengkapnya, lihat [Mengkonfigurasi EventBridge untuk acara Systems Manager](monitoring-systems-manager-events.md).

Pantau eksekusi perintah menggunakan Amazon Logs CloudWatch   
Anda dapat mengonfigurasi Run Command untuk secara berkala mengirim semua output perintah dan log kesalahan ke grup CloudWatch log Amazon. Anda dapat memantau log output ini secara hampir waktu nyata, mencari frasa, nilai, atau pola tertentu, dan membuat alarm berdasarkan pencarian. Untuk informasi selengkapnya, lihat [Mengkonfigurasi CloudWatch Log Amazon untuk Run Command](sysman-rc-setting-up-cwlogs.md).

Batasi Run Command akses ke node terkelola tertentu  
Anda dapat membatasi kemampuan pengguna untuk menjalankan perintah pada node terkelola dengan menggunakan AWS Identity and Access Management (IAM). Secara khusus, Anda dapat membuat kebijakan IAM dengan syarat bahwa pengguna hanya dapat menjalankan perintah pada node terkelola yang ditandai dengan tag tertentu. Untuk informasi selengkapnya, lihat [Membatasi Run Command akses berdasarkan tag](#tag-based-access).

## Membatasi Run Command akses berdasarkan tag
<a name="tag-based-access"></a>

Bagian ini menjelaskan cara membatasi kemampuan pengguna untuk menjalankan perintah pada node terkelola dengan menentukan kondisi tag dalam kebijakan IAM. Node terkelola mencakup EC2 instans Amazon dan EC2 non-node dalam lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) yang dikonfigurasi untuk Systems Manager. Meskipun informasi tidak disajikan secara eksplisit, Anda juga dapat membatasi akses ke perangkat inti yang dikelola AWS IoT Greengrass . Untuk memulai, Anda harus menandai AWS IoT Greengrass perangkat Anda. Untuk informasi selengkapnya, lihat [Menandai AWS IoT Greengrass Version 2 sumber daya Anda](https://docs.aws.amazon.com/greengrass/v2/developerguide/tag-resources.html) di *Panduan AWS IoT Greengrass Version 2 Pengembang*.

Anda dapat membatasi eksekusi perintah ke node terkelola tertentu dengan membuat kebijakan IAM yang mencakup kondisi bahwa pengguna hanya dapat menjalankan perintah pada node dengan tag tertentu. Dalam contoh berikut, pengguna diperbolehkan untuk menggunakan Run Command (`Effect: Allow, Action: ssm:SendCommand`) dengan menggunakan dokumen SSM (`Resource: arn:aws:ssm:*:*:document/*`) pada setiap node (`Resource: arn:aws:ec2:*:*:instance/*`) dengan syarat bahwa node adalah Finance WebServer (`ssm:resourceTag/Finance: WebServer`). Jika pengguna mengirim perintah ke node yang tidak diberi tag atau yang memiliki tag selain`Finance: WebServer`, hasil eksekusi akan ditampilkan`AccessDenied`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ssm:*:*:document/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:instance/*"
         ],
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/Finance":[
                  "WebServers"
               ]
            }
         }
      }
   ]
}
```

------

Anda dapat membuat kebijakan IAM yang memungkinkan pengguna menjalankan perintah pada node terkelola yang ditandai dengan beberapa tag. Kebijakan berikut memungkinkan pengguna untuk menjalankan perintah pada node terkelola yang memiliki dua tag. Jika pengguna mengirim perintah ke node yang tidak ditandai dengan kedua tag ini, hasil eksekusi akan ditampilkan`AccessDenied`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag_key1":[
                  "tag_value1"
               ],
               "ssm:resourceTag/tag_key2":[
                  "tag_value2"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ssm:us-west-1::document/AWS-*",
            "arn:aws:ssm:us-east-2::document/AWS-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:UpdateInstanceInformation",
            "ssm:ListCommands",
            "ssm:ListCommandInvocations",
            "ssm:GetDocument"
         ],
         "Resource":"*"
      }
   ]
}
```

------

Anda juga dapat membuat kebijakan IAM yang memungkinkan pengguna menjalankan perintah pada beberapa grup node terkelola yang diberi tag. Contoh kebijakan berikut memungkinkan pengguna untuk menjalankan perintah pada salah satu grup node yang ditandai, atau kedua grup.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag_key1":[
                  "tag_value1"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag_key2":[
                  "tag_value2"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ssm:us-west-1::document/AWS-*",
            "arn:aws:ssm:us-east-2::document/AWS-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:UpdateInstanceInformation",
            "ssm:ListCommands",
            "ssm:ListCommandInvocations",
            "ssm:GetDocument"
         ],
         "Resource":"*"
      }
   ]
}
```

------

Untuk informasi selengkapnya tentang membuat kebijakan IAM, lihat Kebijakan [terkelola dan kebijakan sebaris](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) di Panduan Pengguna *IAM*. Untuk informasi selengkapnya tentang menandai node terkelola, lihat [Editor Tag](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) di *Panduan AWS Resource Groups Pengguna*. 

# Menjalankan perintah pada node terkelola
<a name="running-commands"></a>

Bagian ini mencakup informasi tentang cara mengirim perintah dari AWS Systems Manager konsol ke node yang dikelola. Bagian ini juga mencakup informasi tentang cara membatalkan perintah.

Perhatikan bahwa jika node Anda dikonfigurasi dengan opsi `noexec` mount untuk direktori var, Run Command tidak dapat berhasil menjalankan perintah.

**penting**  
Saat Anda mengirim perintah menggunakanRun Command, jangan sertakan informasi sensitif yang diformat sebagai teks biasa, seperti kata sandi, data konfigurasi, atau rahasia lainnya. Semua aktivitas Systems Manager API di akun Anda dicatat dalam bucket S3 untuk AWS CloudTrail log. Ini berarti bahwa setiap pengguna dengan akses ke bucket S3 dapat melihat nilai plaintext dari rahasia tersebut. Untuk alasan ini, kami sarankan untuk membuat dan menggunakan `SecureString` parameter untuk mengenkripsi data sensitif yang Anda gunakan dalam operasi Systems Manager Anda.  
Untuk informasi selengkapnya, lihat [Membatasi akses ke Parameter Store parameter menggunakan kebijakan IAM](sysman-paramstore-access.md).

**Retensi riwayat eksekusi**  
Riwayat setiap perintah tersedia hingga 30 hari. Selain itu, Anda dapat menyimpan salinan semua file log di Amazon Simple Storage Service atau memiliki jejak audit semua panggilan API di AWS CloudTrail.

**Informasi Terkait**  
Untuk informasi tentang mengirim perintah menggunakan alat lain, lihat topik berikut: 
+ [Walkthrough: Gunakan dengan AWS Tools for Windows PowerShell Run Command](walkthrough-powershell.md)atau contoh di [AWS Systems Manager bagian Referensi Alat AWS untuk PowerShell Cmdlet](https://docs.aws.amazon.com/powershell/latest/reference/items/AWS_Systems_Manager_cmdlets.html).
+ [Walkthrough: Gunakan dengan AWS CLI Run Command](walkthrough-cli.md)atau contoh dalam Referensi [CLI SSM](https://docs.aws.amazon.com/cli/latest/reference/ssm/)

**Topics**
+ [Menjalankan perintah dari konsol](running-commands-console.md)
+ [Menjalankan perintah menggunakan versi dokumen tertentu](run-command-version.md)
+ [Jalankan perintah pada skala](send-commands-multiple.md)
+ [Membatalkan perintah](cancel-run-command.md)

# Menjalankan perintah dari konsol
<a name="running-commands-console"></a>

Anda dapat menggunakanRun Command, alat di AWS Systems Manager, dari Konsol Manajemen AWS untuk mengkonfigurasi node terkelola tanpa harus masuk ke dalamnya. Topik ini mencakup contoh yang menunjukkan cara [memperbarui SSM Agent](run-command-tutorial-update-software.md#rc-console-agentexample) pada node terkelola dengan menggunakanRun Command.

**Sebelum Anda mulai**  
Sebelum Anda mengirim perintah menggunakanRun Command, verifikasi bahwa node terkelola Anda memenuhi semua [persyaratan penyiapan](systems-manager-setting-up-nodes.md) Systems Manager.

**Untuk mengirim perintah menggunakan Run Command**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih **Run Command**.

1. Di daftar **Dokumen perintah**, pilih dokumen Systems Manager.

1. Di bagian **Parameter perintah**, tentukan nilai untuk parameter yang diperlukan.

1. Di bagian **Target**, pilih node terkelola tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih instance atau perangkat tepi secara manual, atau menentukan grup sumber daya.
**Tip**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Untuk **Parameter lainnya**:
   + Untuk **Komentar**, ketik informasi tentang perintah ini.
   + Untuk **Waktu habis (detik)**, tentukan jumlah detik untuk menunggu sistem sebelum gagal menjalankan perintah keseluruhan. 

1. Untuk **Pengendalian rate**:
   + Untuk **Konkurensi**, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.
**catatan**  
Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.
   + Untuk **Ambang kesalahan**, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.

1. (Opsional) Pilih CloudWatch alarm untuk diterapkan pada perintah Anda untuk pemantauan. Untuk melampirkan CloudWatch alarm ke perintah Anda, prinsipal IAM yang menjalankan perintah harus memiliki izin untuk `iam:createServiceLinkedRole` tindakan tersebut. Untuk informasi selengkapnya tentang CloudWatch alarm, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). Perhatikan bahwa jika alarm Anda aktif, pemanggilan perintah yang tertunda tidak berjalan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Tuliskan output perintah ke bucket S3**. Masukkan nama bucket dan prefiks (folder) di kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instance (untuk EC2 instance) atau peran layanan IAM (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Di bagian **Notifikasi SNS**, jika Anda ingin notifikasi dikirim tentang status eksekusi perintah, pilih kotak centang **Aktifkan notifikasi SNS**.

   Untuk informasi selengkapnya tentang mengonfigurasi notifikasi Run Command Amazon SNS, lihat. [Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS](monitoring-sns-notifications.md)

1. Pilih **Jalankan**.

Untuk informasi tentang membatalkan perintah, lihat [Membatalkan perintah](cancel-run-command.md). 

## Menjalankan kembali perintah
<a name="run-command-rerun"></a>

Systems Manager mencakup dua pilihan untuk membantu Anda menjalankan kembali perintah dari halaman **Run Command** dalam konsol Systems Manager. 
+ **Jalankan kembali**: Tombol ini memungkinkan Anda untuk menjalankan perintah yang sama tanpa membuat perubahan.
+ **Salin ke baru**: Tombol ini menyalin pengaturan dari satu perintah ke perintah baru dan memberikan Anda pilihan untuk mengedit pengaturan tersebut sebelum Anda menjalankannya.

**Untuk menjalankan kembali perintah**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih sebuah perintah untuk dijalankan kembali. Anda dapat menjalankan kembali perintah segera setelah menjalankannya dari halaman detail perintah. Atau, Anda dapat memilih perintah yang sebelumnya Anda jalankan dari tab **Riwayat perintah**.

1. Pilih **Jalankan kembali** untuk menjalankan perintah yang sama tanpa perubahan, atau pilih **Salin ke baru** untuk mengedit pengaturan perintah sebelum Anda menjalankannya.

# Menjalankan perintah menggunakan versi dokumen tertentu
<a name="run-command-version"></a>

Anda dapat menggunakan parameter versi dokumen untuk menentukan versi dokumen AWS Systems Manager apa yang digunakan ketika perintah berjalan. Anda dapat menentukan salah satu opsi berikut untuk parameter ini:
+ \$1DEFAULT
+ \$1LATEST
+ Nomor versi

Jalankan prosedur berikut ini untuk menjalankan perintah menggunakan parameter versi dokumen. 

------
#### [ Linux ]

**Untuk menjalankan perintah menggunakan mesin AWS CLI Linux lokal**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Cantumkan semua dokumen yang tersedia

   Perintah ini mencantumkan semua dokumen yang tersedia untuk akun Anda berdasarkan izin AWS Identity and Access Management (IAM).

   ```
   aws ssm list-documents
   ```

1. Jalankan perintah berikut ini untuk menampilkan versi yang berbeda dari dokumen. Ganti *document name* dengan informasi Anda sendiri.

   ```
   aws ssm list-document-versions \
       --name "document name"
   ```

1. Jalankan perintah berikut ini untuk menjalankan perintah yang menggunakan sebuah versi dokumen SSM. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

   ```
   aws ssm send-command \
       --document-name "AWS-RunShellScript" \
       --parameters commands="echo Hello" \
       --instance-ids instance-ID \
       --document-version '$LATEST'
   ```

------
#### [ Windows ]

**Untuk menjalankan perintah menggunakan AWS CLI pada mesin Windows lokal**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Cantumkan semua dokumen yang tersedia

   Perintah ini mencantumkan semua dokumen yang tersedia untuk akun Anda berdasarkan izin AWS Identity and Access Management (IAM).

   ```
   aws ssm list-documents
   ```

1. Jalankan perintah berikut ini untuk menampilkan versi yang berbeda dari dokumen. Ganti *document name* dengan informasi Anda sendiri.

   ```
   aws ssm list-document-versions ^
       --name "document name"
   ```

1. Jalankan perintah berikut ini untuk menjalankan perintah yang menggunakan sebuah versi dokumen SSM. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

   ```
   aws ssm send-command ^
       --document-name "AWS-RunShellScript" ^
       --parameters commands="echo Hello" ^
       --instance-ids instance-ID ^
       --document-version "$LATEST"
   ```

------
#### [ PowerShell ]

**Untuk menjalankan perintah menggunakan Alat untuk PowerShell**

1. Instal dan konfigurasikan Alat AWS untuk PowerShell (Alat untuk Windows PowerShell), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Cantumkan semua dokumen yang tersedia

   Perintah ini mencantumkan semua dokumen yang tersedia untuk akun Anda berdasarkan izin AWS Identity and Access Management (IAM).

   ```
   Get-SSMDocumentList
   ```

1. Jalankan perintah berikut ini untuk menampilkan versi yang berbeda dari dokumen. Ganti *document name* dengan informasi Anda sendiri.

   ```
   Get-SSMDocumentVersionList `
       -Name "document name"
   ```

1. Jalankan perintah berikut ini untuk menjalankan perintah yang menggunakan sebuah versi dokumen SSM. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

   ```
   Send-SSMCommand `
       -DocumentName "AWS-RunShellScript" `
       -Parameter @{commands = "echo helloWorld"} `
       -InstanceIds "instance-ID" `
       -DocumentVersion $LATEST
   ```

------

# Jalankan perintah pada skala
<a name="send-commands-multiple"></a>

Anda dapat menggunakanRun Command, alat di AWS Systems Manager, untuk menjalankan perintah pada armada node terkelola dengan menggunakan`targets`. `targets`Parameter menerima `Key,Value` kombinasi berdasarkan tag yang Anda tentukan untuk node terkelola Anda. Ketika Anda menjalankan perintah, sistem menemukan dan mencoba untuk menjalankan perintah pada semua node terkelola yang cocok dengan tag yang ditentukan. Untuk informasi selengkapnya tentang menandai instans terkelola, lihat [Menandai AWS sumber daya Anda di Panduan Pengguna Sumber Daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-editor.html) *Penandaan AWS *. Untuk informasi tentang menandai perangkat IoT terkelola, [lihat Menandai sumber daya AWS IoT Greengrass Version 2 Anda](https://docs.aws.amazon.com/greengrass/v2/developerguide/tag-resources.html) di Panduan *AWS IoT Greengrass Version 2 Pengembang.* 

Anda juga dapat menggunakan `targets` parameter untuk menargetkan daftar node terkelola tertentu IDs, seperti yang dijelaskan di bagian berikutnya.

Untuk mengontrol bagaimana perintah berjalan di ratusan atau ribuan node terkelola, Run Command juga termasuk parameter untuk membatasi berapa banyak node dapat secara bersamaan memproses permintaan dan berapa banyak kesalahan yang dapat dilemparkan oleh perintah sebelum perintah dibatalkan.

**Topics**
+ [Menargetkan beberapa node terkelola](#send-commands-targeting)
+ [Menggunakan pengendali rate](#send-commands-rate)

## Menargetkan beberapa node terkelola
<a name="send-commands-targeting"></a>

Anda dapat menjalankan perintah dan menargetkan node terkelola dengan menentukan tag, nama grup AWS sumber daya, atau node IDs terkelola. 

Contoh berikut menunjukkan format perintah saat menggunakan Run Command dari AWS Command Line Interface (AWS CLI ). Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. Contoh perintah di bagian ini disingkat menggunakan `[...]`.

**Contoh 1: Tag penargetan**

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:tag-name,Values=tag-value \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:tag-name,Values=tag-value ^
    [...]
```

------

**Contoh 2: Menargetkan grup AWS sumber daya berdasarkan nama**

Anda dapat menentukan maksimal satu nama resource group per perintah. Saat Anda membuat resource group, kami merekomendasikan untuk menyertakan `AWS::SSM:ManagedInstance` dan `AWS::EC2::Instance` sebagai jenis sumber daya dalam kriteria pengelompokan Anda. 

**catatan**  
Untuk mengirim perintah yang menargetkan grup sumber daya, Anda harus telah diberikan izin AWS Identity and Access Management (IAM) untuk membuat daftar atau melihat sumber daya milik grup tersebut. Untuk informasi selengkapnya, lihat [Menyiapkan izin](https://docs.aws.amazon.com/ARG/latest/userguide/gettingstarted-prereqs.html#gettingstarted-prereqs-permissions) di *Panduan AWS Resource Groups Pengguna*. 

------
#### [ Linux & macOS ]

```
aws ssm send-command \    
    --document-name document-name \
    --targets Key=resource-groups:Name,Values=resource-group-name \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^    
    --document-name document-name ^
    --targets Key=resource-groups:Name,Values=resource-group-name ^
    [...]
```

------

**Contoh 3: Menargetkan grup AWS sumber daya berdasarkan jenis sumber daya**

Anda dapat menentukan maksimal lima jenis resource group per perintah. Saat Anda membuat resource group, kami merekomendasikan untuk menyertakan `AWS::SSM:ManagedInstance` dan `AWS::EC2::Instance` sebagai jenis sumber daya dalam kriteria pengelompokan Anda.

**catatan**  
Untuk mengirim perintah yang menargetkan sebuah resource group, Anda harus telah diberikan izin IAM untuk mencantumkan, atau melihat, sumber daya milik grup tersebut. Untuk informasi selengkapnya, lihat [Menyiapkan izin](https://docs.aws.amazon.com/ARG/latest/userguide/gettingstarted-prereqs.html#gettingstarted-prereqs-permissions) di *Panduan AWS Resource Groups Pengguna*. 

------
#### [ Linux & macOS ]

```
aws ssm send-command \    
    --document-name document-name \
    --targets Key=resource-groups:ResourceTypeFilters,Values=resource-type-1,resource-type-2 \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^    
    --document-name document-name ^
    --targets Key=resource-groups:ResourceTypeFilters,Values=resource-type-1,resource-type-2 ^
    [...]
```

------

**Contoh 4: Contoh penargetan IDs**

Contoh berikut menunjukkan bagaimana menargetkan node terkelola dengan menggunakan `instanceids` kunci dengan `targets` parameter. Anda dapat menggunakan kunci ini untuk menargetkan perangkat AWS IoT Greengrass inti terkelola karena setiap perangkat diberi mi-*ID\$1number*. Anda dapat melihat perangkat IDs diFleet Manager, alat di AWS Systems Manager.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=instanceids,Values=instance-ID-1,instance-ID-2,instance-ID-3 \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=instanceids,Values=instance-ID-1,instance-ID-2,instance-ID-3 ^
    [...]
```

------

Jika Anda menandai node terkelola untuk lingkungan yang berbeda menggunakan `Key` nama `Environment` dan `Values` dari`Development`,`Test`, `Pre-production` dan`Production`, maka Anda dapat mengirim perintah ke semua node terkelola di *salah satu* lingkungan ini dengan menggunakan `targets` parameter dengan sintaks berikut.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:Environment,Values=Development \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:Environment,Values=Development ^
    [...]
```

------

Anda dapat menargetkan node terkelola tambahan di lingkungan lain dengan menambahkan ke `Values` daftar. Pisahkan item menggunakan koma.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:Environment,Values=Development,Test,Pre-production \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:Environment,Values=Development,Test,Pre-production ^
    [...]
```

------

**Variasi**: Menyempurnakan target Anda menggunakan beberapa kriteria `Key`

Anda dapat menyempurnakan jumlah target untuk perintah Anda dengan menyertakan beberapa kriteria `Key`. Jika Anda menyertakan lebih dari satu `Key` kriteria, sistem menargetkan node terkelola yang memenuhi *semua* kriteria. Perintah berikut menargetkan semua node terkelola yang ditandai untuk Departemen Keuangan *dan* diberi tag untuk peran server database.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:Department,Values=Finance Key=tag:ServerRole,Values=Database \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:Department,Values=Finance Key=tag:ServerRole,Values=Database ^
    [...]
```

------

**Variasi**: Menggunakan beberapa `Key` dan kriteria `Value`

Berdasarkan contoh sebelumnya, Anda dapat menargetkan beberapa departemen dan beberapa peran server dengan memasukkan item tambahan di kriteria `Values`.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:Department,Values=Finance,Marketing Key=tag:ServerRole,Values=WebServer,Database \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:Department,Values=Finance,Marketing Key=tag:ServerRole,Values=WebServer,Database ^
    [...]
```

------

**Variasi**: Menargetkan node terkelola yang ditandai menggunakan beberapa kriteria `Values`

Jika Anda menandai node terkelola untuk lingkungan yang berbeda menggunakan `Key` nama `Department` `Sales` dan `Values` dari dan`Finance`, maka Anda dapat mengirim perintah ke semua node di lingkungan ini dengan menggunakan `targets` parameter dengan sintaks berikut.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:Department,Values=Sales,Finance \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:Department,Values=Sales,Finance ^
    [...]
```

------

Anda dapat menentukan maksimum lima kunci, dan lima nilai untuk setiap kunci.

Jika salah satu kunci tag (nama tag) atau nilai tag termasuk spasi, lampirkan kunci tag atau nilai dalam tanda kutip, seperti yang ditunjukkan dalam contoh berikut.

**Contoh**: Spasi di tag `Value`

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:OS,Values="Windows Server 2016" \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:OS,Values="Windows Server 2016" ^
    [...]
```

------

**Contoh**: Spasi di kunci `tag` dan `Value`

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key="tag:Operating System",Values="Windows Server 2016" \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key="tag:Operating System",Values="Windows Server 2016" ^
    [...]
```

------

**Contoh**: Spasi dalam satu item dalam daftar `Values`

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --targets Key=tag:Department,Values="Sales","Finance","Systems Mgmt" \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --targets Key=tag:Department,Values="Sales","Finance","Systems Mgmt" ^
    [...]
```

------

## Menggunakan pengendali rate
<a name="send-commands-rate"></a>

Anda dapat mengontrol tingkat di mana perintah dikirim ke node terkelola dalam grup dengan menggunakan kontrol *konkurensi dan kontrol* *kesalahan*.

**Topics**
+ [Menggunakan pengendali konkurensi](#send-commands-velocity)
+ [Menggunakan pengendali kesalahan](#send-commands-maxerrors)

### Menggunakan pengendali konkurensi
<a name="send-commands-velocity"></a>

Anda dapat mengontrol jumlah node terkelola yang menjalankan perintah secara bersamaan dengan menggunakan `max-concurrency` parameter (opsi **Concurrency** di halaman **Run a command**). Anda dapat menentukan jumlah absolut node terkelola**10**, misalnya, atau persentase dari set target, misalnya**10%**. Sistem antrian mengirimkan perintah ke satu node dan menunggu sampai sistem mengakui pemanggilan awal sebelum mengirim perintah ke dua node lagi. Sistem secara eksponensial mengirimkan perintah ke lebih banyak node sampai sistem memenuhi nilai. `max-concurrency` default untuk nilai `max-concurrency` adalah 50. Contoh berikut ini menunjukkan kepada Anda cara menentukan nilai untuk parameter `max-concurrency`.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --max-concurrency 10 \
    --targets Key=tag:Environment,Values=Development \
    [...]
```

```
aws ssm send-command \
    --document-name document-name \
    --max-concurrency 10% \
    --targets Key=tag:Department,Values=Finance,Marketing Key=tag:ServerRole,Values=WebServer,Database \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --max-concurrency 10 ^
    --targets Key=tag:Environment,Values=Development ^
    [...]
```

```
aws ssm send-command ^
    --document-name document-name ^
    --max-concurrency 10% ^
    --targets Key=tag:Department,Values=Finance,Marketing Key=tag:ServerRole,Values=WebServer,Database ^
    [...]
```

------

### Menggunakan pengendali kesalahan
<a name="send-commands-maxerrors"></a>

Anda juga dapat mengontrol eksekusi perintah ke ratusan atau ribuan node terkelola dengan menetapkan batas kesalahan menggunakan `max-errors` parameter (bidang **ambang kesalahan** di halaman **Jalankan perintah**). Parameter menentukan berapa banyak kesalahan yang diizinkan sebelum sistem berhenti mengirim perintah ke node terkelola tambahan. Anda dapat menentukan jumlah kesalahan mutlak, misalnya **10**, atau persentase target yang ditentukan, misalnya **10%**. Jika Anda menentukan **3**, misalnya, maka sistem akan berhenti mengirim perintah ketika kesalahan keempat diterima. Jika Anda menentukan**0**, maka sistem berhenti mengirim perintah ke node terkelola tambahan setelah hasil kesalahan pertama dikembalikan. Jika Anda mengirim perintah ke 50 node yang dikelola dan diatur `max-errors` ke**10%**, maka sistem berhenti mengirim perintah ke node tambahan ketika kesalahan keenam diterima.

Pemanggilan yang sudah menjalankan perintah saat `max-errors` tercapai diizinkan untuk diselesaikan, tetapi beberapa pemanggilan tersebut mungkin gagal juga. Jika Anda perlu memastikan bahwa tidak akan ada lebih dari `max-errors` pemanggilan yang gagal, atur `max-concurrency` ke **1** sehingga pemanggilan akan dilanjutkan satu per satu. default untuk maksimal kesalahan adalah 0. Contoh berikut ini menunjukkan kepada Anda cara menentukan nilai untuk parameter `max-errors`.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name document-name \
    --max-errors 10 \
    --targets Key=tag:Database,Values=Development \
    [...]
```

```
aws ssm send-command \
    --document-name document-name \
    --max-errors 10% \
    --targets Key=tag:Environment,Values=Development \
    [...]
```

```
aws ssm send-command \
    --document-name document-name \
    --max-concurrency 1 \
    --max-errors 1 \
    --targets Key=tag:Environment,Values=Production \
    [...]
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name document-name ^
    --max-errors 10 ^
    --targets Key=tag:Database,Values=Development ^
    [...]
```

```
aws ssm send-command ^
    --document-name document-name ^
    --max-errors 10% ^
    --targets Key=tag:Environment,Values=Development ^
    [...]
```

```
aws ssm send-command ^
    --document-name document-name ^
    --max-concurrency 1 ^
    --max-errors 1 ^
    --targets Key=tag:Environment,Values=Production ^
    [...]
```

------

# Membatalkan perintah
<a name="cancel-run-command"></a>

Anda dapat mencoba untuk membatalkan perintah selama layanan menunjukkan bahwa itu dalam status Tertunda atau Mengeksekusi. Namun, bahkan jika perintah masih berada dalam salah satu status tersebut, kami tidak dapat menjamin bahwa perintah akan dibatalkan dan proses yang mendasarinya berhenti. 

**Untuk menjalankan perintah menggunakan konsol**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih pemanggilan perintah yang ingin Anda batalkan.

1. Pilih **Batalkan perintah**.

**Untuk membatalkan perintah menggunakan AWS CLI**  
Jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

```
aws ssm cancel-command \
    --command-id "command-ID" \
    --instance-ids "instance-ID"
```

------
#### [ Windows ]

```
aws ssm cancel-command ^
    --command-id "command-ID" ^
    --instance-ids "instance-ID"
```

------

Untuk informasi tentang status perintah yang dibatalkan, lihat [Memahami status perintah](monitor-commands.md).

# Menggunakan kode keluar dalam perintah
<a name="run-command-handle-exit-status"></a>

Dalam beberapa kasus, Anda mungkin perlu mengelola bagaimana perintah Anda ditangani dengan menggunakan kode keluar.

## Tentukan kode keluar dalam perintah
<a name="command-exit-codes"></a>

Penggunaan Run Command, alat di AWS Systems Manager, Anda dapat menentukan kode keluar untuk menentukan bagaimana perintah ditangani. Secara default, kode keluar dari perintah terakhir yang dijalankan dalam skrip dilaporkan sebagai kode keluar untuk seluruh skrip. Misalnya, Anda memiliki skrip yang berisi tiga perintah. Yang pertama gagal tapi yang berikutnya berhasil. Karena perintah terakhir berhasil, status eksekusi dilaporkan sebagai `succeeded`.

**skrip shell**  
Untuk gagal seluruh skrip pada kegagalan perintah pertama, Anda dapat menyertakan pernyataan bersyarat shell untuk keluar dari skrip jika ada perintah sebelum yang terakhir gagal. Gunakan pendekatan berikut.

```
<command 1>
    if [ $? != 0 ]
    then
        exit <N>
    fi
    <command 2>
    <command 3>
```

Pada contoh berikut, seluruh skrip gagal jika perintah pertama gagal.

```
cd /test
    if [ $? != 0 ]
    then
        echo "Failed"
        exit 1
    fi
    date
```

**PowerShell skrip**  
PowerShell mengharuskan Anda memanggil `exit` secara eksplisit dalam skrip Anda untuk Run Command untuk berhasil menangkap kode keluar.

```
<command 1>
    if ($?) {<do something>}
    else {exit <N>}
    <command 2>
    <command 3>
    exit <N>
```

Inilah contohnya:

```
cd C:\
    if ($?) {echo "Success"}
    else {exit 1}
    date
```

# Menangani reboot saat menjalankan perintah
<a name="send-commands-reboot"></a>

Jika Anda menggunakanRun Command, alat di AWS Systems Manager, untuk menjalankan skrip yang me-reboot node terkelola, kami sarankan Anda menentukan kode keluar dalam skrip Anda. Jika Anda mencoba me-reboot node dari skrip dengan menggunakan beberapa mekanisme lain, status eksekusi skrip mungkin tidak diperbarui dengan benar, bahkan jika reboot adalah langkah terakhir dalam skrip Anda. Untuk node terkelola Windows, Anda tentukan `exit 3010` dalam skrip Anda. Untuk Linux dan node macOS terkelola, Anda tentukan`exit 194`. Kode keluar menginstruksikan AWS Systems Manager Agent (SSM Agent) untuk me-reboot node yang dikelola, dan kemudian memulai ulang skrip setelah reboot selesai. Sebelum memulai reboot, SSM Agent menginformasikan layanan Systems Manager di cloud bahwa komunikasi akan terganggu selama reboot server.

**catatan**  
Skrip reboot tidak dapat menjadi bagian dari `aws:runDocument` plugin. Jika dokumen berisi skrip reboot dan dokumen lain mencoba menjalankan dokumen itu melalui `aws:runDocument` plugin, SSM Agent mengembalikan kesalahan.

**Buat skrip idempoten**

Saat mengembangkan skrip yang me-reboot node terkelola, buat skrip idempoten sehingga eksekusi skrip berlanjut di tempat yang ditinggalkannya setelah reboot. Skrip idempoten mengelola status dan memvalidasi apakah tindakan dilakukan atau tidak. Hal ini mencegah langkah untuk dijalankan beberapa kali ketika hanya dimaksudkan untuk dijalankan satu kali.

Berikut adalah contoh garis besar skrip idempoten yang me-reboot node terkelola beberapa kali.

```
$name = Get current computer name
If ($name –ne $desiredName) 
    {
        Rename computer
        exit 3010
    }
            
$domain = Get current domain name
If ($domain –ne $desiredDomain) 
    {
        Join domain
        exit 3010
    }
            
If (desired package not installed) 
    {
        Install package
        exit 3010
    }
```

**Contoh**

Contoh skrip berikut menggunakan kode keluar untuk memulai ulang node terkelola. Contoh Linux menginstal pembaruan paket di Amazon Linux, dan kemudian memulai ulang node. Windows ServerContoh menginstal Telnet-Client pada node, dan kemudian restart itu. 

------
#### [ Amazon Linux 2 ]

```
#!/bin/bash
yum -y update
needs-restarting -r
if [ $? -eq 1 ]
then
        exit 194
else
        exit 0
fi
```

------
#### [ Windows ]

```
$telnet = Get-WindowsFeature -Name Telnet-Client
if (-not $telnet.Installed)
    { 
        # Install Telnet and then send a reboot request to SSM Agent.
        Install-WindowsFeature -Name "Telnet-Client"
        exit 3010 
    }
```

------

# Memahami status perintah
<a name="monitor-commands"></a>

Run Command, alat di AWS Systems Manager, melaporkan informasi status terperinci tentang berbagai status yang dialami perintah selama pemrosesan dan untuk setiap node terkelola yang memproses perintah. Anda dapat memantau status perintah menggunakan metode berikut:
+ Pilih ikon **Segarkan** pada tab **Perintah** di antarmuka Run Command konsol.
+ Panggil [daftar-perintah](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-commands.html) atau [list-command-invocations](https://docs.aws.amazon.com/cli/latest/reference/ssm/list-command-invocations.html)menggunakan AWS Command Line Interface ()AWS CLI. Atau hubungi [Get- SSMCommand](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMCommand.html) atau [Get- SSMCommand Invocation menggunakan.](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMCommandInvocation.html) AWS Tools for Windows PowerShell
+ Konfigurasikan Amazon EventBridge untuk merespons perubahan status atau status.
+ Konfigurasikan Amazon Simple Notification Service (Amazon SNS) untuk mengirim notifikasi untuk semua perubahan status atau status tertentu seperti atau. `Failed` `TimedOut`

## Run Commandstatus
<a name="monitor-about-status"></a>

Run Commandmelaporkan rincian status untuk tiga area: plugin, pemanggilan, dan status perintah keseluruhan. *plugin* adalah blok eksekusi kode yang ditetapkan dalam dokumen SSM perintah Anda. Untuk informasi selengkapnya tentang plugin, lihat [Referensi plugin dokumen perintah](documents-command-ssm-plugin-reference.md).

Saat Anda mengirim perintah ke beberapa node terkelola secara bersamaan, setiap salinan perintah yang menargetkan setiap node adalah *pemanggilan perintah*. Misalnya, jika Anda menggunakan dokumen `AWS-RunShellScript` dan mengirimkan perintah `ifconfig` ke 20 instans Linux, perintah tersebut memiliki 20 pemanggilan. Setiap pemanggilan perintah secara individual melaporkan status. Plugin untuk pemanggilan perintah tertentu juga secara individual melaporkan status. 

Terakhir, Run Command termasuk status perintah agregat untuk semua plugin dan pemanggilan. Status perintah agregat dapat berbeda dari status yang dilaporkan oleh plugin atau pemanggilan, seperti yang tercantum dalam tabel berikut.

**catatan**  
Jika Anda menjalankan perintah ke sejumlah besar node terkelola menggunakan `max-concurrency` atau `max-errors` parameter, status perintah mencerminkan batas yang diberlakukan oleh parameter tersebut, seperti yang dijelaskan dalam tabel berikut. Untuk informasi selengkapnya tentang parameter ini, lihat [Jalankan perintah pada skala](send-commands-multiple.md).


**Status detail untuk plugin dan pemanggilan perintah**  

| Status | Detail | 
| --- | --- | 
| Tertunda | Perintah belum dikirim ke node terkelola atau belum diterima olehSSM Agent. Jika perintah tidak diterima oleh agen sebelum panjang waktu berlalu yang sama dengan jumlah parameter Waktu habis (detik) dan parameter Waktu eksekusi, status berubah ke Delivery Timed Out. | 
| InProgress | Systems Manager mencoba mengirim perintah ke node yang dikelola, atau perintah diterima oleh SSM Agent dan telah mulai berjalan pada instance. Tergantung pada hasil dari semua plugin perintah, status berubah ke Success, Failed, Delivery Timed Out, atau Execution Timed Out. Pengecualian: Jika agen tidak berjalan atau tersedia di node, status perintah tetap di In Progress sampai agen tersedia lagi, atau sampai batas waktu eksekusi tercapai. Status kemudian berubah ke status terakhir. | 
| Terlambat | Sistem mencoba mengirim perintah ke node terkelola tetapi tidak berhasil. Sistem mencoba lagi. | 
| Berhasil | Status ini dikembalikan dalam berbagai kondisi. Status ini tidak berarti perintah diproses pada node. Misalnya, perintah dapat diterima oleh SSM Agent pada node yang dikelola dan mengembalikan kode keluar nol sebagai akibat dari Anda PowerShell ExecutionPolicy mencegah perintah berjalan. Ini adalah status terakhir. Kondisi yang menghasilkan perintah mengembalikan Success status adalah: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/monitor-commands.html)  Kondisi yang sama berlaku saat menargetkan grup sumber daya. Untuk memecahkan masalah kesalahan atau mendapatkan informasi selengkapnya tentang eksekusi perintah, kirim perintah yang menangani kesalahan atau pengecualian dengan mengembalikan kode keluar yang sesuai (kode keluar bukan nol untuk kegagalan perintah).  | 
| DeliveryTimedOut | Perintah tidak dikirim ke node terkelola sebelum batas waktu total berakhir. Total timeout tidak dihitung terhadap max-errors batas perintah induk, tetapi mereka berkontribusi pada apakah status perintah indukSuccess,Incomplete, atauDelivery Timed Out. Ini adalah status terakhir. | 
| ExecutionTimedOut | Otomatisasi perintah dimulai pada node terkelola, tetapi perintah tidak selesai sebelum batas waktu eksekusi berakhir. Waktu tunggu eksekusi dihitung sebagai kegagalan, yang akan mengirimkan balasan bukan nol dan Systems Manager akan keluar dari upaya untuk menjalankan otomatisasi perintah, dan melaporkan status kegagalan. | 
| Gagal |  Perintah tidak berhasil pada node terkelola. Untuk plugin, ini menunjukkan bahwa kode hasil tidak nol. Untuk pemanggilan perintah, ini menunjukkan bahwa kode hasil untuk satu atau lebih plugin tidak nol. Kegagalan pemanggilan dihitung terhadap batas max-errors perintah induk. Ini adalah status terakhir. | 
| Dibatalkan | Perintah dibatalkan sebelum selesai. Ini adalah keadaan akhir. | 
| Tidak terkirim | Perintah tidak dapat dikirim ke node terkelola. Node mungkin tidak ada atau mungkin tidak merespons. Pemanggilan tidak terkirim tidak dihitung terhadap batas max-errors perintah induk, tetapi berkontribusi pada apakah status perintah induk adalah Success atau Incomplete. Sebagai contoh, jika semua pemanggilan dalam perintah memiliki status Undeliverable, maka status perintah yang dikembalikan adalah Failed. Namun, jika perintah memiliki lima pemanggilan, empat di antaranya mengembalikan status Undeliverable dan salah satunya mengembalikan status Success, maka status perintah induk adalah Success. Ini adalah keadaan akhir. | 
| Diakhiri | Perintah induk melebihi batas max-errors dan pemanggilan perintah berikutnya dibatalkan oleh sistem. Ini adalah status terakhir. | 
| InvalidPlatform | Perintah dikirim ke node terkelola yang tidak cocok dengan platform yang diperlukan yang ditentukan oleh dokumen yang dipilih. Invalid Platformtidak dihitung terhadap batas maks-error perintah induk, tetapi itu berkontribusi pada apakah status perintah induk adalah Sukses atau Gagal. Sebagai contoh, jika semua pemanggilan dalam perintah memiliki status Invalid Platform, maka status perintah yang dikembalikan adalah Failed. Namun, jika perintah memiliki lima pemanggilan, empat di antaranya mengembalikan status Invalid Platform dan salah satunya mengembalikan status Success, maka status perintah induk adalah Success. Ini adalah status terakhir. | 
| AccessDenied | Pengguna AWS Identity and Access Management (IAM) atau peran yang memulai perintah tidak memiliki akses ke node terkelola yang ditargetkan. Access Deniedtidak dihitung terhadap max-errors batas perintah induk, tetapi itu berkontribusi pada apakah status perintah induk adalah Success atauFailed. Sebagai contoh, jika semua pemanggilan dalam perintah memiliki status Access Denied, maka status perintah yang dikembalikan adalah Failed. Namun, jika perintah memiliki lima pemanggilan, empat di antaranya mengembalikan status Access Denied dan salah satunya mengembalikan status Success, maka status perintah induk adalah Success. Ini adalah keadaan akhir. | 


**Status detail untuk perintah**  

| Status | Detail | 
| --- | --- | 
| Tertunda | Perintah belum diterima oleh agen pada node terkelola apa pun. | 
| InProgress | Perintah telah dikirim ke setidaknya satu node terkelola tetapi belum mencapai status akhir pada semua node.  | 
| Terlambat | Sistem mencoba mengirim perintah ke node tetapi tidak berhasil. Sistem mencoba lagi. | 
| Berhasil | Perintah diterima oleh SSM Agent pada semua node terkelola yang ditentukan atau ditargetkan dan mengembalikan kode keluar nol. Semua pemanggilan perintah telah mencapai keadaan akhir, dan nilai max-errors tidak tercapai. Status ini tidak berarti perintah berhasil diproses pada semua node terkelola yang ditentukan atau ditargetkan. Ini adalah keadaan akhir.  Untuk memecahkan masalah kesalahan atau mendapatkan informasi selengkapnya tentang eksekusi perintah, kirim perintah yang menangani kesalahan atau pengecualian dengan mengembalikan kode keluar yang sesuai (kode keluar bukan nol untuk kegagalan perintah).  | 
| DeliveryTimedOut | Perintah tidak dikirim ke node terkelola sebelum batas waktu total berakhir. Nilai max-errors atau lebih pemanggilan perintah menunjukkan status Delivery Timed Out. Ini adalah keadaan akhir. | 
| Gagal |  Perintah tidak berhasil pada node terkelola. Nilai `max-errors` atau lebih pemanggilan perintah menunjukkan status `Failed`. Ini adalah keadaan akhir.  | 
| Tidak lengkap | Perintah dicoba pada semua node terkelola dan satu atau lebih pemanggilan tidak memiliki nilai. Success Namun, tidak terjadi cukup pemanggilan yang gagal untuk status menjadi Failed. Ini adalah status terakhir. | 
| Dibatalkan | Perintah dibatalkan sebelum selesai. Ini adalah status terakhir. | 
| RateExceeded | Jumlah node terkelola yang ditargetkan oleh perintah melebihi kuota akun untuk pemanggilan yang tertunda. Sistem telah membatalkan perintah sebelum menjalankannya pada node apa pun. Ini adalah status terakhir. | 
| AccessDenied | Pengguna atau peran yang memulai perintah tidak memiliki akses ke grup sumber daya yang ditargetkan. AccessDeniedtidak dihitung terhadap max-errors batas perintah induk, tetapi berkontribusi pada apakah status perintah induk adalah Success atauFailed. (Sebagai contoh, jika semua pemanggilan dalam perintah memiliki status AccessDenied, maka status perintah yang dikembalikan adalah Failed. Namun, jika perintah memiliki 5 pemanggilan, 4 di antaranya mengembalikan status AccessDenied dan 1 mengembalikan status Success, maka status perintah induk adalah Success.) Ini adalah keadaan akhir. | 
| Tidak Ada Instans Dalam Tag | Nilai pasangan kunci tag atau grup sumber daya yang ditargetkan oleh perintah tidak cocok dengan node terkelola apa pun. Ini adalah status terakhir. | 

## Memahami nilai batas waktu perintah
<a name="monitor-about-status-timeouts"></a>

Systems Manager memberlakukan nilai batas waktu berikut saat menjalankan perintah.

**Total Batas Waktu**  
Di konsol Systems Manager, Anda menentukan nilai batas waktu di bidang **Timeout (detik)**. Setelah perintah dikirim, Run Command periksa apakah perintah telah kedaluwarsa atau belum. Jika sebuah perintah mencapai batas kedaluwarsa perintah (total batas waktu), statusnya berubah ke `DeliveryTimedOut` untuk semua pemanggilan yang memiliki status `InProgress`, `Pending` atau `Delayed`.

![\[Bidang Waktu habis (detik) di konsol Systems Manager\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/run-command-delivery-time-out-time-out-seconds.png)


Pada tingkat yang lebih teknis, total timeout (**Timeout (detik))** adalah kombinasi dari dua nilai batas waktu, seperti yang ditunjukkan di sini: 

`Total timeout = "Timeout(seconds)" from the console + "timeoutSeconds": "{{ executionTimeout }}" from your SSM document`

Misalnya, nilai default **Waktu habis (detik)** di konsol Systems Manager adalah 600 detik. Jika Anda menjalankan perintah dengan menggunakan dokumen SSM `AWS-RunShellScript`, nilai default **"timeoutSeconds": "\$1\$1 executionTimeout \$1\$1"** adalah 3600 detik, seperti yang ditunjukkan dalam contoh dokumen berikut:

```
  "executionTimeout": {
      "type": "String",
      "default": "3600",

  "runtimeConfig": {
    "aws:runShellScript": {
      "properties": [
        {
          "timeoutSeconds": "{{ executionTimeout }}"
```

Ini berarti perintah berjalan selama 4.200 detik (70 menit) sebelum sistem menetapkan status perintah ke`DeliveryTimedOut`.

**Batas Waktu Eksekusi**  
Di konsol Systems Manager, Anda menentukan nilai batas waktu eksekusi di bidang **Batas Waktu Eksekusi**, jika tersedia. Tidak semua dokumen SSM mengharuskan Anda menentukan batas waktu eksekusi. Bidang **Execution Timeout** hanya ditampilkan ketika parameter input yang sesuai telah ditentukan dalam dokumen SSM. Jika ditentukan, perintah harus selesai dalam periode waktu ini.

**catatan**  
Run Commandbergantung pada respon terminal SSM Agent dokumen untuk menentukan apakah perintah itu dikirim ke agen atau tidak. SSM Agentharus mengirim `ExecutionTimedOut` sinyal untuk pemanggilan atau perintah yang akan ditandai sebagai. `ExecutionTimedOut`

![\[Bidang Batas Waktu Eksekusi di konsol Systems Manager\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/run-command-execution-timeout-console.png)


**Batas Waktu Eksekusi Default**  
Jika dokumen SSM tidak mengharuskan Anda secara eksplisit menentukan nilai batas waktu eksekusi, maka Systems Manager memberlakukan batas waktu eksekusi default hard-coded.

**Cara Systems Manager melaporkan waktu habis**  
Jika Systems Manager menerima `execution timeout` balasan dari SSM Agent target, maka Systems Manager menandai pemanggilan perintah sebagai. `executionTimeout`

Jika Run Command tidak menerima respon terminal dokumen dariSSM Agent, pemanggilan perintah ditandai sebagai. `deliveryTimeout`

Untuk menentukan status batas waktu pada target, SSM Agent gabungkan semua parameter dan konten dokumen SSM untuk dihitung. `executionTimeout` Ketika SSM Agent menentukan bahwa perintah telah habis waktunya, ia mengirim `executionTimeout` ke layanan.

default untuk **Waktu habis (detik)** adalah 3600 detik. default untuk **Batas Waktu Eksekusi** juga 3600 detik. Oleh karena itu, total batas waktu default untuk perintah adalah 7200 detik.

**catatan**  
SSM Agentproses yang `executionTimeout` berbeda tergantung pada jenis dokumen SSM dan versi dokumen. 

# Run Command penelusuran
<a name="run-command-walkthroughs"></a>

Penelusuran di bagian ini menunjukkan kepada Anda cara menjalankan perintah dengan Run Command, alat di AWS Systems Manager, menggunakan AWS Command Line Interface (AWS CLI) atau AWS Tools for Windows PowerShell.

**Topics**
+ [Memperbarui perangkat lunak menggunakan Run Command](run-command-tutorial-update-software.md)
+ [Walkthrough: Gunakan dengan AWS CLI Run Command](walkthrough-cli.md)
+ [Walkthrough: Gunakan dengan AWS Tools for Windows PowerShell Run Command](walkthrough-powershell.md)

Anda juga dapat melihat contoh perintah di referensi berikut ini.
+ [AWS CLI Referensi Systems Manager](https://docs.aws.amazon.com/cli/latest/reference/ssm/)
+ [AWS Tools for Windows PowerShell - AWS Systems Manager](https://docs.aws.amazon.com/powershell/latest/reference/items/SimpleSystemsManagement_cmdlets.html)

# Memperbarui perangkat lunak menggunakan Run Command
<a name="run-command-tutorial-update-software"></a>

Prosedur berikut menjelaskan cara memperbarui perangkat lunak pada node terkelola Anda.

## Memperbarui SSM Agent penggunaan Run Command
<a name="rc-console-agentexample"></a>

Prosedur berikut menjelaskan cara memperbarui yang SSM Agent berjalan pada node terkelola Anda. Anda dapat memperbarui ke versi terbaru SSM Agent atau menurunkan versi ke versi yang lebih lama. Ketika Anda menjalankan perintah, sistem mengunduh versi dari AWS, menginstalnya, dan kemudian menghapus instalan versi yang ada sebelum perintah dijalankan. Jika terjadi kesalahan selama proses ini, sistem akan kembali ke versi di server sebelum perintah dijalankan dan status perintah menunjukkan bahwa perintah gagal.

**catatan**  
Jika sebuah instance menjalankan macOS versi 13.0 (Ventura) atau yang lebih baru, instance harus memiliki SSM Agent versi 3.1.941.0 atau lebih tinggi untuk menjalankan dokumen. AWS-UpdateSSMAgent Jika instance menjalankan versi SSM Agent rilis sebelum 3.1.941.0, Anda dapat memperbarui SSM Agent untuk menjalankan AWS-UpdateSSMAgent dokumen dengan menjalankan dan perintah. `brew update` `brew upgrade amazon-ssm-agent`

Untuk diberi tahu tentang SSM Agent pembaruan, berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) diGitHub.

**Untuk memperbarui SSM Agent menggunakan Run Command**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih **Run Command**.

1. Di daftar **Dokumen perintah**, pilih **`AWS-UpdateSSMAgent`**.

1. Di bagian **Parameter perintah**, tentukan nilai untuk parameter berikut, jika Anda ingin:

   1. (Opsional) Untuk **Versi**, masukkan versi SSM Agent untuk menginstal. Anda dapat menginstal agen [versi lama](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md). Jika Anda tidak menentukan versinya, layanan akan menginstal versi terbaru.

   1. (Opsional) Untuk **Izinkan Downgrade**, pilih **true** untuk menginstal versi sebelumnya. SSM Agent Jika Anda memilih opsi ini, tentukan nomor versi [sebelumnya](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md). Pilih **salah** untuk menginstal hanya versi layanan terbaru.

1. Di bagian **Target**, pilih node terkelola tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih instance atau perangkat tepi secara manual, atau menentukan grup sumber daya.
**Tip**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Untuk **Parameter lainnya**:
   + Untuk **Komentar**, ketik informasi tentang perintah ini.
   + Untuk **Waktu habis (detik)**, tentukan jumlah detik untuk menunggu sistem sebelum gagal menjalankan perintah keseluruhan. 

1. Untuk **Pengendalian rate**:
   + Untuk **Konkurensi**, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.
**catatan**  
Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.
   + Untuk **Ambang kesalahan**, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Tuliskan output perintah ke bucket S3**. Masukkan nama bucket dan prefiks (folder) di kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instans (untuk instans EC2) atau peran layanan IAM (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Di bagian **Notifikasi SNS**, jika Anda ingin notifikasi dikirim tentang status eksekusi perintah, pilih kotak centang **Aktifkan notifikasi SNS**.

   Untuk informasi selengkapnya tentang mengonfigurasi notifikasi Run Command Amazon SNS, lihat. [Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS](monitoring-sns-notifications.md)

1. Pilih **Jalankan**.

## Memperbarui PowerShell menggunakan Run Command
<a name="rc-console-pwshexample"></a>

Prosedur berikut menjelaskan cara memperbarui PowerShell ke versi 5.1 pada node terkelola Windows Server 2012 dan 2012 R2 Anda. Skrip yang disediakan dalam prosedur ini mengunduh pembaruan Windows Management Framework (WMF) versi 5.1, dan memulai instalasi pembaruan. Node reboot selama proses ini karena ini diperlukan saat menginstal WMF 5.1. Unduhan dan instalasi pembaruan memakan waktu sekitar lima menit untuk diselesaikan.

**Untuk memperbarui PowerShell menggunakan Run Command**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Run Command**.

1. Pilih **Run Command**.

1. Di daftar **Dokumen perintah**, pilih **`AWS-RunPowerShellScript`**.

1. Di bagian **Perintah**, tempelkan perintah berikut untuk sistem operasi Anda.

------
#### [ Server Windows 2012 R2 ]

   ```
   Set-Location -Path "C:\Windows\Temp"
   
   Invoke-WebRequest "https://go.microsoft.com/fwlink/?linkid=839516" -OutFile "Win8.1AndW2K12R2-KB3191564-x64.msu"
   
   Start-Process -FilePath "$env:systemroot\system32\wusa.exe" -Verb RunAs -ArgumentList ('Win8.1AndW2K12R2-KB3191564-x64.msu', '/quiet')
   ```

------
#### [ Windows Server 2012 ]

   ```
   Set-Location -Path "C:\Windows\Temp"
   
   Invoke-WebRequest "https://go.microsoft.com/fwlink/?linkid=839513" -OutFile "W2K12-KB3191565-x64.msu"
   
   Start-Process -FilePath "$env:systemroot\system32\wusa.exe" -Verb RunAs -ArgumentList ('W2K12-KB3191565-x64.msu', '/quiet')
   ```

------

1. Di bagian **Target**, pilih node terkelola tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih instance atau perangkat tepi secara manual, atau menentukan grup sumber daya.
**Tip**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

1. Untuk **Parameter lainnya**:
   + Untuk **Komentar**, ketik informasi tentang perintah ini.
   + Untuk **Waktu habis (detik)**, tentukan jumlah detik untuk menunggu sistem sebelum gagal menjalankan perintah keseluruhan. 

1. Untuk **Pengendalian rate**:
   + Untuk **Konkurensi**, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.
**catatan**  
Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.
   + Untuk **Ambang kesalahan**, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Tuliskan output perintah ke bucket S3**. Masukkan nama bucket dan prefiks (folder) di kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instans (untuk instans EC2) atau peran layanan IAM (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Di bagian **Notifikasi SNS**, jika Anda ingin notifikasi dikirim tentang status eksekusi perintah, pilih kotak centang **Aktifkan notifikasi SNS**.

   Untuk informasi selengkapnya tentang mengonfigurasi notifikasi Run Command Amazon SNS, lihat. [Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS](monitoring-sns-notifications.md)

1. Pilih **Jalankan**.

Setelah node terkelola reboot dan instalasi pembaruan selesai, sambungkan ke node Anda untuk mengonfirmasi bahwa PowerShell berhasil ditingkatkan ke versi 5.1. Untuk memeriksa versi PowerShell pada node Anda, buka PowerShell dan masukkan`$PSVersionTable`. Nilai `PSVersion` dalam tabel output menunjukkan 5.1 jika pemutakhiran berhasil.

Jika nilai `PSVersion` berbeda dari 5.1, misalnya 3.0 atau 4.0, tinjau log **Pengaturan** di Penampil Kejadian pada **Log Windows**. Log ini menunjukkan mengapa instalasi pembaruan gagal.

# Walkthrough: Gunakan dengan AWS CLI Run Command
<a name="walkthrough-cli"></a>

Contoh panduan berikut menunjukkan cara menggunakan AWS Command Line Interface (AWS CLI) untuk melihat informasi tentang perintah dan parameter perintah, cara menjalankan perintah, dan cara melihat status perintah tersebut. 

**penting**  
Hanya administrator tepercaya yang diizinkan untuk menggunakan dokumen AWS Systems Manager pra-konfigurasi yang ditampilkan dalam topik ini. Perintah atau skrip yang ditentukan dalam dokumen Systems Manager berjalan dengan izin administratif pada node terkelola Anda. Jika pengguna memiliki izin untuk menjalankan dokumen Systems Manager yang telah ditentukan sebelumnya (dokumen apa pun yang dimulai dengan`AWS-`), maka pengguna tersebut juga memiliki akses administrator ke node. Untuk semua pengguna lain, Anda harus membuat dokumen yang restriktif dan membagikannya dengan pengguna tertentu.

**Topics**
+ [Langkah 1: Memulai](#walkthrough-cli-settings)
+ [Langkah 2: Jalankan skrip shell untuk melihat detail sumber daya](#walkthrough-cli-run-scripts)
+ [Langkah 3: Kirim perintah sederhana menggunakan dokumen `AWS-RunShellScript`](#walkthrough-cli-example-1)
+ [Langkah 4: Jalankan skrip Python sederhana menggunakan Run Command](#walkthrough-cli-example-2)
+ [Langkah 5: Jalankan skrip Bash menggunakan Run Command](#walkthrough-cli-example-3)

## Langkah 1: Memulai
<a name="walkthrough-cli-settings"></a>

Anda harus memiliki izin administrator pada node terkelola yang ingin Anda konfigurasi atau Anda harus telah diberikan izin yang sesuai di AWS Identity and Access Management (IAM). Perhatikan juga, contoh ini menggunakan Wilayah Timur AS (Ohio) (us-east-2). Run Commandtersedia di [titik akhir layanan Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) yang Wilayah AWS tercantum di. *Referensi Umum Amazon Web Services* Untuk informasi selengkapnya, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md).

**Untuk menjalankan perintah menggunakan AWS CLI**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Cantumkan semua dokumen yang tersedia.

   Perintah ini mencantumkan semua dokumen yang tersedia untuk akun Anda berdasarkan izin IAM. 

   ```
   aws ssm list-documents
   ```

1. Verifikasi bahwa node terkelola siap menerima perintah.

   Output dari perintah berikut menunjukkan jika node terkelola sedang online.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-instance-information \
       --output text --query "InstanceInformationList[*]"
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-instance-information ^
       --output text --query "InstanceInformationList[*]"
   ```

------

1. Jalankan perintah berikut untuk melihat detail tentang node terkelola tertentu.
**catatan**  
Untuk menjalankan perintah dalam panduan ini, ganti instance dan perintah. IDs Untuk perangkat AWS IoT Greengrass inti terkelola, gunakan mi- *ID\$1number* misalnya ID. ID perintah dikembalikan sebagai respon terhadap **send-command**. Instance IDs tersedia dariFleet Manager, alat di AWS Systems Manager..

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-instance-information \
       --instance-information-filter-list key=InstanceIds,valueSet=instance-ID
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-instance-information ^
       --instance-information-filter-list key=InstanceIds,valueSet=instance-ID
   ```

------

## Langkah 2: Jalankan skrip shell untuk melihat detail sumber daya
<a name="walkthrough-cli-run-scripts"></a>

Menggunakan Run Command dan `AWS-RunShellScript` dokumen, Anda dapat menjalankan perintah atau skrip apa pun pada node terkelola seolah-olah Anda masuk secara lokal.

**Lihat deskripsi dan parameter yang tersedia**

Jalankan perintah berikut untuk melihat deskripsi dokumen JSON Systems Manager.

------
#### [ Linux & macOS ]

```
aws ssm describe-document \
    --name "AWS-RunShellScript" \
    --query "[Document.Name,Document.Description]"
```

------
#### [ Windows ]

```
aws ssm describe-document ^
    --name "AWS-RunShellScript" ^
    --query "[Document.Name,Document.Description]"
```

------

Jalankan perintah berikut untuk melihat parameter yang tersedia dan detail tentang parameter tersebut.

------
#### [ Linux & macOS ]

```
aws ssm describe-document \
    --name "AWS-RunShellScript" \
    --query "Document.Parameters[*]"
```

------
#### [ Windows ]

```
aws ssm describe-document ^
    --name "AWS-RunShellScript" ^
    --query "Document.Parameters[*]"
```

------

## Langkah 3: Kirim perintah sederhana menggunakan dokumen `AWS-RunShellScript`
<a name="walkthrough-cli-example-1"></a>

Jalankan perintah berikut untuk mendapatkan informasi IP untuk node yang dikelola Linux.

Jika Anda menargetkan node Windows Server terkelola, ubah `document-name` ke `AWS-RunPowerShellScript` dan ubah `command` dari `ifconfig` ke`ipconfig`.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --instance-ids "instance-ID" \
    --document-name "AWS-RunShellScript" \
    --comment "IP config" \
    --parameters commands=ifconfig \
    --output text
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --instance-ids "instance-ID" ^
    --document-name "AWS-RunShellScript" ^
    --comment "IP config" ^
    --parameters commands=ifconfig ^
    --output text
```

------

**Dapatkan informasi perintah dengan data respon**  
Perintah berikut ini menggunakan Command ID yang dikembalikan dari perintah sebelumnya untuk mendapatkan detail dan data respon eksekusi perintah. Sistem mengembalikan data respon jika perintah selesai. Jika eksekusi perintah menunjukkan `"Pending"` atau `"InProgress"` Anda menjalankan perintah ini lagi untuk melihat data respon.

------
#### [ Linux & macOS ]

```
aws ssm list-command-invocations \
    --command-id $sh-command-id \
    --details
```

------
#### [ Windows ]

```
aws ssm list-command-invocations ^
    --command-id $sh-command-id ^
    --details
```

------

**Identifikasi pengguna**

Perintah berikut menampilkan pengguna default yang menjalankan perintah. 

------
#### [ Linux & macOS ]

```
sh_command_id=$(aws ssm send-command \
    --instance-ids "instance-ID" \
    --document-name "AWS-RunShellScript" \
    --comment "Demo run shell script on Linux managed node" \
    --parameters commands=whoami \
    --output text \
    --query "Command.CommandId")
```

------

**Dapatkan status perintah**  
Perintah berikut menggunakan Command ID untuk mendapatkan status eksekusi perintah pada node yang dikelola. Contoh ini menggunakan Command ID yang dikembalikan pada perintah sebelumnya. 

------
#### [ Linux & macOS ]

```
aws ssm list-commands \
    --command-id "command-ID"
```

------
#### [ Windows ]

```
aws ssm list-commands ^
    --command-id "command-ID"
```

------

**Dapatkan detail perintah**  
Perintah berikut menggunakan Command ID dari perintah sebelumnya untuk mendapatkan status eksekusi perintah pada basis per node yang dikelola.

------
#### [ Linux & macOS ]

```
aws ssm list-command-invocations \
    --command-id "command-ID" \
    --details
```

------
#### [ Windows ]

```
aws ssm list-command-invocations ^
    --command-id "command-ID" ^
    --details
```

------

**Dapatkan informasi perintah dengan data respons untuk node terkelola tertentu**  
Perintah berikut mengembalikan output dari `aws ssm send-command` permintaan asli untuk node terkelola tertentu. 

------
#### [ Linux & macOS ]

```
aws ssm list-command-invocations \
    --instance-id instance-ID \
    --command-id "command-ID" \
    --details
```

------
#### [ Windows ]

```
aws ssm list-command-invocations ^
    --instance-id instance-ID ^
    --command-id "command-ID" ^
    --details
```

------

**Tampilkan versi Python**

Perintah berikut mengembalikan versi Python berjalan pada node.

------
#### [ Linux & macOS ]

```
sh_command_id=$(aws ssm send-command \
    --instance-ids "instance-ID" \
    --document-name "AWS-RunShellScript" \
    --comment "Demo run shell script on Linux Instances" \
    --parameters commands='python -V' \
    --output text --query "Command.CommandId") \
    sh -c 'aws ssm list-command-invocations \
    --command-id "$sh_command_id" \
    --details \
    --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}"'
```

------

## Langkah 4: Jalankan skrip Python sederhana menggunakan Run Command
<a name="walkthrough-cli-example-2"></a>

Perintah berikut menjalankan Python sederhana “Hello World” script menggunakan. Run Command

------
#### [ Linux & macOS ]

```
sh_command_id=$(aws ssm send-command \
    --instance-ids "instance-ID" \
    --document-name "AWS-RunShellScript" \
    --comment "Demo run shell script on Linux Instances" \
    --parameters '{"commands":["#!/usr/bin/python","print \"Hello World from python\""]}' \
    --output text \
    --query "Command.CommandId") \
    sh -c 'aws ssm list-command-invocations \
    --command-id "$sh_command_id" \
    --details \
    --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}"'
```

------

## Langkah 5: Jalankan skrip Bash menggunakan Run Command
<a name="walkthrough-cli-example-3"></a>

Contoh di bagian ini menunjukkan bagaimana menjalankan skrip bash berikut menggunakanRun Command.

Untuk contoh penggunaan Run Command untuk menjalankan skrip yang disimpan di lokasi terpencil, lihat [Menjalankan skrip dari Amazon S3](integration-s3.md) dan[Menjalankan skrip dari GitHub](integration-remote-scripts.md).

```
#!/bin/bash
yum -y update
yum install -y ruby
cd /home/ec2-user
curl -O https://aws-codedeploy-us-east-2.s3.amazonaws.com/latest/install
chmod +x ./install
./install auto
```

*Skrip ini menginstal AWS CodeDeploy agen di Amazon Linux dan Red Hat Enterprise Linux (RHEL) instans, seperti yang dijelaskan dalam [Buat instans Amazon EC2 CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/instances-ec2-create.html) untuk dalam AWS CodeDeploy Panduan Pengguna.*

Skrip menginstal CodeDeploy agen dari bucket S3 AWS terkelola di Wilayah AS Timur (Ohio) Anda (us-east-2),. `aws-codedeploy-us-east-2`

**Jalankan skrip bash dalam sebuah perintah AWS CLI **

Contoh berikut ini menunjukkan cara menyertakan skrip bash dalam perintah CLI menggunakan opsi `--parameters`.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name "AWS-RunShellScript" \
    --targets '[{"Key":"InstanceIds","Values":["instance-id"]}]' \
    --parameters '{"commands":["#!/bin/bash","yum -y update","yum install -y ruby","cd /home/ec2-user","curl -O https://aws-codedeploy-us-east-2.s3.amazonaws.com/latest/install","chmod +x ./install","./install auto"]}'
```

------

**Jalankan skrip bash dalam file JSON**

Pada contoh berikut ini, konten dari skrip bash disimpan dalam file JSON, dan file tersebut disertakan dalam perintah menggunakan opsi `--cli-input-json`.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --document-name "AWS-RunShellScript" \
    --targets "Key=InstanceIds,Values=instance-id" \
    --cli-input-json file://installCodeDeployAgent.json
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name "AWS-RunShellScript" ^
    --targets "Key=InstanceIds,Values=instance-id" ^
    --cli-input-json file://installCodeDeployAgent.json
```

------

Konten dari file `installCodeDeployAgent.json` yang direferensikan ini ditampilkan dalam contoh berikut.

```
{
    "Parameters": {
        "commands": [
            "#!/bin/bash",
            "yum -y update",
            "yum install -y ruby",
            "cd /home/ec2-user",
            "curl -O https://aws-codedeploy-us-east-2.s3.amazonaws.com/latest/install",
            "chmod +x ./install",
            "./install auto"
        ]
    }
}
```

# Walkthrough: Gunakan dengan AWS Tools for Windows PowerShell Run Command
<a name="walkthrough-powershell"></a>

Contoh berikut menunjukkan cara menggunakan AWS Tools for Windows PowerShell untuk melihat informasi tentang perintah dan parameter perintah, cara menjalankan perintah, dan cara melihat status perintah tersebut. Panduan ini mencakup contoh untuk masing-masing dokumen AWS Systems Manager yang telah ditetapkan sebelumnya.

**penting**  
Hanya administrator tepercaya yang boleh diizinkan untuk menggunakan dokumen Systems Manager yang telah dikonfigurasikan yang ditampilkan dalam topik ini. Perintah atau skrip yang ditentukan dalam dokumen Systems Manager berjalan dengan izin administratif pada node terkelola Anda. Jika pengguna memiliki izin untuk menjalankan dokumen Systems Manager yang telah ditentukan sebelumnya (dokumen apa pun yang dimulai dengan AWS), maka pengguna tersebut juga memiliki akses administrator ke node. Untuk semua pengguna lain, Anda harus membuat dokumen yang restriktif dan membagikannya dengan pengguna tertentu.

**Topics**
+ [Konfigurasikan pengaturan AWS Tools for Windows PowerShell sesi](#walkthrough-powershell-settings)
+ [Cantumkan semua dokumen yang tersedia](#walkthrough-powershell-all-documents)
+ [Jalankan PowerShell perintah atau skrip](#walkthrough-powershell-run-script)
+ [Instal aplikasi menggunakan dokumen `AWS-InstallApplication`](#walkthrough-powershell-install-application)
+ [Instal PowerShell modul menggunakan dokumen `AWS-InstallPowerShellModule` JSON](#walkthrough-powershell-install-module)
+ [Bergabunglah dengan node terkelola ke Domain menggunakan `AWS-JoinDirectoryServiceDomain` dokumen JSON](#walkthrough-powershell-domain-join)
+ [Kirim metrik Windows ke Amazon CloudWatch Logs menggunakan dokumen `AWS-ConfigureCloudWatch`](#walkthrough-powershell-windows-metrics)
+ [Mengaktifkan atau menonaktifkan pembaruan otomatis Windows menggunakan dokumen `AWS-ConfigureWindowsUpdate`](#walkthrough-powershell-enable-windows-update)
+ [Kelola pembaruan Windows menggunakan Run Command](#walkthough-powershell-windows-updates)

## Konfigurasikan pengaturan AWS Tools for Windows PowerShell sesi
<a name="walkthrough-powershell-settings"></a>

**Tentukan kredensial Anda**  
Buka **Tools untuk Windows PowerShell** di komputer lokal Anda dan jalankan perintah berikut untuk menentukan kredensi Anda. Anda harus memiliki izin administrator pada node terkelola yang ingin Anda konfigurasi atau Anda harus telah diberikan izin yang sesuai di AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md).

```
Set-AWSCredentials –AccessKey key-name –SecretKey key-name
```

**Tetapkan default Wilayah AWS**  
Jalankan perintah berikut untuk mengatur wilayah untuk PowerShell sesi Anda. Contohnya menggunakan Wilayah Timur AS (Ohio) (us-east-2). Run Commandtersedia di [titik akhir layanan Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) yang Wilayah AWS tercantum di. *Referensi Umum Amazon Web Services*

```
Set-DefaultAWSRegion `
    -Region us-east-2
```

## Cantumkan semua dokumen yang tersedia
<a name="walkthrough-powershell-all-documents"></a>

Perintah ini mencantumkan semua dokumen yang tersedia untuk akun Anda.

```
Get-SSMDocumentList
```

## Jalankan PowerShell perintah atau skrip
<a name="walkthrough-powershell-run-script"></a>

Menggunakan Run Command dan `AWS-RunPowerShell` dokumen, Anda dapat menjalankan perintah atau skrip apa pun pada node terkelola seolah-olah Anda masuk secara lokal. Anda dapat mengeluarkan perintah atau memasukkan jalur ke skrip lokal untuk menjalankan perintah. 

**catatan**  
Untuk informasi tentang me-reboot node terkelola saat menggunakan Run Command untuk memanggil skrip, lihat. [Menangani reboot saat menjalankan perintah](send-commands-reboot.md)

**Lihat deskripsi dan parameter yang tersedia**

```
Get-SSMDocumentDescription `
    -Name "AWS-RunPowerShellScript"
```

**Lihat informasi selengkapnya tentang parameter**

```
Get-SSMDocumentDescription `
    -Name "AWS-RunPowerShellScript" | Select -ExpandProperty Parameters
```

### Kirim perintah menggunakan dokumen `AWS-RunPowerShellScript`
<a name="walkthrough-powershell-run-script-send-command-aws-runpowershellscript"></a>

Perintah berikut menunjukkan isi `"C:\Users"` direktori dan isi `"C:\"` direktori pada dua node yang dikelola. 

```
$runPSCommand = Send-SSMCommand `
    -InstanceIds @("instance-ID-1", "instance-ID-2") `
    -DocumentName "AWS-RunPowerShellScript" `
    -Comment "Demo AWS-RunPowerShellScript with two instances" `
    -Parameter @{'commands'=@('dir C:\Users', 'dir C:\')}
```

**Dapatkan detail permintaan perintah**  
Perintah berikut menggunakan `CommandId` untuk mendapatkan status eksekusi perintah pada kedua node yang dikelola. Contoh ini menggunakan `CommandId` yang dikembalikan pada perintah sebelumnya. 

```
Get-SSMCommand `
    -CommandId $runPSCommand.CommandId
```

Status perintah dalam contoh ini bisa Sukses, Tertunda, atau InProgress.

**Dapatkan informasi perintah per node terkelola**  
Perintah berikut menggunakan `CommandId` dari perintah sebelumnya untuk mendapatkan status eksekusi perintah pada basis per node yang dikelola.

```
Get-SSMCommandInvocation `
    -CommandId $runPSCommand.CommandId
```

**Dapatkan informasi perintah dengan data respons untuk node terkelola tertentu**  
Perintah berikut mengembalikan output asli `Send-SSMCommand` untuk node terkelola tertentu. 

```
Get-SSMCommandInvocation `
    -CommandId $runPSCommand.CommandId `
    -Details $true `
    -InstanceId instance-ID | Select -ExpandProperty CommandPlugins
```

### Batalkan perintah
<a name="walkthrough-powershell-run-script-cancel-command"></a>

Perintah berikut ini membatalkan `Send-SSMCommand` untuk dokumen `AWS-RunPowerShellScript`.

```
$cancelCommand = Send-SSMCommand `
    -InstanceIds @("instance-ID-1","instance-ID-2") `
    -DocumentName "AWS-RunPowerShellScript" `
    -Comment "Demo AWS-RunPowerShellScript with two instances" `
    -Parameter @{'commands'='Start-Sleep –Seconds 120; dir C:\'}

Stop-SSMCommand -CommandId $cancelCommand.CommandId
```

**Periksa status perintah**  
Perintah berikut ini memeriksa status perintah `Cancel`.

```
Get-SSMCommand `
    -CommandId $cancelCommand.CommandId
```

## Instal aplikasi menggunakan dokumen `AWS-InstallApplication`
<a name="walkthrough-powershell-install-application"></a>

Menggunakan Run Command dan `AWS-InstallApplication` dokumen, Anda dapat menginstal, memperbaiki, atau menghapus aplikasi pada node yang dikelola. Perintah ini memerlukan jalur atau alamat ke sebuah MSI.

**catatan**  
Untuk informasi tentang me-reboot node terkelola saat menggunakan Run Command untuk memanggil skrip, lihat. [Menangani reboot saat menjalankan perintah](send-commands-reboot.md)

**Lihat deskripsi dan parameter yang tersedia**

```
Get-SSMDocumentDescription `
    -Name "AWS-InstallApplication"
```

**Lihat informasi selengkapnya tentang parameter**

```
Get-SSMDocumentDescription `
    -Name "AWS-InstallApplication" | Select -ExpandProperty Parameters
```

### Kirim perintah menggunakan dokumen `AWS-InstallApplication`
<a name="walkthrough-powershell-install-application-send-command-aws-installapplication"></a>

Perintah berikut menginstal versi Python pada node terkelola Anda dalam mode tanpa pengawasan, dan mencatat output ke file teks lokal di drive Anda. `C:`

```
$installAppCommand = Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-InstallApplication" `
    -Parameter @{'source'='https://www.python.org/ftp/python/2.7.9/python-2.7.9.msi'; 'parameters'='/norestart /quiet /log c:\pythoninstall.txt'}
```

**Dapatkan informasi perintah per node terkelola**  
Perintah berikut ini menggunakan `CommandId` untuk mendapatkan status eksekusi perintah.

```
Get-SSMCommandInvocation `
    -CommandId $installAppCommand.CommandId `
    -Details $true
```

**Dapatkan informasi perintah dengan data respons untuk node terkelola tertentu**  
Perintah berikut ini mengembalikan hasil instalasi Python.

```
Get-SSMCommandInvocation `
    -CommandId $installAppCommand.CommandId `
    -Details $true `
    -InstanceId instance-ID | Select -ExpandProperty CommandPlugins
```

## Instal PowerShell modul menggunakan dokumen `AWS-InstallPowerShellModule` JSON
<a name="walkthrough-powershell-install-module"></a>

Anda dapat menggunakan Run Command untuk menginstal PowerShell modul pada node terkelola. Untuk informasi selengkapnya tentang PowerShell modul, lihat [ PowerShell Modul Windows](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_modules?view=powershell-6).

**Lihat deskripsi dan parameter yang tersedia**

```
Get-SSMDocumentDescription `
    -Name "AWS-InstallPowerShellModule"
```

**Lihat informasi selengkapnya tentang parameter**

```
Get-SSMDocumentDescription `
    -Name "AWS-InstallPowerShellModule" | Select -ExpandProperty Parameters
```

### Instal PowerShell modul
<a name="walkthrough-powershell-install-module-install"></a>

Perintah berikut mengunduh EZOut file.zip, menginstalnya, dan kemudian menjalankan perintah tambahan untuk menginstal penampil XPS. Terakhir, output dari perintah ini diunggah ke bucket S3 bernama “amzn-s3-demo-bucket”. 

```
$installPSCommand = Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-InstallPowerShellModule" `
    -Parameter @{'source'='https://gallery.technet.microsoft.com/EZOut-33ae0fb7/file/110351/1/EZOut.zip';'commands'=@('Add-WindowsFeature -name XPS-Viewer -restart')} `
    -OutputS3BucketName amzn-s3-demo-bucket
```

**Dapatkan informasi perintah per node terkelola**  
Perintah berikut ini menggunakan `CommandId` untuk mendapatkan status eksekusi perintah. 

```
Get-SSMCommandInvocation `
    -CommandId $installPSCommand.CommandId `
    -Details $true
```

**Dapatkan informasi perintah dengan data respons untuk node terkelola**  
Perintah berikut ini mengembalikan output dari `Send-SSMCommand` asli untuk `CommandId` tertentu. 

```
Get-SSMCommandInvocation `
    -CommandId $installPSCommand.CommandId `
    -Details $true | Select -ExpandProperty CommandPlugins
```

## Bergabunglah dengan node terkelola ke Domain menggunakan `AWS-JoinDirectoryServiceDomain` dokumen JSON
<a name="walkthrough-powershell-domain-join"></a>

Dengan menggunakanRun Command, Anda dapat dengan cepat menggabungkan node terkelola ke AWS Directory Service domain. Sebelum menjalankan perintah ini, [buat direktori](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html). Kami juga merekomendasikan agar Anda mempelajari selengkapnya tentang Directory Service. Untuk informasi selengkapnya, lihat [Panduan Administrasi AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Anda hanya dapat menggabungkan node terkelola ke domain. Anda tidak dapat menghapus node dari domain.

**catatan**  
Untuk informasi tentang node terkelola saat menggunakan Run Command untuk memanggil skrip, lihat[Menangani reboot saat menjalankan perintah](send-commands-reboot.md).

**Lihat deskripsi dan parameter yang tersedia**

```
Get-SSMDocumentDescription `
    -Name "AWS-JoinDirectoryServiceDomain"
```

**Lihat informasi selengkapnya tentang parameter**

```
Get-SSMDocumentDescription `
    -Name "AWS-JoinDirectoryServiceDomain" | Select -ExpandProperty Parameters
```

### Bergabunglah dengan node terkelola ke domain
<a name="walkthrough-powershell-domain-join-instance"></a>

Perintah berikut menggabungkan node terkelola ke Directory Service domain tertentu dan mengunggah output apa pun yang dihasilkan ke contoh bucket Amazon Simple Storage Service (Amazon S3). 

```
$domainJoinCommand = Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-JoinDirectoryServiceDomain" `
    -Parameter @{'directoryId'='d-example01'; 'directoryName'='ssm.example.com'; 'dnsIpAddresses'=@('192.168.10.195', '192.168.20.97')} `
    -OutputS3BucketName amzn-s3-demo-bucket
```

**Dapatkan informasi perintah per node terkelola**  
Perintah berikut ini menggunakan `CommandId` untuk mendapatkan status eksekusi perintah. 

```
Get-SSMCommandInvocation `
    -CommandId $domainJoinCommand.CommandId `
    -Details $true
```

**Dapatkan informasi perintah dengan data respons untuk node terkelola**  
Perintah ini mengembalikan output dari `Send-SSMCommand` asli untuk `CommandId` tertentu.

```
Get-SSMCommandInvocation `
    -CommandId $domainJoinCommand.CommandId `
    -Details $true | Select -ExpandProperty CommandPlugins
```

## Kirim metrik Windows ke Amazon CloudWatch Logs menggunakan dokumen `AWS-ConfigureCloudWatch`
<a name="walkthrough-powershell-windows-metrics"></a>

Anda dapat mengirim Windows Server pesan dalam log aplikasi, sistem, keamanan, dan Event Tracing for Windows (ETW) ke Amazon CloudWatch Logs. Ketika Anda mengizinkan pencatatan untuk pertama kalinya, Systems Manager mengirimkan semua log yang dihasilkan dalam satu (1) menit dari waktu Anda mulai mengunggah log untuk log aplikasi, sistem, keamanan, dan ETW. Log yang terjadi sebelum waktu ini tidak disertakan. Jika Anda menonaktifkan pencatatan dan kemudian mengaktifkan log kembali, Systems Manager mengirimkan log dari waktu yang tersisa. Untuk setiap file log kustom dan log Internet Information Services (IIS), Systems Manager membaca berkas log dari awal. Selain itu, Systems Manager juga dapat mengirim data penghitung kinerja ke CloudWatch Log.

Jika sebelumnya Anda mengaktifkan CloudWatch integrasi di EC2 Config, pengaturan Systems Manager akan mengganti setelan apa pun yang disimpan secara lokal pada node terkelola dalam file. `C:\Program Files\Amazon\EC2ConfigService\Settings\AWS.EC2.Windows.CloudWatch.json` *Untuk informasi selengkapnya tentang menggunakan EC2 Config untuk mengelola penghitung performa dan log pada satu node terkelola, lihat [Mengumpulkan metrik dan log dari instans Amazon EC2 dan server lokal dengan agen di](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) Panduan Pengguna Amazon. CloudWatch CloudWatch *

**Lihat deskripsi dan parameter yang tersedia**

```
Get-SSMDocumentDescription `
    -Name "AWS-ConfigureCloudWatch"
```

**Lihat informasi selengkapnya tentang parameter**

```
Get-SSMDocumentDescription `
    -Name "AWS-ConfigureCloudWatch" | Select -ExpandProperty Parameters
```

### Kirim log aplikasi ke CloudWatch
<a name="walkthrough-powershell-windows-metrics-send-logs-cloudwatch"></a>

Perintah berikut mengkonfigurasi node terkelola dan memindahkan log Aplikasi Windows ke CloudWatch.

```
$cloudWatchCommand = Send-SSMCommand `
    -InstanceID instance-ID `
    -DocumentName "AWS-ConfigureCloudWatch" `
    -Parameter @{'properties'='{"engineConfiguration": {"PollInterval":"00:00:15", "Components":[{"Id":"ApplicationEventLog", "FullName":"AWS.EC2.Windows.CloudWatch.EventLog.EventLogInputComponent,AWS.EC2.Windows.CloudWatch", "Parameters":{"LogName":"Application", "Levels":"7"}},{"Id":"CloudWatch", "FullName":"AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch", "Parameters":{"Region":"region", "LogGroup":"my-log-group", "LogStream":"instance-id"}}], "Flows":{"Flows":["ApplicationEventLog,CloudWatch"]}}}'}
```

**Dapatkan informasi perintah per node terkelola**  
Perintah berikut ini menggunakan `CommandId` untuk mendapatkan status eksekusi perintah. 

```
Get-SSMCommandInvocation `
    -CommandId $cloudWatchCommand.CommandId `
    -Details $true
```

**Dapatkan informasi perintah dengan data respons untuk node terkelola tertentu**  
Perintah berikut mengembalikan hasil CloudWatch konfigurasi Amazon.

```
Get-SSMCommandInvocation `
    -CommandId $cloudWatchCommand.CommandId `
    -Details $true `
    -InstanceId instance-ID | Select -ExpandProperty CommandPlugins
```

### Kirim penghitung kinerja untuk CloudWatch menggunakan dokumen `AWS-ConfigureCloudWatch`
<a name="walkthrough-powershell-windows-metrics-send-performance-counters-cloudwatch"></a>

Perintah demonstrasi berikut mengunggah penghitung kinerja ke. CloudWatch Untuk informasi selengkapnya, lihat *[Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.

```
$cloudWatchMetricsCommand = Send-SSMCommand `
    -InstanceID instance-ID `
    -DocumentName "AWS-ConfigureCloudWatch" `
    -Parameter @{'properties'='{"engineConfiguration": {"PollInterval":"00:00:15", "Components":[{"Id":"PerformanceCounter", "FullName":"AWS.EC2.Windows.CloudWatch.PerformanceCounterComponent.PerformanceCounterInputComponent,AWS.EC2.Windows.CloudWatch", "Parameters":{"CategoryName":"Memory", "CounterName":"Available MBytes", "InstanceName":"", "MetricName":"AvailableMemory", "Unit":"Megabytes","DimensionName":"", "DimensionValue":""}},{"Id":"CloudWatch", "FullName":"AWS.EC2.Windows.CloudWatch.CloudWatch.CloudWatchOutputComponent,AWS.EC2.Windows.CloudWatch", "Parameters":{"AccessKey":"", "SecretKey":"","Region":"region", "NameSpace":"Windows-Default"}}], "Flows":{"Flows":["PerformanceCounter,CloudWatch"]}}}'}
```

## Mengaktifkan atau menonaktifkan pembaruan otomatis Windows menggunakan dokumen `AWS-ConfigureWindowsUpdate`
<a name="walkthrough-powershell-enable-windows-update"></a>

Menggunakan Run Command dan `AWS-ConfigureWindowsUpdate` dokumen, Anda dapat mengaktifkan atau mematikan pembaruan Windows otomatis pada node Windows Server terkelola Anda. Perintah ini mengkonfigurasi Windows Update Agent untuk mengunduh dan menginstal pembaruan Windows pada hari dan jam yang Anda tentukan. Jika pembaruan memerlukan reboot, node terkelola akan reboot secara otomatis 15 menit setelah pembaruan diinstal. Dengan perintah ini Anda juga dapat mengkonfigurasi Windows Update untuk memeriksa pembaruan tetapi tidak menginstalnya. `AWS-ConfigureWindowsUpdate`Dokumen ini secara resmi didukung pada Windows Server 2012 dan versi yang lebih baru.

**Lihat deskripsi dan parameter yang tersedia**

```
Get-SSMDocumentDescription `
    –Name "AWS-ConfigureWindowsUpdate"
```

**Lihat informasi selengkapnya tentang parameter**

```
Get-SSMDocumentDescription `
    -Name "AWS-ConfigureWindowsUpdate" | Select -ExpandProperty Parameters
```

### Aktifkan pembaruan otomatis Windows
<a name="walkthrough-powershell-enable-windows-update-automatic"></a>

Perintah berikut ini mengkonfigurasi Windows Update untuk secara otomatis mengunduh dan menginstal pembaruan setiap hari pada pukul 10:00 malam. 

```
$configureWindowsUpdateCommand = Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-ConfigureWindowsUpdate" `
    -Parameters @{'updateLevel'='InstallUpdatesAutomatically'; 'scheduledInstallDay'='Daily'; 'scheduledInstallTime'='22:00'}
```

**Lihat status perintah untuk mengizinkan pembaruan otomatis Windows**  
Perintah berikut ini menggunakan `CommandId` untuk mendapatkan status eksekusi perintah untuk mengizinkan pembaruan otomatis Windows.

```
Get-SSMCommandInvocation `
    -Details $true `
    -CommandId $configureWindowsUpdateCommand.CommandId | Select -ExpandProperty CommandPlugins
```

### Nonaktifkan pembaruan otomatis Windows
<a name="walkthrough-powershell-enable-windows-update-disable"></a>

Perintah berikut menurunkan tingkat pemberitahuan Pembaruan Windows sehingga sistem memeriksa pembaruan tetapi tidak secara otomatis memperbarui node terkelola.

```
$configureWindowsUpdateCommand = Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-ConfigureWindowsUpdate" `
    -Parameters @{'updateLevel'='NeverCheckForUpdates'}
```

**Lihat status perintah untuk menonaktifkan pembaruan otomatis Windows**  
Perintah berikut ini menggunakan `CommandId` untuk mendapatkan status eksekusi perintah untuk menonaktifkan pembaruan otomatis Windows.

```
Get-SSMCommandInvocation `
    -Details $true `
    -CommandId $configureWindowsUpdateCommand.CommandId | Select -ExpandProperty CommandPlugins
```

## Kelola pembaruan Windows menggunakan Run Command
<a name="walkthough-powershell-windows-updates"></a>

Menggunakan Run Command dan `AWS-InstallWindowsUpdates` dokumen, Anda dapat mengelola pembaruan untuk node Windows Server terkelola. Perintah ini memindai atau menginstal pembaruan yang hilang pada node terkelola Anda dan secara opsional reboot setelah instalasi. Anda juga dapat menentukan klasifikasi dan tingkat kepelikan yang sesuai agar pembaruan diinstal di lingkungan Anda.

**catatan**  
Untuk informasi tentang me-reboot node terkelola saat menggunakan Run Command untuk memanggil skrip, lihat. [Menangani reboot saat menjalankan perintah](send-commands-reboot.md)

Contoh berikut ini mendemonstrasikan cara melakukan tugas manajemen Windows Update yang ditentukan.

### Cari semua pembaruan Windows yang hilang
<a name="walkthough-powershell-windows-updates-search"></a>

```
Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-InstallWindowsUpdates" `
    -Parameters @{'Action'='Scan'}
```

### Instal pembaruan Windows tertentu
<a name="walkthough-powershell-windows-updates-install-specific"></a>

```
Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-InstallWindowsUpdates" `
    -Parameters @{'Action'='Install';'IncludeKbs'='kb-ID-1,kb-ID-2,kb-ID-3';'AllowReboot'='True'}
```

### Instal pembaruan Windows penting yang hilang
<a name="walkthough-powershell-windows-updates-install-missing"></a>

```
Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-InstallWindowsUpdates" `
    -Parameters @{'Action'='Install';'SeverityLevels'='Important';'AllowReboot'='True'}
```

### Instal pembaruan Windows yang hilang dengan pengecualian khusus
<a name="walkthough-powershell-windows-updates-install-exclusions"></a>

```
Send-SSMCommand `
    -InstanceId instance-ID `
    -DocumentName "AWS-InstallWindowsUpdates" `
    -Parameters @{'Action'='Install';'ExcludeKbs'='kb-ID-1,kb-ID-2';'AllowReboot'='True'}
```

# Memecahkan masalah Run Command Systems Manager
<a name="troubleshooting-remote-commands"></a>

Run Command, alat di AWS Systems Manager, memberikan detail status dengan setiap eksekusi perintah. Untuk informasi lebih lanjut tentang detail status perintah, lihat [Memahami status perintah](monitor-commands.md). Anda juga dapat menggunakan informasi dalam topik ini untuk membantu memecahkan masalah. Run Command

**Topics**
+ [Beberapa node terkelola saya hilang](#where-are-instances)
+ [Sebuah langkah dalam skrip saya gagal, tetapi status keseluruhan adalah 'berhasil'](#ts-exit-codes)
+ [SSM Agenttidak berjalan dengan benar](#ts-ssmagent-linux)

## Beberapa node terkelola saya hilang
<a name="where-are-instances"></a>

Di halaman **Jalankan perintah**, setelah Anda memilih dokumen SSM untuk dijalankan dan pilih **Secara manual memilih instance** di bagian **Target**, daftar akan ditampilkan dari node terkelola yang dapat Anda pilih untuk menjalankan perintah.

Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

Setelah Anda membuat, mengaktifkan, me-reboot, atau memulai ulang node terkelola, menginstal Run Command pada node, atau melampirkan profil instance AWS Identity and Access Management (IAM) ke node, dibutuhkan beberapa menit agar node terkelola ditambahkan ke daftar.

## Sebuah langkah dalam skrip saya gagal, tetapi status keseluruhan adalah 'berhasil'
<a name="ts-exit-codes"></a>

Dengan menggunakanRun Command, Anda dapat menentukan bagaimana skrip Anda menangani kode keluar. Secara default, kode keluar dari perintah terakhir yang dijalankan dalam skrip dilaporkan sebagai kode keluar untuk seluruh skrip. Namun, Anda dapat menyertakan pernyataan bersyarat untuk keluar dari skrip jika perintah sebelum yang terakhir gagal. Untuk informasi dan contoh, lihat [Tentukan kode keluar dalam perintah](run-command-handle-exit-status.md#command-exit-codes). 

## SSM Agenttidak berjalan dengan benar
<a name="ts-ssmagent-linux"></a>

Jika Anda mengalami masalah saat menjalankan perintah menggunakanRun Command, mungkin ada masalah denganSSM Agent. Untuk informasi tentang menyelidiki masalah denganSSM Agent, lihat[Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md). 

# AWS Systems Manager Session Manager
<a name="session-manager"></a>

Session Manageradalah AWS Systems Manager alat yang dikelola sepenuhnya. DenganSession Manager, Anda dapat mengelola instans Amazon Elastic Compute Cloud (Amazon EC2), perangkat edge, server lokal, dan mesin virtual (). VMs Anda dapat menggunakan shell berbasis browser satu-klik interaktif atau (). AWS Command Line Interface AWS CLISession Managermenyediakan manajemen node yang aman tanpa perlu membuka port masuk, memelihara host bastion, atau mengelola kunci SSH. Session Managerjuga memungkinkan Anda untuk mematuhi kebijakan perusahaan yang memerlukan akses terkontrol ke node terkelola, praktik keamanan yang ketat, dan log dengan detail akses node, sambil memberikan pengguna akhir akses lintas platform satu klik sederhana ke node terkelola Anda. Untuk memulaiSession Manager, buka [konsol Systems Manager](https://console.aws.amazon.com/systems-manager/session-manager). Di panel navigasi, pilih **Session Manager**.

## Bagaimana bisa Session Manager menguntungkan organisasi saya?
<a name="session-manager-benefits"></a>

Session Managermenawarkan manfaat ini:
+  **Kontrol akses terpusat ke node terkelola menggunakan kebijakan IAM** 

  Administrator memiliki satu tempat untuk memberikan dan mencabut akses ke node terkelola. Dengan hanya menggunakan kebijakan AWS Identity and Access Management (IAM), Anda dapat mengontrol pengguna atau grup individu mana di organisasi Anda yang dapat digunakan Session Manager dan node terkelola mana yang dapat mereka akses. 
+  **Tidak ada port masuk yang terbuka dan tidak perlu mengelola host bastion atau kunci SSH** 

  Membiarkan port SSH masuk dan PowerShell port jarak jauh terbuka di node terkelola Anda sangat meningkatkan risiko entitas menjalankan perintah yang tidak sah atau berbahaya pada node yang dikelola. Session Managermembantu Anda meningkatkan postur keamanan Anda dengan membiarkan Anda menutup port masuk ini, membebaskan Anda dari mengelola kunci dan sertifikat SSH, host benteng, dan kotak lompat.
+  **Akses sekali klik ke node terkelola dari konsol dan CLI** 

  Menggunakan AWS Systems Manager konsol atau konsol Amazon EC2, Anda dapat memulai sesi dengan satu klik. Dengan menggunakan AWS CLI, Anda juga dapat memulai sesi yang menjalankan satu perintah atau urutan perintah. Karena izin untuk node terkelola disediakan melalui kebijakan IAM alih-alih kunci SSH atau mekanisme lainnya, waktu koneksi sangat berkurang.
+  **[Connect ke instans Amazon EC2 dan node terkelola non-EC2 di lingkungan hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types)** 

  [Anda dapat terhubung ke instans Amazon Elastic Compute Cloud (Amazon EC2) dan node non-EC2 di lingkungan hybrid dan multicloud Anda.](operating-systems-and-machine-types.md#supported-machine-types) 

  Untuk terhubung ke node non-EC2 menggunakanSession Manager, Anda harus terlebih dahulu mengaktifkan tingkat instance lanjutan. **Ada biaya untuk menggunakan tingkat instance lanjutan.** Namun, tidak ada biaya tambahan untuk terhubung ke instans EC2 menggunakan. Session Manager Untuk informasi, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md).
+  **Penerusan port** 

  Arahkan ulang port apa pun di dalam node terkelola Anda ke port lokal pada klien. Setelah itu, sambungkan ke port lokal dan akses aplikasi server yang berjalan di dalam node.
+  **Dukungan lintas platform untukWindows,Linux, dan macOS** 

  Session Managermemberikan dukungan untukWindows,Linux, dan macOS dari satu alat. Misalnya, Anda tidak perlu menggunakan klien SSH untuk Linux dan macOS mengelola node atau koneksi RDP untuk Windows Server node terkelola.
+  **Aktivitas sesi logging** 

  Untuk memenuhi persyaratan operasional atau keamanan di organisasi Anda, Anda mungkin perlu memberikan catatan koneksi yang dibuat ke node terkelola dan perintah yang dijalankan pada node tersebut. Anda juga dapat menerima pemberitahuan jika pengguna di organisasi Anda memulai atau mengakhiri aktivitas sesi. 

  Kemampuan logging disediakan melalui integrasi dengan yang berikut Layanan AWS:
  + **AWS CloudTrail**— AWS CloudTrail menangkap informasi tentang panggilan Session Manager API yang dilakukan di Anda Akun AWS dan menuliskannya ke file log yang disimpan di bucket Amazon Simple Storage Service (Amazon S3) S3 yang Anda tentukan. Satu ember digunakan untuk semua CloudTrail log untuk akun Anda. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md). 
  + **Amazon Simple Storage Service**— Anda dapat memilih untuk menyimpan data log sesi dalam bucket Amazon S3 menurut pilihan Anda untuk tujuan debugging dan pemecahan masalah. Data log dapat dikirim ke bucket Amazon S3 Anda dengan atau tanpa enkripsi menggunakan AWS KMS key Anda. Untuk informasi selengkapnya, lihat [Log data sesi menggunakan Amazon S3 (konsol)](session-manager-logging-s3.md).
  + **Amazon CloudWatch Logs** — CloudWatch Log memungkinkan Anda untuk memantau, menyimpan, dan mengakses file log dari berbagai Layanan AWS. Anda dapat mengirim data log sesi ke grup CloudWatch log Log untuk tujuan debugging dan pemecahan masalah. Data log dapat dikirim ke grup log Anda dengan atau tanpa AWS KMS enkripsi menggunakan kunci KMS Anda. Untuk informasi selengkapnya, lihat [Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cloudwatch-logs.md).
  + **Amazon EventBridge** dan **Amazon Simple Notification Service** - EventBridge memungkinkan Anda mengatur aturan untuk mendeteksi kapan perubahan terjadi pada AWS sumber daya yang Anda tentukan. Anda dapat membuat aturan untuk mendeteksi ketika pengguna di organisasi Anda memulai atau menghentikan sesi, dan kemudian menerima pemberitahuan melalui Amazon SNS (misalnya, pesan teks atau email) tentang acara tersebut. Anda juga dapat mengonfigurasi CloudWatch acara untuk memulai tanggapan lain. Untuk informasi selengkapnya, lihat [Memantau aktivitas sesi menggunakan Amazon EventBridge (konsol)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
**catatan**  
Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.

## Siapa yang harus menggunakanSession Manager?
<a name="session-manager-who"></a>
+ Setiap AWS pelanggan yang ingin meningkatkan postur keamanan mereka, mengurangi overhead operasional dengan memusatkan kontrol akses pada node yang dikelola, dan mengurangi akses node masuk. 
+ Pakar Keamanan Informasi yang ingin memantau dan melacak akses dan aktivitas node terkelola, menutup port masuk pada node terkelola, atau mengizinkan koneksi ke node terkelola yang tidak memiliki alamat IP publik. 
+ Administrator yang ingin memberikan dan mencabut akses dari satu lokasi, dan yang ingin memberikan satu solusi kepada pengguna untuk LinuxmacOS, dan Windows Server node terkelola.
+ Pengguna yang ingin terhubung ke node terkelola hanya dengan satu klik dari browser atau AWS CLI tanpa harus memberikan kunci SSH.

## Apa saja fitur utamaSession Manager?
<a name="session-manager-features"></a>
+ **Support untukWindows Server, Linux dan node macOS terkelola**

  Session Managermemungkinkan Anda membuat sambungan aman ke instans Amazon Elastic Compute Cloud (EC2), perangkat edge, server lokal, dan mesin virtual (). VMs Untuk daftar tipe sistem operasi yang didukung, lihat [Mengatur Session Manager](session-manager-getting-started.md).
**catatan**  
Session Managerdukungan untuk mesin lokal disediakan hanya untuk tingkat instance lanjutan. Untuk informasi, lihat [Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md).
+  **Konsol, CLI, dan akses SDK ke kemampuan Session Manager** 

  Anda dapat bekerja dengan Session Manager cara-cara berikut:

  **AWS Systems Manager Konsol** mencakup akses ke semua Session Manager kemampuan untuk administrator dan pengguna akhir. Anda dapat melakukan tugas apa pun yang berkaitan dengan sesi Anda dengan menggunakan konsol Systems Manager. 

  Konsol Amazon EC2 menyediakan kemampuan bagi pengguna akhir untuk terhubung ke instans EC2 yang telah diberikan izin sesi.

  **AWS CLI**Termasuk akses ke Session Manager kemampuan untuk pengguna akhir. Anda dapat memulai sesi, melihat daftar sesi, dan mengakhiri sesi secara permanen dengan menggunakan AWS CLI. 
**catatan**  
Untuk menggunakan perintah AWS CLI to run session, Anda harus menggunakan versi 1.16.12 dari CLI (atau yang lebih baru), dan Anda harus menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md). Untuk melihat pluginGitHub, lihat [session-manager-plugin](https://github.com/aws/session-manager-plugin).
+  **Kontrol akses IAM** 

  Melalui penggunaan kebijakan IAM, Anda dapat mengontrol anggota organisasi mana yang dapat memulai sesi ke node terkelola dan node mana yang dapat mereka akses. Anda juga dapat memberikan akses sementara ke node terkelola Anda. Misalnya, Anda mungkin ingin memberikan insinyur on-call (atau sekelompok insinyur on-call) akses ke server produksi hanya selama durasi rotasi mereka.
+  **Dukungan logging** 

  Session Managermemberi Anda opsi untuk mencatat riwayat sesi di Anda Akun AWS melalui integrasi dengan sejumlah lainnya Layanan AWS. Untuk informasi selengkapnya, lihat [Aktivitas sesi pencatatan](session-manager-auditing.md) dan [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).
+  **Profil shell yang dapat dikonfigurasi** 

  Session Managermemberi Anda opsi untuk mengonfigurasi preferensi dalam sesi. Profil yang dapat disesuaikan ini mengizinkan Anda untuk menentukan preferensi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.
+  **Dukungan enkripsi data kunci pelanggan** 

  Anda dapat mengonfigurasi Session Manager untuk mengenkripsi log data sesi yang Anda kirim ke bucket Amazon Simple Storage Service (Amazon S3) atau streaming ke grup log Log. CloudWatch Anda juga dapat mengonfigurasi Session Manager untuk mengenkripsi lebih lanjut data yang dikirimkan antara mesin klien dan node terkelola Anda selama sesi Anda. Untuk informasi, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md) dan [ Mengkonfigurasi preferensi sesi](session-manager-getting-started-configure-preferences.md).
+  **AWS PrivateLink dukungan untuk node terkelola tanpa alamat IP publik** 

  Anda juga dapat mengatur Titik Akhir VPC untuk Systems Manager AWS PrivateLink untuk mengamankan sesi Anda lebih lanjut. AWS PrivateLink membatasi semua lalu lintas jaringan antara node terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. Untuk informasi selengkapnya, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk](setup-create-vpc.md) Systems Manager.
+  **Terowongan** 

  Dalam sesi, gunakan dokumen Session-type AWS Systems Manager (SSM) untuk mengarahkan lalu lintas, seperti http atau protokol kustom, antara port lokal pada mesin klien dan port jarak jauh pada node terkelola.
+  **Perintah interaktif** 

  Buat dokumen SSM tipe sesi yang menggunakan sesi untuk menjalankan satu perintah secara interaktif, memberi Anda cara untuk mengelola apa yang dapat dilakukan pengguna pada node terkelola.

## Apa itu sesi?
<a name="what-is-a-session"></a>

Sesi adalah koneksi yang dibuat ke node terkelola menggunakanSession Manager. Sesi didasarkan pada saluran komunikasi dua arah yang aman antara klien (Anda) dan node terkelola jarak jauh yang mengalirkan input dan output untuk perintah. Lalu lintas antara klien dan node terkelola dienkripsi menggunakan TLS 1.2, dan permintaan untuk membuat koneksi ditandatangani menggunakan Sigv4. Komunikasi dua arah ini memungkinkan bash interaktif dan PowerShell akses ke node terkelola. Anda juga dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk mengenkripsi data lebih lanjut di luar enkripsi TLS default.

Misalnya, katakanlah bahwa John adalah insinyur on-call di departemen IT Anda. Dia menerima pemberitahuan tentang masalah yang mengharuskannya terhubung dari jarak jauh ke node yang dikelola, seperti kegagalan yang memerlukan pemecahan masalah atau arahan untuk mengubah opsi konfigurasi sederhana pada node. Menggunakan AWS Systems Manager konsol, konsol Amazon EC2, atau AWS CLI, John memulai sesi yang menghubungkannya ke node terkelola, menjalankan perintah pada node yang diperlukan untuk menyelesaikan tugas, dan kemudian mengakhiri sesi.

Ketika John mengirim perintah pertama untuk memulai sesi, Session Manager layanan mengotentikasi ID-nya, memverifikasi izin yang diberikan kepadanya oleh kebijakan IAM, memeriksa pengaturan konfigurasi (seperti memverifikasi batas yang diizinkan untuk sesi), dan mengirim pesan SSM Agent ke untuk membuka koneksi dua arah. Setelah koneksi dibuat dan John mengetik perintah berikutnya, output perintah dari SSM Agent diunggah ke saluran komunikasi ini dan dikirim kembali ke mesin lokalnya.

**Topics**
+ [Bagaimana bisa Session Manager menguntungkan organisasi saya?](#session-manager-benefits)
+ [Siapa yang harus menggunakanSession Manager?](#session-manager-who)
+ [Apa saja fitur utamaSession Manager?](#session-manager-features)
+ [Apa itu sesi?](#what-is-a-session)
+ [Mengatur Session Manager](session-manager-getting-started.md)
+ [Bekerja dengan Session Manager](session-manager-working-with.md)
+ [Aktivitas sesi pencatatan](session-manager-auditing.md)
+ [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md)
+ [Skema dokumen sesi](session-manager-schema.md)
+ [Pemecahan Masalah Session Manager](session-manager-troubleshooting.md)

# Mengatur Session Manager
<a name="session-manager-getting-started"></a>

Sebelum Anda menggunakan AWS Systems Manager Session Manager untuk terhubung ke node terkelola di akun Anda, selesaikan langkah-langkah dalam topik berikut.

**Topics**
+ [Langkah 1: Session Manager Prasyarat lengkap](session-manager-prerequisites.md)
+ [Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md)
+ [Langkah 3: Kontrol akses sesi ke node yang dikelola](session-manager-getting-started-restrict-access.md)
+ [Langkah 4: Konfigurasi preferensi sesi](session-manager-getting-started-configure-preferences.md)
+ [Langkah 5: (Opsional) Batasi akses ke perintah dalam sesi](session-manager-restrict-command-access.md)
+ [Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager](session-manager-getting-started-privatelink.md)
+ [Langkah 7: (Opsional) Aktifkan atau nonaktifkan izin administratif akun ssm-user](session-manager-getting-started-ssm-user-permissions.md)
+ [Langkah 8: (Opsional) Izinkan dan kontrol izin untuk koneksi SSH melalui Session Manager](session-manager-getting-started-enable-ssh-connections.md)

# Langkah 1: Session Manager Prasyarat lengkap
<a name="session-manager-prerequisites"></a>

Sebelum menggunakanSession Manager, pastikan lingkungan Anda memenuhi persyaratan berikut.


**Prasyarat Session Manager**  

| Persyaratan | Deskripsi | 
| --- | --- | 
|  Sistem operasi yang didukung  |  Session Manager*mendukung koneksi ke instans Amazon Elastic Compute Cloud (Amazon EC2), selain mesin non-EC2 di lingkungan [hybrid dan multicloud Anda](operating-systems-and-machine-types.md#supported-machine-types) yang menggunakan tingkat instans lanjutan.* Session Managermendukung versi sistem operasi berikut:  Session Manager*mendukung instans EC2, perangkat edge, dan server lokal serta mesin virtual (VMs) di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda yang menggunakan tingkat instans lanjutan.* Untuk informasi selengkapnya tentang instans lanjutan, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md).   **Linux dan **macOS****  Session Managermendukung semua versi Linux dan macOS yang didukung oleh AWS Systems Manager. Untuk informasi, lihat [Sistem operasi dan jenis mesin yang didukung](operating-systems-and-machine-types.md).  ** Windows **  Session Managermendukung Windows Server 2012 dan versi yang lebih baru.  Tidak mendukung Microsoft Windows Server 2016 Nano.   | 
|  SSM Agent  |  Minimal, AWS Systems Manager SSM Agent versi 2.3.68.0 atau yang lebih baru harus diinstal pada node terkelola yang ingin Anda sambungkan melalui sesi.  Untuk menggunakan opsi untuk mengenkripsi data sesi menggunakan kunci yang dibuat di AWS Key Management Service (AWS KMS), versi 2.3.539.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola.  Untuk menggunakan profil shell dalam sesi, SSM Agent versi 3.0.161.0 atau yang lebih baru harus diinstal pada node terkelola. Untuk memulai Session Manager port forwarding atau sesi SSH, SSM Agent versi 3.0.222.0 atau yang lebih baru harus diinstal pada node terkelola. Untuk melakukan streaming data sesi menggunakan Amazon CloudWatch Logs, SSM Agent versi 3.0.284.0 atau yang lebih baru harus diinstal pada node terkelola. Untuk informasi tentang cara menentukan nomor versi yang berjalan pada sebuah instance, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md). Untuk informasi tentang menginstal secara manual atau memperbarui secara otomatisSSM Agent, lihat[Bekerja dengan SSM Agent](ssm-agent.md).  Tentang akun ssm-user Dimulai dengan versi 2.3.50.0 dariSSM Agent, agen membuat akun pengguna pada node terkelola, dengan izin root atau administrator, dipanggil. `ssm-user` (Pada versi sebelum 2.3.612.0, akun dibuat saat SSM Agent memulai atau memulai ulang. Pada versi 2.3.612.0 dan yang lebih baru, `ssm-user` dibuat pertama kali sesi dimulai pada node terkelola.) Sesi diluncurkan menggunakan kredensial administratif akun pengguna ini. Untuk informasi tentang membatasi kontrol administratif untuk akun ini, lihat [Menonaktifkan atau mengaktifkan izin administratif akun ssm-user](session-manager-getting-started-ssm-user-permissions.md).   ssm-user pada pengendali domain Windows Server Dimulai dengan SSM Agent versi 2.3.612.0, `ssm-user` akun tidak dibuat secara otomatis pada node terkelola yang digunakan sebagai pengontrol domain. Windows Server Untuk digunakan Session Manager pada Windows Server mesin yang digunakan sebagai pengontrol domain, Anda harus membuat `ssm-user` akun secara manual jika belum ada, dan menetapkan izin Administrator Domain kepada pengguna. Windows ServerAktif, SSM Agent tetapkan kata sandi baru untuk `ssm-user` akun setiap kali sesi dimulai, jadi Anda tidak perlu menentukan kata sandi saat membuat akun.   | 
|  Konektivitas ke titik akhir  |  Node terkelola yang Anda sambungkan juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/session-manager-prerequisites.html) Untuk informasi selengkapnya, lihat topik berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/session-manager-prerequisites.html) Atau, Anda dapat terhubung ke titik akhir yang diperlukan dengan menggunakan titik akhir antarmuka. Untuk informasi selengkapnya, lihat [Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager](session-manager-getting-started-privatelink.md).  | 
|  AWS CLI  |  (Opsional) Jika Anda menggunakan AWS Command Line Interface (AWS CLI) untuk memulai sesi (alih-alih menggunakan AWS Systems Manager konsol atau konsol Amazon EC2), versi 1.16.12 atau yang lebih baru dari CLI harus diinstal pada mesin lokal Anda. Anda dapat menghubungi `aws --version` untuk memeriksa versi. Jika Anda perlu menginstal atau memutakhirkan CLI, lihat [Menginstal AWS Command Line Interface di](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) AWS Command Line Interface Panduan Pengguna. Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan. Selain itu, untuk menggunakan CLI untuk mengelola node AndaSession Manager, Anda harus terlebih dahulu menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).  | 
|  Aktifkan tingkat instance lanjutan (lingkungan [hybrid](operating-systems-and-machine-types.md#supported-machine-types) dan multicloud)  |  Untuk terhubung ke mesin non-EC2 menggunakanSession Manager, Anda harus mengaktifkan tingkat instance lanjutan di Akun AWS dan di Wilayah AWS mana Anda membuat aktivasi hibrida untuk mendaftarkan mesin non-EC2 sebagai node terkelola. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Untuk informasi selengkapnya tentang tingkat instance lanjutan, lihat. [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md)  | 
|  Verifikasi izin peran layanan IAM (lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types))  |  Node yang diaktifkan hibrida menggunakan peran layanan AWS Identity and Access Management (IAM) yang ditentukan dalam aktivasi hibrida untuk berkomunikasi dengan operasi Systems Manager API. Peran layanan ini harus berisi izin yang diperlukan untuk terhubung ke mesin [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda menggunakan. Session Manager Jika peran layanan Anda berisi kebijakan AWS terkelola`AmazonSSMManagedInstanceCore`, izin yang diperlukan untuk sudah Session Manager disediakan. Jika Anda menemukan bahwa peran layanan tidak berisi izin yang diperlukan, Anda harus membatalkan pendaftaran instance terkelola dan mendaftarkannya dengan aktivasi hibrida baru yang menggunakan peran layanan IAM dengan izin yang diperlukan. Untuk informasi selengkapnya tentang membatalkan pendaftaran instans terkelola, lihat. [Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud](fleet-manager-deregister-hybrid-nodes.md) Untuk informasi selengkapnya tentang membuat kebijakan IAM dengan Session Manager izin, lihat [Langkah 2: Verifikasi atau tambahkan izin instans](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-instance-profile.html) untuk. Session Manager  | 

# Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager
<a name="session-manager-getting-started-instance-profile"></a>

Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instance Anda. Anda dapat memberikan izin instans di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau di tingkat instans menggunakan profil instance. Jika kasus penggunaan Anda memungkinkan, kami sarankan untuk memberikan akses di tingkat akun menggunakan Konfigurasi Manajemen Host Default. Jika Anda telah menyiapkan Konfigurasi Manajemen Host Default untuk akun menggunakan `AmazonSSMManagedEC2InstanceDefaultPolicy` kebijakan, Anda dapat melanjutkan ke langkah berikutnya. Untuk informasi selengkapnya tentang Konfigurasi Manajemen Host Default, lihat[Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default](fleet-manager-default-host-management-configuration.md).

Atau, Anda dapat menggunakan profil instans untuk memberikan izin yang diperlukan untuk instance Anda. Profil instans meneruskan peran IAM ke instans Amazon EC2. Anda dapat melampirkan profil instans IAM ke instans Amazon EC2 saat meluncurkannya atau ke instans yang diluncurkan sebelumnya. Untuk informasi selengkapnya, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).

Untuk server lokal atau mesin virtual (VMs), izin disediakan oleh peran layanan IAM yang terkait dengan aktivasi hibrid yang digunakan untuk mendaftarkan server lokal Anda dan dengan Systems VMs Manager. Server lokal dan VMs tidak menggunakan profil instans.

Jika Anda sudah menggunakan alat Systems Manager lainnya, seperti Run Command atauParameter Store, profil instans dengan izin dasar yang diperlukan untuk Session Manager mungkin sudah dilampirkan ke instans Amazon EC2 Anda. Jika profil instans yang berisi kebijakan AWS terkelola `AmazonSSMManagedInstanceCore` sudah dilampirkan ke instans Anda, izin yang diperlukan untuk sudah Session Manager disediakan. Ini juga berlaku jika peran layanan IAM yang digunakan dalam aktivasi hibrid Anda berisi kebijakan `AmazonSSMManagedInstanceCore` terkelola.

Namun, dalam beberapa kasus, Anda mungkin perlu memodifikasi izin yang terlampir ke profil instans Anda. Misalnya, Anda ingin memberikan kumpulan izin instans yang lebih sempit, Anda telah membuat kebijakan khusus untuk profil instans, atau Anda ingin menggunakan enkripsi Amazon Simple Storage Service (Amazon S3) AWS Key Management Service atau enkripsi AWS KMS() untuk mengamankan data sesi. Untuk kasus ini, lakukan salah satu hal berikut untuk memungkinkan Session Manager tindakan dilakukan pada instans Anda:
+  **Menyematkan izin untuk Session Manager tindakan dalam peran IAM kustom** 

  Untuk menambahkan izin Session Manager tindakan ke peran IAM yang ada yang tidak bergantung pada kebijakan default yang AWS disediakan`AmazonSSMManagedInstanceCore`, ikuti langkah-langkahnya. [Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md)
+  **Buat peran IAM khusus dengan Session Manager izin saja** 

  Untuk membuat peran IAM yang berisi izin hanya untuk Session Manager tindakan, ikuti langkah-langkahnya. [Buat peran IAM khusus untuk Session Manager](getting-started-create-iam-instance-profile.md)
+  **Membuat dan menggunakan peran IAM baru dengan izin untuk semua tindakan Systems Manager** 

  Untuk membuat peran IAM untuk instans terkelola Systems Manager yang menggunakan kebijakan default yang disediakan oleh AWS untuk memberikan semua izin Systems Manager, ikuti langkah-langkah dalam [Mengonfigurasi izin instans yang diperlukan untuk Systems](setup-instance-permissions.md) Manager.

**Topics**
+ [Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md)
+ [Buat peran IAM khusus untuk Session Manager](getting-started-create-iam-instance-profile.md)

# Menambahkan Session Manager izin ke peran IAM yang ada
<a name="getting-started-add-permissions-to-existing-profile"></a>

Gunakan prosedur berikut untuk menambahkan Session Manager izin ke peran AWS Identity and Access Management (IAM) yang ada. Dengan menambahkan izin ke peran yang ada, Anda dapat meningkatkan keamanan lingkungan komputasi tanpa harus menggunakan AWS `AmazonSSMManagedInstanceCore` kebijakan, misalnya izin.

**catatan**  
Perhatikan informasi berikut:  
Prosedur ini mengasumsikan bahwa peran Anda yang ada sudah menyertakan `ssm` izin Systems Manager lainnya untuk tindakan yang ingin Anda izinkan akses. Kebijakan ini saja tidak cukup untuk digunakanSession Manager.
Contoh kebijakan berikut mencakup `s3:GetEncryptionConfiguration` tindakan. Tindakan ini diperlukan jika Anda memilih opsi **enkripsi log Enforce S3** di preferensi Session Manager logging.
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.

**Untuk menambahkan Session Manager izin ke peran yang ada (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**.

1. Pilih nama peran yang Anda tambahkan izin.

1. Pilih tab **Izin**.

1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.

1. Pilih tab **JSON**.

1. Ganti konten kebijakan default dengan konten berikut. Ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS Key Management Service key (AWS KMS key) yang ingin Anda gunakan.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
           }
       ]
   }
   ```

------

   Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).

   Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.

   ```
   ,
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "key-name"
           }
   ```

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.

1. Pilih **Berikutnya: Tinjauan**.

1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan. 

   Pilih **Buat kebijakan**.

Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).

# Buat peran IAM khusus untuk Session Manager
<a name="getting-started-create-iam-instance-profile"></a>

Anda dapat membuat peran AWS Identity and Access Management (IAM) yang memberikan Session Manager izin untuk melakukan tindakan pada instans terkelola Amazon EC2 Anda. Anda juga dapat menyertakan kebijakan untuk memberikan izin yang diperlukan agar log sesi dikirim ke Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch 

Setelah Anda membuat peran IAM, untuk informasi tentang cara melampirkan peran ke instance, lihat [Melampirkan atau Mengganti Profil Instance](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) di AWS re:Post situs web. Untuk informasi selengkapnya tentang profil dan peran instans IAM, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) di *Panduan Pengguna IAM* dan [peran IAM untuk Amazon EC2 di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) *Elastic Compute Cloud* untuk Instans Linux. Untuk informasi selengkapnya tentang membuat peran layanan IAM untuk mesin lokal, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html) multicloud.

**Topics**
+ [Membuat peran IAM dengan Session Manager izin minimal (konsol)](#create-iam-instance-profile-ssn-only)
+ [Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)](#create-iam-instance-profile-ssn-logging)

## Membuat peran IAM dengan Session Manager izin minimal (konsol)
<a name="create-iam-instance-profile-ssn-only"></a>

Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin hanya untuk Session Manager tindakan pada instans Anda.

**Untuk membuat profil instance dengan Session Manager izin minimal (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)

1. Pilih tab **JSON**.

1. Ganti konten default dengan kebijakan berikut. Untuk mengenkripsi data sesi menggunakan AWS Key Management Service (AWS KMS), ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS KMS key yang ingin Anda gunakan.
**catatan**  
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:UpdateInstanceInformation",
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
           }
       ]
   }
   ```

------

   Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).

   Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.

   ```
   ,
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "key-name"
           }
   ```

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.

1. Pilih **Berikutnya: Tinjauan**.

1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan. 

1. Pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.

1. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.

1. Pilih **Berikutnya**.

1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk profil instans. 

1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.

   Pilih **Buat peran**.

Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).

## Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)
<a name="create-iam-instance-profile-ssn-logging"></a>

Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin untuk Session Manager tindakan pada instans Anda. Kebijakan ini juga menyediakan izin yang diperlukan agar log sesi disimpan di bucket Amazon Simple Storage Service (Amazon S3) dan grup log Amazon Logs. CloudWatch 

**penting**  
Untuk menampilkan log sesi ke bucket Amazon S3 yang dimiliki oleh yang lain Akun AWS, Anda harus menambahkan `s3:PutObjectAcl` izin ke kebijakan peran IAM. Selain itu, Anda harus memastikan bahwa kebijakan bucket memberikan akses lintas akun ke peran IAM yang digunakan oleh akun pemilik untuk memberikan izin Systems Manager untuk instans terkelola. Jika bucket menggunakan enkripsi Key Management Service (KMS), maka kebijakan KMS bucket juga harus memberikan akses lintas akun ini. *Untuk informasi selengkapnya tentang mengonfigurasi izin bucket lintas akun di Amazon S3, lihat [Memberikan izin bucket lintas akun di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.* Jika izin lintas akun tidak ditambahkan, akun yang memiliki bucket Amazon S3 tidak dapat mengakses log keluaran sesi.

Untuk informasi tentang menentukan preferensi untuk menyimpan log sesi, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).

**Untuk membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)

1. Pilih tab **JSON**.

1. Ganti konten default dengan kebijakan berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel",
                   "ssm:UpdateInstanceInformation"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents",
                   "logs:DescribeLogGroups",
                   "logs:DescribeLogStreams"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
           },
           {
               "Effect": "Allow",
               "Action": "kms:GenerateDataKey",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.

1. Pilih **Berikutnya: Tinjauan**.

1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan. 

1. Pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.

1. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.

1. Pilih **Berikutnya**.

1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk peran tersebut. 

1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.

1. Pilih **Buat peran**.

# Langkah 3: Kontrol akses sesi ke node yang dikelola
<a name="session-manager-getting-started-restrict-access"></a>

Anda memberikan atau mencabut Session Manager akses ke node terkelola dengan menggunakan kebijakan AWS Identity and Access Management (IAM). Anda dapat membuat kebijakan dan melampirkannya ke pengguna IAM atau grup yang menentukan node terkelola yang dapat disambungkan oleh pengguna atau grup. Anda juga dapat menentukan operasi Session Manager API yang dapat dilakukan pengguna atau grup pada node yang dikelola tersebut. 

Untuk membantu Anda memulai dengan kebijakan izin IAMSession Manager, kami telah membuat contoh kebijakan untuk pengguna akhir dan pengguna administrator. Anda dapat menggunakan kebijakan ini hanya dengan perubahan kecil. Atau, gunakan sebagai panduan untuk membuat kebijakan IAM khusus. Untuk informasi selengkapnya, lihat [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md). Untuk informasi tentang cara membuat kebijakan IAM dan melampirkannya ke pengguna atau grup, lihat [Membuat Kebijakan IAM dan Menambahkan dan Menghapus Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna *IAM*.

**Tentang format ARN ID sesi**  
Saat membuat kebijakan IAM untuk Session Manager akses, Anda menentukan ID sesi sebagai bagian dari Nama Sumber Daya Amazon (ARN). ID sesi menyertakan nama pengguna sebagai variabel. Untuk membantu mengilustrasikan hal ini, berikut adalah format Session Manager ARN dan contohnya: 

```
arn:aws:ssm:region-id:account-id:session/session-id
```

Contoh:

```
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
```

Untuk informasi selengkapnya tentang penggunaan variabel dalam kebijakan IAM, lihat [Elemen Kebijakan IAM: Variabel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html). 

**Topics**
+ [Mulai sesi shell default dengan menentukan dokumen sesi default dalam kebijakan IAM](getting-started-default-session-document.md)
+ [Memulai sesi dengan dokumen dengan menentukan dokumen sesi dalam kebijakan IAM](getting-started-specify-session-document.md)
+ [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md)
+ [Contoh tambahan kebijakan IAM untuk Session Manager](getting-started-restrict-access-examples.md)

# Mulai sesi shell default dengan menentukan dokumen sesi default dalam kebijakan IAM
<a name="getting-started-default-session-document"></a>

Saat Anda mengonfigurasi Session Manager untuk Akun AWS atau ketika Anda mengubah preferensi sesi di konsol Systems Manager, sistem akan membuat dokumen sesi SSM yang disebut`SSM-SessionManagerRunShell`. Ini adalah dokumen sesi default. Session Managermenggunakan dokumen ini untuk menyimpan preferensi sesi Anda, yang mencakup informasi seperti berikut:
+ Lokasi tempat Anda ingin menyimpan data sesi, seperti bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs.
+ ID kunci AWS Key Management Service (AWS KMS) untuk mengenkripsi data sesi.
+ Apakah dukungan Run As diizinkan untuk sesi Anda.

Berikut adalah contoh informasi yang terkandung dalam dokumen preferensi `SSM-SessionManagerRunShell` sesi.

```
{
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "amzn-s3-demo-bucket",
    "s3KeyPrefix": "MyS3Prefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyCWLogGroup",
    "cloudWatchEncryptionEnabled": false,
    "kmsKeyId": "1a2b3c4d",
    "runAsEnabled": true,
    "runAsDefaultUser": "RunAsUser"
  }
}
```

Secara default, Session Manager menggunakan dokumen sesi default ketika pengguna memulai sesi dari Konsol Manajemen AWS. Ini berlaku untuk salah satu Fleet Manager atau Session Manager di konsol Systems Manager, atau EC2 Connect di konsol Amazon EC2. Session Managerjuga menggunakan dokumen sesi default ketika pengguna memulai sesi dengan menggunakan AWS CLI perintah seperti contoh berikut:

```
aws ssm start-session \
    --target i-02573cafcfEXAMPLE
```

Untuk memulai sesi shell default, Anda harus menentukan dokumen sesi default dalam kebijakan IAM, seperti yang ditunjukkan pada contoh berikut.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnableSSMSession",
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
        "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssmmessages:OpenDataChannel"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

# Memulai sesi dengan dokumen dengan menentukan dokumen sesi dalam kebijakan IAM
<a name="getting-started-specify-session-document"></a>

Jika Anda menggunakan AWS CLI perintah [start-session](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html) menggunakan dokumen sesi default, Anda dapat menghilangkan nama dokumen. Sistem secara otomatis memanggil dokumen `SSM-SessionManagerRunShell` sesi.

Dalam semua kasus lain, Anda harus menentukan nilai untuk `document-name` parameter. Ketika pengguna menentukan nama dokumen sesi dalam sebuah perintah, sistem memeriksa kebijakan IAM mereka untuk memverifikasi bahwa mereka memiliki izin untuk mengakses dokumen. Jika mereka tidak memiliki izin, permintaan koneksi gagal. Contoh berikut mencakup `document-name` parameter dengan dokumen `AWS-StartPortForwardingSession` sesi.

```
aws ssm start-session \
    --target i-02573cafcfEXAMPLE \
    --document-name AWS-StartPortForwardingSession \
    --parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```

Untuk contoh cara menentukan dokumen Session Manager sesi dalam kebijakan IAM, lihat[Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).

**catatan**  
Untuk memulai sesi menggunakan SSH, Anda harus menyelesaikan langkah-langkah konfigurasi pada node terkelola target *dan* mesin lokal pengguna. Untuk selengkapnya, lihat [(Opsional) Mengizinkan dan mengontrol izin untuk koneksi SSH melalui](session-manager-getting-started-enable-ssh-connections.md). Session Manager

# Contoh kebijakan IAM untuk Session Manager
<a name="getting-started-restrict-access-quickstart"></a>

Gunakan sampel di bagian ini untuk membantu Anda membuat kebijakan AWS Identity and Access Management (IAM) yang memberikan izin akses yang paling umum diperlukan. Session Manager 

**catatan**  
Anda juga dapat menggunakan AWS KMS key kebijakan untuk mengontrol entitas IAM (pengguna atau peran) mana dan Akun AWS diberi akses ke kunci KMS Anda. Untuk selengkapnya, lihat [Ikhtisar Mengelola Akses ke AWS KMS Sumber Daya Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) dan [Menggunakan Kebijakan Utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS Key Management Service Pengembang*.

**Topics**
+ [Kebijakan pengguna akhir Quickstart untuk Session Manager](#restrict-access-quickstart-end-user)
+ [Kebijakan administrator Quickstart untuk Session Manager](#restrict-access-quickstart-admin)

## Kebijakan pengguna akhir Quickstart untuk Session Manager
<a name="restrict-access-quickstart-end-user"></a>

Gunakan contoh berikut untuk membuat kebijakan pengguna akhir IAM untukSession Manager. 

Anda dapat membuat kebijakan yang memungkinkan pengguna memulai sesi hanya dari Session Manager konsol dan AWS Command Line Interface (AWS CLI), hanya dari konsol Amazon Elastic Compute Cloud (Amazon EC2), atau dari ketiganya.

Kebijakan ini memberi pengguna akhir kemampuan untuk memulai sesi ke node terkelola tertentu dan kemampuan untuk mengakhiri hanya sesi mereka sendiri. Lihat [Contoh tambahan kebijakan IAM untuk Session Manager](getting-started-restrict-access-examples.md) untuk contoh kustomisasi yang mungkin ingin Anda buat pada kebijakan.

Dalam contoh kebijakan berikut, ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. 

Pilih dari tab berikut untuk melihat kebijakan sampel untuk berbagai akses sesi yang ingin Anda berikan.

------
#### [ Manajer Sesi and Fleet Manager ]

Gunakan kebijakan sampel ini untuk memberi pengguna kemampuan untuk memulai dan melanjutkan sesi hanya dari konsol Session Manager dan Fleet Manager konsol. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeSessions",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceProperties",
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
        }
    ]
}
```

------

------
#### [ Amazon EC2 ]

Gunakan kebijakan contoh ini untuk memberi pengguna kemampuan untuk memulai dan melanjutkan sesi hanya dari konsol Amazon EC2. Kebijakan ini tidak menyediakan semua izin yang diperlukan untuk memulai sesi dari Session Manager konsol dan. AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:username}-*"
            ]
        }
    ]
}
```

------

------
#### [ AWS CLI ]

Gunakan kebijakan sampel ini untuk memberi pengguna kemampuan untuk memulai dan melanjutkan sesi dari AWS CLI.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
        }
    ]
}
```

------

------

**catatan**  
`SSM-SessionManagerRunShell`adalah nama default dari dokumen SSM yang Session Manager dibuat untuk menyimpan preferensi konfigurasi sesi Anda. Anda dapat membuat dokumen Sesi khusus dan menetapkannya dalam kebijakan ini sebagai gantinya. Anda juga dapat menentukan yang diberikan AWS pada dokumen `AWS-StartSSHSession` untuk pengguna yang memulai sesi menggunakan SSH. Untuk informasi tentang langkah-langkah konfigurasi yang diperlukan untuk mendukung sesi menggunakan SSH, lihat [(Opsional) Mengizinkan dan mengontrol izin untuk koneksi SSH melalui](session-manager-getting-started-enable-ssh-connections.md). Session Manager  
`kms:GenerateDataKey`Izin memungkinkan pembuatan kunci enkripsi data yang akan digunakan untuk mengenkripsi data sesi. Jika Anda akan menggunakan enkripsi AWS Key Management Service (AWS KMS) untuk data sesi Anda, ganti *key-name* dengan Amazon Resource Name (ARN) dari kunci KMS yang ingin Anda gunakan, dalam format. `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE` Jika Anda tidak akan menggunakan enkripsi kunci KMS untuk data sesi Anda, hapus konten berikut dari kebijakan.  

```
{
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": "key-name"
        }
```
Untuk informasi tentang penggunaan AWS KMS untuk mengenkripsi data sesi, lihat. [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md)  
Izin untuk [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html)diperlukan untuk kasus di mana pengguna mencoba memulai sesi dari konsol Amazon EC2, tetapi SSM Agent harus diperbarui ke versi minimum yang diperlukan untuk Session Manager pertama. Run Commanddigunakan untuk mengirim perintah ke instance untuk memperbarui agen.

## Kebijakan administrator Quickstart untuk Session Manager
<a name="restrict-access-quickstart-admin"></a>

Gunakan contoh berikut untuk membuat kebijakan administrator IAM untukSession Manager. 

Kebijakan ini memberi administrator kemampuan untuk memulai sesi ke node terkelola yang ditandai dengan`Key=Finance,Value=WebServers`, izin untuk membuat, memperbarui, dan menghapus preferensi, dan izin untuk mengakhiri hanya sesi mereka sendiri. Lihat [Contoh tambahan kebijakan IAM untuk Session Manager](getting-started-restrict-access-examples.md) untuk contoh kustomisasi yang mungkin ingin Anda buat pada kebijakan.

Anda dapat membuat kebijakan yang memungkinkan administrator menjalankan tugas ini hanya dari Session Manager konsol dan AWS CLI, hanya dari konsol Amazon EC2, atau dari ketiganya.

Dalam contoh kebijakan berikut, ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. 

Pilih dari tab berikut untuk melihat kebijakan sampel untuk skenario akses yang ingin Anda dukung.

------
#### [ Manajer Sesi and CLI ]

Gunakan kebijakan contoh ini untuk memberi administrator kemampuan untuk melakukan tugas terkait sesi hanya dari Session Manager konsol dan perangkat. AWS CLI Kebijakan ini tidak memberikan semua izin yang diperlukan untuk melakukan tugas terkait sesi dari konsol Amazon EC2.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/Finance": [
                        "WebServers"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeSessions",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceProperties",
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateDocument",
                "ssm:UpdateDocument",
                "ssm:GetDocument",
                "ssm:StartSession"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        }
    ]
}
```

------

------
#### [ Amazon EC2 ]

Gunakan kebijakan contoh ini untuk memberi administrator kemampuan untuk melakukan tugas terkait sesi hanya dari konsol Amazon EC2. Kebijakan ini tidak menyediakan semua izin yang diperlukan untuk melakukan tugas terkait sesi dari Session Manager konsol dan. AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag-key": [
                        "tag-value"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        }
    ]
}
```

------

------
#### [ Manajer Sesi, CLI, and Amazon EC2 ]

Gunakan kebijakan contoh ini untuk memberi administrator kemampuan untuk melakukan tugas terkait sesi dari Session Manager konsol, konsol AWS CLI, dan konsol Amazon EC2.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag-key": [
                        "tag-value"
                    ]
                }
            }
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeSessions",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssm:DescribeInstanceProperties",
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateDocument",
                "ssm:UpdateDocument",
                "ssm:GetDocument",
                "ssm:StartSession"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        }
    ]
}
```

------

------

**catatan**  
Izin untuk [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html)diperlukan untuk kasus di mana pengguna mencoba memulai sesi dari konsol Amazon EC2, tetapi perintah harus dikirim untuk memperbarui SSM Agent terlebih dahulu.

# Contoh tambahan kebijakan IAM untuk Session Manager
<a name="getting-started-restrict-access-examples"></a>

Lihat contoh kebijakan berikut untuk membantu Anda membuat kebijakan kustom AWS Identity and Access Management (IAM) untuk setiap skenario akses Session Manager pengguna yang ingin Anda dukung.

**Topics**
+ [Contoh 1: Berikan akses ke dokumen di konsol](#grant-access-documents-console-example)
+ [Contoh 2: Batasi akses ke node terkelola tertentu](#restrict-access-example-instances)
+ [Contoh 3: Batasi akses berdasarkan tag](#restrict-access-example-instance-tags)
+ [Contoh 4: Izinkan pengguna untuk mengakhiri hanya sesi yang mereka mulai](#restrict-access-example-user-sessions)
+ [Contoh 5: Izinkan akses penuh (administratif) ke semua sesi](#restrict-access-example-full-access)

## Contoh 1: Berikan akses ke dokumen di konsol
<a name="grant-access-documents-console-example"></a>

Anda dapat mengizinkan pengguna menentukan dokumen kustom saat mereka meluncurkan sesi menggunakan konsol Pengelola Sesi. Contoh berikut kebijakan IAM memberikan izin untuk mengakses dokumen dengan nama yang dimulai dengan **SessionDocument-** yang ditentukan Wilayah AWS dan. Akun AWS

Untuk menggunakan kebijakan ini, ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument",
                "ssm:ListDocuments"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/SessionDocument-*"
            ]
        }
    ]
}
```

------

**catatan**  
Konsol Session Manager hanya mendukung dokumen Session `sessionType` yang memiliki `Standard_Stream` yang digunakan untuk menentukan preferensi sesi. Untuk informasi selengkapnya, lihat [Skema dokumen sesi](session-manager-schema.md).

## Contoh 2: Batasi akses ke node terkelola tertentu
<a name="restrict-access-example-instances"></a>

Anda dapat membuat kebijakan IAM yang menentukan node terkelola mana yang diizinkan untuk disambungkan oleh pengguna menggunakan Session Manager. Misalnya, kebijakan berikut memberi pengguna izin untuk memulai, mengakhiri, dan melanjutkan sesi mereka pada tiga node tertentu. Kebijakan membatasi pengguna untuk menyambung ke node selain yang ditentukan.

**catatan**  
Untuk pengguna federasi, lihat[Contoh 4: Izinkan pengguna untuk mengakhiri hanya sesi yang mereka mulai](#restrict-access-example-user-sessions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890EXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-abcdefghijEXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-0e9d8c7b6aEXAMPLE",
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       }
    ]
}
```

------

## Contoh 3: Batasi akses berdasarkan tag
<a name="restrict-access-example-instance-tags"></a>

Anda dapat membatasi akses ke node terkelola berdasarkan tag tertentu. Dalam contoh berikut, pengguna diizinkan untuk memulai dan melanjutkan sesi (`Effect: Allow, Action: ssm:StartSession, ssm:ResumeSession`) pada setiap node terkelola (`Resource: arn:aws:ec2:region:987654321098:instance/*`) dengan syarat bahwa node tersebut adalah Finance WebServer (`ssm:resourceTag/Finance: WebServer`). Jika pengguna mengirim perintah ke node terkelola yang tidak diberi tag atau yang memiliki tag selain`Finance: WebServer`, hasil perintah akan disertakan`AccessDenied`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/Finance": [
                        "WebServers"
                    ]
                }
            }
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession",
                "ssm:ResumeSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:userid}-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}
```

------

Anda dapat membuat kebijakan IAM yang memungkinkan pengguna memulai sesi ke node terkelola yang ditandai dengan beberapa tag. Kebijakan berikut memungkinkan pengguna untuk memulai sesi ke node terkelola yang memiliki kedua tag yang ditentukan diterapkan padanya. Jika pengguna mengirim perintah ke node terkelola yang tidak ditandai dengan kedua tag ini, hasil perintah akan disertakan`AccessDenied`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:StartSession"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag-key1":[
                  "tag-value1"
               ],
               "ssm:resourceTag/tag-key2":[
                  "tag-value2"
               ]
            }
         }
      },
      {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       },
      {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
      }
   ]
}
```

------

Untuk informasi selengkapnya tentang membuat kebijakan IAM, lihat Kebijakan [Terkelola dan Kebijakan Inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) di Panduan Pengguna *IAM*. Untuk informasi selengkapnya tentang menandai node terkelola, lihat [Menandai resource Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) di Panduan *Pengguna Amazon EC2* (konten berlaku Windows untuk dan node terkelola). Linux Untuk informasi selengkapnya tentang meningkatkan postur keamanan terhadap perintah tingkat root yang tidak sah pada node terkelola, lihat [Membatasi akses ke perintah tingkat root melalui SSM Agent](ssm-agent-restrict-root-level-commands.md)

## Contoh 4: Izinkan pengguna untuk mengakhiri hanya sesi yang mereka mulai
<a name="restrict-access-example-user-sessions"></a>

Session Managermenyediakan dua metode untuk mengontrol sesi mana pengguna federasi di Anda Akun AWS diizinkan untuk mengakhiri.
+ Gunakan variabel `{aws:userid}` dalam kebijakan izin AWS Identity and Access Management (IAM). Pengguna federasi hanya dapat mengakhiri sesi yang mereka mulai. Untuk pengguna yang tidak terfederasi, gunakan Metode 1. Untuk pengguna federasi, gunakan Metode 2.
+ Gunakan tag yang disediakan oleh AWS tag dalam kebijakan izin IAM. Dalam kebijakan, Anda memasukkan ketentuan yang mengizinkan pengguna untuk mengakhiri hanya sesi yang ditandai dengan tanda tertentu yang telah diberikan oleh AWS. Metode ini berfungsi untuk semua akun, termasuk yang menggunakan federasi IDs untuk memberikan akses ke AWS.

### Metode 1: Berikan TerminateSession hak istimewa menggunakan variabel `{aws:username}`
<a name="restrict-access-example-user-sessions-username"></a>

Kebijakan IAM berikut memungkinkan pengguna untuk melihat semua sesi di akun Anda. IDs Namun, pengguna dapat berinteraksi dengan node terkelola hanya melalui sesi yang mereka mulai. Pengguna yang ditetapkan kebijakan berikut tidak dapat terhubung ke atau mengakhiri sesi pengguna lain. Kebijakan menggunakan `{aws:username}` variabel untuk mencapai hal ini.

**catatan**  
Metode ini tidak berfungsi untuk akun yang memberikan akses untuk AWS menggunakan federasi. IDs

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:DescribeSessions"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "ssm:TerminateSession"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:*:session/${aws:username}-*"
            ]
        }
    ]
}
```

------

### Metode 2: Berikan TerminateSession hak istimewa menggunakan tag yang disediakan oleh AWS
<a name="restrict-access-example-user-sessions-tags"></a>

Anda dapat mengontrol sesi mana yang dapat diakhiri pengguna dengan menyertakan variabel kunci tag bersyarat dalam kebijakan IAM. Ketentuan menetapkan bahwa pengguna hanya dapat mengakhiri sesi yang ditandai dengan salah satu atau kedua variabel kunci tanda tertentu dan nilai tertentu ini.

Saat pengguna Akun AWS memulai sesi, Session Manager terapkan dua tag sumber daya ke sesi tersebut. Tanda sumber daya pertama adalah `aws:ssmmessages:target-id`, yang dengannya Anda menentukan ID target yang diizinkan untuk diakhiri oleh pengguna. Tag sumber daya lainnya adalah `aws:ssmmessages:session-id`, dengan nilai dalam format `role-id:caller-specified-role-name`.

**catatan**  
Session Managertidak mendukung tag khusus untuk kebijakan kontrol akses IAM ini. Anda harus menggunakan tag sumber daya yang disediakan oleh AWS, dijelaskan di bawah ini. 

 ** `aws:ssmmessages:target-id` **   
Dengan kunci tag ini, Anda menyertakan ID node terkelola sebagai nilai dalam kebijakan. Dalam blok kebijakan berikut, pernyataan kondisi memungkinkan pengguna untuk mengakhiri hanya node I-02573CAFCFExample.    
****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                "ssm:TerminateSession"
             ],
             "Resource": "*",
             "Condition": {
                 "StringLike": {
                     "ssm:resourceTag/aws:ssmmessages:target-id": [
                        "i-02573cafcfEXAMPLE"
                     ]
                 }
             }
         }
     ]
}
```
Jika pengguna mencoba untuk mengakhiri sesi yang belum diberi izin `TerminateSession` ini, mereka menerima kesalahan `AccessDeniedException`.

 ** `aws:ssmmessages:session-id` **   
Kunci tanda ini mencakup variabel untuk ID sesi sebagai nilai dalam permintaan untuk memulai sesi.  
Contoh berikut menunjukkan kebijakan untuk kasus di mana tipe pemanggil adalah `User`. Nilai yang Anda sediakan untuk `aws:ssmmessages:session-id` adalah ID pengguna. Dalam contoh ini, `AIDIODR4TAW7CSEXAMPLE` mewakili ID pengguna di Akun AWS Anda. Untuk mengambil ID untuk pengguna di Anda Akun AWS, gunakan perintah IAM,. `get-user` Untuk selengkapnya[, lihat mendapatkan pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/get-user.html) di AWS Identity and Access Management bagian Panduan Pengguna *IAM*.     
****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                "ssm:TerminateSession"
             ],
             "Resource": "*",
             "Condition": {
                 "StringLike": {
                     "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "AIDIODR4TAW7CSEXAMPLE"
                     ]
                 }
             }
         }
     ]
}
```
Contoh berikut menunjukkan kebijakan untuk kasus di mana tipe pemanggil adalah `AssumedRole`. Anda dapat menggunakan variabel `{aws:userid}` untuk nilai yang Anda sediakan untuk `aws:ssmmessages:session-id`. Atau, Anda dapat hardcode ID peran untuk nilai yang Anda sediakan untuk `aws:ssmmessages:session-id`. Jika Anda hardcode ID peran, Anda harus memberi nilai dalam format `role-id:caller-specified-role-name`. Misalnya, `AIDIODR4TAW7CSEXAMPLE:MyRole`.  
Agar tanda sistem diterapkan, ID peran yang Anda sediakan hanya dapat berisi karakter berikut: huruf Unicode, 0-9, spasi, `_`, `.`, `:`, `/`, `=`, `+`, `-`, `@`, dan `\`.
Untuk mengambil ID peran untuk peran dalam Anda Akun AWS, gunakan `get-caller-identity` perintah. Untuk informasi, lihat [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)di Referensi AWS CLI Perintah.     
****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                "ssm:TerminateSession"
             ],
             "Resource": "*",
             "Condition": {
                 "StringLike": {
                     "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}*"
                     ]
                 }
             }
         }
     ]
}
```
Jika pengguna mencoba mengakhiri sesi yang belum diberi izin `TerminateSession` ini, mereka menerima kesalahan `AccessDeniedException`.

**`aws:ssmmessages:target-id`** dan **`aws:ssmmessages:session-id`**  
Anda juga dapat membuat kebijakan IAM yang mengizinkan pengguna untuk mengakhiri sesi yang ditandai dengan kedua tanda sistem, seperti yang ditunjukkan dalam contoh ini.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:TerminateSession"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/aws:ssmmessages:target-id":[
                  "i-02573cafcfEXAMPLE"
               ],
               "ssm:resourceTag/aws:ssmmessages:session-id":[
                  "${aws:userid}*"
               ]
            }
         }
      }
   ]
}
```

## Contoh 5: Izinkan akses penuh (administratif) ke semua sesi
<a name="restrict-access-example-full-access"></a>

Kebijakan IAM berikut memungkinkan pengguna untuk sepenuhnya berinteraksi dengan semua node terkelola dan semua sesi yang dibuat oleh semua pengguna untuk semua node. Ini harus diberikan hanya kepada Administrator yang membutuhkan kontrol penuh atas Session Manager aktivitas organisasi Anda.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession",
                "ssm:ResumeSession",
                "ssm:DescribeSessions",
                "ssm:GetConnectionStatus"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
       }
    ]
}
```

------

# Langkah 4: Konfigurasi preferensi sesi
<a name="session-manager-getting-started-configure-preferences"></a>

Pengguna yang telah diberikan izin administratif dalam kebijakan AWS Identity and Access Management (IAM) mereka dapat mengonfigurasi preferensi sesi, termasuk yang berikut:
+ Aktifkan dukungan Run As untuk node Linux terkelola. Hal ini memungkinkan untuk memulai sesi menggunakan kredensional dari pengguna sistem operasi tertentu, bukan kredensi `ssm-user` akun yang dihasilkan sistem yang AWS Systems Manager Session Manager dapat dibuat pada node terkelola.
+ Konfigurasikan Session Manager untuk menggunakan AWS KMS key enkripsi untuk memberikan perlindungan tambahan pada data yang dikirimkan antara mesin klien dan node terkelola.
+ Konfigurasikan Session Manager untuk membuat dan mengirim log riwayat sesi ke bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs. Data log yang disimpan kemudian dapat digunakan untuk melaporkan koneksi sesi yang dibuat ke node terkelola Anda dan perintah berjalan pada mereka selama sesi.
+ Konfigurasi batas waktu sesi. Anda dapat menggunakan pengaturan ini untuk menentukan kapan untuk mengakhiri sesi setelah periode tidak aktif.
+ Konfigurasikan Session Manager untuk menggunakan profil shell yang dapat dikonfigurasi. Profil yang dapat dikustomisasi ini mengizinkan Anda untuk menentukan preferensi dalam sesi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.

Untuk informasi selengkapnya tentang izin yang diperlukan untuk mengonfigurasi Session Manager preferensi, lihat. [Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager](preference-setting-permissions.md)

**Topics**
+ [Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager](preference-setting-permissions.md)
+ [Tentukan nilai waktu habis sesi idle](session-preferences-timeout.md)
+ [Tentukan durasi sesi maksimum](session-preferences-max-timeout.md)
+ [Izinkan profil shell yang dapat dikonfigurasi](session-preferences-shell-config.md)
+ [Aktifkan dukungan Run As untuk Linux dan node macOS terkelola](session-preferences-run-as.md)
+ [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md)
+ [Buat dokumen Session Manager preferensi (baris perintah)](getting-started-create-preferences-cli.md)
+ [Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md)

Untuk informasi tentang menggunakan konsol Systems Manager untuk mengkonfigurasi opsi data sesi log, lihat topik berikut:
+  [Log data sesi menggunakan Amazon S3 (konsol)](session-manager-logging-s3.md) 
+  [Streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cwl-streaming.md) 
+  [Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cloudwatch-logs.md) 

# Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager
<a name="preference-setting-permissions"></a>

Preferensi akun disimpan sebagai dokumen AWS Systems Manager (SSM) untuk masing-masing Wilayah AWS dokumen. Sebelum pengguna dapat memperbarui preferensi akun untuk sesi di akun Anda, mereka harus diberikan izin yang diperlukan untuk mengakses tipe dokumen SSM tempat preferensi ini disimpan. Izin ini diberikan melalui kebijakan AWS Identity and Access Management (IAM).

**Kebijakan administrator untuk mengizinkan preferensi akan dibuat dan diperbarui**  
Administrator dapat memiliki kebijakan berikut untuk membuat dan memperbarui preferensi kapan saja. Kebijakan berikut mengizinkan izin untuk mengakses dan memperbarui dokumen `SSM-SessionManagerRunShell` dalam akun us-east-2 123456789012. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}
```

------

**Kebijakan pengguna untuk mencegah preferensi diperbarui**  
Gunakan kebijakan berikut untuk mencegah pengguna akhir di akun Anda memperbarui atau mengesampingkan Session Manager preferensi apa pun. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}
```

------

# Tentukan nilai waktu habis sesi idle
<a name="session-preferences-timeout"></a>

Session Manager, alat di AWS Systems Manager, memungkinkan Anda untuk menentukan jumlah waktu untuk memungkinkan pengguna menjadi tidak aktif sebelum sistem mengakhiri sesi. Secara default, waktu habis sesi setelah 20 menit tidak aktif. Anda dapat memodifikasi pengaturan ini untuk menentukan bahwa waktu habis sesi antara 1 dan 60 menit tidak aktif. Beberapa agen keamanan komputasi profesional merekomendasikan pengaturan batas waktu sesi idle hingga maksimum 15 menit. 

Timer batas waktu sesi idle akan disetel ulang saat Session Manager menerima input sisi klien. Masukan ini termasuk, tetapi tidak terbatas pada:
+ Masukan keyboard di terminal
+ Acara mengubah ukuran jendela terminal atau browser
+ Session reconnection (ResumeSession), yang dapat terjadi karena gangguan jaringan, manajemen tab browser, atau pemutusan WebSocket 

Karena peristiwa ini mengatur ulang pengatur waktu idle, sesi mungkin tetap aktif lebih lama daripada periode batas waktu yang dikonfigurasi bahkan tanpa perintah terminal langsung.

Jika persyaratan keamanan Anda mengamanatkan batas durasi sesi yang ketat terlepas dari aktivitas, gunakan pengaturan *Durasi sesi maksimum* selain batas waktu idle. Untuk informasi selengkapnya, lihat [Tentukan durasi sesi maksimum](session-preferences-max-timeout.md).

**Untuk mengizinkan waktu habis sesi idle (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Tentukan jumlah waktu untuk mengizinkan pengguna menjadi tidak aktif sebelum sesi berakhir di bidang **menit** di bawah **Waktu habis sesi idle**.

1. Pilih **Simpan**.

# Tentukan durasi sesi maksimum
<a name="session-preferences-max-timeout"></a>

Session Manager, alat di AWS Systems Manager, memungkinkan Anda untuk menentukan durasi maksimum sesi sebelum berakhir. Secara default, sesi tidak memiliki durasi maksimum. Nilai yang Anda tentukan untuk durasi sesi maksimum harus antara 1 dan 1.440 menit.

**Untuk menentukan durasi sesi maksimum (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Pilih kotak centang di samping **Aktifkan durasi sesi maksimum**.

1. Tentukan durasi maksimum sesi sebelum berakhir di bidang **menit** di bawah **Durasi sesi maksimum**.

1. Pilih **Simpan**.

# Izinkan profil shell yang dapat dikonfigurasi
<a name="session-preferences-shell-config"></a>

Secara default, sesi pada instans EC2 untuk Linux mulai menggunakan shell Bourne (sh). Namun, Anda mungkin lebih suka menggunakan shell lain seperti bash. Dengan mengizinkan profil shell yang dapat dikonfigurasi, Anda dapat mengustomisasikan preferensi dalam sesi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.

**penting**  
Systems Manager tidak memeriksa perintah atau skrip di profil shell Anda untuk melihat perubahan apa yang akan dibuat untuk instans sebelum dijalankan. Untuk membatasi kemampuan pengguna memodifikasi perintah atau skrip yang dimasukkan dalam profil shell mereka, kami merekomendasikan hal berikut:  
Buat dokumen tipe sesi yang dikustomisasi untuk pengguna dan peran AWS Identity and Access Management (IAM) . Kemudian modifikasi kebijakan IAM untuk pengguna dan peran ini sehingga operasi API `StartSession` hanya dapat menggunakan dokumen tipe Sesi yang telah Anda buat untuk mereka. Untuk informasi, lihat [Buat dokumen Session Manager preferensi (baris perintah)](getting-started-create-preferences-cli.md) dan [Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
Modifikasi kebijakan IAM untuk pengguna dan peran IAM Anda untuk menolak akses ke operasi API `UpdateDocument` untuk sumber dokumen tipe Sesi yang Anda buat. Hal ini mengizinkan pengguna dan peran Anda untuk menggunakan dokumen yang Anda buat untuk preferensi sesi mereka tanpa mengizinkan mereka untuk memodifikasi salah satu pengaturan.

**Untuk mengaktifkan profil shell yang dapat dikonfigurasi**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Tentukan variabel lingkungan, preferensi shell, atau perintah yang ingin Anda jalankan ketika sesi Anda dimulai di bidang untuk sistem operasi yang berlaku.

1. Pilih **Simpan**.

Berikut ini adalah beberapa perintah contoh yang dapat ditambahkan ke profil shell Anda.

Ubah ke shell bash dan ubah ke direktori /usr pada instance. Linux

```
exec /bin/bash
cd /usr
```

Keluarkan stempel waktu dan pesan selamat datang pada awal sesi.

------
#### [ Linux & macOS ]

```
timestamp=$(date '+%Y-%m-%dT%H:%M:%SZ')
user=$(whoami)
echo $timestamp && echo "Welcome $user"'!'
echo "You have logged in to a production instance. Note that all session activity is being logged."
```

------
#### [  Windows  ]

```
$timestamp = (Get-Date).ToString("yyyy-MM-ddTH:mm:ssZ")
$splitName = (whoami).Split("\")
$user = $splitName[1]
Write-Host $timestamp
Write-Host "Welcome $user!"
Write-Host "You have logged in to a production instance. Note that all session activity is being logged."
```

------

Lihat aktivitas sistem dinamis pada awal sesi.

------
#### [ Linux & macOS ]

```
top
```

------
#### [  Windows  ]

```
while ($true) { Get-Process | Sort-Object -Descending CPU | Select-Object -First 30; `
Start-Sleep -Seconds 2; cls
Write-Host "Handles  NPM(K)    PM(K)      WS(K) VM(M)   CPU(s)     Id ProcessName"; 
Write-Host "-------  ------    -----      ----- -----   ------     -- -----------"}
```

------

# Aktifkan dukungan Run As untuk Linux dan node macOS terkelola
<a name="session-preferences-run-as"></a>

Secara default, Session Manager mengautentikasi koneksi menggunakan kredensi `ssm-user` akun yang dihasilkan sistem yang dibuat pada node terkelola. (Di Linux dan mesin macOS, akun ini ditambahkan ke `/etc/sudoers/`.) Jika Anda memilih, Anda dapat mengautentikasi sesi menggunakan kredensi akun pengguna sistem operasi (OS), atau pengguna domain untuk instance yang bergabung ke Direktori Aktif. Dalam hal ini, Session Manager memverifikasi bahwa akun OS yang Anda tentukan ada di node, atau di domain, sebelum memulai sesi. Jika Anda mencoba memulai sesi menggunakan akun OS yang tidak ada di node, atau di domain, koneksi gagal.

**catatan**  
Session Manager tidak mendukung penggunaan akun `root` pengguna sistem operasi untuk mengautentikasi koneksi. Untuk sesi yang diautentikasi menggunakan akun pengguna OS, kebijakan tingkat OS dan direktori node, seperti pembatasan login atau pembatasan penggunaan sumber daya sistem, mungkin tidak berlaku. 

**Cara kerjanya**  
Jika Anda mengaktifkan dukungan Run As untuk sesi, sistem memeriksa izin akses sebagai berikut:

1. Untuk pengguna yang memulai sesi, apakah entitas IAM mereka (pengguna atau peran) telah ditandai? `SSMSessionRunAs = os user account name`

   Jika Ya, apakah nama pengguna OS ada di node terkelola? Jika ya, mulai sesi. Jika tidak, jangan izinkan sesi dimulai.

   Jika entitas IAM *belum* diberi tag`SSMSessionRunAs = os user account name`, lanjutkan ke langkah 2.

1. Jika entitas IAM belum diberi tag`SSMSessionRunAs = os user account name`, apakah nama pengguna OS telah ditentukan dalam preferensi Akun AWS? Session Manager

   Jika Ya, apakah nama pengguna OS ada di node terkelola? Jika ya, mulai sesi. Jika tidak, jangan izinkan sesi dimulai. 

**catatan**  
Saat Anda mengaktifkan dukungan Run As, ini mencegah Session Manager memulai sesi menggunakan `ssm-user` akun pada node terkelola. Ini berarti bahwa jika Session Manager gagal terhubung menggunakan akun pengguna OS yang ditentukan, itu tidak akan kembali ke koneksi menggunakan metode default.   
Jika Anda mengaktifkan Run As tanpa menentukan akun OS atau menandai entitas IAM, dan Anda belum menentukan akun OS dalam preferensi Session Manager, upaya koneksi sesi akan gagal.

**Untuk mengaktifkan dukungan Run As untuk Linux dan node macOS terkelola**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Pilih kotak centang di samping **Aktifkan dukungan Run As untuk Linux instance.**

1. Lakukan salah satu tindakan berikut:
   + **Opsi 1**: Di bidang **Nama pengguna sistem operasi**, masukkan nama akun pengguna OS yang ingin Anda gunakan untuk memulai sesi. Menggunakan opsi ini, semua sesi dijalankan oleh pengguna OS yang sama untuk semua pengguna di Anda Akun AWS yang terhubung menggunakanSession Manager.
   + **Opsi 2** (Disarankan): Pilih tautan **Buka konsol IAM**. Di panel navigasi, pilih **Pengguna** atau **Peran**. Pilih entitas (pengguna atau peran) untuk menambahkan tanda, dan kemudian pilih tab **Tanda**. Masukkan `SSMSessionRunAs` untuk nama kunci. Masukkan nama akun pengguna OS untuk nilai kunci. Pilih **Simpan perubahan**.

     Dengan menggunakan opsi ini, Anda dapat menentukan pengguna OS unik untuk entitas IAM yang berbeda jika Anda memilih. *Untuk informasi selengkapnya tentang menandai entitas IAM (pengguna atau peran), lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna IAM.*

     Berikut adalah contohnya.  
![\[Screenshot dari menentukan tag untuk izin Session Manager Run As.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/ssn-run-as-tags.png)

1. Pilih **Simpan**.

# Aktifkan enkripsi kunci KMS data sesi (konsol)
<a name="session-preferences-enable-encryption"></a>

Gunakan AWS Key Management Service (AWS KMS) untuk membuat dan mengelola kunci enkripsi. Dengan AWS KMS, Anda dapat mengontrol penggunaan enkripsi di berbagai Layanan AWS dan dalam aplikasi Anda. Anda dapat menentukan bahwa data sesi yang ditransmisikan antara node terkelola Anda dan mesin lokal pengguna di Anda Akun AWS dienkripsi menggunakan enkripsi kunci KMS. (Ini merupakan tambahan dari enkripsi TLS 1.2/1.3 yang AWS sudah disediakan secara default.) Untuk mengenkripsi data Session Manager sesi, buat kunci KMS *simetris* menggunakan. AWS KMS

AWS KMS enkripsi tersedia untuk`Standard_Stream`,`InteractiveCommands`, dan jenis `NonInteractiveCommands` sesi. Untuk menggunakan opsi untuk mengenkripsi data sesi menggunakan kunci yang dibuat AWS KMS, versi 2.3.539.0 atau yang lebih baru AWS Systems Manager SSM Agent harus diinstal pada node terkelola. 

**catatan**  
Anda harus mengizinkan AWS KMS enkripsi untuk mengatur ulang kata sandi pada node terkelola Anda dari AWS Systems Manager konsol. Untuk informasi selengkapnya, lihat [Setel ulang kata sandi pada node terkelola](fleet-manager-reset-password.md#managed-instance-reset-a-password).

Anda dapat menggunakan kunci yang Anda buat di Akun AWS. Anda juga dapat menggunakan kunci yang dibuat dalam Akun AWS yang berbeda. Pembuat kunci di tempat lain Akun AWS harus memberi Anda izin yang diperlukan untuk menggunakan kunci tersebut.

Setelah Anda mengaktifkan enkripsi kunci KMS untuk data sesi Anda, baik pengguna yang memulai sesi dan node terkelola yang mereka sambungkan harus memiliki izin untuk menggunakan kunci tersebut. Anda memberikan izin untuk menggunakan kunci KMS dengan kebijakan Session Manager through AWS Identity and Access Management (IAM). Untuk informasi, lihat topik berikut:
+ Tambahkan AWS KMS izin untuk pengguna di akun Anda:[Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md).
+ Tambahkan AWS KMS izin untuk node terkelola di akun Anda:[Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md).

Untuk informasi lebih lanjut tentang membuat dan mengelola kunci KMS, lihat [https://docs.aws.amazon.com/kms/latest/developerguide/](https://docs.aws.amazon.com/kms/latest/developerguide/).

Untuk informasi tentang penggunaan AWS CLI untuk mengaktifkan enkripsi kunci KMS dari data sesi di akun Anda, lihat [Buat dokumen Session Manager preferensi (baris perintah)](getting-started-create-preferences-cli.md) atau[Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).

**catatan**  
Ada biaya untuk menggunakan kunci KMS. Untuk informasi, lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

**Untuk mengaktifkan enkripsi kunci KMS data sesi (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Pilih kotak centang di sebelah **Aktifkan enkripsi KMS**.

1. Lakukan salah satu tindakan berikut:
   + Pilih tombol di samping **Pilih kunci KMS di akun saya saat ini**, lalu pilih kunci dari daftar.

     -atau-

     Pilih tombol di samping **Masukkan alias kunci KMS atau ARN kunci KMS**. Secara manual masukkan alias kunci KMS untuk kunci yang dibuat di akun Anda saat ini, atau masukkan Amazon Resource Name (ARN) kunci untuk kunci di akun lain. Berikut ini adalah contoh-contohnya:
     + Alias kunci: `alias/my-kms-key-alias`
     + ARN kunci: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`

     -atau-

     Pilih **Buat kunci baru** untuk membuat kunci KMS baru di akun Anda. Setelah Anda membuat kunci baru, kembali ke tab **Preferensi** dan pilih kunci untuk mengenkripsi data sesi di akun Anda.

   Untuk informasi selengkapnya tentang berbagi kunci, lihat [Mengizinkan Eksternal Akun AWS Mengakses kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-external-accounts) di *Panduan AWS Key Management Service Pengembang*.

1. Pilih **Simpan**.

# Buat dokumen Session Manager preferensi (baris perintah)
<a name="getting-started-create-preferences-cli"></a>

Gunakan prosedur berikut untuk membuat dokumen SSM yang menentukan preferensi Anda untuk AWS Systems Manager Session Manager sesi. Anda dapat menggunakan dokumen untuk mengonfigurasi opsi sesi termasuk enkripsi data, durasi sesi, dan pencatatan. Misalnya, Anda dapat menentukan apakah akan menyimpan data log sesi di bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs. Anda dapat membuat dokumen yang menentukan preferensi umum untuk semua sesi untuk Akun AWS dan Wilayah AWS, atau yang menentukan preferensi untuk sesi individual. 

**catatan**  
Anda juga dapat mengonfigurasi preferensi sesi umum dengan menggunakan konsol Pengelola Sesi.

Dokumen yang digunakan untuk mengatur preferensi Manajer Sesi harus memiliki `sessionType` a`Standard_Stream`. Untuk informasi selengkapnya tentang dokumen Sesi, lihat[Skema dokumen sesi](session-manager-schema.md).

Untuk informasi tentang menggunakan baris perintah untuk memperbarui Session Manager preferensi yang ada, lihat[Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).

Untuk contoh cara membuat preferensi sesi menggunakan CloudFormation, lihat [Membuat dokumen Systems Manager untuk Session Manager preferensi](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-document.html#aws-resource-ssm-document--examples) di *Panduan AWS CloudFormation Pengguna*.

**catatan**  
Prosedur ini menjelaskan cara membuat dokumen untuk mengatur Session Manager preferensi di Akun AWS level tersebut. Untuk membuat dokumen yang akan digunakan untuk mengatur preferensi tingkat sesi, tentukan nilai selain `SSM-SessionManagerRunShell` untuk input perintah terkait nama file.   
Untuk menggunakan dokumen Anda untuk mengatur preferensi untuk sesi yang dimulai dari AWS Command Line Interface (AWS CLI), berikan nama dokumen sebagai nilai `--document-name` parameter. Untuk mengatur preferensi sesi yang dimulai dari konsol Pengelola Sesi, Anda dapat mengetik atau memilih nama dokumen dari daftar.

**Untuk membuat Session Manager preferensi (baris perintah)**

1. Buat file JSON pada mesin lokal Anda dengan nama seperti `SessionManagerRunShell.json`, dan kemudian tempel konten berikut ke dalamnya.

   ```
   {
       "schemaVersion": "1.0",
       "description": "Document to hold regional settings for Session Manager",
       "sessionType": "Standard_Stream",
       "inputs": {
           "s3BucketName": "",
           "s3KeyPrefix": "",
           "s3EncryptionEnabled": true,
           "cloudWatchLogGroupName": "",
           "cloudWatchEncryptionEnabled": true,
           "cloudWatchStreamingEnabled": false,
           "kmsKeyId": "",
           "runAsEnabled": false,
           "runAsDefaultUser": "",
           "idleSessionTimeout": "",
           "maxSessionDuration": "",
           "shellProfile": {
               "windows": "date",
               "linux": "pwd;ls"
           }
       }
   }
   ```

   Anda juga dapat meluluskan nilai ke preferensi sesi Anda menggunakan parameter bukan hardcoding nilai seperti yang ditunjukkan dalam contoh berikut.

   ```
   {
      "schemaVersion":"1.0",
      "description":"Session Document Parameter Example JSON Template",
      "sessionType":"Standard_Stream",
      "parameters":{
         "s3BucketName":{
            "type":"String",
            "default":""
         },
         "s3KeyPrefix":{
            "type":"String",
            "default":""
         },
         "s3EncryptionEnabled":{
            "type":"Boolean",
            "default":"false"
         },
         "cloudWatchLogGroupName":{
            "type":"String",
            "default":""
         },
         "cloudWatchEncryptionEnabled":{
            "type":"Boolean",
            "default":"false"
         }
      },
      "inputs":{
         "s3BucketName":"{{s3BucketName}}",
         "s3KeyPrefix":"{{s3KeyPrefix}}",
         "s3EncryptionEnabled":"{{s3EncryptionEnabled}}",
         "cloudWatchLogGroupName":"{{cloudWatchLogGroupName}}",
         "cloudWatchEncryptionEnabled":"{{cloudWatchEncryptionEnabled}}",
         "kmsKeyId":""
      }
   }
   ```

1. Tentukan di mana Anda ingin mengirim data sesi. Anda dapat menentukan nama bucket S3 (dengan awalan opsional) atau nama grup CloudWatch log Log. Jika Anda ingin mengenkripsi data lebih lanjut antara klien lokal dan node terkelola, berikan kunci KMS yang akan digunakan untuk enkripsi. Berikut adalah contohnya.

   ```
   {
     "schemaVersion": "1.0",
     "description": "Document to hold regional settings for Session Manager",
     "sessionType": "Standard_Stream",
     "inputs": {
       "s3BucketName": "amzn-s3-demo-bucket",
       "s3KeyPrefix": "MyS3Prefix",
       "s3EncryptionEnabled": true,
       "cloudWatchLogGroupName": "MyLogGroupName",
       "cloudWatchEncryptionEnabled": true,
       "cloudWatchStreamingEnabled": false,
       "kmsKeyId": "MyKMSKeyID",
       "runAsEnabled": true,
       "runAsDefaultUser": "MyDefaultRunAsUser",
       "idleSessionTimeout": "20",
       "maxSessionDuration": "60",
       "shellProfile": {
           "windows": "MyCommands",
           "linux": "MyCommands"
       }
     }
   }
   ```
**catatan**  
Jika Anda tidak ingin mengenkripsi data log sesi, ubah `true` ke `false` untuk `s3EncryptionEnabled`.  
Jika Anda tidak mengirim log ke bucket Amazon S3 atau grup CloudWatch log Log, tidak ingin mengenkripsi data sesi aktif, atau tidak ingin mengaktifkan dukungan Run As untuk sesi di akun Anda, Anda dapat menghapus baris untuk opsi tersebut. Pastikan baris terakhir di bagian `inputs` tidak berakhir dengan koma.  
Jika Anda menambahkan ID kunci KMS untuk mengenkripsi data sesi Anda, baik pengguna yang memulai sesi dan node terkelola yang mereka sambungkan harus memiliki izin untuk menggunakan kunci tersebut. Anda memberikan izin untuk menggunakan kunci KMS Session Manager melalui kebijakan IAM. Untuk informasi, lihat topik berikut:  
Tambahkan AWS KMS izin untuk pengguna di akun Anda: [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md)
Tambahkan AWS KMS izin untuk node terkelola di akun Anda: [Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md)

1. Simpan file tersebut.

1. Dalam direktori tempat Anda membuat file JSON, jalankan perintah berikut.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-document \
       --name SSM-SessionManagerRunShell \
       --content "file://SessionManagerRunShell.json" \
       --document-type "Session" \
       --document-format JSON
   ```

------
#### [  Windows  ]

   ```
   aws ssm create-document ^
       --name SSM-SessionManagerRunShell ^
       --content "file://SessionManagerRunShell.json" ^
       --document-type "Session" ^
       --document-format JSON
   ```

------
#### [   PowerShell   ]

   ```
   New-SSMDocument `
       -Name "SSM-SessionManagerRunShell" `
       -Content (Get-Content -Raw SessionManagerRunShell.json) `
       -DocumentType "Session" `
       -DocumentFormat JSON
   ```

------

   Jika berhasil, perintah mengembalikan output yang serupa dengan berikut.

   ```
   {
       "DocumentDescription": {
           "Status": "Creating",
           "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
           "Name": "SSM-SessionManagerRunShell",
           "Tags": [],
           "DocumentType": "Session",
           "PlatformTypes": [
               "Windows",
               "Linux"
           ],
           "DocumentVersion": "1",
           "HashType": "Sha256",
           "CreatedDate": 1547750660.918,
           "Owner": "111122223333",
           "SchemaVersion": "1.0",
           "DefaultVersion": "1",
           "DocumentFormat": "JSON",
           "LatestVersion": "1"
       }
   }
   ```

# Perbarui Session Manager preferensi (baris perintah)
<a name="getting-started-configure-preferences-cli"></a>

Prosedur berikut menjelaskan cara menggunakan alat baris perintah pilihan Anda untuk membuat perubahan pada AWS Systems Manager Session Manager preferensi untuk Anda Akun AWS di yang dipilih Wilayah AWS. Gunakan Session Manager preferensi untuk menentukan opsi untuk mencatat data sesi di bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs. Anda juga dapat menggunakan Session Manager preferensi untuk mengenkripsi data sesi Anda.

**Untuk memperbarui Session Manager preferensi (baris perintah)**

1. Buat file JSON pada mesin lokal Anda dengan nama seperti `SessionManagerRunShell.json`, dan kemudian tempel konten berikut ke dalamnya.

   ```
   {
       "schemaVersion": "1.0",
       "description": "Document to hold regional settings for Session Manager",
       "sessionType": "Standard_Stream",
       "inputs": {
           "s3BucketName": "",
           "s3KeyPrefix": "",
           "s3EncryptionEnabled": true,
           "cloudWatchLogGroupName": "",
           "cloudWatchEncryptionEnabled": true,
           "cloudWatchStreamingEnabled": false,
           "kmsKeyId": "",
           "runAsEnabled": true,
           "runAsDefaultUser": "",
           "idleSessionTimeout": "",
           "maxSessionDuration": "",
           "shellProfile": {
               "windows": "date",
               "linux": "pwd;ls"
           }
       }
   }
   ```

1. Tentukan di mana Anda ingin mengirim data sesi. Anda dapat menentukan nama bucket S3 (dengan awalan opsional) atau nama grup CloudWatch log Log. Jika Anda ingin mengenkripsi data lebih lanjut antara klien lokal dan node terkelola, sediakan AWS KMS key untuk digunakan untuk enkripsi. Berikut adalah contohnya.

   ```
   {
     "schemaVersion": "1.0",
     "description": "Document to hold regional settings for Session Manager",
     "sessionType": "Standard_Stream",
     "inputs": {
       "s3BucketName": "amzn-s3-demo-bucket",
       "s3KeyPrefix": "MyS3Prefix",
       "s3EncryptionEnabled": true,
       "cloudWatchLogGroupName": "MyLogGroupName",
       "cloudWatchEncryptionEnabled": true,
       "cloudWatchStreamingEnabled": false,
       "kmsKeyId": "MyKMSKeyID",
       "runAsEnabled": true,
       "runAsDefaultUser": "MyDefaultRunAsUser",
       "idleSessionTimeout": "20",
       "maxSessionDuration": "60",
       "shellProfile": {
           "windows": "MyCommands",
           "linux": "MyCommands"
       }
     }
   }
   ```
**catatan**  
Jika Anda tidak ingin mengenkripsi data log sesi, ubah `true` ke `false` untuk `s3EncryptionEnabled`.  
Jika Anda tidak mengirim log ke bucket Amazon S3 atau grup CloudWatch log Log, tidak ingin mengenkripsi data sesi aktif, atau tidak ingin mengaktifkan dukungan Run As untuk sesi di akun Anda, Anda dapat menghapus baris untuk opsi tersebut. Pastikan baris terakhir di bagian `inputs` tidak berakhir dengan koma.  
Jika Anda menambahkan ID kunci KMS untuk mengenkripsi data sesi Anda, baik pengguna yang memulai sesi dan node terkelola yang mereka sambungkan harus memiliki izin untuk menggunakan kunci tersebut. Anda memberikan izin untuk menggunakan kunci KMS dengan kebijakan Session Manager through AWS Identity and Access Management (IAM). Untuk informasi, lihat topik berikut:  
Tambahkan AWS KMS izin untuk pengguna di akun Anda:[Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md).
Tambahkan AWS KMS izin untuk node terkelola di akun Anda:[Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md).

1. Simpan file tersebut.

1. Dalam direktori tempat Anda membuat file JSON, jalankan perintah berikut.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-document \
       --name "SSM-SessionManagerRunShell" \
       --content "file://SessionManagerRunShell.json" \
       --document-version "\$LATEST"
   ```

------
#### [  Windows  ]

   ```
   aws ssm update-document ^
       --name "SSM-SessionManagerRunShell" ^
       --content "file://SessionManagerRunShell.json" ^
       --document-version "$LATEST"
   ```

------
#### [   PowerShell   ]

   ```
   Update-SSMDocument `
       -Name "SSM-SessionManagerRunShell" `
       -Content (Get-Content -Raw SessionManagerRunShell.json) `
       -DocumentVersion '$LATEST'
   ```

------

   Jika berhasil, perintah mengembalikan output yang serupa dengan berikut.

   ```
   {
       "DocumentDescription": {
           "Status": "Updating",
           "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
           "Name": "SSM-SessionManagerRunShell",
           "Tags": [],
           "DocumentType": "Session",
           "PlatformTypes": [
               "Windows",
               "Linux"
           ],
           "DocumentVersion": "2",
           "HashType": "Sha256",
           "CreatedDate": 1537206341.565,
           "Owner": "111122223333",
           "SchemaVersion": "1.0",
           "DefaultVersion": "1",
           "DocumentFormat": "JSON",
           "LatestVersion": "2"
       }
   }
   ```

# Langkah 5: (Opsional) Batasi akses ke perintah dalam sesi
<a name="session-manager-restrict-command-access"></a>

Anda dapat membatasi perintah yang dapat dijalankan pengguna dalam AWS Systems Manager Session Manager sesi dengan menggunakan dokumen `Session` tipe kustom AWS Systems Manager (SSM). Dalam dokumen, Anda menentukan perintah yang dijalankan ketika pengguna memulai sesi dan parameter yang dapat diberikan pengguna ke perintah. Dokumen `Session` dari `schemaVersion` harus 1.0, dan `sessionType` dokumen harus `InteractiveCommands`. Anda kemudian dapat membuat kebijakan AWS Identity and Access Management (IAM) yang memungkinkan pengguna mengakses hanya `Session` dokumen yang Anda tentukan. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM untuk membatasi akses ke perintah dalam sesi, lihat [Contoh kebijakan IAM untuk perintah interaktif](#interactive-command-policy-examples).

Dokumen dengan `sessionType` of hanya `InteractiveCommands` didukung untuk sesi yang dimulai dari AWS Command Line Interface (AWS CLI). Pengguna memberikan nama dokumen kustom sebagai nilai `--document-name` parameter dan memberikan nilai parameter perintah apa pun menggunakan `--parameters` opsi. Untuk informasi selengkapnya tentang menjalankan perintah interaktif, lihat [Memulai sesi (perintah interaktif dan noninteraktif)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).

Gunakan prosedur berikut untuk membuat dokumen SSM `Session` tipe kustom yang mendefinisikan perintah pengguna diizinkan untuk menjalankan.

## Batasi akses ke perintah dalam sesi (konsol)
<a name="restrict-command-access-console"></a>

**Untuk membatasi perintah yang dapat dijalankan pengguna dalam Session Manager sesi (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Dokumen**.

1. Pilih **Buat perintah atau sesi**.

1. Untuk **Nama**, masukkan nama deskriptif untuk dokumen.

1. Untuk **tipe dokumen**, pilih **Dokumen sesi**.

1. Masukkan konten dokumen Anda yang mendefinisikan perintah yang dapat dijalankan pengguna dalam Session Manager sesi menggunakan JSON atau YAMM, seperti yang ditunjukkan pada contoh berikut.

------
#### [ YAML ]

   ```
   ---
   schemaVersion: '1.0'
   description: Document to view a log file on a Linux instance
   sessionType: InteractiveCommands
   parameters:
     logpath:
       type: String
       description: The log file path to read.
       default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
       allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
   properties:
     linux:
       commands: "tail -f {{ logpath }}"
       runAsElevated: true
   ```

------
#### [ JSON ]

   ```
   {
       "schemaVersion": "1.0",
       "description": "Document to view a log file on a Linux instance",
       "sessionType": "InteractiveCommands",
       "parameters": {
           "logpath": {
               "type": "String",
               "description": "The log file path to read.",
               "default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
               "allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
           }
       },
       "properties": {
           "linux": {
               "commands": "tail -f {{ logpath }}",
               "runAsElevated": true
           }
       }
   }
   ```

------

1. Pilih **Buat dokumen**.

## Batasi akses ke perintah dalam sesi (baris perintah)
<a name="restrict-command-access-commandline"></a>

**Sebelum Anda mulai**  
Jika Anda belum melakukannya, instal dan konfigurasikan AWS Command Line Interface (AWS CLI) atau file Alat AWS untuk PowerShell. Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

**Untuk membatasi perintah yang dapat dijalankan pengguna dalam Session Manager sesi (baris perintah)**

1. Buat file JSON atau YAMAL untuk konten dokumen Anda yang mendefinisikan perintah yang dapat dijalankan pengguna dalam Session Manager sesi, seperti yang ditunjukkan pada contoh berikut.

------
#### [ YAML ]

   ```
   ---
   schemaVersion: '1.0'
   description: Document to view a log file on a Linux instance
   sessionType: InteractiveCommands
   parameters:
     logpath:
       type: String
       description: The log file path to read.
       default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
       allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
   properties:
     linux:
       commands: "tail -f {{ logpath }}"
       runAsElevated: true
   ```

------
#### [ JSON ]

   ```
   {
       "schemaVersion": "1.0",
       "description": "Document to view a log file on a Linux instance",
       "sessionType": "InteractiveCommands",
       "parameters": {
           "logpath": {
               "type": "String",
               "description": "The log file path to read.",
               "default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
               "allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
           }
       },
       "properties": {
           "linux": {
               "commands": "tail -f {{ logpath }}",
               "runAsElevated": true
           }
       }
   }
   ```

------

1. Jalankan perintah berikut untuk membuat dokumen SSM menggunakan konten Anda yang mendefinisikan perintah yang dapat dijalankan pengguna dalam sesi. Session Manager

------
#### [ Linux & macOS ]

   ```
   aws ssm create-document \
       --content file://path/to/file/documentContent.json \
       --name "exampleAllowedSessionDocument" \
       --document-type "Session"
   ```

------
#### [  Windows  ]

   ```
   aws ssm create-document ^
       --content file://C:\path\to\file\documentContent.json ^
       --name "exampleAllowedSessionDocument" ^
       --document-type "Session"
   ```

------
#### [   PowerShell   ]

   ```
   $json = Get-Content -Path "C:\path\to\file\documentContent.json" | Out-String
   New-SSMDocument `
       -Content $json `
       -Name "exampleAllowedSessionDocument" `
       -DocumentType "Session"
   ```

------

## Parameter perintah interaktif dan AWS CLI
<a name="restrict-command-access-parameters-cli"></a>

Ada berbagai cara yang dapat Anda lakukan dalam memberikan parameter perintah interaktif saat menggunakan AWS CLI. Bergantung pada sistem operasi (OS) mesin klien Anda yang Anda gunakan untuk terhubung ke node terkelola dengan AWS CLI, sintaks yang Anda berikan untuk perintah yang berisi karakter khusus atau escape mungkin berbeda. Contoh berikut menunjukkan beberapa cara berbeda Anda dapat memberikan parameter perintah saat menggunakan AWS CLI, dan cara menangani karakter khusus atau escape.

Parameter yang disimpan dalam Parameter Store dapat direferensikan dalam AWS CLI untuk parameter perintah Anda seperti yang ditunjukkan pada contoh berikut.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name MyInteractiveCommandDocument \ 
    --parameters '{"command":["{{ssm:mycommand}}"]}'
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name MyInteractiveCommandDocument ^
    --parameters '{"command":["{{ssm:mycommand}}"]}'
```

------

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan sintaks singkat dengan AWS CLI untuk meneruskan parameter.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name MyInteractiveCommandDocument \ 
    --parameters command="ifconfig"
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name MyInteractiveCommandDocument ^
    --parameters command="ipconfig"
```

------

Anda juga dapat memberikan parameter di JSON seperti yang ditunjukkan dalam contoh berikut.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name MyInteractiveCommandDocument \ 
    --parameters '{"command":["ifconfig"]}'
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name MyInteractiveCommandDocument ^
    --parameters '{"command":["ipconfig"]}'
```

------

Parameter juga dapat disimpan dalam file JSON dan disediakan untuk AWS CLI seperti yang ditunjukkan pada contoh berikut. Untuk informasi lebih lanjut tentang penggunaan parameter AWS CLI dari file, lihat [Memuat parameter AWS CLI dari file](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-file.html) di *Panduan Pengguna AWS Command Line Interface *.

```
{
    "command": [
        "my command"
    ]
}
```

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name MyInteractiveCommandDocument \ 
    --parameters file://complete/path/to/file/parameters.json
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name MyInteractiveCommandDocument ^
    --parameters file://complete/path/to/file/parameters.json
```

------

Anda juga dapat menghasilkan AWS CLI kerangka dari file input JSON seperti yang ditunjukkan pada contoh berikut. *Untuk informasi selengkapnya tentang menghasilkan AWS CLI kerangka dari file input JSON, lihat [Menghasilkan AWS CLI kerangka dan parameter input dari file input JSON atau YAMM di Panduan Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-skeleton.html).AWS Command Line Interface *

```
{
    "Target": "instance-id",
    "DocumentName": "MyInteractiveCommandDocument",
    "Parameters": {
        "command": [
            "my command"
        ]
    }
}
```

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --cli-input-json file://complete/path/to/file/parameters.json
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --cli-input-json file://complete/path/to/file/parameters.json
```

------

Agar karakter escape di dalam tanda kutip, Anda harus menambahkan garis miring tambahan untuk karakter escape seperti yang ditunjukkan dalam contoh berikut.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name MyInteractiveCommandDocument \ 
    --parameters '{"command":["printf \"abc\\\\tdef\""]}'
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name MyInteractiveCommandDocument ^
    --parameters '{"command":["printf \"abc\\\\tdef\""]}'
```

------

Untuk informasi tentang menggunakan tanda kutip dengan parameter perintah di AWS CLI lihat [Menggunakan tanda kutip dengan string di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-quoting-strings.html) pada *AWS Command Line Interface Panduan Pengguna*.

## Contoh kebijakan IAM untuk perintah interaktif
<a name="interactive-command-policy-examples"></a>

Anda dapat membuat kebijakan IAM yang mengizinkan pengguna untuk mengakses hanya dokumen `Session` yang Anda tentukan. Ini membatasi perintah yang dapat dijalankan pengguna dalam Session Manager sesi hanya pada perintah yang ditentukan dalam dokumen SSM `Session` tipe kustom Anda.

 **Izinkan pengguna menjalankan perintah interaktif pada satu node terkelola**     
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ssm:StartSession",
         "Resource":[
            "arn:aws:ec2:us-east-1:444455556666:instance/i-02573cafcfEXAMPLE",
            "arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
         ]
      },
      {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
      }
   ]
}
```

 **Izinkan pengguna menjalankan perintah interaktif pada semua node yang dikelola**     
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ssm:StartSession",
         "Resource":[
            "arn:aws:ec2:us-east-1:444455556666:instance/*",
            "arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
         ]
      },
      {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
      }
   ]
}
```

 **Izinkan pengguna menjalankan beberapa perintah interaktif pada semua node yang dikelola**     
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ssm:StartSession",
         "Resource":[
            "arn:aws:ec2:us-east-1:444455556666:instance/*",
            "arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document",
            "arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document-2"
         ]
      },
      {
         "Effect": "Allow",
         "Action": ["ssmmessages:OpenDataChannel"],
         "Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
      }
   ]
}
```

# Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager
<a name="session-manager-getting-started-privatelink"></a>

Anda dapat lebih meningkatkan postur keamanan node terkelola Anda dengan mengonfigurasi AWS Systems Manager untuk menggunakan titik akhir antarmuka virtual private cloud (VPC). Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon Elastic Compute Cloud (Amazon EC2) dan Systems Manager APIs secara pribadi dengan menggunakan alamat IP pribadi. 

AWS PrivateLink membatasi semua lalu lintas jaringan antara node terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. (Node terkelola tidak memiliki akses ke internet.) Selain itu, Anda tidak memerlukan gateway internet, perangkat NAT, atau gateway privat virtual. 

Untuk informasi tentang membuat titik akhir VPC, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC](setup-create-vpc.md) untuk Systems Manager.

Alternatif untuk menggunakan titik akhir VPC adalah mengizinkan akses internet keluar pada node terkelola Anda. Dalam hal ini, node yang dikelola juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:
+  `ec2messages.region.amazonaws.com` 
+  `ssm.region.amazonaws.com` 
+  `ssmmessages.region.amazonaws.com` 

Systems Manager menggunakan yang terakhir dari titik akhir ini`ssmmessages.region.amazonaws.com`,, untuk melakukan panggilan dari SSM Agent ke Session Manager layanan di cloud.

Untuk menggunakan fitur opsional seperti enkripsi AWS Key Management Service (AWS KMS), streaming log ke Amazon CloudWatch Logs (CloudWatch Log), dan mengirim log ke Amazon Simple Storage Service (Amazon S3), Anda harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:
+  `kms.region.amazonaws.com` 
+  `logs.region.amazonaws.com` 
+  `s3.region.amazonaws.com` 

Untuk informasi lebih lanjut tentang titik akhir yang diperlukan untuk Systems Manager, lihat [Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).

# Langkah 7: (Opsional) Aktifkan atau nonaktifkan izin administratif akun ssm-user
<a name="session-manager-getting-started-ssm-user-permissions"></a>

Dimulai dengan versi 2.3.50.0 dari AWS Systems Manager SSM Agent, agen membuat akun pengguna lokal yang disebut `ssm-user` dan menambahkannya ke `/etc/sudoers` (LinuxdanmacOS) atau ke grup Administrator (). Windows Pada versi agen lebih awal dari 2.3.612.0, akun dibuat pertama kali SSM Agent dimulai atau dimulai ulang setelah penginstalan. Pada versi 2.3.612.0 dan yang lebih baru, `ssm-user` akun dibuat saat pertama kali sesi dimulai pada node. Ini `ssm-user` adalah pengguna sistem operasi default (OS) ketika AWS Systems Manager Session Manager sesi dimulai. SSM Agentversi 2.3.612.0 dirilis pada 8 Mei 2019.

Jika Anda ingin mencegah Session Manager pengguna menjalankan perintah administratif pada node, Anda dapat memperbarui izin `ssm-user` akun. Anda juga dapat memulihkan izin ini setelah izin yang diperbarui telah dihapus.

**Topics**
+ [Mengelola izin akun sudo ssm-user pada dan Linux macOS](#ssm-user-permissions-linux)
+ [Mengelola izin akun Administrator ssm-user pada Windows Server](#ssm-user-permissions-windows)

## Mengelola izin akun sudo ssm-user pada dan Linux macOS
<a name="ssm-user-permissions-linux"></a>

Gunakan salah satu prosedur berikut untuk mengaktifkan atau mematikan izin sudo akun ssm-user dan node terkelola. Linux macOS

**Gunakan Run Command untuk memodifikasi izin sudo ssm-user (konsol)**
+ Gunakan prosedur di [Menjalankan perintah dari konsol](running-commands-console.md) dengan nilai berikut:
  + Untuk **Dokumen perintah**, pilih `AWS-RunShellScript`.
  + Untuk menghapus akses sudo, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.

    ```
    cd /etc/sudoers.d
    echo "#User rules for ssm-user" > ssm-agent-users
    ```

    -atau-

    Untuk memulihkan akses sudo, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.

    ```
    cd /etc/sudoers.d 
    echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
    ```

**Gunakan baris perintah untuk memodifikasi izin sudo ssm-user (AWS CLI)**

1. Connect ke node yang dikelola dan jalankan perintah berikut.

   ```
   sudo -s
   ```

1. Ganti direktori kerja menggunakan perintah berikut.

   ```
   cd /etc/sudoers.d
   ```

1. Buka file bernama `ssm-agent-users` untuk mengedit.

1. Untuk menghapus akses sudo, hapus baris berikut.

   ```
   ssm-user ALL=(ALL) NOPASSWD:ALL
   ```

   -atau-

   Untuk memulihkan akses sudo, tambahkan baris berikut.

   ```
   ssm-user ALL=(ALL) NOPASSWD:ALL
   ```

1. Simpan file.

## Mengelola izin akun Administrator ssm-user pada Windows Server
<a name="ssm-user-permissions-windows"></a>

Gunakan salah satu prosedur berikut untuk mengaktifkan atau mematikan izin Administrator akun ssm-user pada node terkelola. Windows Server

**Gunakan Run Command untuk mengubah izin Administrator (konsol)**
+ Gunakan prosedur di [Menjalankan perintah dari konsol](running-commands-console.md) dengan nilai berikut:

  Untuk **Dokumen perintah**, pilih `AWS-RunPowerShellScript`.

  Untuk menghapus akses administratif, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.

  ```
  net localgroup "Administrators" "ssm-user" /delete
  ```

  -atau-

  Untuk memulihkan akses administratif, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.

  ```
  net localgroup "Administrators" "ssm-user" /add
  ```

**Gunakan jendela prompt perintah PowerShell atau untuk mengubah izin Administrator**

1. Connect ke node terkelola dan buka jendela PowerShell atau Command Prompt.

1. Untuk menghapus akses administratif, jalankan perintah berikut.

   ```
   net localgroup "Administrators" "ssm-user" /delete
   ```

   -atau-

   Untuk memulihkan akses administratif, jalankan perintah berikut.

   ```
   net localgroup "Administrators" "ssm-user" /add
   ```

**Gunakan Windows konsol untuk mengubah izin Administrator**

1. Connect ke node terkelola dan buka jendela PowerShell atau Command Prompt.

1. Dari baris perintah, jalankan `lusrmgr.msc` untuk membuka konsol **Pengguna dan Grup Lokal**.

1. Buka direktori **Pengguna**, dan kemudian buka **ssm-user**.

1. Pada tab **Anggota Dari**, lakukan salah satu hal berikut:
   + Untuk menghapus akses administratif, pilih **Administrator**, dan kemudian pilih **Hapus**.

     -atau-

     Untuk memulihkan akses administratif, masukkan **Administrators** di kotak teks, dan kemudian pilih **Tambahkan**.

1. Pilih **OKE**.

# Langkah 8: (Opsional) Izinkan dan kontrol izin untuk koneksi SSH melalui Session Manager
<a name="session-manager-getting-started-enable-ssh-connections"></a>

Anda dapat mengizinkan pengguna Akun AWS untuk menggunakan AWS Command Line Interface (AWS CLI) untuk membuat koneksi Secure Shell (SSH) ke node terkelola menggunakan AWS Systems Manager Session Manager. Pengguna yang terhubung menggunakan SSH juga dapat menyalin file antara mesin lokal mereka dan node yang dikelola menggunakan Secure Copy Protocol (SCP). Anda dapat menggunakan fungsi ini untuk terhubung ke node terkelola tanpa membuka port masuk atau mempertahankan host bastion.

 Ketika Anda membuat koneksi SSH melaluiSession Manager, AWS CLI dan SSM Agent membuat WebSocket koneksi aman melalui TLS ke Session Manager endpoint. Sesi SSH berjalan dalam terowongan terenkripsi ini, menyediakan lapisan keamanan tambahan tanpa memerlukan port masuk untuk dibuka pada node terkelola Anda.

Setelah mengizinkan koneksi SSH, Anda dapat menggunakan kebijakan AWS Identity and Access Management (IAM) untuk secara eksplisit mengizinkan atau menolak pengguna, grup, atau peran untuk membuat koneksi SSH menggunakan. Session Manager

**catatan**  
Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.

**Topics**
+ [Mengizinkan koneksi SSH untuk Session Manager](#ssh-connections-enable)
+ [Mengontrol izin pengguna untuk koneksi SSH melalui Session Manager](#ssh-connections-permissions)

## Mengizinkan koneksi SSH untuk Session Manager
<a name="ssh-connections-enable"></a>

Gunakan langkah-langkah berikut untuk mengizinkan koneksi SSH melalui Session Manager pada node terkelola. 

**Untuk memungkinkan koneksi SSH untuk Session Manager**

1. Pada node terkelola yang ingin Anda izinkan koneksi SSH, lakukan hal berikut:
   + Pastikan SSH berjalan pada node yang dikelola. (Anda dapat menutup port masuk pada node.)
   + Pastikan SSM Agent versi 2.3.672.0 atau yang lebih baru diinstal pada node terkelola.

     Untuk informasi tentang menginstal atau memperbarui SSM Agent pada node terkelola, lihat topik berikut:
     + [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md).
     +  [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md) 
     +  [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md) 
     +  [Cara menginstal SSM Agent pada node Windows hybrid](hybrid-multicloud-ssm-agent-install-windows.md) 
     +  [Cara menginstal SSM Agent pada node Linux hybrid](hybrid-multicloud-ssm-agent-install-linux.md) 
**catatan**  
Untuk menggunakan Session Manager server lokal, perangkat edge, dan mesin virtual (VMs) yang diaktifkan sebagai node terkelola, Anda harus menggunakan tingkat instance lanjutan. Untuk informasi selengkapnya tentang instans lanjutan, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md).

1. Pada mesin lokal tempat Anda ingin terhubung ke node terkelola menggunakan SSH, lakukan hal berikut:
   + Pastikan bahwa versi 1.1.23.0 atau yang lebih baru dari Session Manager plugin diinstal.

     Untuk informasi tentang menginstal Session Manager plugin, lihat[Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
   + Perbarui file konfigurasi SSH untuk memungkinkan menjalankan perintah proxy yang memulai Session Manager sesi dan mentransfer semua data melalui koneksi.

      **Linux dan macOS** 
**Tip**  
File konfigurasi SSH biasanya terletak di `~/.ssh/config`.

     Tambahkan berikut ke file konfigurasi di mesin lokal.

     ```
     # SSH over Session Manager
     Host i-* mi-*
         ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
         User ec2-user
     ```

      ** Windows ** 
**Tip**  
File konfigurasi SSH biasanya terletak di `C:\Users\<username>\.ssh\config`.

     Tambahkan berikut ke file konfigurasi di mesin lokal.

     ```
     # SSH over Session Manager
     Host i-* mi-*
         ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
     ```
   + Buat atau verifikasi bahwa Anda memiliki sertifikat Privacy Enhanced Mail (file PEM), atau setidaknya kunci publik, untuk digunakan saat membuat koneksi ke node terkelola. Ini harus menjadi kunci yang sudah dikaitkan dengan node terkelola. Izin file kunci pribadi Anda harus diatur sehingga hanya Anda yang dapat membacanya. Anda dapat menggunakan perintah berikut untuk mengatur izin file kunci pribadi Anda sehingga hanya Anda yang dapat membacanya.

     ```
     chmod 400 <my-key-pair>.pem
     ```

     Misalnya, untuk instans Amazon Elastic Compute Cloud (Amazon EC2), file pasangan kunci yang Anda buat atau pilih saat Anda membuat instans. (Anda menentukan jalur ke sertifikat atau kunci sebagai bagian dari perintah untuk memulai sesi. Untuk informasi tentang memulai sesi menggunakan SSH, lihat [Memulai sesi (SSH)](session-manager-working-with-sessions-start.md#sessions-start-ssh).)

## Mengontrol izin pengguna untuk koneksi SSH melalui Session Manager
<a name="ssh-connections-permissions"></a>

Setelah Anda mengaktifkan koneksi SSH melalui Session Manager pada node terkelola, Anda dapat menggunakan kebijakan IAM untuk mengizinkan atau menolak pengguna, grup, atau peran kemampuan untuk membuat koneksi SSH. Session Manager 

**Untuk menggunakan kebijakan IAM untuk mengizinkan koneksi SSH melalui Session Manager**
+ Gunakan salah satu opsi berikut:
  + **Opsi 1**: Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 

    Di panel navigasi, pilih **Kebijakan**, lalu perbarui kebijakan izin untuk pengguna atau peran yang ingin Anda izinkan untuk memulai koneksi SSH. Session Manager 

    Misalnya, tambahkan elemen berikut ke kebijakan Quickstart yang Anda buat. [Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user) Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. 

------
#### [ JSON ]

****  

    ```
    {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ssm:StartSession",
                "Resource": [
                    "arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
                    "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
                ]
            },
            {
                "Effect": "Allow",
                "Action": "ssmmessages:OpenDataChannel",
                "Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
            }
        ]
    }
    ```

------
  + **Opsi 2**: Lampirkan kebijakan inline ke kebijakan pengguna dengan menggunakan Konsol Manajemen AWS, the AWS CLI, atau AWS API.

    Dengan menggunakan metode pilihan Anda, lampirkan pernyataan kebijakan di **Opsi 1** ke kebijakan untuk AWS pengguna, grup, atau peran.

    Untuk informasi, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*.

**Untuk menggunakan kebijakan IAM untuk menolak koneksi SSH melalui Session Manager**
+ Gunakan salah satu opsi berikut:
  + **Opsi 1**: Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Di panel navigasi, pilih **Kebijakan, lalu perbarui kebijakan** izin untuk pengguna atau peran yang akan diblokir dari sesi awalSession Manager. 

    Misalnya, tambahkan elemen berikut ke kebijakan Quickstart yang Anda buat. [Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user)

------
#### [ JSON ]

****  

    ```
    {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Deny",
                "Action": "ssm:StartSession",
                "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
            },
            {
                "Effect": "Allow",
                "Action": "ssmmessages:OpenDataChannel",
                "Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
            }
        ]
    }
    ```

------
  + **Opsi 2**: Lampirkan kebijakan inline ke kebijakan pengguna dengan menggunakan Konsol Manajemen AWS, the AWS CLI, atau AWS API.

    Dengan menggunakan metode pilihan Anda, lampirkan pernyataan kebijakan di **Opsi 1** ke kebijakan untuk AWS pengguna, grup, atau peran.

    Untuk informasi, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*.

# Bekerja dengan Session Manager
<a name="session-manager-working-with"></a>

Anda dapat menggunakan AWS Systems Manager konsol, konsol Amazon Elastic Compute Cloud (Amazon EC2), atau AWS Command Line Interface (AWS CLI) untuk memulai sesi yang menghubungkan Anda ke node terkelola yang diberikan administrator sistem kepada Anda akses untuk menggunakan kebijakan AWS Identity and Access Management (IAM). Tergantung pada izin Anda, Anda juga dapat melihat informasi tentang sesi, melanjutkan sesi tidak aktif yang belum kehabisan waktu, dan mengakhiri sesi. Setelah sesi dibuat, itu tidak terpengaruh oleh durasi sesi peran IAM. Untuk informasi tentang membatasi durasi sesi dengan Session Manager, lihat [Tentukan nilai waktu habis sesi idle](session-preferences-timeout.md) dan[Tentukan durasi sesi maksimum](session-preferences-max-timeout.md).

Untuk informasi lebih lanjut tentang sesi, lihat [Apa itu sesi?](session-manager.md#what-is-a-session)

**Topics**
+ [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md)
+ [Mulai sesi](session-manager-working-with-sessions-start.md)
+ [Mengakhiri sesi](session-manager-working-with-sessions-end.md)
+ [Lihat riwayat sesi](session-manager-working-with-view-history.md)

# Instal Session Manager plugin untuk AWS CLI
<a name="session-manager-working-with-install-plugin"></a>

Untuk memulai Session Manager sesi dengan node terkelola Anda dengan menggunakan AWS Command Line Interface (AWS CLI), Anda harus menginstal *Session Managerplugin* di mesin lokal Anda. Anda dapat menginstal plugin pada versi MicrosoftWindows Server, LinuxmacOS, dan versi yang didukungUbuntu Server.

**catatan**  
Untuk menggunakan Session Manager plugin, Anda harus memiliki AWS CLI versi 1.16.12 atau yang lebih baru diinstal pada mesin lokal Anda. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

**Topics**
+ [Session Managerplugin versi terbaru dan riwayat rilis](plugin-version-history.md)
+ [Instal Session Manager plugin di Windows](install-plugin-windows.md)
+ [Instal Session Manager plugin di macOS](install-plugin-macos-overview.md)
+ [Instal Session Manager plugin di Linux](install-plugin-linux-overview.md)
+ [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md)
+ [Session Managerplugin pada GitHub](plugin-github.md)
+ [(Opsional) Aktifkan logging Session Manager plugin](install-plugin-configure-logs.md)

# Session Managerplugin versi terbaru dan riwayat rilis
<a name="plugin-version-history"></a>

Mesin lokal Anda harus menjalankan versi Session Manager plugin yang didukung. Versi minimum yang didukung saat ini adalah 1.1.17.0. Jika Anda menjalankan versi sebelumnya, Session Manager operasi Anda mungkin tidak berhasil. 

 

Untuk melihat apakah Anda memiliki versi terbaru, jalankan perintah berikut di AWS CLI.

**catatan**  
Perintah mengembalikan hasil hanya jika plugin terletak di direktori pemasangan default untuk tipe sistem operasi Anda. Anda juga dapat memeriksa versi dalam isi file `VERSION` di direktori tempat Anda telah memasang plugin.

```
session-manager-plugin --version
```

Tabel berikut mencantumkan semua rilis Session Manager plugin dan fitur serta perangkat tambahan yang disertakan dengan setiap versi.

**penting**  
Kami sarankan Anda selalu menjalankan versi terbaru. Versi terbaru mencakup perangkat tambahan yang meningkatkan pengalaman menggunakan plugin.


| Versi | Tanggal rilis | Detail | 
| --- | --- | --- | 
| 1.2.792.0 |  Maret 17, 2026  | **Perbaikan bug**: Tambahkan dukungan keyboard internasional untuk Windows. | 
| 1.2.779.0 |  Februari 12, 2026  | **Peningkatan**: Perbarui versi Go ke 1.25 di Dockerfile. **Perbaikan bug**: Tambahkan garis shebang ke skrip kemasan debian. | 
| 1.2.764.0 |  November 19, 2025  | **Peningkatan**: Menambahkan dukungan untuk OpenDataChannel permintaan penandatanganan. **Perbaikan bug**: Perbaiki masalah checkstyle untuk mendukung versi Go yang lebih baru. | 
| 1.2.707.0 |  Februari 6, 2025  | **Peningkatan**: Memutakhirkan versi Go ke 1.23 di Dockerfile. Memperbarui langkah konfigurasi versi di README. | 
| 1.2.694.0 |  November 20, 2024  | **Perbaikan bug**: Perubahan yang digulirkan kembali yang menambahkan kredensyal ke OpenDataChannel permintaan. | 
| 1.2.688.0 |  6 November 2024  | **Versi ini tidak digunakan lagi pada 11/20/2024.** **Perangkat tambahan**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/plugin-version-history.html) | 
| 1.2.677.0 |  Oktober 10, 2024  | **Peningkatan**: Menambahkan dukungan untuk melewati versi plugin dengan OpenDataChannel permintaan. | 
| 1.2.650.0 |  02 Juli 2024  | **Peningkatan**: Ditingkatkan aws-sdk-go ke 1.54.10.**Perbaikan bug**: Komentar diformat ulang untuk pemeriksaan gofmt. | 
| 1.2.633.0 |  30 Mei 2024  | Peningkatan: Memperbarui Dockerfile untuk menggunakan image Amazon Elastic Container Registry (Amazon ECR) Registry (Amazon ECR). | 
| 1.2.553.0 |  10 Januari 2024  | Peningkatan: Paket Golang yang ditingkatkan aws-sdk-go dan bergantung. | 
| 1.2.536.0 |  Desember 4, 2023  | Peningkatan: Menambahkan dukungan untuk meneruskan respons [StartSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartSession.html)API sebagai variabel lingkungan ke session-manager-plugin. | 
| 1.2.497.0 |  1 Agustus 2023  | Peningkatan: Upgrade Go SDK ke v1.44.302. | 
| 1.2.463.0 |  15 Maret 2023  | Peningkatan: Menambahkan Mac with Apple silicon dukungan untuk Apple Mac (M1) di penginstal bundel macOS dan penginstal yang ditandatangani.  | 
| 1.2.398.0 |  14 Oktober 2022  | Enhancement: Support golang versi 1.17. Perbarui session-manager-plugin runner default untuk macOS untuk menggunakan python3. Perbarui jalur impor dari SSMCLI ke. session-manager-plugin | 
| 1.2.339.0 |  16 Juni 2022  | Perbaikan bug: Perbaiki batas waktu sesi idle untuk sesi port. | 
| 1.2.331.0 |  Mei 27, 2022  | Perbaikan bug: Perbaiki sesi port yang ditutup sebelum waktunya ketika server lokal tidak terhubung sebelum batas waktu. | 
| 1.2.323.0 |  19 Mei 2022  | Perbaikan bug: Nonaktifkan smux keep alive untuk menggunakan fitur timeout sesi idle. | 
| 1.2.312.0 |  31 Maret 2022  | Peningkatan: Mendukung lebih banyak jenis payload pesan keluaran. | 
| 1.2.295.0 |  12 Januari 2022  | Perbaikan bug: Sesi digantung yang disebabkan oleh klien mengirim ulang data aliran saat agen menjadi tidak aktif, dan log dan pesan yang salah. start\$1publication pause\$1publication | 
| 1.2.279.0 |  27 Oktober 2021  | Peningkatan: Kemasan zip untuk Windows platform. | 
| 1.2.245.0 |  19 Agustus 2021  | Peningkatan: Tingkatkan aws-sdk-go ke versi terbaru (v1.40.17) untuk mendukung. AWS IAM Identity Center | 
| 1.2.234.0 |  26 Juli 2021  | Perbaikan bug: Menangani sesi skenario yang tiba-tiba dihentikan dalam jenis sesi interaktif. | 
| 1.2.205.0 |  10 Juni 2021  | Peningkatan: Dukungan tambahan untuk pemasang macOS yang ditandatangani. | 
| 1.2.54.0 |  29 Januari 2021  | Peningkatan: Menambahkan dukungan untuk menjalankan sesi dalam mode NonInteractiveCommands eksekusi. | 
| 1.2.30.0 |  24 November 2020  |  **Peningkatan**: (Hanya sesi penerusan port) Meningkatkan kinerja secara keseluruhan.  | 
| 1.2.7.0 |  15 Oktober 2020  |  **Peningkatan**: (Hanya sesi penerusan port) Mengurangi latensi dan meningkatkan kinerja secara keseluruhan.  | 
| 1.1.61.0 |  17 April 2020  |  **Peningkatan**: Menambahkan dukungan ARM untuk Linux danUbuntu Server.   | 
| 1.1.54.0 |  6 Januari 2020  |  **Perbaikan bug**: Menangani skenario kondisi balapan paket yang dijatuhkan saat Session Manager plugin belum siap.   | 
|  1.1.50.0  | 19 November 2019 |  **Peningkatan**: Dukungan tambahan untuk meneruskan port ke soket unix lokal.  | 
|  1.1.35.0  | 7 November 2019 |  **Peningkatan**: (Hanya sesi penerusan port) Kirim TerminateSession perintah ke SSM Agent saat pengguna lokal menekan. `Ctrl+C`  | 
| 1.1.33.0 | 26 September 2019 | Peningkatan: (Hanya sesi penerusan port) Mengirim sinyal pemutusan sambungan ke server ketika klien memutuskan koneksi TCP.  | 
| 1.1.31.0 | 6 September 2019 | Peningkatan: Memperbarui untuk menjaga sesi penerusan port tetap terbuka hingga server jarak jauh menutup koneksi. | 
|  1.1.26.0  | 30 Juli 2019 |  **Peningkatan**: Memperbarui untuk membatasi tingkat transfer data selama sesi.  | 
|  1.1.23.0  | 9 Juli 2019 |  **Peningkatan**: Menambahkan dukungan untuk menjalankan sesi SSH menggunakan. Session Manager  | 
| 1.1.17.0 | 4 April 2019 |  **Peningkatan**: Dukungan tambahan untuk enkripsi data sesi lebih lanjut menggunakan AWS Key Management Service (AWS KMS).  | 
| 1.0.37.0 | 20 September 2018 |  **Peningkatan**: Perbaikan bug untuk Windows versi.  | 
| 1.0.0.0 | 11 September 2018 |  Rilis awal Session Manager plugin.  | 

# Instal Session Manager plugin di Windows
<a name="install-plugin-windows"></a>

Anda dapat menginstal Session Manager plugin pada Windows Vista atau nanti menggunakan installer mandiri.

Ketika pembaruan dirilis, Anda harus mengulangi proses instalasi untuk mendapatkan versi terbaru dari Session Manager plugin.

**catatan**  
Perhatikan informasi berikut.  
Pemasang Session Manager plugin membutuhkan hak Administrator untuk menginstal plugin.
Untuk hasil terbaik, kami sarankan Anda memulai sesi pada Windows klien menggunakanWindows PowerShell, versi 5 atau yang lebih baru. Atau, Anda dapat menggunakan Command shell diWindows 10. Session ManagerPlugin hanya mendukung PowerShell dan shell Command. Alat baris perintah pihak ketiga mungkin tidak kompatibel dengan plugin.

**Untuk menginstal Session Manager plugin menggunakan installer EXE**

1. Unduh pemasang menggunakan URL berikut.

   ```
   https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPluginSetup.exe
   ```

   Atau, Anda dapat mengunduh versi zip penginstal menggunakan URL berikut.

   ```
   https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPlugin.zip
   ```

1. Jalankan pemasang yang diunduh, dan ikuti petunjuk di layar. Jika Anda mengunduh versi penginstal yang di-zip, Anda harus membuka zip penginstal terlebih dahulu.

   Biarkan kotak lokasi pemasangan kosong untuk memasang plugin ke direktori default.
   +  `%PROGRAMFILES%\Amazon\SessionManagerPlugin\bin\` 

1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).
**catatan**  
Jika Windows tidak dapat menemukan executable, Anda mungkin perlu membuka kembali command prompt atau menambahkan direktori instalasi ke variabel `PATH` lingkungan Anda secara manual. Untuk informasi, lihat topik pemecahan masalah [Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)](session-manager-troubleshooting.md#windows-plugin-env-var-not-set).

# Instal Session Manager plugin di macOS
<a name="install-plugin-macos-overview"></a>

Pilih salah satu topik berikut untuk menginstal Session Manager pluginmacOS. 

**catatan**  
Penginstal yang ditandatangani adalah `.pkg` file yang ditandatangani. Penginstal yang dibundel menggunakan file. `.zip` Setelah file di-unzip, Anda dapat menginstal plugin menggunakan biner.

## Instal Session Manager plugin macOS dengan installer yang ditandatangani
<a name="install-plugin-macos-signed"></a>

Bagian ini menjelaskan cara menginstal Session Manager plugin saat macOS menggunakan penginstal yang ditandatangani.

**Untuk menginstal Session Manager plugin menggunakan installer yang ditandatangani () macOS**

1. Unduh pemasang yang ditandatangani.

------
#### [ x86\$164 ]

   ```
   curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
   ```

------
#### [ Mac dengan silikon Apple ]

   ```
   curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
   ```

------

1. Jalankan perintah instal. Jika perintah gagal, verifikasi bahwa `/usr/local/bin` folder itu ada. Jika tidak, buat dan jalankan perintah lagi.

   ```
   sudo installer -pkg session-manager-plugin.pkg -target /
   sudo ln -s /usr/local/sessionmanagerplugin/bin/session-manager-plugin /usr/local/bin/session-manager-plugin
   ```

1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).

## Instal Session Manager plugin di macOS
<a name="install-plugin-macos"></a>

Bagian ini menjelaskan cara menginstal Session Manager plugin macOS menggunakan installer yang dibundel.

**penting**  
Perhatikan informasi penting berikut.  
Secara default, penginstal memerlukan akses sudo untuk dijalankan, karena skrip menginstal plugin ke direktori sistem`/usr/local/sessionmanagerplugin`. Jika Anda tidak ingin menginstal plugin menggunakan sudo, perbarui skrip penginstal secara manual untuk menginstal plugin ke direktori yang tidak memerlukan akses sudo.
Pemasang yang dibundel tidak mendukung pemasangan ke jalur yang berisi spasi.

**Untuk menginstal Session Manager plugin menggunakan installer bundel () macOS**

1. Unduh pemasang yang dibundel.

------
#### [ x86\$164 ]

   ```
   curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
   ```

------
#### [ Mac dengan silikon Apple ]

   ```
   curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
   ```

------

1. Buka zip paketnya.

   ```
   unzip sessionmanager-bundle.zip
   ```

1. Jalankan perintah pemasangan.

   ```
   sudo ./sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
   ```
**catatan**  
 Plugin ini membutuhkan Python 3.10 atau yang lebih baru. Secara default, skrip pemasangan berjalan berdasarkan versi default sistem Python. Jika Anda telah menginstal versi alternatif Python dan ingin menggunakannya untuk menginstal Session Manager plugin, jalankan skrip instal dengan versi itu dengan jalur absolut ke executable Python. Berikut adalah contohnya.  

   ```
   sudo /usr/local/bin/python3.11 sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
   ```

   Installer menginstal Session Manager plugin di `/usr/local/sessionmanagerplugin` dan membuat symlink `session-manager-plugin` di direktori. `/usr/local/bin` Hal ini menghilangkan kebutuhan untuk menentukan direktori pemasangan di variabel `$PATH` pengguna.

   Untuk melihat penjelasan opsi `-i` dan `-b`, gunakan opsi `-h`.

   ```
   ./sessionmanager-bundle/install -h
   ```

1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).

**catatan**  
Untuk menghapus instalasi plugin, jalankan dua perintah berikut dalam urutan yang ditunjukkan.  

```
sudo rm -rf /usr/local/sessionmanagerplugin
```

```
sudo rm /usr/local/bin/session-manager-plugin
```

# Instal Session Manager plugin di Linux
<a name="install-plugin-linux-overview"></a>

Bagian ini mencakup informasi tentang memverifikasi tanda tangan paket installer Session Manager plugin dan menginstal plugin pada distribusi Linux berikut:
+ Amazon Linux 2
+ AL2023
+ RHEL
+ Debian Server
+ Ubuntu Server

**Topics**
+ [Verifikasi tanda tangan Session Manager plugin](install-plugin-linux-verify-signature.md)
+ [Instal Session Manager plugin di Amazon Linux 2, Amazon Linux 2023, dan Red Hat Enterprise Linux distribusi](install-plugin-linux.md)
+ [Instal Session Manager plugin pada Debian Server dan Ubuntu Server](install-plugin-debian-and-ubuntu.md)

# Verifikasi tanda tangan Session Manager plugin
<a name="install-plugin-linux-verify-signature"></a>

Session ManagerPlugin RPM dan paket installer Debian untuk instance Linux ditandatangani secara kriptografi. Anda dapat menggunakan kunci publik untuk memverifikasi bahwa biner plugin dan paket asli dan tidak dimodifikasi. Jika file diubah atau rusak, verifikasi gagal. Anda dapat memverifikasi tanda tangan paket installer menggunakan alat GNU Privacy Guard (GPG). Informasi berikut adalah untuk versi Session Manager plugin 1.2.707.0 atau yang lebih baru.

Selesaikan langkah-langkah berikut untuk memverifikasi tanda tangan paket penginstal Session Manager plugin.

**Topics**
+ [Langkah 1: Unduh paket penginstal Session Manager plugin](#install-plugin-linux-verify-signature-installer-packages)
+ [Langkah 2: Unduh file tanda tangan terkait](#install-plugin-linux-verify-signature-packages)
+ [Langkah 3: Instal alat GPG](#install-plugin-linux-verify-signature-packages-gpg)
+ [Langkah 4: Verifikasi paket penginstal Session Manager plugin di server Linux](#install-plugin-linux-verify-signature-packages)

## Langkah 1: Unduh paket penginstal Session Manager plugin
<a name="install-plugin-linux-verify-signature-installer-packages"></a>

Unduh paket penginstal Session Manager plugin yang ingin Anda verifikasi.

**Amazon Linux 2, AL2023, dan paket RHEL RPM**

------
#### [ x86\$164 ]

```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm"
```

------
#### [ ARM64 ]

```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm"
```

------

**Debian Serverdan Ubuntu Server paket Deb**

------
#### [ x86\$164 ]

```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb"
```

------
#### [ ARM64 ]

```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb"
```

------

## Langkah 2: Unduh file tanda tangan terkait
<a name="install-plugin-linux-verify-signature-packages"></a>

Setelah Anda mengunduh paket penginstal, unduh file tanda tangan terkait untuk verifikasi paket. Untuk memberikan lapisan perlindungan ekstra terhadap penyalinan yang tidak sah atau penggunaan file session-manager-plugin biner di dalam paket, kami juga menawarkan tanda tangan biner, yang dapat Anda gunakan untuk memvalidasi file biner individual. Anda dapat memilih untuk menggunakan tanda tangan biner ini berdasarkan kebutuhan keamanan Anda.

**Amazon Linux 2, AL2023, dan paket RHEL tanda tangan**

------
#### [ x86\$164 ]

Package:

```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm.sig"
```

Biner:

```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.sig"
```

------
#### [ ARM64 ]

Package:

```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm.sig"
```

Biner:

```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.sig"
```

------

**Debian Serverdan paket tanda tangan Ubuntu Server Deb**

------
#### [ x86\$164 ]

Package:

```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb.sig"
```

Biner:

```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.sig"
```

------
#### [ ARM64 ]

Package:

```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb.sig"
```

Biner:

```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.sig"
```

------

## Langkah 3: Instal alat GPG
<a name="install-plugin-linux-verify-signature-packages-gpg"></a>

Untuk memverifikasi tanda tangan Session Manager plugin, Anda harus menginstal alat GNU Privacy Guard (GPG) di sistem Anda. Proses verifikasi membutuhkan GPG versi 2.1 atau yang lebih baru. Anda dapat memeriksa versi GPG Anda dengan menjalankan perintah berikut:

```
gpg --version
```

Jika versi GPG Anda lebih tua dari 2.1, perbarui sebelum melanjutkan proses verifikasi. Untuk sebagian besar sistem, Anda dapat memperbarui alat GPG menggunakan manajer paket Anda. Misalnya, pada Amazon Linux dan RHEL versi yang didukung, Anda dapat menggunakan perintah berikut:

```
sudo yum update
sudo yum install gnupg2
```

Pada Debian Server sistem Ubuntu Server dan didukung, Anda dapat menggunakan perintah berikut:

```
sudo apt-get update
sudo apt-get install gnupg2
```

Pastikan Anda memiliki versi GPG yang diperlukan sebelum melanjutkan proses verifikasi.

## Langkah 4: Verifikasi paket penginstal Session Manager plugin di server Linux
<a name="install-plugin-linux-verify-signature-packages"></a>

Gunakan prosedur berikut untuk memverifikasi paket installer Session Manager plugin pada server Linux.

**catatan**  
Amazon Linux 2 tidak mendukung alat gpg versi 2.1 atau lebih tinggi. Jika prosedur berikut tidak berfungsi pada instans Amazon Linux 2 Anda, verifikasi tanda tangan pada platform lain sebelum menginstalnya di instans Amazon Linux 2 Anda.

1. Salin kunci publik berikut, dan simpan ke file bernama session-manager-plugin .gpg.

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mFIEZ5ERQxMIKoZIzj0DAQcCAwQjuZy+IjFoYg57sLTGhF3aZLBaGpzB+gY6j7Ix
   P7NqbpXyjVj8a+dy79gSd64OEaMxUb7vw/jug+CfRXwVGRMNtIBBV1MgU1NNIFNl
   c3Npb24gTWFuYWdlciA8c2Vzc2lvbi1tYW5hZ2VyLXBsdWdpbi1zaWduZXJAYW1h
   em9uLmNvbT4gKEFXUyBTeXN0ZW1zIE1hbmFnZXIgU2Vzc2lvbiBNYW5hZ2VyIFBs
   dWdpbiBMaW51eCBTaWduZXIgS2V5KYkBAAQQEwgAqAUCZ5ERQ4EcQVdTIFNTTSBT
   ZXNzaW9uIE1hbmFnZXIgPHNlc3Npb24tbWFuYWdlci1wbHVnaW4tc2lnbmVyQGFt
   YXpvbi5jb20+IChBV1MgU3lzdGVtcyBNYW5hZ2VyIFNlc3Npb24gTWFuYWdlciBQ
   bHVnaW4gTGludXggU2lnbmVyIEtleSkWIQR5WWNxJM4JOtUB1HosTUr/b2dX7gIe
   AwIbAwIVCAAKCRAsTUr/b2dX7rO1AQCa1kig3lQ78W/QHGU76uHx3XAyv0tfpE9U
   oQBCIwFLSgEA3PDHt3lZ+s6m9JLGJsy+Cp5ZFzpiF6RgluR/2gA861M=
   =2DQm
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. Impor kunci publik ke dalam keyring Anda. Nilai kunci yang dikembalikan seharusnya`2C4D4AFF6F6757EE`.

   ```
   $ gpg --import session-manager-plugin.gpg
   gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported
   gpg: Total number processed: 1
   gpg:               imported: 1
   ```

1. Jalankan perintah berikut untuk memverifikasi sidik jari.

   ```
   gpg --fingerprint 2C4D4AFF6F6757EE
   ```

   Sidik jari untuk output perintah harus cocok dengan yang berikut ini.

   ```
   7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
   ```

   ```
   pub   nistp256 2025-01-22 [SC]
         7959 6371 24CE 093A D501  D47A 2C4D 4AFF 6F67 57EE
   uid           [ unknown] AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)
   ```

   Jika sidik jari tidak cocok, jangan instal plugin. Kontak AWS Dukungan.

1. Verifikasi tanda tangan paket penginstal. Ganti *signature-filename* dan *downloaded-plugin-filename* dengan nilai yang Anda tentukan saat mengunduh file tanda tangan dan session-manager-plugin, seperti yang tercantum dalam tabel sebelumnya dalam topik ini.

   ```
   gpg --verify signature-filename downloaded-plugin-filename
   ```

   Misalnya, untuk arsitektur x86\$164 di Amazon Linux 2, perintahnya adalah sebagai berikut:

   ```
   gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpm
   ```

   Perintah ini mengembalikan output yang serupa dengan yang berikut ini.

   ```
   gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE
   gpg: Good signature from "AWS Systems Manager Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown] 
   gpg: WARNING: This key is not certified with a trusted signature! 
   gpg: There is no indication that the signature belongs to the owner. 
   Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
   ```

Jika output berisi frasa `BAD signature`, periksa apakah Anda melakukan prosedur dengan benar. Jika Anda terus mendapatkan respons ini, hubungi AWS Dukungan dan jangan instal paket. Pesan peringatan tentang kepercayaan tidak berarti tanda tangan tidak valid, hanya Anda yang belum memverifikasi kunci publik. Kunci hanya dapat dipercaya jika Anda atau seseorang yang Anda percaya telah menandatanganinya. Jika output menyertakan frasa`Can't check signature: No public key`, verifikasi Session Manager plugin yang Anda unduh dengan versi 1.2.707.0 atau yang lebih baru.

# Instal Session Manager plugin di Amazon Linux 2, Amazon Linux 2023, dan Red Hat Enterprise Linux distribusi
<a name="install-plugin-linux"></a>

Gunakan prosedur berikut untuk menginstal Session Manager plugin di Amazon Linux 2, Amazon Linux 2023 (AL2023), dan RHEL distribusi.

1. Unduh dan instal paket Session Manager plugin RPM.

------
#### [ x86\$164 ]

   Di Amazon Linux 2 dan RHEL 7, jalankan perintah berikut:

   ```
   sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
   ```

   Pada AL2023 dan RHEL 8 dan 9, jalankan perintah berikut:

   ```
   sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
   ```

------
#### [ ARM64 ]

   Di Amazon Linux 2 dan RHEL 7, jalankan perintah berikut:

   ```
   sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
   ```

   Pada AL2023 dan RHEL 8 dan 9, jalankan perintah berikut:

   ```
   sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
   ```

------

1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).

**catatan**  
Jika Anda ingin menghapus plugin, jalankan `sudo yum erase session-manager-plugin -y`

# Instal Session Manager plugin pada Debian Server dan Ubuntu Server
<a name="install-plugin-debian-and-ubuntu"></a>

1. Unduh paket Session Manager plugin deb.

------
#### [ x86\$164 ]

   ```
   curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb" -o "session-manager-plugin.deb"
   ```

------
#### [ ARM64 ]

   ```
   curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb" -o "session-manager-plugin.deb"
   ```

------

1. Jalankan perintah pemasangan.

   ```
   sudo dpkg -i session-manager-plugin.deb
   ```

1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).

**catatan**  
Jika Anda ingin mencopot pemasangan plugin, jalankan `sudo dpkg -r session-manager-plugin`

# Verifikasi instalasi Session Manager plugin
<a name="install-plugin-verify"></a>

Jalankan perintah berikut untuk memverifikasi bahwa Session Manager plugin berhasil diinstal.

```
session-manager-plugin
```

Jika pemasangan berhasil, pesan berikut dikembalikan.

```
The Session Manager plugin is installed successfully. Use the AWS CLI to start a session.
```

Anda juga dapat menguji instalasi dengan menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)perintah di [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI). Dalam perintah berikut, ganti *instance-id* dengan informasi Anda sendiri.

```
aws ssm start-session --target instance-id
```

Perintah ini akan bekerja hanya jika Anda telah menginstal dan mengkonfigurasi AWS CLI, dan jika Session Manager administrator Anda telah memberi Anda izin IAM yang diperlukan untuk mengakses node terkelola target menggunakan. Session Manager

# Session Managerplugin pada GitHub
<a name="plugin-github"></a>

Kode sumber untuk Session Manager plugin tersedia [https://github.com/aws/session-manager-plugin](https://github.com/aws/session-manager-plugin)sehingga Anda dapat menyesuaikan plugin untuk memenuhi kebutuhan Anda. Kami mendorong Anda untuk mengirim [permintaan tarik](https://github.com/aws/session-manager-plugin/blob/mainline/CONTRIBUTING.md) untuk perubahan yang ingin Anda sertakan. Namun, Amazon Web Services tidak menyediakan dukungan untuk menjalankan salinan yang dimodifikasi dari perangkat lunak ini.

# (Opsional) Aktifkan logging Session Manager plugin
<a name="install-plugin-configure-logs"></a>

Session ManagerPlugin ini menyertakan opsi untuk mengizinkan pencatatan untuk sesi yang Anda jalankan. Secara default, log dimatikan.

Jika Anda mengizinkan logging, Session Manager plugin akan membuat file log untuk aktivitas aplikasi (`session-manager-plugin.log`) dan error (`errors.log`) pada mesin lokal Anda.

**Topics**
+ [Aktifkan logging untuk Session Manager plugin (Windows)](#configure-logs-windows)
+ [Aktifkan logging untuk Session Manager plugin (LinuxdanmacOS)](#configure-logs-linux)

## Aktifkan logging untuk Session Manager plugin (Windows)
<a name="configure-logs-windows"></a>

1. Temukan file `seelog.xml.template` untuk plugin. 

   Lokasi default adalah `C:\Program Files\Amazon\SessionManagerPlugin\seelog.xml.template`.

1. Ubah nama file menjadi `seelog.xml`.

1. Buka file dan ubah `minlevel="off"` menjadi `minlevel="info"` atau `minlevel="debug"`.
**catatan**  
Secara default, entri log tentang membuka saluran data dan menghubungkan kembali sesi dicatat di tingkat **INFO**. Entri aliran data (paket dan pengakuan) dicatat pada tingkat **DEBUG**.

1. Ubah opsi konfigurasi lain yang ingin Anda modifikasi. Opsi yang dapat Anda ubah meliputi: 
   + **Tingkat debug**: Anda dapat mengubah tingkat debug dari `formatid="fmtinfo"` menjadi `formatid="fmtdebug"`.
   + **Opsi berkas log**: Anda dapat membuat perubahan pada opsi file log, termasuk di mana log disimpan, dengan pengecualian nama berkas log. 
**penting**  
Jangan mengubah nama file atau log tidak akan bekerja dengan benar.

     ```
     <rollingfile type="size" filename="C:\Program Files\Amazon\SessionManagerPlugin\Logs\session-manager-plugin.log" maxsize="30000000" maxrolls="5"/>
     <filter levels="error,critical" formatid="fmterror">
     <rollingfile type="size" filename="C:\Program Files\Amazon\SessionManagerPlugin\Logs\errors.log" maxsize="10000000" maxrolls="5"/>
     ```

1. Simpan file tersebut.

## Aktifkan logging untuk Session Manager plugin (LinuxdanmacOS)
<a name="configure-logs-linux"></a>

1. Temukan file `seelog.xml.template` untuk plugin. 

   Lokasi default adalah `/usr/local/sessionmanagerplugin/seelog.xml.template`.

1. Ubah nama file menjadi `seelog.xml`.

1. Buka file dan ubah `minlevel="off"` menjadi `minlevel="info"` atau `minlevel="debug"`.
**catatan**  
Secara default, entri log tentang membuka saluran data dan menghubungkan kembali sesi dicatat di tingkat **INFO**. Entri aliran data (paket dan pengakuan) dicatat pada tingkat **DEBUG**.

1. Ubah opsi konfigurasi lain yang ingin Anda modifikasi. Opsi yang dapat Anda ubah meliputi: 
   + **Tingkat debug**: Anda dapat mengubah tingkat debug dari `formatid="fmtinfo"` menjadi `outputs formatid="fmtdebug"`
   + **Opsi berkas log**: Anda dapat membuat perubahan pada opsi file log, termasuk di mana log disimpan, dengan pengecualian nama berkas log. 
**penting**  
Jangan mengubah nama file atau log tidak akan bekerja dengan benar.

     ```
     <rollingfile type="size" filename="/usr/local/sessionmanagerplugin/logs/session-manager-plugin.log" maxsize="30000000" maxrolls="5"/>
     <filter levels="error,critical" formatid="fmterror">
     <rollingfile type="size" filename="/usr/local/sessionmanagerplugin/logs/errors.log" maxsize="10000000" maxrolls="5"/>
     ```
**penting**  
Jika Anda menggunakan direktori default yang ditentukan untuk menyimpan log, Anda harus menjalankan perintah sesi menggunakan **sudo** atau memberikan izin baca dan tulis penuh pada direktori tempat plugin dipasang. Untuk melewati pembatasan ini, ubah lokasi di mana log disimpan.

1. Simpan file tersebut.

# Mulai sesi
<a name="session-manager-working-with-sessions-start"></a>

Anda dapat menggunakan AWS Systems Manager konsol, konsol Amazon Elastic Compute Cloud (Amazon EC2), konsol AWS CLI(), atau SSH AWS Command Line Interface untuk memulai sesi.

**Topics**
+ [Memulai sesi (konsol Systems Manager)](#start-sys-console)
+ [Memulai sesi (konsol Amazon EC2)](#start-ec2-console)
+ [Memulai sesi (AWS CLI)](#sessions-start-cli)
+ [Memulai sesi (SSH)](#sessions-start-ssh)
+ [Memulai sesi (penerusan port)](#sessions-start-port-forwarding)
+ [Memulai sesi (penerusan port ke host jarak jauh)](#sessions-remote-port-forwarding)
+ [Memulai sesi (perintah interaktif dan noninteraktif)](#sessions-start-interactive-commands)

## Memulai sesi (konsol Systems Manager)
<a name="start-sys-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk memulai sesi dengan node terkelola di akun Anda.

**catatan**  
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).

**Untuk memulai sesi (konsol Systems Manager)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih **Mulai sesi**.

1. (Opsional) Masukkan deskripsi sesi di bidang **Alasan sesi**.

1. Untuk **contoh Target**, pilih tombol opsi di sebelah kiri node terkelola yang ingin Anda sambungkan.

   Jika node yang Anda inginkan tidak ada dalam daftar, atau jika Anda memilih node dan menerima kesalahan konfigurasi, lihat [Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager](session-manager-troubleshooting.md#session-manager-troubleshooting-instances) untuk langkah-langkah pemecahan masalah.

1. Pilih **Mulai sesi** untuk segera meluncurkan sesi.

   -atau-

   Pilih **Berikutnya** untuk opsi sesi.

1. (Opsional) Untuk **dokumen Sesi**, pilih dokumen yang ingin Anda jalankan saat sesi dimulai. Jika dokumen Anda mendukung parameter runtime, Anda dapat memasukkan satu atau beberapa nilai yang dipisahkan koma di setiap bidang parameter.

1. Pilih **Berikutnya**.

1. Pilih **Mulai sesi**.

Setelah koneksi dibuat, Anda dapat menjalankan perintah bash (LinuxandmacOS) atau PowerShell command (Windows) seperti yang Anda lakukan melalui jenis koneksi lainnya.

**penting**  
Jika Anda ingin mengizinkan pengguna menentukan dokumen saat memulai sesi di konsol Pengelola Sesi, perhatikan hal berikut:  
Anda harus memberikan izin `ssm:GetDocument` dan `ssm:ListDocuments` izin kepada pengguna dalam kebijakan IAM mereka. Untuk informasi selengkapnya, lihat [Berikan akses ke dokumen Sesi kustom di konsol](getting-started-restrict-access-examples.md#grant-access-documents-console-example).
Konsol hanya mendukung dokumen Sesi yang `sessionType` didefinisikan sebagai`Standard_Stream`. Untuk informasi selengkapnya, lihat [Skema dokumen sesi](session-manager-schema.md).

## Memulai sesi (konsol Amazon EC2)
<a name="start-ec2-console"></a>

Anda dapat menggunakan konsol Amazon Elastic Compute Cloud (Amazon EC2) untuk memulai sesi dengan instans di akun Anda.

**catatan**  
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan satu atau lebih tindakan Systems Manager, (`ssm:command-name`, selanjutnya, Anda harus menghubungi administrator Anda untuk mendapatkan bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk. Minta orang tersebut untuk memperbarui kebijakan Anda agar Anda diizinkan untuk memulai sesi dari konsol Amazon EC2. Jika Anda administrator, lihat [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md) untuk informasi selengkapnya.

**Untuk memulai sesi (konsol Amazon EC2)**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, pilih **Instans**.

1. Pilih instans, lalu pilih **Hubungkan**.

1. Untuk **metode Koneksi**, pilih **Session Manager**.

1. Pilih **Hubungkan**.

Setelah koneksi dibuat, Anda dapat menjalankan perintah bash (LinuxandmacOS) atau PowerShell command (Windows) seperti yang Anda lakukan melalui jenis koneksi lainnya.

## Memulai sesi (AWS CLI)
<a name="sessions-start-cli"></a>

Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).

Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).

Untuk memulai sesi menggunakan AWS CLI, jalankan perintah berikut menggantikan *instance-id* dengan informasi Anda sendiri.

```
aws ssm start-session \
    --target instance-id
```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

## Memulai sesi (SSH)
<a name="sessions-start-ssh"></a>

Untuk memulai sesi Session Manager SSH, versi 2.3.672.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola.

**Persyaratan koneksi SSH**  
Perhatikan persyaratan dan batasan berikut untuk koneksi sesi menggunakan SSH melaluiSession Manager:
+ Node terkelola target Anda harus dikonfigurasi untuk mendukung koneksi SSH. Untuk informasi selengkapnya, lihat [(Opsional) Mengizinkan dan mengontrol izin untuk koneksi SSH melalui](session-manager-getting-started-enable-ssh-connections.md). Session Manager
+ Anda harus terhubung menggunakan akun node terkelola yang terkait dengan sertifikat Privacy Enhanced Mail (PEM), bukan `ssm-user` akun yang digunakan untuk jenis koneksi sesi lainnya. Misalnya, pada instans EC2 untuk Linux danmacOS, pengguna default adalah. `ec2-user` Untuk informasi tentang mengidentifikasi pengguna default untuk setiap jenis instans, lihat [Mendapatkan Informasi Tentang Instans Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connection-prereqs.html#connection-prereqs-get-info-about-instance) di *Panduan Pengguna Amazon EC2*.
+ Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.

**catatan**  
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).

Untuk memulai sesi menggunakan SSH, jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

```
ssh -i /path/my-key-pair.pem username@instance-id
```

**Tip**  
Saat memulai sesi menggunakan SSH, Anda dapat menyalin file lokal ke node terkelola target menggunakan format perintah berikut.  

```
scp -i /path/my-key-pair.pem /path/ExampleFile.txt username@instance-id:~
```

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

## Memulai sesi (penerusan port)
<a name="sessions-start-port-forwarding"></a>

Untuk memulai sesi penerusan Session Manager port, versi 2.3.672.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola.

**catatan**  
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).  
Untuk menggunakan perintah AWS CLI to run session, Anda harus menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).  
Tergantung pada sistem operasi dan alat baris perintah Anda, penempatan tanda kutip dapat berbeda dan karakter escape mungkin diperlukan.

Untuk memulai sesi penerusan port, jalankan perintah berikut dari CLI. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name AWS-StartPortForwardingSession \
    --parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name AWS-StartPortForwardingSession ^
    --parameters portNumber="3389",localPortNumber="56789"
```

------

`portNumber`adalah port jarak jauh pada node terkelola tempat Anda ingin lalu lintas sesi dialihkan. Misalnya, Anda dapat menentukan port `3389` untuk menghubungkan ke Windows node menggunakan Remote Desktop Protocol (RDP). Jika Anda tidak menentukan `portNumber` parameter, Session Manager gunakan `80` sebagai nilai default. 

`localPortNumber`adalah port di komputer lokal Anda di mana lalu lintas dimulai, seperti`56789`. Nilai ini adalah apa yang Anda masukkan saat menghubungkan ke node terkelola menggunakan klien. Misalnya, **localhost:56789**.

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

*Untuk informasi selengkapnya tentang sesi penerusan port, lihat [Port Forwarding Using AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) di Blog Berita.AWS *

## Memulai sesi (penerusan port ke host jarak jauh)
<a name="sessions-remote-port-forwarding"></a>

Untuk memulai sesi penerusan Session Manager port ke host jarak jauh, versi 3.1.1374.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola. Host jarak jauh tidak perlu dikelola oleh Systems Manager.

**catatan**  
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).  
Untuk menggunakan perintah AWS CLI to run session, Anda harus menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).  
Tergantung pada sistem operasi dan alat baris perintah Anda, penempatan tanda kutip dapat berbeda dan karakter escape mungkin diperlukan.

Untuk memulai sesi penerusan port, jalankan perintah berikut dari file. AWS CLI Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name AWS-StartPortForwardingSessionToRemoteHost \
    --parameters '{"host":["mydb.example.us-east-2.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["3306"]}'
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name AWS-StartPortForwardingSessionToRemoteHost ^
    --parameters host="mydb.example.us-east-2.rds.amazonaws.com",portNumber="3306",localPortNumber="3306"
```

------

`host`Nilai mewakili nama host atau alamat IP dari host jarak jauh yang ingin Anda sambungkan. Konektivitas umum dan persyaratan resolusi nama antara node terkelola dan host jarak jauh masih berlaku.

`portNumber`adalah port jarak jauh pada node terkelola tempat Anda ingin lalu lintas sesi dialihkan. Misalnya, Anda dapat menentukan port `3389` untuk menghubungkan ke Windows node menggunakan Remote Desktop Protocol (RDP). Jika Anda tidak menentukan `portNumber` parameter, Session Manager gunakan `80` sebagai nilai default. 

`localPortNumber`adalah port di komputer lokal Anda di mana lalu lintas dimulai, seperti`56789`. Nilai ini adalah apa yang Anda masukkan saat menghubungkan ke node terkelola menggunakan klien. Misalnya, **localhost:56789**.

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

### Memulai sesi dengan tugas Amazon ECS
<a name="sessions-remote-port-forwarding-ecs-task"></a>

Session Managermendukung memulai sesi penerusan port dengan tugas di dalam cluster Amazon Elastic Container Service (Amazon ECS). Untuk melakukannya, aktifkan ECS Exec. Untuk informasi selengkapnya, lihat [Memantau kontainer Amazon Elastic Container Service dengan ECS Exec di Panduan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html) *Pengembang Layanan Kontainer Elastis Amazon*.

Anda juga harus memperbarui peran tugas di IAM untuk menyertakan izin berikut:

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
       {
       "Effect": "Allow",
       "Action": [
            "ssmmessages:CreateControlChannel",
            "ssmmessages:CreateDataChannel",
            "ssmmessages:OpenControlChannel",
            "ssmmessages:OpenDataChannel"
       ],
      "Resource": "*"
      }
   ]
}
```

------

Untuk memulai sesi penerusan port dengan tugas Amazon ECS, jalankan perintah berikut dari file. AWS CLI Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

**catatan**  
Hapus < and > simbol dari `target` parameter. Simbol-simbol ini disediakan hanya untuk klarifikasi pembaca.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target ecs:<ECS_cluster_name>_<ECS_container_ID>_<container_runtime_ID> \
    --document-name AWS-StartPortForwardingSessionToRemoteHost \
    --parameters '{"host":["URL"],"portNumber":["port_number"], "localPortNumber":["port_number"]}'
```

------
#### [  Windows  ]

```
aws ssm start-session ^
    --target ecs:<ECS_cluster_name>_<ECS_container_ID>_<container_runtime_ID> ^
    --document-name AWS-StartPortForwardingSessionToRemoteHost ^
    --parameters host="URL",portNumber="port_number",localPortNumber="port_number"
```

------

## Memulai sesi (perintah interaktif dan noninteraktif)
<a name="sessions-start-interactive-commands"></a>

Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).

Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).

Untuk memulai sesi perintah interaktif, jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

```
aws ssm start-session \
    --target instance-id \
    --document-name CustomCommandSessionDocument \
    --parameters '{"logpath":["/var/log/amazon/ssm/amazon-ssm-agent.log"]}'
```

------
#### [ Windows ]

```
aws ssm start-session ^
    --target instance-id ^
    --document-name CustomCommandSessionDocument ^
    --parameters logpath="/var/log/amazon/ssm/amazon-ssm-agent.log"
```

------

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

 **Info lebih lanjut**   
+  [Gunakan penerusan port AWS Systems ManagerSession Manager untuk terhubung ke host jarak jauh](https://aws.amazon.com/blogs/mt/use-port-forwarding-in-aws-systems-manager-session-manager-to-connect-to-remote-hosts/) 
+  [Penerusan port instans Amazon EC2 dengan AWS Systems Manager](https://aws.amazon.com/blogs/mt/amazon-ec2-instance-port-forwarding-with-aws-systems-manager/) 
+  [AWS Mengelola sumber daya Microsoft AD yang Dikelola dengan penerusan Session Manager port](https://aws.amazon.com/blogs/mt/manage-aws-managed-microsoft-ad-resources-with-session-manager-port-forwarding/) 
+ [Port Forwarding Menggunakan AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) di Blog *AWS Berita*.

# Mengakhiri sesi
<a name="session-manager-working-with-sessions-end"></a>

Anda dapat mengakhiri sesi yang Anda mulai di akun Anda menggunakan AWS Systems Manager konsol atau AWS Command Line Interface (AWS CLI). Saat Anda memilih tombol **Terminate** untuk sesi di konsol atau memanggil tindakan [TerminateSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_TerminateSession.html)API dengan menggunakan, AWS CLISession Manager secara permanen mengakhiri sesi dan menutup koneksi data antara Session Manager klien dan SSM Agent pada node yang dikelola. Anda tidak dapat melanjutkan sesi yang dihentikan.

Jika tidak ada aktivitas pengguna dalam sesi terbuka selama 20 menit, status idle akan memicu batas waktu. Session Manager tidak memanggil`TerminateSession`, tetapi menutup saluran yang mendasarinya. Anda tidak dapat melanjutkan sesi yang ditutup karena batas waktu idle.

Sebaiknya selalu secara eksplisit mengakhiri sesi dengan menggunakan `terminate-session` perintah, saat menggunakan AWS CLI, atau tombol **Terminate** saat menggunakan konsol. (Tombol **terminate** terletak di kedua jendela sesi dan utama Session Manager halaman konsol.) Jika Anda hanya menutup browser atau jendela perintah, sesi tetap terdaftar sebagai **Aktif** di konsol selama 30 hari. Ketika Anda tidak secara eksplisit mengakhiri sesi, atau ketika sesi habis, proses apa pun yang berjalan pada node terkelola pada saat itu akan terus berjalan.

**Topics**
+ [Mengakhiri sesi (konsol)](#stop-sys-console)
+ [Mengakhiri sesi (AWS CLI)](#stop-cli)

## Mengakhiri sesi (konsol)
<a name="stop-sys-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk mengakhiri sesi di akun Anda.

**Untuk mengakhiri sesi (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Untuk **Sesi**, pilih tombol opsi di sebelah kiri sesi yang ingin Anda akhiri. 

1. Pilih **Hentikan**.

## Mengakhiri sesi (AWS CLI)
<a name="stop-cli"></a>

Untuk mengakhiri sesi menggunakan AWS CLI, jalankan perintah berikut. Ganti *session-id* dengan informasi Anda sendiri.

```
aws ssm terminate-session \
    --session-id session-id
```

Untuk informasi selengkapnya tentang **terminate-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

# Lihat riwayat sesi
<a name="session-manager-working-with-view-history"></a>

Anda dapat menggunakan AWS Systems Manager konsol atau AWS Command Line Interface (AWS CLI) untuk melihat informasi tentang sesi di akun Anda. Di konsol, Anda dapat melihat detail sesi seperti berikut:
+ ID sesi
+ Pengguna mana yang terhubung ke node terkelola melalui sesi
+ ID dari node terkelola
+ Ketika sesi dimulai dan berakhir
+ Status sesi
+ Lokasi yang ditentukan untuk menyimpan log sesi (jika diaktifkan)

Dengan menggunakan AWS CLI, Anda dapat melihat daftar sesi di akun Anda, tetapi bukan detail tambahan yang tersedia di konsol.

Untuk informasi tentang informasi riwayat sesi log, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).

**Topics**
+ [Melihat riwayat sesi (konsol)](#view-console)
+ [Melihat riwayat sesi (AWS CLI)](#view-history-cli)

## Melihat riwayat sesi (konsol)
<a name="view-console"></a>

Anda dapat menggunakan AWS Systems Manager konsol untuk melihat detail tentang sesi di akun Anda.

**Untuk melihat riwayat sesi (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Riwayat sesi**.

   -atau-

   Jika Session Manager halaman beranda terbuka terlebih dahulu, pilih **Konfigurasi Preferensi** dan kemudian pilih tab **Riwayat sesi**.

## Melihat riwayat sesi (AWS CLI)
<a name="view-history-cli"></a>

Untuk melihat daftar sesi di akun Anda menggunakan AWS CLI, jalankan perintah berikut.

```
aws ssm describe-sessions \
    --state History
```

**catatan**  
Perintah ini hanya mengembalikan hasil untuk koneksi ke target yang dimulai menggunakanSession Manager. Perintah ini bukan mendaftarkan koneksi yang dibuat melalui cara lain, seperti Remote Desktop Protocol (RDP) atau Secure Shell Protocol (SSH).

Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **describe-sessions** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.

# Aktivitas sesi pencatatan
<a name="session-manager-auditing"></a>

Selain memberikan informasi tentang sesi saat ini dan yang telah selesai di konsol Systems Manager, Session Manager memberi Anda kemampuan untuk mencatat aktivitas sesi saat Anda Akun AWS menggunakan AWS CloudTrail.

CloudTrail menangkap panggilan API sesi melalui konsol Systems Manager, AWS Command Line Interface (AWS CLI), dan SDK Systems Manager. Anda dapat melihat informasi di CloudTrail konsol atau menyimpannya di bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan. Satu bucket Amazon S3 digunakan untuk semua CloudTrail log untuk akun Anda. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).

**catatan**  
Untuk analisis analitis berulang, historis, dan analitis dari file log Anda, pertimbangkan untuk menanyakan CloudTrail log menggunakan [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) atau tabel yang Anda pertahankan. Untuk informasi selengkapnya, lihat [Menanyakan AWS CloudTrail log](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html) di *Panduan AWS CloudTrail Pengguna*. 

## Memantau aktivitas sesi menggunakan Amazon EventBridge (konsol)
<a name="session-manager-auditing-eventbridge-events"></a>

Dengan EventBridge, Anda dapat mengatur aturan untuk mendeteksi kapan perubahan terjadi pada AWS sumber daya. Anda dapat membuat aturan untuk mendeteksi ketika pengguna di organisasi Anda memulai atau mengakhiri sesi, dan kemudian, misalnya, menerima pemberitahuan melalui Amazon SNS tentang acara tersebut. 

EventBridge dukungan untuk Session Manager bergantung pada catatan operasi API yang direkam oleh CloudTrail. (Anda dapat menggunakan CloudTrail integrasi dengan EventBridge untuk menanggapi sebagian besar AWS Systems Manager peristiwa.) Tindakan yang terjadi dalam sesi, seperti `exit` perintah, yang tidak membuat panggilan API tidak terdeteksi oleh EventBridge.

Langkah-langkah berikut menguraikan cara memulai notifikasi melalui Amazon Simple Notification Service (Amazon SNS) saat peristiwa API terjadi, Session Manager seperti. **StartSession**

**Untuk memantau aktivitas sesi menggunakan Amazon EventBridge (konsol)**

1. Buat topik Amazon SNS yang akan digunakan untuk mengirim notifikasi saat Session Manager peristiwa terjadi yang ingin Anda lacak.

   Untuk informasi lebih lanjut, lihat [Buat topik](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) dalam *Panduan Developer Amazon Simple Notification Service*.

1. Buat EventBridge aturan untuk memanggil target Amazon SNS untuk jenis Session Manager acara yang ingin Anda lacak.

   Untuk informasi tentang cara membuat aturan, lihat [Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*.

   Saat Anda mengikuti langkah-langkah untuk membuat aturan, buat pilihan berikut:
   + Untuk **AWS layanan**, pilih **Systems Manager**.
   + Untuk **jenis Acara**, pilih **AWS API Call through CloudTrail**.
   + Pilih **Operasi khusus**, lalu masukkan Session Manager perintah atau perintah (satu per satu) yang ingin Anda terima notifikasi. Anda dapat memilih**StartSession**,**ResumeSession**, dan**TerminateSession**. (EventBridge tidak mendukung`Get*`,` List*`, dan `Describe*` perintah.)
   + Untuk **Pilih target**, pilih **Topik SNS**. Untuk **Topik**, pilih nama topik Amazon SNS yang Anda buat di Langkah 1.

Untuk informasi selengkapnya, lihat *[Panduan EventBridge Pengguna Amazon dan Panduan](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* *[Memulai Layanan Pemberitahuan Sederhana Amazon](https://docs.aws.amazon.com/sns/latest/gsg/)*.

# Mengaktifkan dan menonaktifkan pencatatan sesi
<a name="session-manager-logging"></a>

Pencatatan sesi mencatat informasi tentang sesi saat ini dan yang telah selesai di konsol Systems Manager. Anda juga dapat mencatat detail tentang perintah yang dijalankan selama sesi di Anda Akun AWS. Session logging memungkinkan Anda untuk melakukan hal berikut:
+ Membuat dan menyimpan log sesi untuk tujuan arsip.
+ Buat laporan yang menunjukkan detail setiap koneksi yang dibuat ke node terkelola yang Anda gunakan Session Manager selama 30 hari terakhir.
+ Hasilkan notifikasi untuk pencatatan sesi di akun Anda Akun AWS, seperti notifikasi Amazon Simple Notification Service (Amazon SNS).
+ Secara otomatis memulai tindakan lain pada AWS sumber daya sebagai hasil dari tindakan yang dilakukan selama sesi, seperti menjalankan AWS Lambda fungsi, memulai AWS CodePipeline pipeline, atau menjalankan AWS Systems Manager Run Command dokumen.

**penting**  
Perhatikan persyaratan dan batasan berikut untukSession Manager:  
Session Managermencatat perintah yang Anda masukkan dan outputnya selama sesi tergantung pada preferensi sesi Anda. Untuk mencegah data sensitif, seperti kata sandi, dilihat di log sesi Anda, sebaiknya gunakan perintah berikut saat memasukkan data sensitif selama sesi.  

  ```
  stty -echo; read passwd; stty echo;
  ```

  ```
  $Passwd = Read-Host -AsSecureString
  ```
Jika Anda menggunakan Windows Server 2012 atau yang lebih lama, data dalam log Anda mungkin tidak diformat secara optimal. Kami merekomendasikan menggunakan Windows Server 2012 R2 dan yang lebih baru untuk format log yang optimal.
Jika Anda menggunakan Linux atau macOS mengelola node, pastikan bahwa utilitas layar diinstal. Jika tidak, data log Anda mungkin terpotong. Di Amazon Linux 2, AL2 023 danUbuntu Server, utilitas layar diinstal secara default. Untuk menginstal layar secara manual, tergantung pada versi AndaLinux, jalankan salah satu `sudo yum install screen` atau`sudo apt-get install screen`.
Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.

Untuk informasi selengkapnya tentang izin yang diperlukan untuk menggunakan Amazon S3 atau CloudWatch Amazon Log untuk mencatat data sesi, lihat. [Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)](getting-started-create-iam-instance-profile.md#create-iam-instance-profile-ssn-logging)

Lihat topik berikut untuk informasi selengkapnya tentang opsi pencatatan untukSession Manager.

**Topics**
+ [Streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cwl-streaming.md)
+ [Log data sesi menggunakan Amazon S3 (konsol)](session-manager-logging-s3.md)
+ [Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cloudwatch-logs.md)
+ [Mengkonfigurasi pencatatan sesi ke disk](session-manager-logging-disk.md)
+ [Menyesuaikan berapa lama file log Session Manager sementara disimpan pada disk](session-manager-logging-disk-retention.md)
+ [Menonaktifkan Session Manager login di CloudWatch Log dan Amazon S3](session-manager-enable-and-disable-logging.md)

# Streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)
<a name="session-manager-logging-cwl-streaming"></a>

Anda dapat mengirim aliran log data sesi secara terus-menerus ke Amazon CloudWatch Logs. Detail penting, seperti perintah yang dijalankan pengguna dalam sesi, ID pengguna yang menjalankan perintah, dan stempel waktu saat data sesi dialirkan ke CloudWatch Log, disertakan saat streaming data sesi. Saat streaming data sesi, log diformat JSON untuk membantu Anda berintegrasi dengan solusi log Anda yang ada. Streaming data sesi tidak didukung untuk perintah interaktif.

**catatan**  
Untuk melakukan streaming data sesi dari node Windows Server terkelola, Anda harus menginstal PowerShell 5.1 atau yang lebih baru. Secara default, Windows Server 2016 dan yang lebih baru memiliki PowerShell versi yang diperlukan diinstal. Namun, Windows Server 2012 dan 2012 R2 tidak memiliki PowerShell versi yang diperlukan diinstal secara default. Jika Anda belum memperbarui PowerShell node terkelola Windows Server 2012 atau 2012 R2 Anda, Anda dapat melakukannya dengan menggunakanRun Command. Untuk informasi tentang memperbarui PowerShell penggunaanRun Command, lihat[Memperbarui PowerShell menggunakan Run Command](run-command-tutorial-update-software.md#rc-console-pwshexample).

**penting**  
Jika Anda memiliki setelan kebijakan **PowerShell Transkripsi** yang dikonfigurasi pada node Windows Server terkelola, Anda tidak akan dapat mengalirkan data sesi.

**Untuk melakukan streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Pilih kotak centang di sebelah **Aktifkan** di bawah **CloudWatch pencatatan**.

1. Pilih opsi **Streaming log sesi**.

1. (Disarankan) Pilih kotak centang di sebelah **Izinkan hanya grup CloudWatch log terenkripsi**. Dengan opsi ini diaktifkan, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk grup log. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke CloudWatch Log, kosongkan kotak centang. Anda juga harus mengosongkan kotak centang jika enkripsi tidak diizinkan di grup log.

1. Untuk **CloudWatch log**, untuk menentukan grup CloudWatch log Log yang ada di log sesi Akun AWS untuk Anda unggah, pilih salah satu dari berikut ini:
   + Masukkan nama grup log di kotak teks yang telah dibuat di akun Anda untuk menyimpan data log sesi.
   + **Jelajahi grup log**: Pilih grup log yang telah dibuat di akun Anda untuk menyimpan data log sesi.

1. Pilih **Simpan**.

# Log data sesi menggunakan Amazon S3 (konsol)
<a name="session-manager-logging-s3"></a>

Anda dapat memilih untuk menyimpan data log sesi di bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan untuk tujuan debugging dan pemecahan masalah. Opsi default adalah untuk log yang akan dikirim ke bucket Amazon S3 yang dienkripsi. Enkripsi dilakukan menggunakan kunci yang ditentukan untuk bucket, baik kunci Amazon S3 Server-Side Encryption (SSE) (AES-256) AWS KMS key atau Amazon S3. 

**penting**  
Saat Anda menggunakan bucket cara hosting virtual dengan Lapisan Soket Aman (SSL), sertifikat wildcard SSL hanya cocok dengan bucket yang tidak mengandung titik. Untuk menangani hal ini, gunakan HTTP atau tulis logika verifikasi sertifikat Anda sendiri. Kami menyarankan Anda untuk tidak menggunakan titik (".") dalam nama bucket saat menggunakan bucket cara hosting virtual.

**Enkripsi bucket Amazon S3**  
Untuk mengirim log ke bucket Amazon S3 Anda dengan enkripsi, enkripsi harus diizinkan di bucket. Untuk informasi lebih lanjut tentang enkripsi bucket Amazon S3, lihat [Enkripsi Default Amazon S3 untuk Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html).

**Kunci yang dikelola pelanggan**  
Jika Anda menggunakan kunci KMS yang Anda kelola sendiri untuk mengenkripsi bucket Anda, maka profil instans IAM yang terlampir pada instans Anda harus memiliki izin eksplisit untuk membaca kunci. Jika Anda menggunakan Kunci yang dikelola AWS, instance tidak memerlukan izin eksplisit ini. Untuk informasi lebih lanjut tentang memberikan profil instans dengan akses untuk menggunakan kunci, lihat [Mengizinkan Pengguna Kunci untuk Menggunakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) di *Panduan Developer AWS Key Management Service *.

Ikuti langkah-langkah berikut Session Manager untuk mengonfigurasi penyimpanan log sesi di bucket Amazon S3.

**catatan**  
Anda juga dapat menggunakan AWS CLI untuk menentukan atau mengubah bucket Amazon S3 tempat data sesi dikirim. Untuk informasi, lihat [Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).

**Untuk log data sesi menggunakan Amazon S3 (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Pilih kotak centang di samping **Aktifkan** di bawah **log S3**. 

1. (Disarankan) Pilih kotak centang di sebelah **Izinkan hanya bucket S3 yang dienkripsi**. Dengan opsi ini diaktifkan, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk bucket. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke Amazon S3, kosongkan kotak centang. Anda juga harus mengosongkan kotak centang jika enkripsi tidak diizinkan di bucket S3.

1. Untuk **nama bucket S3**, pilih salah satu dari berikut ini:
**catatan**  
Kami menyarankan Anda untuk tidak menggunakan titik (".") dalam nama bucket saat menggunakan bucket cara hosting virtual. *Untuk informasi selengkapnya tentang konvensi penamaan ember Amazon S3, lihat [Pembatasan dan Batasan Bucket di](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*
   + **Pilih nama bucket dari daftar**: Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
   + **Masukkan nama bucket di kotak teks**: Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.

1. (Opsional) Untuk **prefiks kunci S3**, masukkan nama folder yang sudah ada atau baru untuk menyimpan log dalam bucket yang dipilih.

1. Pilih **Simpan**.

Untuk informasi selengkapnya tentang bekerja dengan bucket Amazon S3 dan Amazon S3, lihat Panduan Pengguna *[Layanan Penyimpanan Sederhana Amazon dan Panduan Pengguna Layanan Penyimpanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)* *[Sederhana Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)*.

# Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)
<a name="session-manager-logging-cloudwatch-logs"></a>

Dengan Amazon CloudWatch Logs, Anda dapat memantau, menyimpan, dan mengakses file log dari berbagai file Layanan AWS. Anda dapat mengirim data log sesi ke grup CloudWatch log Log untuk tujuan debugging dan pemecahan masalah. Opsi default adalah untuk data log yang akan dikirim dengan enkripsi menggunakan kunci KMS Anda, tetapi Anda dapat mengirim data ke grup log Anda dengan atau tanpa enkripsi. 

Ikuti langkah-langkah berikut AWS Systems Manager Session Manager untuk mengonfigurasi pengiriman data log sesi ke grup CloudWatch log Log di akhir sesi Anda.

**catatan**  
Anda juga dapat menggunakan AWS CLI untuk menentukan atau mengubah grup CloudWatch log Log tempat data sesi dikirim. Untuk informasi, lihat [Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).

**Untuk mencatat data sesi menggunakan Amazon CloudWatch Logs (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Pilih kotak centang di sebelah **Aktifkan** di bawah **CloudWatch pencatatan**.

1. Pilih opsi **Unggah log sesi**.

1. (Disarankan) Pilih kotak centang di sebelah **Izinkan hanya grup CloudWatch log terenkripsi**. Dengan opsi ini diaktifkan, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk grup log. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke CloudWatch Log, kosongkan kotak centang. Anda juga harus mengosongkan kotak centang jika enkripsi tidak diizinkan di grup log.

1. Untuk **CloudWatch log**, untuk menentukan grup CloudWatch log Log yang ada di log sesi Akun AWS untuk Anda unggah, pilih salah satu dari berikut ini:
   + **Pilih grup log dari daftar**: Pilih grup log yang telah dibuat di akun Anda untuk menyimpan data log sesi.
   + **Masukkan nama grup log di kotak teks**: Masukkan nama grup log yang telah dibuat di akun Anda untuk menyimpan data log sesi.

1. Pilih **Simpan**.

Untuk informasi selengkapnya tentang bekerja dengan CloudWatch Log, lihat *[Panduan Pengguna CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.

# Mengkonfigurasi pencatatan sesi ke disk
<a name="session-manager-logging-disk"></a>

Setelah Anda mengaktifkan Session Manager logging ke CloudWatch atau Amazon S3, semua perintah yang dijalankan selama sesi (dan output yang dihasilkan dari perintah tersebut) akan dicatat ke file sementara pada disk instance target. File sementara diberi nama`ipcTempFile.log`. 

`ipcTempFile.log`Ini dikendalikan oleh `SessionLogsDestination` parameter dalam file SSM Agent konfigurasi. Parameter ini menerima nilai-nilai berikut:
+ **disk**: Jika Anda menentukan parameter ini dan pencatatan sesi ke CloudWatch atau Amazon S3 *diaktifkan*, SSM Agent buat file log `ipcTempFile.log` sementara dan perintah sesi log dan output ke disk. Session Managermengunggah log ini ke salah satu CloudWatch atau S3 selama atau setelah sesi, tergantung pada konfigurasi logging. Log kemudian dihapus sesuai dengan durasi yang ditentukan untuk parameter SSM Agent `SessionLogsRetentionDurationHours` konfigurasi.

  Jika Anda menentukan parameter ini dan sesi logging ke CloudWatch dan Amazon S3 *dinonaktifkan*, SSM Agent masih mencatat riwayat perintah dan output dalam file. `ipcTempFile.log` File akan dihapus sesuai dengan durasi yang ditentukan untuk parameter SSM Agent `SessionLogsRetentionDurationHours` konfigurasi.
+ **none**: Jika Anda menentukan parameter ini dan pencatatan sesi ke CloudWatch atau Amazon S3 *diaktifkan*, logging ke disk berfungsi persis seperti jika Anda telah menentukan parameter. `disk` SSM Agentmemerlukan file sementara saat sesi masuk ke CloudWatch atau Amazon S3 diaktifkan.

  Jika Anda menentukan parameter ini dan pencatatan sesi ke CloudWatch atau Amazon S3 *dinonaktifkan*, SSM Agent tidak akan membuat file. `ipcTempFile.log`

Gunakan prosedur berikut untuk mengaktifkan atau menonaktifkan pembuatan file log `ipcTempFile.log` sementara ke disk ketika sesi ditatap.

**Untuk mengaktifkan atau menonaktifkan pembuatan file log Session Manager sementara ke disk**

1. Instal SSM Agent pada instans Anda atau tingkatkan ke versi 3.2.2086 atau lebih tinggi. Untuk informasi tentang cara memeriksa nomor versi agen, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md). Untuk informasi tentang cara menginstal agen secara manual, cari prosedur untuk sistem operasi Anda di bagian berikut:
   + [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md)
   + [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md)
   + [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md)

1. Connect ke instans Anda dan temukan `amazon-ssm-agent.json` file di lokasi berikut.
   + **Linux**:/etc/amazon/ssm/
   + **macOS**: /opt/aws/ssm/
   + **Windows Server**: C:\$1Program File\$1 Amazon\$1 SSM

   Jika file `amazon-ssm-agent.json` tidak ada, salin isi file `amazon-ssm-agent.json.template` ke file baru di direktori yang sama. Beri nama file baru`amazon-ssm-agent.json`. 

1. Tentukan salah satu `none` atau `disk` untuk `SessionLogsDestination` parameter. Simpan perubahan Anda.

1. [Mulai ulang](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html)SSM Agent.

Jika Anda menentukan `disk` `SessionLogsDestination` parameter, Anda dapat memverifikasi bahwa SSM Agent membuat file log sementara dengan memulai sesi baru dan kemudian menemukan `ipcTempFile.log` di lokasi berikut:
+ **Linux**://var/lib/amazon/ssm/session/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **macOS**://opt/aws/ssm/data/sesi/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1\$1 sesiInstanceData\$1 orchestration*target ID*\$1\$1 Standard\$1Stream\$1 *session ID* .log ipcTempFile

**catatan**  
Secara default, file log sementara disimpan pada instance selama 14 hari.

Jika Anda ingin memperbarui `SessionLogsDestination` parameter di beberapa instance, kami sarankan Anda membuat Dokumen SSM yang menentukan konfigurasi baru. Anda kemudian dapat menggunakan Systems Manager Run Command untuk mengimplementasikan perubahan pada instans Anda. Untuk informasi selengkapnya, lihat [Menulis AWS Systems Manager dokumen Anda sendiri (blog)](https://aws.amazon.com/blogs/mt/writing-your-own-aws-systems-manager-documents/) dan[Menjalankan perintah pada node terkelola](running-commands.md).

# Menyesuaikan berapa lama file log Session Manager sementara disimpan pada disk
<a name="session-manager-logging-disk-retention"></a>

Setelah Anda mengaktifkan Session Manager logging ke CloudWatch atau Amazon S3, semua perintah yang dijalankan selama sesi (dan output yang dihasilkan dari perintah tersebut) akan dicatat ke file sementara pada disk instance target. File sementara diberi nama`ipcTempFile.log`. Selama sesi, atau setelah selesai, Session Manager unggah log sementara ini ke salah satu CloudWatch atau S3. Log sementara kemudian dihapus sesuai dengan durasi yang ditentukan untuk parameter SSM Agent `SessionLogsRetentionDurationHours` konfigurasi. Secara default, file log sementara disimpan pada instance selama 14 hari di lokasi berikut:
+ **Linux**://var/lib/amazon/ssm/session/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **macOS**://opt/aws/ssm/data/sesi/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1\$1 sesiInstanceData\$1 orchestration*target ID*\$1\$1 Standard\$1Stream\$1 *session ID* .log ipcTempFile

Gunakan prosedur berikut untuk menyesuaikan berapa lama file log Session Manager sementara disimpan pada disk.

**Untuk menyesuaikan berapa lama `ipcTempFile.log` file disimpan pada disk**

1. Connect ke instans Anda dan temukan `amazon-ssm-agent.json` file di lokasi berikut.
   + **Linux**:/etc/amazon/ssm/
   + **macOS**: /opt/aws/ssm/
   + **Windows Server**: C:\$1Program File\$1 Amazon\$1 SSM

   Jika file `amazon-ssm-agent.json` tidak ada, salin isi file `amazon-ssm-agent.json.template` ke file baru di direktori yang sama. Beri nama file baru`amazon-ssm-agent.json`. 

1. Ubah nilai `SessionLogsRetentionDurationHours` ke jumlah jam yang diinginkan. Jika `SessionLogsRetentionDurationHours` diatur ke 0, file log sementara dibuat selama sesi dan dihapus ketika sesi selesai. Pengaturan ini harus memastikan file log tidak bertahan setelah sesi berakhir.

1. Simpan perubahan Anda.

1. [Mulai ulang](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html)SSM Agent.

# Menonaktifkan Session Manager login di CloudWatch Log dan Amazon S3
<a name="session-manager-enable-and-disable-logging"></a>

Anda dapat menggunakan konsol Systems Manager atau AWS CLI untuk menonaktifkan pencatatan sesi di akun Anda.

**Untuk menonaktifkan pencatatan sesi (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Session Manager**.

1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.

1. Untuk menonaktifkan CloudWatch logging, di bagian **CloudWatch logging**, kosongkan kotak centang **Aktifkan**.

1. Untuk menonaktifkan logging S3, di bagian **logging S3**, kosongkan kotak centang **Aktifkan**.

1. Pilih **Simpan**.

**Untuk menonaktifkan pencatatan sesi (AWS CLI)**  
Untuk menonaktifkan pencatatan sesi menggunakan AWS CLI, ikuti instruksi di[Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).

 Dalam file JSON Anda, pastikan bahwa `s3BucketName` dan `cloudWatchLogGroupName` input tidak mengandung nilai. Contoh: 

```
"inputs": {
        "s3BucketName": "",
        ...
        "cloudWatchLogGroupName": "",
        ...
    }
```

Atau, untuk menonaktifkan logging, Anda dapat menghapus semua `S3*` dan `cloudWatch*` input dari file JSON Anda.

**catatan**  
Tergantung pada konfigurasi Anda, setelah Anda menonaktifkan CloudWatch atau S3, file log sementara mungkin masih dihasilkan ke disk olehSSM Agent. Untuk informasi tentang cara menonaktifkan logging ke disk, lihat[Mengkonfigurasi pencatatan sesi ke disk](session-manager-logging-disk.md).

# Skema dokumen sesi
<a name="session-manager-schema"></a>

Informasi berikut menjelaskan elemen skema dokumen Sesi. AWS Systems Manager Session Manager Menggunakan dokumen Sesi untuk menentukan jenis sesi yang akan dimulai, seperti sesi standar, sesi penerusan port, atau sesi untuk menjalankan perintah interaktif.

 [schemaVersion](#version)   
Versi skema dokumen Sesi. Dokumen Sesi hanya mendukung versi 1.0.  
Tipe: String  
Wajib: Ya

 [description](#descript)   
Deskripsi yang Anda tentukan untuk dokumen Sesi. Misalnya, “Dokumen untuk memulai sesi penerusan port dengan Session Manager".  
Tipe: String  
Wajib: Tidak

 [sessionType](#type)   
Tipe sesi dokumen Sesi digunakan untuk membuat.  
Tipe: String  
Wajib: Ya  
Nilai valid: `InteractiveCommands` \$1 `NonInteractiveCommands` \$1 `Port` \$1 `Standard_Stream`

 [inputs](#in)   
Preferensi sesi yang akan digunakan untuk sesi yang dibuat menggunakan dokumen Sesi ini. Elemen ini diperlukan untuk dokumen Sesi yang digunakan untuk membuat sesi `Standard_Stream`.  
Jenis: StringMap  
Wajib: Tidak    
 [s3BucketName](#bucket)   
Bucket Amazon Simple Storage Service (Amazon S3) yang ingin Anda kirimkan log sesi di akhir sesi Anda.  
Tipe: String  
Wajib: Tidak  
 [s3KeyPrefix](#prefix)   
Prefiks yang digunakan saat mengirim log ke bucket Amazon S3 yang Anda tentukan di input `s3BucketName`. Untuk informasi selengkapnya tentang menggunakan awalan bersama dengan objek yang disimpan di Amazon S3, [lihat Bagaimana cara menggunakan folder di bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/using-folders.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.  
Tipe: String  
Wajib: Tidak  
 [s3EncryptionEnabled](#s3Encrypt)   
Jika diatur ke `true`, bucket Amazon S3 yang Anda tentukan di input `s3BucketName` harus dienkripsi.  
Tipe: Boolean  
Wajib: Ya  
 [cloudWatchLogGroupName](#logGroup)   
Nama grup Amazon CloudWatch Logs (CloudWatch Log) yang ingin Anda kirimi log sesi di akhir sesi.  
Tipe: String  
Wajib: Tidak  
 [cloudWatchEncryptionEnabled](#cwEncrypt)   
Jika diatur ke `true`, grup log yang Anda tentukan dalam input `cloudWatchLogGroupName` harus dienkripsi.  
Tipe: Boolean  
Wajib: Ya  
 [cloudWatchStreamingEnabled](#cwStream)   
Jika diatur ke `true`, aliran terus-menerus sesi data log dikirim ke grup log yang Anda tentukan di input `cloudWatchLogGroupName`. Jika diatur ke `false`, log sesi dikirim ke grup log yang Anda tentukan di input `cloudWatchLogGroupName` di akhir sesi Anda.  
Tipe: Boolean  
Wajib: Ya  
 [kmsKeyId](#kms)   
ID yang ingin AWS KMS key Anda gunakan untuk mengenkripsi data lebih lanjut antara mesin klien lokal Anda dan node terkelola Amazon Elastic Compute Cloud EC2 (Amazon) yang Anda sambungkan.  
Tipe: String  
Wajib: Tidak  
 [runAsEnabled](#run)   
Jika disetel ke`true`, Anda harus menentukan akun pengguna yang ada di node terkelola yang akan Anda sambungkan di `runAsDefaultUser` input. Jika tidak, sesi akan gagal untuk memulai. Secara default, sesi dimulai menggunakan `ssm-user` akun yang dibuat oleh AWS Systems Manager SSM Agent. Fitur Run As hanya didukung untuk menghubungkan ke Linux and macOS node terkelola.  
Jenis: Boolean  
Wajib: Ya  
 [runAsDefaultUser](#runUser)   
Nama akun pengguna untuk memulai sesi dengan on Linux and macOS node terkelola saat `runAsEnabled` input diatur ke`true`. Akun pengguna yang Anda tentukan untuk input ini harus ada pada node terkelola yang akan Anda sambungkan; jika tidak, sesi akan gagal dimulai.  
Tipe: String  
Wajib: Tidak  
 [idleSessionTimeout](#timeout)   
Jumlah waktu tidak aktif yang ingin Anda izinkan sebelum sesi berakhir. Input ini diukur dalam hitungan menit.  
Tipe: String  
Nilai valid: 1–60  
Wajib: Tidak  
 [maxSessionDuration](#maxDuration)   
Jumlah maksimum waktu yang ingin Anda izinkan sebelum sesi berakhir. Input ini diukur dalam hitungan menit.  
Tipe: String  
Nilai yang valid: 1-1440  
Wajib: Tidak  
 [shellProfile](#shell)   
Preferensi yang Anda tentukan per sistem operasi untuk diterapkan dalam sesi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.  
Jenis: StringMap  
Wajib: Tidak    
 [windows](#win)   
Preferensi shell, variabel lingkungan, direktori kerja, dan perintah yang Anda tentukan untuk sesi Windows Server node terkelola.  
Tipe: String  
Wajib: Tidak  
 [linux](#lin)   
Preferensi shell, variabel lingkungan, direktori kerja, dan perintah yang Anda tentukan untuk sesi Linux and macOS node terkelola.  
Tipe: String  
Wajib: Tidak

 [parameters](#param)   
Objek yang menentukan parameter yang diterima dokumen. Untuk informasi lebih lanjut tentang menentukan parameter dokumen, lihat **parameter** di [Elemen data tingkat atas](documents-syntax-data-elements-parameters.md#top-level). Untuk parameter yang sering Anda referensikan, kami sarankan Anda menyimpan parameter tersebut di Systems Manager Parameter Store dan kemudian referensi mereka. Anda dapat referensi `String` dan `StringList` Parameter Store parameter di bagian dokumen ini. Anda tidak bisa referensi `SecureString` Parameter Store parameter di bagian dokumen ini. Anda dapat mereferensikan Parameter Store parameter menggunakan format berikut.  

```
{{ssm:parameter-name}}
```
Untuk informasi lebih lanjut tentang Parameter Store, lihat [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md).  
Jenis: StringMap  
Wajib: Tidak

 [properties](#props)   
Objek yang nilainya Anda tentukan yang digunakan dalam operasi API `StartSession`.  
Untuk dokumen Sesi yang digunakan untuk sesi `InteractiveCommands`, objek properti termasuk perintah untuk berjalan pada sistem operasi yang Anda tentukan. Anda juga dapat menentukan apakah perintah dijalankan seperti `root` menggunakan properti `runAsElevated` boolean. Untuk informasi selengkapnya, lihat [Membatasi akses ke perintah dalam sesi](session-manager-restrict-command-access.md).  
Untuk dokumen Sesi yang digunakan untuk sesi `Port`, objek properti berisi nomor port tempat lalu lintas harus diarahkan. Sebagai contoh, lihat contoh dokumen Sesi tipe `Port` nanti di topik ini.  
Jenis: StringMap  
Wajib: Tidak

Contoh dokumen sesi tipe `Standard_Stream`

------
#### [ YAML ]

```
---
schemaVersion: '1.0'
description: Document to hold regional settings for Session Manager
sessionType: Standard_Stream
inputs:
  s3BucketName: ''
  s3KeyPrefix: ''
  s3EncryptionEnabled: true
  cloudWatchLogGroupName: ''
  cloudWatchEncryptionEnabled: true
  cloudWatchStreamingEnabled: true
  kmsKeyId: ''
  runAsEnabled: true
  runAsDefaultUser: ''
  idleSessionTimeout: '20'
  maxSessionDuration: '60'
  shellProfile:
    windows: ''
    linux: ''
```

------
#### [ JSON ]

```
{
    "schemaVersion": "1.0",
    "description": "Document to hold regional settings for Session Manager",
    "sessionType": "Standard_Stream",
    "inputs": {
        "s3BucketName": "",
        "s3KeyPrefix": "",
        "s3EncryptionEnabled": true,
        "cloudWatchLogGroupName": "",
        "cloudWatchEncryptionEnabled": true,
        "cloudWatchStreamingEnabled": true,
        "kmsKeyId": "",
        "runAsEnabled": true,
        "runAsDefaultUser": "",
        "idleSessionTimeout": "20",
        "maxSessionDuration": "60",
        "shellProfile": {
            "windows": "date",
            "linux": "pwd;ls"
        }
    }
}
```

------

Contoh dokumen sesi tipe `InteractiveCommands`

------
#### [ YAML ]

```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
  logpath:
    type: String
    description: The log file path to read.
    default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
    allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
  linux:
    commands: "tail -f {{ logpath }}"
    runAsElevated: true
```

------
#### [ JSON ]

```
{
    "schemaVersion": "1.0",
    "description": "Document to view a log file on a Linux instance",
    "sessionType": "InteractiveCommands",
    "parameters": {
        "logpath": {
            "type": "String",
            "description": "The log file path to read.",
            "default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
            "allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
        }
    },
    "properties": {
        "linux": {
            "commands": "tail -f {{ logpath }}",
            "runAsElevated": true
        }
    }
}
```

------

Contoh dokumen sesi tipe `Port`

------
#### [ YAML ]

```
---
schemaVersion: '1.0'
description: Document to open given port connection over Session Manager
sessionType: Port
parameters:
  paramExample:
    type: string
    description: document parameter
properties:
  portNumber: anyPortNumber
```

------
#### [ JSON ]

```
{
    "schemaVersion": "1.0",
    "description": "Document to open given port connection over Session Manager",
    "sessionType": "Port",
    "parameters": {
        "paramExample": {
            "type": "string",
            "description": "document parameter"
        }
    },
    "properties": {
        "portNumber": "anyPortNumber"
    }
}
```

------

Contoh dokumen sesi dengan karakter khusus

------
#### [ YAML ]

```
---
schemaVersion: '1.0'
description: Example document with quotation marks
sessionType: InteractiveCommands
parameters:
  Test:
    type: String
    description: Test Input
    maxChars: 32
properties:
  windows:
    commands: |
        $Test = '{{ Test }}'
        $myVariable = \"Computer name is $env:COMPUTERNAME\"
        Write-Host "Test variable: $myVariable`.`nInput parameter: $Test"
    runAsElevated: false
```

------
#### [ JSON ]

```
{
   "schemaVersion":"1.0",
   "description":"Test document with quotation marks",
   "sessionType":"InteractiveCommands",
   "parameters":{
      "Test":{
         "type":"String",
         "description":"Test Input",
         "maxChars":32
      }
   },
   "properties":{
      "windows":{
         "commands":[
            "$Test = '{{ Test }}'",
            "$myVariable = \\\"Computer name is $env:COMPUTERNAME\\\"",
            "Write-Host \"Test variable: $myVariable`.`nInput parameter: $Test\""
         ],
         "runAsElevated":false
      }
   }
}
```

------

# Pemecahan Masalah Session Manager
<a name="session-manager-troubleshooting"></a>

Gunakan informasi berikut untuk membantu Anda memecahkan masalah. AWS Systems Manager Session Manager

**Topics**
+ [AccessDeniedException saat memanggil TerminateSession operasi](#session-manager-troubleshooting-access-denied-exception)
+ [Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu](#session-manager-troubleshooting-document-worker-timed-out)
+ [Session Managertidak dapat terhubung dari konsol Amazon EC2](#session-manager-troubleshooting-EC2-console)
+ [Tidak ada izin untuk memulai sesi](#session-manager-troubleshooting-start-permissions)
+ [SSM Agenttidak online](#session-manager-troubleshooting-agent-not-online)
+ [Tidak ada izin untuk mengubah preferensi sesi](#session-manager-troubleshooting-preferences-permissions)
+ [Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager](#session-manager-troubleshooting-instances)
+ [Session ManagerPlugin tidak ditemukan](#plugin-not-found)
+ [Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)](#windows-plugin-env-var-not-set)
+ [Session ManagerPlugin menjadi tidak responsif](#plugin-unresponsive)
+ [TargetNotConnected](#ssh-target-not-connected)
+ [Layar kosong ditampilkan setelah memulai sesi](#session-manager-troubleshooting-start-blank-screen)
+ [Node terkelola menjadi tidak responsif selama sesi berjalan lama](#session-manager-troubleshooting-log-retention)
+ [Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi](#session-manager-troubleshooting-invalid-document)

## AccessDeniedException saat memanggil TerminateSession operasi
<a name="session-manager-troubleshooting-access-denied-exception"></a>

**Masalah**: Saat mencoba mengakhiri sesi, Systems Manager mengembalikan kesalahan berikut:

```
An error occurred (AccessDeniedException) when calling the TerminateSession operation: 
User: <user_arn> is not authorized to perform: ssm:TerminateSession on resource: 
<ssm_session_arn> because no identity-based policy allows the ssm:TerminateSession action.
```

**Solusi A: Konfirmasikan bahwa [versi terbaru Session Manager plugin](https://docs.aws.amazon.com/systems-manager/latest/userguide/plugin-version-history.html) diinstal pada node**

Masukkan perintah berikut di terminal dan tekan Enter.

```
session-manager-plugin --version
```

**Solusi B: Instal atau instal ulang versi terbaru plugin**

Untuk informasi selengkapnya, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).

**Solusi C: Mencoba membangun kembali koneksi ke node**

Verifikasi bahwa node merespons permintaan. Coba bangun kembali sesi. Atau, jika perlu, buka konsol Amazon EC2 dan verifikasi status instans sedang berjalan.

## Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu
<a name="session-manager-troubleshooting-document-worker-timed-out"></a>

**Masalah**: Saat memulai sesi ke host Linux, Systems Manager mengembalikan kesalahan berikut:

```
document process failed unexpectedly: document worker timed out, 
check [ssm-document-worker]/[ssm-session-worker] log for crash reason
```

Jika Anda mengonfigurasi SSM Agent logging, seperti yang dijelaskan di[Melihat SSM Agent log](ssm-agent-logs.md), Anda dapat melihat detail selengkapnya di log debugging. Untuk masalah ini, Session Manager menampilkan entri log berikut:

```
failed to create channel: too many open files
```

Kesalahan ini biasanya menunjukkan bahwa ada terlalu banyak proses Session Manager pekerja yang berjalan dan sistem operasi yang mendasarinya mencapai batas. Anda memiliki dua opsi untuk menyelesaikan masalah ini.

**Solusi A: Tingkatkan batas notifikasi file sistem operasi**

Anda dapat meningkatkan batas dengan menjalankan perintah berikut dari host Linux terpisah. Perintah ini menggunakan Systems ManagerRun Command. Nilai yang ditentukan meningkat `max_user_instances` menjadi 8192. Nilai ini jauh lebih tinggi daripada nilai default 128, tetapi tidak akan membebani sumber daya host:

```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE  --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"
```

**Solusi B: Kurangi notifikasi file yang digunakan oleh Session Manager host target**

Jalankan perintah berikut dari host Linux terpisah untuk membuat daftar sesi yang berjalan pada host target:

```
aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE
```

Tinjau output perintah untuk mengidentifikasi sesi yang tidak lagi diperlukan. Anda dapat mengakhiri sesi tersebut dengan menjalankan perintah berikut dari host Linux terpisah:

```
aws ssm terminate-session —session-id session ID
```

Secara opsional, setelah tidak ada lagi sesi yang berjalan di server jarak jauh, Anda dapat membebaskan sumber daya tambahan dengan menjalankan perintah berikut dari host Linux terpisah. Perintah ini menghentikan semua Session Manager proses yang berjalan pada host jarak jauh, dan akibatnya semua sesi ke host jarak jauh. Sebelum Anda menjalankan perintah ini, pastikan tidak ada sesi yang sedang berlangsung yang ingin Anda pertahankan:

```
aws ssm send-command --document-name AWS-RunShellScript \
            --instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'
```

## Session Managertidak dapat terhubung dari konsol Amazon EC2
<a name="session-manager-troubleshooting-EC2-console"></a>

**Masalah**: Setelah membuat instance baru, tombol **Connect** > tab **Session Manager** di konsol Amazon Elastic Compute Cloud (Amazon EC2) tidak memberi Anda opsi untuk terhubung.

**Solusi A: Buat profil instance**: Jika Anda belum melakukannya (seperti yang diinstruksikan oleh informasi pada tab **Session Manager** di konsol EC2), buat profil instans AWS Identity and Access Management (IAM) dengan menggunakan. Quick Setup Quick Setupadalah alat di AWS Systems Manager.

Session Managermemerlukan profil instans IAM untuk terhubung ke instans Anda. Anda dapat membuat profil instans dan menetapkannya ke instans Anda dengan membuat [konfigurasi manajemen host](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) denganQuick Setup. *Konfigurasi manajemen host* membuat profil instance dengan izin yang diperlukan dan menetapkannya ke instans Anda. Konfigurasi manajemen host juga memungkinkan alat Systems Manager lainnya dan membuat peran IAM untuk menjalankan alat tersebut. Tidak ada biaya untuk menggunakan Quick Setup atau alat yang diaktifkan oleh konfigurasi manajemen host. [Buka Quick Setup dan buat konfigurasi manajemen host](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt).

**penting**  
Setelah Anda membuat konfigurasi manajemen host, Amazon EC2 dapat mengambil beberapa menit untuk mendaftarkan perubahan dan menyegarkan tab **Session Manager**. Jika tab tidak menampilkan tombol **Connect** setelah dua menit, reboot instance Anda. Setelah reboot, jika Anda masih tidak melihat opsi untuk terhubung, buka [Quick Setup](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt) dan verifikasi bahwa Anda hanya memiliki satu konfigurasi manajemen host. Jika ada dua, hapus konfigurasi yang lebih lama dan tunggu beberapa menit.

Jika Anda masih tidak dapat terhubung setelah membuat konfigurasi manajemen host, atau jika Anda menerima kesalahan, termasuk kesalahanSSM Agent, lihat salah satu solusi berikut:
+  [Solusi B: Tidak ada kesalahan, tetapi masih tidak dapat terhubung](#session-manager-troubleshooting-EC2-console-no-error) 
+  [Solusi C: Kesalahan tentang hilang SSM Agent](#session-manager-troubleshooting-EC2-console-no-agent) 

### Solusi B: Tidak ada kesalahan, tetapi masih tidak dapat terhubung
<a name="session-manager-troubleshooting-EC2-console-no-error"></a>

Jika Anda membuat konfigurasi manajemen host, menunggu beberapa menit sebelum mencoba terhubung, dan masih tidak dapat terhubung, maka Anda mungkin perlu menerapkan konfigurasi manajemen host secara manual ke instans Anda. Gunakan prosedur berikut untuk memperbarui konfigurasi manajemen Quick Setup host dan menerapkan perubahan pada instance.

**Untuk memperbarui konfigurasi manajemen host menggunakan Quick Setup**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Quick Setup**.

1. Dalam daftar **Konfigurasi**, pilih konfigurasi **Manajemen Host** yang Anda buat.

1. Pilih **Tindakan**, lalu pilih **Edit konfigurasi**.

1. Di dekat bagian bawah bagian **Target**, di bawah **Pilih cara Anda ingin menargetkan instance**, pilih **Manual**.

1. Di bagian **Instances**, pilih instance yang Anda buat.

1. Pilih **Perbarui**.

Tunggu beberapa menit hingga EC2 menyegarkan tab **Session Manager**. Jika Anda masih tidak dapat terhubung atau jika Anda menerima kesalahan, tinjau solusi yang tersisa untuk masalah ini.

### Solusi C: Kesalahan tentang hilang SSM Agent
<a name="session-manager-troubleshooting-EC2-console-no-agent"></a>

Jika Anda tidak dapat membuat konfigurasi manajemen host dengan menggunakanQuick Setup, atau jika Anda menerima kesalahan tentang SSM Agent tidak diinstal, Anda mungkin perlu menginstal secara manual SSM Agent pada instans Anda. SSM Agentadalah perangkat lunak Amazon yang memungkinkan Systems Manager terhubung ke instans Anda dengan menggunakanSession Manager. SSM Agentdiinstal secara default di sebagian besar Gambar Mesin Amazon (AMIs). Jika instans Anda dibuat dari AMI non-standar atau AMI yang lebih lama, Anda mungkin harus menginstal agen secara manual. Untuk prosedur yang akan diinstalSSM Agent, lihat topik berikut yang sesuai dengan sistem operasi instans Anda.
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html) 
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html) 
+  [AlmaLinux](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-alma.html) 
+  [Amazon Linux 2 dan AL2023](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-al2.html) 
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html) 
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html) 
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html) 
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html) 
+  [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html) 

Untuk masalah denganSSM Agent, lihat[Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md).

## Tidak ada izin untuk memulai sesi
<a name="session-manager-troubleshooting-start-permissions"></a>

**Masalah**: Anda mencoba untuk memulai sesi, tetapi sistem memberitahu Anda bahwa Anda tidak memiliki izin yang diperlukan.
+ **Solusi**: Administrator sistem belum memberi Anda izin kebijakan AWS Identity and Access Management (IAM) untuk memulai Session Manager sesi. Untuk informasi, lihat [Kontrol akses sesi pengguna ke instans](session-manager-getting-started-restrict-access.md).

## SSM Agenttidak online
<a name="session-manager-troubleshooting-agent-not-online"></a>

**Masalah**: Anda melihat pesan di **Session Manager**tab instans Amazon EC2 yang menyatakan: "SSM Agenttidak online. SSM AgentItu tidak dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan.

**Solusi**: SSM Agent adalah perangkat lunak Amazon yang berjalan pada instans Amazon EC2 sehingga Session Manager dapat terhubung dengannya. Jika Anda melihat kesalahan SSM Agent ini, tidak dapat membuat koneksi dengan titik akhir Systems Manager. Kemungkinan sumber masalah bisa berupa pembatasan firewall, masalah perutean, atau kurangnya konektivitas internet. Untuk mengatasi masalah ini, selidiki masalah konektivitas jaringan. Untuk informasi selengkapnya, lihat [Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md) dan [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md). Untuk informasi tentang titik akhir Systems Manager, lihat [AWS Systems Manager titik akhir dan kuota di Referensi](https://docs.aws.amazon.com/general/latest/gr/ssm.html) Umum. AWS 

## Tidak ada izin untuk mengubah preferensi sesi
<a name="session-manager-troubleshooting-preferences-permissions"></a>

**Masalah**: Anda mencoba untuk memperbarui preferensi sesi global untuk organisasi Anda, tetapi sistem memberitahu Anda bahwa Anda tidak memiliki izin yang diperlukan.
+ **Solusi**: Administrator sistem belum memberi Anda izin kebijakan IAM untuk menyetel Session Manager preferensi. Untuk informasi, lihat [Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager](preference-setting-permissions.md).

## Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager
<a name="session-manager-troubleshooting-instances"></a>

**Masalah 1**: Anda ingin memulai sesi di halaman **Mulai konsol sesi**, tetapi node terkelola tidak ada dalam daftar.
+ **Solusi A**: Node terkelola yang ingin Anda sambungkan mungkin belum dikonfigurasi AWS Systems Manager. Untuk informasi selengkapnya, lihat [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md). 
**catatan**  
Jika AWS Systems Manager SSM Agent sudah berjalan pada node terkelola saat Anda melampirkan profil instans IAM, Anda mungkin perlu memulai ulang agen sebelum instance terdaftar di halaman **Mulai konsol sesi**.
+ **Solusi B**: Konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola Anda mungkin salah. Jika konfigurasi proxy salah, node terkelola tidak akan dapat mencapai titik akhir layanan yang diperlukan, atau node mungkin melaporkan sebagai sistem operasi yang berbeda dengan Systems Manager. Untuk informasi selengkapnya, lihat [Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux](configure-proxy-ssm-agent.md) dan [SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance](configure-proxy-ssm-agent-windows.md).

**Masalah 2**: Node terkelola yang ingin Anda sambungkan ada dalam daftar di halaman **Mulai konsol sesi**, tetapi halaman tersebut melaporkan bahwa “Instance yang Anda pilih tidak dikonfigurasi untuk digunakanSession Manager.” 
+ **Solusi A**: Node terkelola telah dikonfigurasi untuk digunakan dengan layanan Systems Manager, tetapi profil instans IAM yang dilampirkan ke node mungkin tidak menyertakan izin untuk alat tersebutSession Manager. Untuk selengkapnya, lihat [Memverifikasi atau Membuat Profil Instans IAM dengan Session Manager Izin](session-manager-getting-started-instance-profile.md).
+ **Solusi B**: Node terkelola tidak menjalankan versi SSM Agent yang mendukungSession Manager. Perbarui SSM Agent pada node ke versi 2.3.68.0 atau yang lebih baru. 

  Perbarui SSM Agent secara manual pada node terkelola dengan mengikuti langkah-langkah dalam [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md)[Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md),[Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md), atau, tergantung pada sistem operasi. 

  Atau, gunakan Run Command dokumen `AWS-UpdateSSMAgent` untuk memperbarui versi agen pada satu atau lebih node terkelola pada satu waktu. Untuk informasi, lihat [Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).
**Tip**  
Untuk selalu memperbarui agen Anda, kami sarankan memperbarui SSM Agent ke versi terbaru pada jadwal otomatis yang Anda tentukan menggunakan salah satu metode berikut:  
Jalankan `AWS-UpdateSSMAgent` sebagai bagian dari State Manager asosiasi. Untuk informasi, lihat [Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI](state-manager-update-ssm-agent-cli.md).
Jalankan `AWS-UpdateSSMAgent` sebagai bagian dari jendela pemeliharaan. Untuk informasi tentang bekerja dengan jendela pemeliharaan, lihat [Membuat dan mengelola jendela pemeliharaan menggunakan konsol](sysman-maintenance-working.md) dan [Tutorial: Membuat dan mengkonfigurasi jendela pemeliharaan menggunakan AWS CLI](maintenance-windows-cli-tutorials-create.md).
+ **Solusi C**: Node terkelola tidak dapat mencapai titik akhir layanan yang diperlukan. Anda dapat meningkatkan postur keamanan node terkelola dengan menggunakan titik akhir antarmuka yang didukung oleh AWS PrivateLink untuk terhubung ke titik akhir Systems Manager. Alternatif untuk menggunakan titik akhir antarmuka adalah mengizinkan akses internet keluar pada node terkelola Anda. Untuk informasi selengkapnya, lihat [Menggunakan PrivateLink untuk menyiapkan titik akhir VPC](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-privatelink.html). Session Manager
+ **Solusi D**: Node yang dikelola memiliki sumber daya CPU atau memori yang terbatas. Meskipun node terkelola Anda mungkin berfungsi, jika node tidak memiliki cukup sumber daya yang tersedia, Anda tidak dapat membuat sesi. Untuk informasi selengkapnya, lihat [Memecahkan masalah instans yang tidak dapat dijangkau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-console.html).

## Session ManagerPlugin tidak ditemukan
<a name="plugin-not-found"></a>

Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).

## Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)
<a name="windows-plugin-env-var-not-set"></a>

Ketika Anda menginstal Session Manager pluginWindows, `session-manager-plugin` executable harus secara otomatis ditambahkan ke variabel `PATH` lingkungan sistem operasi Anda. Jika perintah gagal setelah Anda menjalankannya untuk memeriksa apakah Session Manager plugin diinstal dengan benar (`aws ssm start-session --target instance-id`), Anda mungkin perlu mengaturnya secara manual menggunakan prosedur berikut.

**Untuk memodifikasi variabel PATH Anda (Windows)**

1. Tekan Windows tombol dan masukkan**environment variables**.

1. Pilih **Mengedit variabel lingkungan untuk akun Anda**.

1. Pilih **PATH** dan kemudian pilih **Edit**.

1. Tambahkan jalur ke bidang **Nilai variabel**, dipisahkan oleh titik koma, seperti yang ditunjukkan dalam contoh ini: *`C:\existing\path`*;*`C:\new\path`*

   *`C:\existing\path`*mewakili nilai yang sudah ada di lapangan. *`C:\new\path`*mewakili jalur yang ingin Anda tambahkan, seperti yang ditunjukkan pada contoh berikut.
   + **Mesin 64-bit**: `C:\Program Files\Amazon\SessionManagerPlugin\bin\`

1. Pilih **OK** dua kali untuk menggunakan pengaturan baru.

1. Tutup semua prompt perintah yang berjalan dan buka kembali.

## Session ManagerPlugin menjadi tidak responsif
<a name="plugin-unresponsive"></a>

Selama sesi penerusan port, lalu lintas mungkin berhenti meneruskan jika Anda memiliki perangkat lunak antivirus yang diinstal pada komputer lokal Anda. Dalam beberapa kasus, perangkat lunak antivirus mengganggu Session Manager plugin yang menyebabkan kebuntuan proses. Untuk mengatasi masalah ini, izinkan atau kecualikan Session Manager plugin dari perangkat lunak antivirus. Untuk informasi tentang jalur instalasi default untuk Session Manager plugin, lihat[Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).

## TargetNotConnected
<a name="ssh-target-not-connected"></a>

**Masalah**: Anda mencoba memulai sesi, tetapi sistem mengembalikan pesan kesalahan, “Terjadi kesalahan (TargetNotConnected) saat memanggil StartSession operasi: *InstanceID* tidak terhubung.”
+ **Solusi A**: Kesalahan ini dikembalikan ketika node terkelola target yang ditentukan untuk sesi tidak sepenuhnya dikonfigurasi untuk digunakan dengan Session Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
+ **Solusi B**: Kesalahan ini juga dikembalikan jika Anda mencoba memulai sesi pada node terkelola yang terletak di node yang berbeda Akun AWS atau Wilayah AWS.

## Layar kosong ditampilkan setelah memulai sesi
<a name="session-manager-troubleshooting-start-blank-screen"></a>

**Masalah**: Anda memulai sesi dan Session Manager menampilkan layar kosong.
+ **Solusi A**: Masalah ini dapat terjadi ketika volume root pada node terkelola penuh. Karena kurangnya ruang disk, SSM Agent pada node berhenti bekerja. Untuk mengatasi masalah ini, gunakan Amazon CloudWatch untuk mengumpulkan metrik dan log dari sistem operasi. Untuk selengkapnya, lihat [Mengumpulkan metrik, log, dan jejak dengan CloudWatch agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) di *Panduan CloudWatch Pengguna Amazon*.
+ **Solusi B**: Layar kosong mungkin tampil jika Anda mengakses konsol menggunakan tautan yang menyertakantitik akhir dan pasangan Wilayah yang tidak cocok. Sebagai contoh, dalam URL konsol berikut, `us-west-2` adalah titik akhir yang ditentukan, tapi `us-west-1` adalah Wilayah AWS yang ditentukan.

  ```
  https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
  ```
+ **Solusi C**: Node terkelola terhubung ke Systems Manager menggunakan titik akhir VPC, dan Session Manager preferensi Anda menulis output sesi ke bucket Amazon S3 atau grup log CloudWatch Amazon Logs, tetapi `s3` titik akhir gateway `logs` atau titik akhir antarmuka tidak ada di VPC. `s3`Titik akhir dalam format **`com.amazonaws.region.s3`**diperlukan jika node terkelola Anda terhubung ke Systems Manager menggunakan titik akhir VPC, dan preferensi Session Manager Anda menulis output sesi ke bucket Amazon S3. Atau, `logs` titik akhir dalam format **`com.amazonaws.region.logs`**diperlukan jika node terkelola Anda terhubung ke Systems Manager menggunakan titik akhir VPC, dan preferensi Session Manager Anda menulis output sesi ke CloudWatch grup log Log. Untuk informasi selengkapnya, lihat [Membuat VPC endpoint untuk Systems Manager](setup-create-vpc.md#create-vpc-endpoints).
+ **Solusi D**: Grup log atau bucket Amazon S3 yang Anda tentukan dalam preferensi sesi Anda telah dihapus. Untuk mengatasi masalah ini, perbarui preferensi sesi Anda dengan grup log atau bucket S3 yang valid.
+ **Solusi E**: Grup log atau bucket Amazon S3 yang Anda tentukan dalam preferensi sesi Anda tidak dienkripsi, tetapi Anda telah menetapkan `cloudWatchEncryptionEnabled` atau `s3EncryptionEnabled` input ke `true`. Untuk mengatasi masalah ini, perbarui preferensi sesi Anda dengan grup log atau bucket Amazon S3 yang dienkripsi, atau atur `cloudWatchEncryptionEnabled` atau `s3EncryptionEnabled` input ke `false`. Skenario ini hanya berlaku untuk pelanggan yang membuat preferensi sesi menggunakan alat baris perintah.

## Node terkelola menjadi tidak responsif selama sesi berjalan lama
<a name="session-manager-troubleshooting-log-retention"></a>

**Masalah**: Node terkelola Anda menjadi tidak responsif atau mogok selama sesi berjalan lama.

**Solusi**: Kurangi durasi retensi SSM Agent log untukSession Manager.

**Untuk mengurangi durasi retensi SSM Agent log untuk sesi**

1. Temukan `amazon-ssm-agent.json.template` di `/etc/amazon/ssm/` direktori untukLinux, atau `C:\Program Files\Amazon\SSM` untukWindows.

1. Salin isi `amazon-ssm-agent.json.template` ke file baru di direktori yang sama bernama `amazon-ssm-agent.json`.

1. Kurangi nilai default dari nilai `SessionLogsRetentionDurationHours` dalam properti `SSM`, dan simpan file.

1. Mulai ulangSSM Agent.

## Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi
<a name="session-manager-troubleshooting-invalid-document"></a>

**Masalah**: Anda menerima kesalahan berikut saat memulai sesi dengan menggunakan AWS CLI.

```
An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.
```

**Solusi**: Dokumen SSM yang Anda tentukan untuk `--document-name` parameter bukanlah dokumen *Sesi*. Gunakan prosedur berikut untuk melihat daftar dokumen Sesi di Konsol Manajemen AWS.

**Untuk melihat daftar dokumen Sesi**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Dokumen**.

1. Dalam daftar **Kategori**, pilih **Dokumen sesi**.

# AWS Systems Manager State Manager
<a name="systems-manager-state"></a>

State Manager, alat di AWS Systems Manager, adalah layanan manajemen konfigurasi yang aman dan terukur yang mengotomatiskan proses menjaga node terkelola dan AWS sumber daya lainnya dalam keadaan yang Anda tentukan. Untuk memulaiState Manager, buka [konsol Systems Manager](https://console.aws.amazon.com//systems-manager/state-manager). Di panel navigasi, pilih **State Manager**.

**catatan**  
State Managerdan Maintenance Windows dapat melakukan beberapa jenis pembaruan serupa pada node terkelola Anda. Pilihan mana yang Anda pilih bergantung pada apakah Anda perlu mengotomatisasi kepatuhan sistem atau melakukan tugas prioritas tinggi dan sensitif terhadap waktu selama periode yang ditentukan.  
Untuk informasi selengkapnya, lihat [Memilih antara State Manager dan Maintenance Windows](state-manager-vs-maintenance-windows.md).

## Bagaimana bisa State Manager menguntungkan organisasi saya?
<a name="state-manager-benefits"></a>

Dengan menggunakan dokumen Systems Manager (dokumen SSM) yang telah dikonfigurasi sebelumnya, State Manager menawarkan manfaat berikut untuk mengelola node Anda:
+ Bootstrap node dengan perangkat lunak tertentu saat start-up.
+ Unduh dan perbarui agen pada jadwal yang ditentukan, termasukSSM Agent.
+ Mengkonfigurasi pengaturan jaringan.
+ Bergabunglah dengan node ke domain Microsoft Active Directory.
+ Jalankan skrip di Linux,macOS, dan Windows Server mengelola node sepanjang siklus hidupnya.

Untuk mengelola penyimpangan konfigurasi di AWS sumber daya lain, Anda dapat menggunakan Automation, alat di Systems Manager, State Manager untuk melakukan jenis tugas berikut:
+ *Lampirkan peran Systems Manager ke instans Amazon Elastic Compute Cloud (Amazon EC2) untuk membuat node terkelola.*
+ Tegakkan masuk dan keluarnya aturan yang diinginkan untuk grup keamanan.
+ Buat atau hapus backup Amazon DynamoDB.
+ Buat atau hapus snapshot Amazon Elastic Block Store (Amazon EBS).
+ Matikan izin baca dan tulis di bucket Amazon Simple Storage Service (Amazon S3).
+ Mulai, mulai ulang, atau hentikan node terkelola dan instans Amazon Relational Database Service (Amazon RDS).
+ Terapkan patch ke Linux, macOS, dan Window AMIs.

Untuk informasi tentang penggunaan State Manager dengan runbook Otomasi, lihat[Menjadwalkan otomatisasi dengan asosiasi State Manager](scheduling-automations-state-manager-associations.md).

## Siapa yang harus menggunakanState Manager?
<a name="state-manager-who"></a>

State Managersesuai untuk setiap AWS pelanggan yang ingin meningkatkan manajemen dan tata kelola AWS sumber daya mereka dan mengurangi penyimpangan konfigurasi.

## Apa saja fitur-fiturnyaState Manager?
<a name="state-manager-features"></a>

Fitur utama State Manager meliputi:
+ 

**State Managerasosiasi**  
State Manager*Asosiasi* adalah konfigurasi yang Anda tetapkan ke AWS sumber daya Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada sumber daya Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada node terkelola, atau port tertentu harus ditutup.

  Asosiasi menentukan jadwal kapan harus menerapkan konfigurasi dan target untuk asosiasi. Misalnya, asosiasi untuk perangkat lunak antivirus dapat berjalan sekali sehari pada semua node yang dikelola dalam file Akun AWS. Jika perangkat lunak tidak diinstal pada node, maka asosiasi dapat menginstruksikan State Manager untuk menginstalnya. Jika perangkat lunak diinstal, tetapi layanan tidak berjalan, maka asosiasi dapat menginstruksikan State Manager untuk memulai layanan.
+ 

**Opsi penjadwalan yang fleksibel**  
State Managermenawarkan opsi berikut untuk penjadwalan saat asosiasi berjalan:
  + **Pemrosesan segera atau tertunda**

    Saat Anda membuat asosiasi, secara default, sistem segera menjalankannya pada sumber daya yang ditentukan. Setelah proses awal, asosiasi berjalan dalam interval sesuai dengan jadwal yang Anda tentukan. 

    Anda dapat menginstruksikan untuk State Manager tidak segera menjalankan asosiasi dengan menggunakan **asosiasi Terapkan hanya pada opsi interval Cron yang ditentukan berikutnya** di konsol atau `ApplyOnlyAtCronInterval` parameter dari baris perintah.
  + **Ekspresi cron dan rate**

    Saat Anda membuat asosiasi, Anda menentukan jadwal kapan State Manager menerapkan konfigurasi. State Managermendukung sebagian besar ekspresi cron dan rate standar untuk penjadwalan saat asosiasi berjalan. State Managerjuga mendukung ekspresi cron yang mencakup hari dalam seminggu dan tanda angka (\$1) untuk menunjuk hari *ke-n* dalam sebulan untuk menjalankan asosiasi dan tanda (L) untuk menunjukkan hari *X* terakhir dalam sebulan.
**catatan**  
State Managersaat ini tidak mendukung menentukan bulan dalam ekspresi cron untuk asosiasi.

    Untuk mengontrol lebih lanjut saat asosiasi berjalan, misalnya jika Anda ingin menjalankan asosiasi dua hari setelah patch Selasa, Anda dapat menentukan offset. *Offset* mendefinisikan berapa hari untuk menunggu setelah hari yang dijadwalkan untuk menjalankan asosiasi.

    Untuk informasi tentang membangun ekspresi cron dan rate, lihat[Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).
+ 

**Beberapa opsi penargetan**  
Asosiasi juga menentukan target untuk asosiasi. State Managermendukung AWS sumber daya penargetan dengan menggunakan tag, AWS Resource Groups, node individu IDs, atau semua node terkelola di saat ini Wilayah AWS dan Akun AWS.
+ 

**Dukungan Amazon S3**  
Simpan output perintah dari asosiasi berjalan di bucket Amazon S3 pilihan Anda. Untuk informasi selengkapnya, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md).
+ 

**EventBridge dukungan**  
Alat Systems Manager ini didukung sebagai jenis *peristiwa* dan tipe *target* dalam EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md) dan [Referensi: Pola dan jenis EventBridge acara Amazon untuk Systems Manager](reference-eventbridge-events.md).

## Apakah ada biaya untuk digunakanState Manager?
<a name="state-manager-cost"></a>

State Managertersedia tanpa biaya tambahan.

**Topics**
+ [Bagaimana bisa State Manager menguntungkan organisasi saya?](#state-manager-benefits)
+ [Siapa yang harus menggunakanState Manager?](#state-manager-who)
+ [Apa saja fitur-fiturnyaState Manager?](#state-manager-features)
+ [Apakah ada biaya untuk digunakanState Manager?](#state-manager-cost)
+ [Memahami cara kerja State Manager](state-manager-about.md)
+ [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md)
+ [Membuat asosiasi yang menjalankan file MOF](systems-manager-state-manager-using-mof-file.md)
+ [Membuat asosiasi yang menjalankan buku Ansible pedoman](systems-manager-state-manager-ansible.md)
+ [Membuat asosiasi yang menjalankan Chef resep](systems-manager-state-manager-chef.md)
+ [Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI](state-manager-update-ssm-agent-cli.md)
+ [Walkthrough: Secara otomatis memperbarui driver PV pada instans EC2 untuk Windows Server](state-manager-update-pv-drivers.md)

**Info lebih lanjut**  
+ [Memerangi Drift Konfigurasi Menggunakan Amazon EC2 Systems Manager dan Windows DSC PowerShell ](https://aws.amazon.com/blogs/mt/combating-configuration-drift-using-amazon-ec2-systems-manager-and-windows-powershell-dsc/)
+ [Mengonfigurasi Instans Amazon EC2 dalam Grup Auto Scaling Menggunakan State Manager](https://aws.amazon.com/blogs/mt/configure-amazon-ec2-instances-in-an-auto-scaling-group-using-state-manager/)

# Memahami cara kerja State Manager
<a name="state-manager-about"></a>

State Manager, alat di AWS Systems Manager, adalah layanan yang aman dan terukur yang mengotomatiskan proses menjaga node terkelola dalam infrastruktur [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) dalam keadaan yang Anda tentukan.

Berikut bagaimana State Manager cara kerjanya:

**1. Tentukan status yang ingin Anda terapkan ke AWS sumber daya Anda.**  
Apakah Anda ingin menjamin bahwa node terkelola Anda dikonfigurasi dengan aplikasi tertentu, seperti aplikasi antivirus atau malware? Apakah Anda ingin mengotomatiskan proses memperbarui SSM Agent atau AWS paket lain seperti? `AWSPVDriver` Apakah Anda perlu menjamin bahwa port tertentu ditutup atau dibuka? Untuk memulaiState Manager, tentukan status yang ingin Anda terapkan ke AWS sumber daya Anda. Status yang ingin Anda terapkan menentukan dokumen SSM mana yang Anda gunakan untuk membuat State Manager asosiasi.  
State Manager*Asosiasi* adalah konfigurasi yang Anda tetapkan ke AWS sumber daya Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada sumber daya Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada node terkelola, atau port tertentu harus ditutup.  
Asosiasi menentukan jadwal kapan harus menerapkan konfigurasi dan target untuk asosiasi. Misalnya, asosiasi untuk perangkat lunak antivirus dapat berjalan sekali sehari pada semua node yang dikelola dalam file Akun AWS. Jika perangkat lunak tidak diinstal pada node, maka asosiasi dapat menginstruksikan State Manager untuk menginstalnya. Jika perangkat lunak diinstal, tetapi layanan tidak berjalan, maka asosiasi dapat menginstruksikan State Manager untuk memulai layanan.

**2. Tentukan apakah dokumen SSM yang telah dikonfigurasi dapat membantu Anda membuat status yang diinginkan pada sumber daya Anda AWS .**  
Systems Manager menyertakan puluhan dokumen SSM yang telah dikonfigurasi yang dapat Anda gunakan untuk membuat asosiasi. Dokumen yang telah dikonfigurasi siap untuk melakukan tugas-tugas umum seperti menginstal aplikasi, mengonfigurasi Amazon CloudWatch, menjalankan AWS Systems Manager otomatisasi, menjalankan PowerShell dan skrip Shell, dan menggabungkan node terkelola ke domain layanan direktori untuk Active Directory.  
Anda dapat melihat semua dokumen SSM di [konsol Systems Manager](https://console.aws.amazon.com/systems-manager/documents). Pilih nama dokumen untuk mempelajari lebih lanjut tentang masing-masing dokumen. Berikut ini adalah dua contoh: [https://console.aws.amazon.com/systems-manager/documents/AWS-ConfigureAWSPackage/description](https://console.aws.amazon.com/systems-manager/documents/AWS-ConfigureAWSPackage/description) dan [https://console.aws.amazon.com/systems-manager/documents/AWS-InstallApplication/description](https://console.aws.amazon.com/systems-manager/documents/AWS-InstallApplication/description).

**3. Buat asosiasi.**  
Anda dapat membuat asosiasi menggunakan konsol Systems Manager, AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Alat untuk Windows PowerShell), atau Systems Manager API. Saat Anda membuat asosiasi, Anda menentukan informasi berikut:  
+ Sebuah nama untuk asosiasi.
+ Parameter untuk dokumen SSM (misalnya, jalur ke aplikasi untuk menginstal atau skrip untuk berjalan pada node).
+ Menargetkan untuk asosiasi. Anda dapat menargetkan node terkelola dengan menentukan tag, dengan memilih node individual IDs, atau dengan memilih grup di AWS Resource Groups. Anda juga dapat menargetkan *semua* node terkelola di saat ini Wilayah AWS dan Akun AWS. Jika target Anda mencakup lebih dari 1.000 node, sistem menggunakan mekanisme throttling per jam. Ini berarti Anda mungkin melihat ketidakakuratan dalam jumlah agregasi status karena proses agregasi berjalan setiap jam dan hanya ketika status eksekusi untuk node berubah.
+ Peran yang digunakan oleh asosiasi untuk mengambil tindakan atas nama Anda. State Manager akan mengambil peran ini dan panggilan diperlukan APIs saat mengirim konfigurasi ke node. Untuk informasi tentang menyiapkan peran yang disediakan khusus, lihat. [Peran pengaturan untuk `AssociationDispatchAssumeRole`](#setup-assume-role) Jika tidak ada peran yang disediakan, [peran terkait layanan untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/using-service-linked-roles.html) akan digunakan. 
**catatan**  
Disarankan agar Anda menentukan peran IAM kustom sehingga Anda memiliki kontrol penuh atas izin yang dimiliki Manajer Negara saat mengambil tindakan atas nama Anda.  
Dukungan peran terkait layanan di Manajer Negara sedang dihapus. Asosiasi yang mengandalkan peran terkait layanan mungkin memerlukan pembaruan di masa depan untuk terus berfungsi dengan baik.  
Untuk informasi tentang mengelola penggunaan peran yang disediakan khusus, lihat. [Mengelola penggunaan AssociationDispatchAssumeRole dengan `ssm:AssociationDispatchAssumeRole`](#context-key-assume-role)
+ Jadwal untuk kapan atau seberapa sering menerapkan status. Anda dapat menentukan ekspresi cron atau rate. Untuk informasi selengkapnya tentang membuat jadwal menggunakan ekspresi cron dan rate, lihat [Ekspresi cron dan rate untuk associate](reference-cron-and-rate-expressions.md#reference-cron-and-rate-expressions-association).
**catatan**  
State Managersaat ini tidak mendukung menentukan bulan dalam ekspresi cron untuk asosiasi.
Ketika Anda menjalankan perintah untuk membuat asosiasi, Systems Manager mengikat informasi yang Anda tentukan (jadwal, target, dokumen SSM, dan parameter) ke sumber daya yang ditargetkan. Status asosiasi awalnya menunjukkan "Tertunda" saat sistem mencoba untuk mencapai semua target dan *segera* menerapkan status yang ditentukan dalam asosiasi.   
Jika Anda membuat asosiasi baru yang dijadwalkan untuk berjalan sementara asosiasi sebelumnya masih berjalan, asosiasi sebelumnya akan habis waktu dan asosiasi baru berjalan.
Systems Manager melaporkan status permintaan untuk membuat asosiasi pada sumber daya. Anda dapat melihat detail status di konsol atau (untuk node terkelola) dengan menggunakan operasi [DescribeInstanceAssociationsStatus](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceAssociationsStatus.html)API. Jika Anda memilih untuk menulis output perintah ke Amazon Simple Storage Service (Amazon S3) saat membuat asosiasi, Anda juga dapat melihat output di bucket Amazon S3 yang Anda tentukan.  
Untuk informasi selengkapnya, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md).   
Operasi API yang diprakarsai oleh dokumen SSM selama proses asosiasi tidak masuk. AWS CloudTrail

**4. Memantau dan memperbarui.**  
Setelah Anda membuat asosiasi, State Manager menerapkan kembali konfigurasi sesuai dengan jadwal yang Anda tentukan dalam asosiasi. Anda dapat melihat status asosiasi Anda di [State Managerhalaman](https://console.aws.amazon.com/systems-manager/state-manager) di konsol atau dengan langsung memanggil ID asosiasi yang dihasilkan oleh Systems Manager saat Anda membuat asosiasi. Untuk informasi selengkapnya, lihat [Melihat riwayat asosiasi](state-manager-associations-history.md). Anda dapat memperbarui dokumen asosiasi Anda dan mengajukan permohonan kembali sesuai kebutuhan. Anda juga dapat membuat beberapa versi asosiasi. Untuk informasi selengkapnya, lihat [Mengedit dan membuat versi baru asosiasi](state-manager-associations-edit.md).

## Memahami kapan asosiasi diterapkan pada sumber daya
<a name="state-manager-about-scheduling"></a>

Saat Anda membuat asosiasi, Anda menentukan dokumen SSM yang mendefinisikan konfigurasi, daftar sumber daya target, dan jadwal untuk menerapkan konfigurasi. Secara default, State Manager jalankan asosiasi saat Anda membuatnya dan kemudian sesuai dengan jadwal Anda. State Managerjuga mencoba untuk menjalankan asosiasi dalam situasi berikut: 
+ **Pengeditan** asosiasi — State Manager menjalankan asosiasi setelah pengguna mengedit dan menyimpan perubahannya ke salah satu bidang asosiasi berikut:`DOCUMENT_VERSION`,, `PARAMETERS``SCHEDULE_EXPRESSION`,`OUTPUT_S3_LOCATION`.
+ **Pengeditan dokumen** — State Manager menjalankan asosiasi setelah pengguna mengedit dan menyimpan perubahan pada dokumen SSM yang menentukan status konfigurasi asosiasi. Secara khusus, asosiasi berjalan setelah pengeditan dokumen berikut:
  + Seorang pengguna menentukan versi `$DEFAULT` dokumen baru dan asosiasi dibuat menggunakan `$DEFAULT` versi. 
  + Pengguna memperbarui dokumen dan asosiasi dibuat menggunakan `$LATEST` versi.
  + Pengguna menghapus dokumen yang ditentukan saat asosiasi dibuat.
+ **Mulai manual** — State Manager menjalankan asosiasi saat diprakarsai oleh pengguna baik dari konsol Systems Manager atau secara terprogram.
+ **Perubahan target** — State Manager menjalankan asosiasi setelah salah satu aktivitas berikut terjadi pada node target:
  + Node terkelola online untuk pertama kalinya.
  + Node terkelola online setelah melewatkan proses asosiasi terjadwal.
  + Node terkelola online setelah dihentikan selama lebih dari 30 hari.

     
**catatan**  
State Managertidak memantau dokumen atau paket yang digunakan dalam asosiasi di seluruh Akun AWS. Jika Anda memperbarui dokumen atau paket dalam satu akun, pembaruan tidak akan menyebabkan asosiasi berjalan di akun kedua. Anda harus menjalankan asosiasi secara manual di akun kedua.

**Mencegah asosiasi berjalan saat target berubah**  
Dalam beberapa kasus, Anda mungkin tidak ingin asosiasi berjalan ketika target yang terdiri dari node terkelola berubah, tetapi hanya sesuai dengan jadwal yang ditentukan.
**catatan**  
Menjalankan runbook Otomasi menimbulkan biaya. Jika asosiasi dengan runbook Otomasi menargetkan semua instance di akun Anda dan Anda secara teratur meluncurkan sejumlah besar instance, runbook dijalankan pada setiap instance saat diluncurkan. Hal ini dapat menyebabkan peningkatan biaya otomatisasi.

  Untuk mencegah asosiasi berjalan saat target untuk asosiasi tersebut berubah, pilih **kotak centang Terapkan asosiasi hanya pada interval cron yang ditentukan berikutnya**. Kotak centang ini terletak di area **Tentukan jadwal** dari **Buat asosiasi** dan **Edit halaman asosiasi**.

  Opsi ini berlaku untuk asosiasi yang menggabungkan runbook Otomasi atau dokumen SSM.

## Tentang pembaruan target dengan runbook Otomasi
<a name="runbook-target-updates"></a>

Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan saat node target baru terdeteksi, kondisi berikut harus benar:
+ Asosiasi harus dibuat oleh [Quick Setup](systems-manager-quick-setup.md)konfigurasi. Quick Setupadalah alat di AWS Systems Manager. Asosiasi yang dibuat oleh proses lain saat ini tidak didukung.
+ Runbook Otomasi harus secara eksplisit menargetkan jenis sumber daya atau. `AWS::EC2::Instance` `AWS::SSM::ManagedInstance` 
+ Asosiasi harus menentukan parameter dan target.

  Di konsol, bidang **Parameter** dan **Target** ditampilkan saat Anda memilih eksekusi kontrol tingkat.  
![\[Opsi parameter dan target disajikan di konsol untuk eksekusi kontrol laju\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/sm_Rate_control_execution_options.png)

  Saat Anda menggunakan tindakan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociation.html),, atau [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateAssociation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateAssociation.html)API, Anda dapat menentukan nilai ini menggunakan `AutomationTargetParameterName` dan `Targets` input. Di setiap tindakan API ini, Anda juga dapat mencegah asosiasi berjalan setiap kali target berubah dengan menyetel `ApplyOnlyAtCronInterval` parameter ke`true`. 

  Untuk informasi tentang penggunaan konsol untuk mengontrol kapan asosiasi berjalan, termasuk detail untuk menghindari biaya tinggi yang tak terduga untuk eksekusi Otomasi, lihat. [Memahami kapan asosiasi diterapkan pada sumber daya](#state-manager-about-scheduling) 

## Peran pengaturan untuk `AssociationDispatchAssumeRole`
<a name="setup-assume-role"></a>

Untuk mengatur pengiriman kustom mengambil peran yang diasumsikan oleh Manajer Negara untuk melakukan tindakan atas nama Anda, peran harus dipercaya `ssm.amazonaws.com` dan memiliki izin yang diperlukan untuk menelepon `ssm:SendCommand` atau `ssm:StartAutomationExecution` berdasarkan kasus penggunaan asosiasi. 

Contoh kebijakan kepercayaan: 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

## Mengelola penggunaan AssociationDispatchAssumeRole dengan `ssm:AssociationDispatchAssumeRole`
<a name="context-key-assume-role"></a>

Untuk mengelola penggunaan pengiriman kustom, ambil peran yang diasumsikan oleh Manajer Negara untuk melakukan tindakan atas nama Anda, gunakan kunci kondisi. `ssm:AssociationDispatchAssumeRole` Kondisi ini mengontrol apakah asosiasi dapat dibuat atau diperbarui tanpa menentukan peran peran pengiriman kustom. 

Dalam kebijakan contoh berikut, `"Allow"` pernyataan memberikan izin untuk membuat dan memperbarui asosiasi APIs hanya jika `AssociationDispatchAssumeRole` parameter ditentukan. Tanpa parameter ini dalam permintaan API, kebijakan tidak memberikan izin untuk membuat atau memperbarui asosiasi: 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateAssociation",
                "ssm:UpdateAssociation",
                "ssm:CreateAssociationBatch"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:AssociationDispatchAssumeRole": "*"
                }
            }
        }
    ]
}
```

# Bekerja dengan asosiasi di Systems Manager
<a name="state-manager-associations"></a>

Bagian ini menjelaskan cara membuat dan mengelola State Manager asosiasi dengan menggunakan AWS Systems Manager konsol, AWS Command Line Interface (AWS CLI), dan Alat AWS untuk PowerShell. 

**Topics**
+ [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md)
+ [Membuat asosiasi](state-manager-associations-creating.md)
+ [Mengedit dan membuat versi baru asosiasi](state-manager-associations-edit.md)
+ [Menghapus asosiasi](systems-manager-state-manager-delete-association.md)
+ [Menjalankan grup Auto Scaling dengan asosiasi](systems-manager-state-manager-asg.md)
+ [Melihat riwayat asosiasi](state-manager-associations-history.md)
+ [Bekerja dengan asosiasi menggunakan IAM](systems-manager-state-manager-iam.md)

# Memahami target dan kontrol tingkat dalam State Manager asosiasi
<a name="systems-manager-state-manager-targets-and-rate-controls"></a>

Topik ini menjelaskan State Manager fitur yang membantu Anda menerapkan asosiasi ke lusinan atau ratusan node sambil mengontrol jumlah node yang menjalankan asosiasi pada waktu yang dijadwalkan. State Manageradalah alat di AWS Systems Manager.

## Menggunakan target
<a name="systems-manager-state-manager-targets-and-rate-controls-about-targets"></a>

Saat membuat State Manager asosiasi, Anda memilih node mana yang akan dikonfigurasi dengan asosiasi di bagian **Target** pada konsol Systems Manager, seperti yang ditunjukkan di sini.

![\[Opsi berbeda untuk menargetkan node saat membuat asosiasi State Manager\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-targets.png)


Jika Anda membuat asosiasi dengan menggunakan alat baris perintah seperti AWS Command Line Interface (AWS CLI), maka Anda menentukan parameter `targets`. Menargetkan node memungkinkan Anda untuk mengkonfigurasi puluhan, ratusan, atau ribuan node dengan asosiasi tanpa harus menentukan atau memilih node IDs individual. 

Setiap node yang dikelola dapat ditargetkan oleh maksimal 20 asosiasi.

State Managertermasuk opsi target berikut saat membuat asosiasi.

**Tentukan tag**  
Gunakan opsi ini untuk menentukan kunci tag dan (opsional) nilai tag yang ditetapkan ke node Anda. Saat Anda menjalankan permintaan, sistem akan menemukan dan mencoba membuat asosiasi pada semua node yang cocok dengan kunci dan nilai tag yang ditentukan. Jika Anda menentukan beberapa nilai tag, asosiasi menargetkan setiap node dengan setidaknya satu dari nilai tag tersebut. Ketika sistem awalnya menciptakan asosiasi, ia menjalankan asosiasi. Setelah menjalankan awal ini, sistem menjalankan asosiasi yang sesuai dengan jadwal yang Anda tentukan.

Jika Anda membuat node baru dan menetapkan kunci tag dan nilai yang ditentukan ke node tersebut, sistem secara otomatis menerapkan asosiasi, menjalankannya segera, dan kemudian menjalankannya sesuai dengan jadwal. Hal ini berlaku ketika asosiasi menggunakan dokumen Perintah atau Kebijakan dan tidak berlaku jika asosiasi menggunakan runbook Otomatisasi. Jika Anda menghapus tag yang ditentukan dari node, sistem tidak lagi menjalankan asosiasi pada node tersebut.

**catatan**  
Jika Anda menggunakan runbook Otomasi dengan State Manager dan batasan penandaan mencegah Anda mencapai tujuan tertentu, pertimbangkan untuk menggunakan runbook Otomasi dengan Amazon. EventBridge Untuk informasi selengkapnya, lihat [Jalankan otomatisasi berdasarkan peristiwa EventBridge](running-automations-event-bridge.md). Untuk informasi selengkapnya tentang menggunakan runbook denganState Manager, lihat[Menjadwalkan otomatisasi dengan asosiasi State Manager](scheduling-automations-state-manager-associations.md). 

Sebagai praktik terbaik, sebaiknya gunakan tag saat membuat asosiasi yang menggunakan dokumen Command atau Policy. Kami juga merekomendasikan penggunaan tag saat membuat asosiasi untuk menjalankan grup Auto Scaling. Untuk informasi selengkapnya, lihat [Menjalankan grup Auto Scaling dengan asosiasi](systems-manager-state-manager-asg.md).

**catatan**  
Perhatikan informasi berikut.  
Saat membuat asosiasi di node target Konsol Manajemen AWS yang menggunakan tag, Anda hanya dapat menentukan satu kunci tag untuk asosiasi otomatisasi dan lima kunci tag untuk asosiasi perintah. *Semua* kunci tag yang ditentukan dalam asosiasi harus saat ini ditetapkan ke node. Jika tidak, State Manager gagal menargetkan node untuk asosiasi.
Jika Anda ingin menggunakan konsol *dan* Anda ingin menargetkan node Anda dengan menggunakan lebih dari satu kunci tag untuk asosiasi otomatisasi dan lima kunci tag untuk asosiasi perintah, tetapkan kunci tag ke AWS Resource Groups grup dan tambahkan node ke dalamnya. Anda kemudian dapat memilih opsi **Grup Sumber Daya** dalam daftar **Target** saat Anda membuat State Manager asosiasi.
Anda dapat menentukan maksimal lima kunci tag dengan menggunakan AWS CLI. Jika Anda menggunakan AWS CLI, *semua* kunci tag yang ditentukan dalam `create-association` perintah harus saat ini ditetapkan ke node. Jika tidak, State Manager gagal menargetkan node untuk asosiasi.

**Pilih node secara manual**  
Gunakan opsi ini untuk secara manual memilih node tempat Anda ingin membuat asosiasi. Panel **Instances** menampilkan semua node terkelola Systems Manager di saat ini Akun AWS dan. Wilayah AWS Anda dapat secara manual memilih node sebanyak yang Anda inginkan. Ketika sistem awalnya menciptakan asosiasi, ia menjalankan asosiasi. Setelah menjalankan awal ini, sistem menjalankan asosiasi yang sesuai dengan jadwal yang Anda tentukan.

**catatan**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.

**Pilih grup sumber daya**  
Gunakan opsi ini untuk membuat asosiasi pada semua node yang dikembalikan oleh kueri AWS Resource Groups berbasis tag atau berbasis AWS CloudFormation tumpukan. 

Di bawah ini adalah detail tentang penargetan kelompok sumber daya untuk asosiasi.
+ Jika Anda menambahkan node baru ke grup, sistem secara otomatis memetakan node ke asosiasi yang menargetkan grup sumber daya. Sistem menerapkan asosiasi ke node ketika menemukan perubahan. Setelah menjalankan awal ini, sistem menjalankan asosiasi yang sesuai dengan jadwal yang Anda tentukan.
+ Jika Anda membuat asosiasi yang menargetkan grup sumber daya dan jenis `AWS::SSM::ManagedInstance` sumber daya ditentukan untuk grup tersebut, maka menurut desain, asosiasi berjalan pada instans Amazon Elastic Compute Cloud (Amazon EC2) dan EC2 non-node di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).

  Kebalikannya juga benar. Jika Anda membuat asosiasi yang menargetkan grup sumber daya dan jenis `AWS::EC2::Instance` sumber daya ditentukan untuk grup tersebut, maka menurut desain, asosiasi berjalan pada kedua EC2 non-node dalam lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) dan instance EC2 (Amazon).
+ Jika Anda membuat asosiasi yang menargetkan grup sumber daya, grup sumber daya tidak boleh memiliki lebih dari lima kunci tag yang ditetapkan padanya atau lebih dari lima nilai yang ditentukan untuk salah satu kunci tag. Jika salah satu dari kondisi ini berlaku untuk tag dan kunci yang ditetapkan ke grup sumber daya Anda, asosiasi gagal dijalankan dan mengembalikan `InvalidTarget` kesalahan. 
+ Jika Anda membuat asosiasi yang menargetkan grup sumber daya menggunakan tag, Anda tidak dapat memilih opsi **(nilai kosong)** untuk nilai tag.
+ Jika Anda menghapus grup sumber daya, semua instans dalam grup tersebut tidak lagi menjalankan asosiasi. Sebagai praktik terbaik, hapus asosiasi yang menargetkan grup.
+ Paling banyak Anda dapat menargetkan satu grup sumber daya untuk asosiasi. Grup beberapa atau bertingkat tidak didukung.
+ Setelah Anda membuat asosiasi, State Manager secara berkala memperbarui asosiasi dengan informasi tentang sumber daya di Grup Sumber Daya. Jika Anda menambahkan sumber daya baru ke Resource Group, jadwal saat sistem menerapkan asosiasi untuk sumber daya baru tergantung pada beberapa faktor. Anda dapat menentukan status asosiasi di State Manager halaman konsol Systems Manager.

**Awas**  
Pengguna, grup, atau peran AWS Identity and Access Management (IAM) dengan izin untuk membuat asosiasi yang menargetkan grup sumber daya EC2 instans Amazon secara otomatis memiliki kontrol tingkat root dari semua instance dalam grup. Hanya administrator tepercaya harus diizinkan untuk membuat asosiasi. 

Untuk informasi lebih lanjut tentang Resource Groups, lihat [Apa Itu AWS Resource Groups?](https://docs.aws.amazon.com/ARG/latest/userguide/) di *Panduan Pengguna AWS Resource Groups *.

**Pilih semua node**  
Gunakan opsi ini untuk menargetkan semua node di saat ini Akun AWS dan Wilayah AWS. Ketika Anda menjalankan permintaan, sistem menemukan dan mencoba untuk membuat asosiasi pada semua node di saat ini Akun AWS dan Wilayah AWS. Ketika sistem awalnya menciptakan asosiasi, ia menjalankan asosiasi. Setelah menjalankan awal ini, sistem menjalankan asosiasi yang sesuai dengan jadwal yang Anda tentukan. Jika Anda membuat node baru, sistem secara otomatis menerapkan asosiasi, menjalankannya segera, dan kemudian menjalankannya sesuai jadwal.

## Menggunakan pengendali rate
<a name="systems-manager-state-manager-targets-and-rate-controls-about-controls"></a>

Anda dapat mengontrol eksekusi asosiasi pada node Anda dengan menentukan nilai konkurensi dan ambang kesalahan. Nilai konkurensi menentukan berapa banyak node dapat menjalankan asosiasi secara bersamaan. Ambang kesalahan menentukan berapa banyak eksekusi asosiasi yang dapat gagal sebelum Systems Manager mengirimkan perintah ke setiap node yang dikonfigurasi dengan asosiasi tersebut untuk berhenti menjalankan asosiasi. Perintah menghentikan asosiasi berjalan sampai eksekusi yang dijadwalkan berikutnya. Fitur konkurensi dan batas kesalahan secara kolektif disebut *pengendalian rate*. 

![\[Opsi kontrol tingkat yang berbeda saat membuat State Manager asosiasi\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-rate-controls.png)


**Bersamaan**  
Concurrency membantu membatasi dampak pada node Anda dengan memungkinkan Anda menentukan bahwa hanya sejumlah node tertentu yang dapat memproses asosiasi pada satu waktu. Anda dapat menentukan jumlah absolut node, misalnya 20, atau persentase dari set target node, misalnya 10%.

State Managerkonkurensi memiliki batasan dan batasan berikut:
+ Jika Anda memilih untuk membuat asosiasi dengan menggunakan target, tetapi Anda tidak menentukan nilai konkurensi, maka State Manager secara otomatis menerapkan konkurensi maksimum 50 node.
+ Jika node baru yang cocok dengan kriteria target online saat asosiasi yang menggunakan konkurensi sedang berjalan, maka node baru menjalankan asosiasi jika nilai konkurensi tidak terlampaui. Jika nilai konkurensi terlampaui, maka node diabaikan selama interval eksekusi asosiasi saat ini. Node menjalankan asosiasi selama interval terjadwal berikutnya sambil menyesuaikan dengan persyaratan konkurensi.
+ Jika Anda memperbarui asosiasi yang menggunakan konkurensi, dan satu atau beberapa node memproses asosiasi itu saat diperbarui, maka node apa pun yang menjalankan asosiasi diizinkan untuk diselesaikan. Asosiasi yang belum dimulai dihentikan. Setelah menjalankan asosiasi selesai, semua node target segera menjalankan asosiasi lagi karena telah diperbarui. Ketika asosiasi berjalan lagi, nilai konkurensi diterapkan. 

**Batas kesalahan**  
Ambang kesalahan menentukan berapa banyak eksekusi asosiasi yang diizinkan gagal sebelum Systems Manager mengirimkan perintah ke setiap node yang dikonfigurasi dengan asosiasi tersebut. Perintah menghentikan asosiasi berjalan sampai eksekusi yang dijadwalkan berikutnya. Anda dapat menentukan jumlah kesalahan absolut, misalnya 10, atau persentase target yang ditetapkan, misalnya 10%.

Jika Anda menentukan jumlah absolut dari tiga kesalahan, misalnya, State Manager mengirimkan perintah berhenti ketika kesalahan keempat dikembalikan. Jika Anda menentukan 0, maka State Manager kirimkan perintah stop setelah hasil kesalahan pertama dikembalikan.

Jika Anda menentukan ambang kesalahan 10% untuk 50 asosiasi, maka State Manager kirimkan perintah berhenti ketika kesalahan keenam dikembalikan. Asosiasi yang sudah berjalan ketika batas kesalahan tercapai diperbolehkan untuk menyelesaikan, tetapi beberapa asosiasi ini mungkin gagal. Untuk memastikan bahwa tidak ada lebih banyak kesalahan daripada jumlah yang ditentukan untuk batas kesalahan, atur nilai **Konkurensi** ke 1 sehingga asosiasi melanjutkan satu per satu. 

State Managerambang kesalahan memiliki batasan dan batasan berikut:
+ Batas kesalahan diterapkan untuk interval saat ini.
+ Informasi tentang setiap kesalahan, termasuk detail tingkat langkah, dicatat dalam riwayat asosiasi.
+ Jika Anda memilih untuk membuat asosiasi dengan menggunakan target, tetapi Anda tidak menentukan ambang kesalahan, maka State Manager secara otomatis memberlakukan ambang kegagalan 100%.

# Membuat asosiasi
<a name="state-manager-associations-creating"></a>

State Manager, alat di AWS Systems Manager, membantu Anda menjaga AWS sumber daya Anda dalam keadaan yang Anda tentukan dan mengurangi penyimpangan konfigurasi. Untuk melakukan ini, State Manager gunakan asosiasi. *Asosiasi* adalah konfigurasi yang Anda tetapkan ke AWS sumber daya Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada sumber daya Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada node terkelola, atau port tertentu harus ditutup.

Asosiasi menentukan jadwal kapan harus menerapkan konfigurasi dan target untuk asosiasi. Misalnya, asosiasi untuk perangkat lunak antivirus dapat berjalan sekali sehari pada semua node yang dikelola dalam file Akun AWS. Jika perangkat lunak tidak diinstal pada node, maka asosiasi dapat menginstruksikan State Manager untuk menginstalnya. Jika perangkat lunak diinstal, tetapi layanan tidak berjalan, maka asosiasi dapat menginstruksikan State Manager untuk memulai layanan.

**Awas**  
Saat membuat asosiasi, Anda dapat memilih grup AWS sumber daya dari node terkelola sebagai target untuk asosiasi. Jika pengguna, grup, atau peran AWS Identity and Access Management (IAM) memiliki izin untuk membuat asosiasi yang menargetkan grup sumber daya dari node terkelola, maka pengguna, grup, atau peran tersebut secara otomatis memiliki kontrol tingkat root dari semua node dalam grup. Izinkan hanya administrator tepercaya untuk membuat asosiasi. 

**Target asosiasi dan kontrol tarif**  
Asosiasi menentukan node terkelola, atau target, yang harus menerima asosiasi. State Managermenyertakan beberapa fitur untuk membantu Anda menargetkan node terkelola dan mengontrol bagaimana asosiasi diterapkan ke target tersebut. Untuk informasi selengkapnya tentang pengendalian target dan rate, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

**Asosiasi penandaan**  
Anda dapat menetapkan tag ke asosiasi saat Anda membuatnya dengan menggunakan alat baris perintah seperti AWS CLI or Alat AWS untuk PowerShell. Menambahkan tag ke asosiasi menggunakan konsol Systems Manager tidak didukung. 

**Menjalankan asosiasi**  
Secara default, State Manager jalankan asosiasi segera setelah Anda membuatnya, dan kemudian sesuai dengan jadwal yang telah Anda tentukan. 

Sistem ini juga menjalankan asosiasi sesuai dengan aturan berikut:
+ State Managermencoba untuk menjalankan asosiasi pada semua node yang ditentukan atau ditargetkan selama interval.
+ Jika asosiasi tidak berjalan selama interval (karena, misalnya, nilai konkurensi membatasi jumlah node yang dapat memproses asosiasi pada satu waktu), maka State Manager mencoba untuk menjalankan asosiasi selama interval berikutnya.
+ State Managermenjalankan asosiasi setelah perubahan pada konfigurasi asosiasi, node target, dokumen, atau parameter. Untuk informasi selengkapnya, lihat [Memahami kapan asosiasi diterapkan pada sumber daya](state-manager-about.md#state-manager-about-scheduling)
+ State Managermencatat riwayat untuk semua interval yang dilewati. Anda dapat melihat riwayat di tab **Riwayat Eksekusi**.

## Asosiasi penjadwalan
<a name="state-manager-about-creating-associations"></a>

Anda dapat menjadwalkan asosiasi untuk dijalankan pada interval dasar seperti *setiap 10 jam*, atau Anda dapat membuat jadwal yang lebih maju menggunakan ekspresi cron dan rate kustom. Anda juga dapat mencegah asosiasi berjalan saat pertama kali membuatnya. 

**Menggunakan ekspresi cron dan rate untuk menjadwalkan proses asosiasi**  
Selain ekspresi cron dan rate standar, State Manager juga mendukung ekspresi cron yang mencakup hari dalam seminggu dan tanda angka (\$1) untuk menunjuk hari *ke-n* dalam sebulan untuk menjalankan asosiasi. Berikut adalah contoh yang menjalankan jadwal cron pada hari Selasa ketiga setiap bulan pukul 23:30 UTC:

`cron(30 23 ? * TUE#3 *)`

Berikut adalah contoh yang berjalan pada hari Kamis kedua setiap bulan pada tengah malam UTC:

`cron(0 0 ? * THU#2 *)`

State Managerjuga mendukung tanda (L) untuk menunjukkan hari *X* terakhir setiap bulan. Berikut adalah contoh yang menjalankan jadwal cron pada hari Selasa terakhir setiap bulan pada tengah malam UTC:

`cron(0 0 ? * 3L *)`

Untuk mengontrol lebih lanjut saat asosiasi berjalan, misalnya jika Anda ingin menjalankan asosiasi dua hari setelah patch Selasa, Anda dapat menentukan offset. *Offset* mendefinisikan berapa hari untuk menunggu setelah hari yang dijadwalkan untuk menjalankan asosiasi. Misalnya, jika Anda menentukan jadwal cron`cron(0 0 ? * THU#2 *)`, Anda dapat menentukan angka 3 di bidang **Offset Jadwal** untuk menjalankan asosiasi setiap hari Minggu setelah Kamis kedua setiap bulan.

**catatan**  
Untuk menggunakan offset, Anda harus memilih **Terapkan asosiasi hanya pada interval Cron yang ditentukan berikutnya** di konsol atau tentukan `ApplyOnlyAtCronInterval` parameter dari baris perintah. Ketika salah satu dari opsi ini diaktifkan, State Manager tidak menjalankan asosiasi segera setelah Anda membuatnya.

Untuk informasi selengkapnya tentang ekspresi cron dan rate, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

## Membuat asosiasi (konsol)
<a name="state-manager-associations-console"></a>

Prosedur berikut menjelaskan cara menggunakan konsol Systems Manager untuk membuat State Manager asosiasi.

**catatan**  
Perhatikan informasi berikut.  
Prosedur ini menjelaskan cara membuat asosiasi yang menggunakan salah satu `Command` atau `Policy` dokumen untuk menargetkan node terkelola. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomasi untuk menargetkan node atau jenis AWS sumber daya lainnya, lihat[Menjadwalkan otomatisasi dengan asosiasi State Manager](scheduling-automations-state-manager-associations.md).
Saat membuat asosiasi, Anda dapat menentukan maksimal lima kunci tag dengan menggunakan Konsol Manajemen AWS. *Semua* kunci tag yang ditentukan untuk asosiasi saat ini harus ditetapkan ke node. Jika tidak, State Manager gagal menargetkan node untuk asosiasi.

**Untuk membuat State Manager asosiasi**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih **Buat asosiasi**.

1. Di bidang **Nama**, tentukan nama.

1. Di daftar **Dokumen**, pilih opsi di samping nama dokumen. Perhatikan tipe dokumen. Prosedur ini berlaku untuk dokumen `Command` dan `Policy`. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomatisasi, lihat [Menjadwalkan otomatisasi dengan asosiasi State Manager](scheduling-automations-state-manager-associations.md).
**penting**  
State Managertidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State Manager selalu menjalankan `default` versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen ke`default`.

1. Untuk **Parameter**, tentukan parameter input yang diperlukan.

1. (Opsional) Untuk **Pengiriman Asosiasi Asumsikan Peran**, pilih peran dari drop-down. State Manager akan mengambil tindakan menggunakan peran ini atas nama Anda. Untuk informasi tentang menyiapkan peran yang disediakan khusus, lihat [Peran pengaturan untuk `AssociationDispatchAssumeRole`](state-manager-about.md#setup-assume-role) 
**catatan**  
Disarankan agar Anda menentukan peran IAM kustom sehingga Anda memiliki kontrol penuh atas izin yang dimiliki Manajer Negara saat mengambil tindakan atas nama Anda.  
Dukungan peran terkait layanan di Manajer Negara sedang dihapus. Asosiasi yang mengandalkan peran terkait layanan mungkin memerlukan pembaruan di masa depan untuk terus berfungsi dengan baik.  
Untuk informasi tentang mengelola penggunaan peran yang disediakan khusus, lihat. [Mengelola penggunaan AssociationDispatchAssumeRole dengan `ssm:AssociationDispatchAssumeRole`](state-manager-about.md#context-key-assume-role)

1. (Opsional) Pilih CloudWatch alarm untuk diterapkan ke asosiasi Anda untuk pemantauan. 
**catatan**  
Perhatikan informasi berikut tentang langkah ini.  
Daftar alarm menampilkan maksimal 100 alarm. Jika Anda tidak melihat alarm dalam daftar, gunakan tombol AWS Command Line Interface untuk membuat asosiasi. Untuk informasi selengkapnya, lihat [Membuat asosiasi (baris perintah)](#create-state-manager-association-commandline).
Untuk melampirkan CloudWatch alarm ke perintah Anda, kepala sekolah IAM yang membuat asosiasi harus memiliki izin untuk `iam:createServiceLinkedRole` tindakan tersebut. Untuk informasi selengkapnya tentang CloudWatch alarm, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html).
Jika alarm Anda aktif, pemanggilan atau otomatisasi perintah yang tertunda tidak berjalan.

1. Untuk **Target**, pilih satu opsi. Untuk informasi tentang menggunakan target, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).
**catatan**  
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat [Tentang pembaruan target dengan runbook Otomasi](state-manager-about.md#runbook-target-updates).

1. Di bagian **Tentukan jadwal**, pilih **Sesuai Jadwal** atau **Tidak ada jadwal**. Jika Anda memilih **Sesuai Jadwal**, gunakan tombol yang disediakan untuk membuat cron atau jadwal rate untuk asosiasi. 

   Jika Anda tidak ingin asosiasi segera berjalan setelah Anda membuatnya, pilih **Terapkan asosiasi hanya pada interval Cron yang ditentukan berikutnya**.

1. (Opsional) Di bidang **Offset jadwal**, tentukan angka antara 1 dan 6. 

1. Di bagian **Opsi lanjutan** gunakan **Keparahan Kepatuhan** untuk memilih tingkat keparahan untuk asosiasi dan gunakan **Ubah Kalender** untuk memilih perubahan kalender untuk asosiasi.

   Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat [Tentang kepatuhan State Manager asosiasi](compliance-about.md#compliance-about-association).

   Kalender perubahan menentukan kapan asosiasi berjalan. Jika kalender ditutup, asosiasi tidak akan diterapkan. Jika kalendar dibuka, asosiasi berjalan dengan sesuai. Untuk informasi selengkapnya, lihat [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md).

1. Di bagian **Rate control**, pilih opsi untuk mengontrol bagaimana asosiasi berjalan pada beberapa node. Untuk informasi lebih lanjut tentang menggunakan kontrol rate, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

   Di bagian **Konkurensi**, pilih satu opsi: 
   + Pilih **target** untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.
   + Pilih **persentase** untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.

   Di bagian **Batas kesalahan**, pilih opsi:
   + Pilih **kesalahan** untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.
   + Pilih **persentase** untuk memasukkan persentase kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

   Berikut ini adalah izin minimal yang diperlukan untuk mengaktifkan output Amazon S3 untuk asosiasi. Anda dapat membatasi akses lebih lanjut dengan melampirkan kebijakan IAM ke pengguna atau peran dalam akun. Minimal, profil instans Amazon EC2 harus memiliki IAM role dengan kebijakan yang dikelola `AmazonSSMManagedInstanceCore` dan kebijakan yang sejalan berikut. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject",
                   "s3:PutObjectAcl"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   Untuk izin minimal, bucket Amazon S3 yang Anda ekspor harus memiliki pengaturan default yang ditentukan oleh konsol Amazon S3. Untuk informasi selengkapnya tentang pembuatan bucket Amazon S3, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) dalam *Panduan Pengguna Amazon S3*. 
**catatan**  
Operasi API yang diprakarsai oleh dokumen SSM selama proses asosiasi tidak masuk. AWS CloudTrail

1. Pilih **Buat Asosiasi**.

**catatan**  
Jika Anda menghapus asosiasi yang Anda buat, asosiasi tidak lagi berjalan pada setiap target dari asosiasi tersebut.

## Membuat asosiasi (baris perintah)
<a name="create-state-manager-association-commandline"></a>

Prosedur berikut menjelaskan cara menggunakan AWS CLI (di Linux atauWindows Server) atau Alat PowerShell untuk membuat State Manager asosiasi. Bagian ini mencakup beberapa contoh yang menunjukkan bagaimana menggunakan target dan kontrol rate. Target dan kontrol tingkat memungkinkan Anda menetapkan asosiasi ke lusinan atau ratusan node sambil mengontrol eksekusi asosiasi tersebut. Untuk informasi selengkapnya tentang pengendalian target dan rate, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

**penting**  
Prosedur ini menjelaskan cara membuat asosiasi yang menggunakan salah satu `Command` atau `Policy` dokumen untuk menargetkan node terkelola. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomasi untuk menargetkan node atau jenis AWS sumber daya lainnya, lihat[Menjadwalkan otomatisasi dengan asosiasi State Manager](scheduling-automations-state-manager-associations.md).

**Sebelum Anda mulai**  
`targets`Parameter adalah array kriteria pencarian yang menargetkan node menggunakan `Value` kombinasi`Key`, yang Anda tentukan. Jika Anda berencana untuk membuat asosiasi pada lusinan atau ratusan node dengan menggunakan `targets` parameter, tinjau opsi penargetan berikut sebelum memulai prosedur.

Targetkan node tertentu dengan menentukan IDs

```
--targets Key=InstanceIds,Values=instance-id-1,instance-id-2,instance-id-3
```

```
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE,i-07782c72faEXAMPLE
```

Instance target dengan menggunakan tag

```
--targets Key=tag:tag-key,Values=tag-value-1,tag-value-2,tag-value-3
```

```
--targets Key=tag:Environment,Values=Development,Test,Pre-production
```

Target node dengan menggunakan AWS Resource Groups

```
--targets Key=resource-groups:Name,Values=resource-group-name
```

```
--targets Key=resource-groups:Name,Values=WindowsInstancesGroup
```

Targetkan semua instance saat Akun AWS ini dan Wilayah AWS

```
--targets Key=InstanceIds,Values=*
```

**catatan**  
Perhatikan informasi berikut.  
State Managertidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State Manager selalu menjalankan `default` versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen ke`default`.
State Managertidak mendukung`IncludeChildOrganizationUnits`,, `ExcludeAccounts``TargetsMaxErrors`,`TargetsMaxConcurrency`,`Targets`, `TargetLocationAlarmConfiguration` parameter untuk [TargetLocation](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_TargetLocation.html).
Anda dapat menentukan maksimal lima kunci tag dengan menggunakan AWS CLI. Jika Anda menggunakan AWS CLI, *semua* kunci tag yang ditentukan dalam `create-association` perintah harus saat ini ditetapkan ke node. Jika tidak, State Manager gagal menargetkan node untuk asosiasi.
Saat Anda membuat asosiasi, Anda menentukan kapan jadwal berjalan. Tentukan jadwal dengan menggunakan ekspresi cron atau rate. Untuk informasi selengkapnya tentang ekspresi cron dan rate, lihat [Ekspresi cron dan rate untuk associate](reference-cron-and-rate-expressions.md#reference-cron-and-rate-expressions-association).
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat [Tentang pembaruan target dengan runbook Otomasi](state-manager-about.md#runbook-target-updates).

**Untuk membuat asosiasi**

1. Instal dan konfigurasikan AWS CLI atau Alat AWS untuk PowerShell, jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Gunakan format berikut untuk membuat perintah yang membuat State Manager asosiasi. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
       --name document_name \
       --document-version version_of_document_applied \
       --instance-id instances_to_apply_association_on \
       --parameters (if any) \
       --targets target_options \
       --association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations \
       --schedule-expression "cron_or_rate_expression" \
       --apply-only-at-cron-interval required_parameter_for_schedule_offsets \
       --schedule-offset number_between_1_and_6 \
       --output-location s3_bucket_to_store_output_details \
       --association-name association_name \
       --max-errors a_number_of_errors_or_a_percentage_of_target_set \
       --max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
       --compliance-severity severity_level \
       --calendar-names change_calendar_names \
       --target-locations aws_region_or_account \
       --tags "Key=tag_key,Value=tag_value"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
       --name document_name ^
       --document-version version_of_document_applied ^
       --instance-id instances_to_apply_association_on ^
       --parameters (if any) ^
       --targets target_options ^
       --association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations ^
       --schedule-expression "cron_or_rate_expression" ^
       --apply-only-at-cron-interval required_parameter_for_schedule_offsets ^
       --schedule-offset number_between_1_and_6 ^
       --output-location s3_bucket_to_store_output_details ^
       --association-name association_name ^
       --max-errors a_number_of_errors_or_a_percentage_of_target_set ^
       --max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
       --compliance-severity severity_level ^
       --calendar-names change_calendar_names ^
       --target-locations aws_region_or_account ^
       --tags "Key=tag_key,Value=tag_value"
   ```

------
#### [ PowerShell ]

   ```
   New-SSMAssociation `
       -Name document_name `
       -DocumentVersion version_of_document_applied `
       -InstanceId instances_to_apply_association_on `
       -Parameters (if any) `
       -Target target_options `
       -AssociationDispatchAssumeRole arn_of_role_to_be_used_when_dispatching_configurations `
       -ScheduleExpression "cron_or_rate_expression" `
       -ApplyOnlyAtCronInterval required_parameter_for_schedule_offsets `
       -ScheduleOffSet number_between_1_and_6 `
       -OutputLocation s3_bucket_to_store_output_details `
       -AssociationName association_name `
       -MaxError  a_number_of_errors_or_a_percentage_of_target_set
       -MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
       -ComplianceSeverity severity_level `
       -CalendarNames change_calendar_names `
       -TargetLocations aws_region_or_account `
       -Tags "Key=tag_key,Value=tag_value"
   ```

------

   Contoh berikut membuat asosiasi pada node yang ditandai dengan`"Environment,Linux"`. Asosiasi menggunakan `AWS-UpdateSSMAgent` dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada 2:00 UTC setiap Minggu pagi. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
     --association-name Update_SSM_Agent_Linux \
     --targets Key=tag:Environment,Values=Linux \
     --name AWS-UpdateSSMAgent  \
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
     --compliance-severity "MEDIUM" \
     --schedule-expression "cron(0 2 ? * SUN *)" \
     --max-errors "5" \
     --max-concurrency "10"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
     --association-name Update_SSM_Agent_Linux ^
     --targets Key=tag:Environment,Values=Linux ^
     --name AWS-UpdateSSMAgent  ^
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
     --compliance-severity "MEDIUM" ^
     --schedule-expression "cron(0 2 ? * SUN *)" ^
     --max-errors "5" ^
     --max-concurrency "10"
   ```

------
#### [ PowerShell ]

   ```
   New-SSMAssociation `
     -AssociationName Update_SSM_Agent_Linux `
     -Name AWS-UpdateSSMAgent `
     -AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
     -Target @{
         "Key"="tag:Environment"
         "Values"="Linux"
       } `
     -ComplianceSeverity MEDIUM `
     -ScheduleExpression "cron(0 2 ? * SUN *)" `
     -MaxConcurrency 10 `
     -MaxError 5
   ```

------

   Contoh berikut menargetkan node IDs dengan menentukan nilai wildcard (\$1). Hal ini memungkinkan Systems Manager untuk membuat asosiasi pada *semua* node di saat ini Akun AWS dan Wilayah AWS. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium. Asosiasi ini menggunakan offset jadwal, yang berarti berjalan dua hari setelah jadwal cron yang ditentukan. Ini juga mencakup `ApplyOnlyAtCronInterval` parameter, yang diperlukan untuk menggunakan offset jadwal dan yang berarti asosiasi tidak akan berjalan segera setelah dibuat.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
     --association-name Update_SSM_Agent_Linux \
     --name "AWS-UpdateSSMAgent" \
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
     --targets "Key=instanceids,Values=*" \
     --compliance-severity "MEDIUM" \
     --schedule-expression "cron(0 2 ? * SUN#2 *)" \
     --apply-only-at-cron-interval \
     --schedule-offset 2 \
     --max-errors "5" \
     --max-concurrency "10" \
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
     --association-name Update_SSM_Agent_Linux ^
     --name "AWS-UpdateSSMAgent" ^
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
     --targets "Key=instanceids,Values=*" ^
     --compliance-severity "MEDIUM" ^
     --schedule-expression "cron(0 2 ? * SUN#2 *)" ^
     --apply-only-at-cron-interval ^
     --schedule-offset 2 ^
     --max-errors "5" ^
     --max-concurrency "10" ^
     --apply-only-at-cron-interval
   ```

------
#### [ PowerShell ]

   ```
   New-SSMAssociation `
     -AssociationName Update_SSM_Agent_All `
     -Name AWS-UpdateSSMAgent `
     -AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
     -Target @{
         "Key"="InstanceIds"
         "Values"="*"
       } `
     -ScheduleExpression "cron(0 2 ? * SUN#2 *)" `
     -ApplyOnlyAtCronInterval `
     -ScheduleOffset 2 `
     -MaxConcurrency 10 `
     -MaxError 5 `
     -ComplianceSeverity MEDIUM `
     -ApplyOnlyAtCronInterval
   ```

------

   Contoh berikut membuat asosiasi pada node di Resource Groups. Grup ini diberi nama "HR-Department". Asosiasi menggunakan `AWS-UpdateSSMAgent` dokumen untuk memperbarui SSM Agent node yang ditargetkan pada pukul 2:00 UTC setiap Minggu pagi. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium. Asosiasi ini berjalan pada jadwal cron yang ditentukan. Ini tidak segera berjalan setelah asosiasi dibuat.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
     --association-name Update_SSM_Agent_Linux \
     --targets Key=resource-groups:Name,Values=HR-Department \
     --name AWS-UpdateSSMAgent  \
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
     --compliance-severity "MEDIUM" \
     --schedule-expression "cron(0 2 ? * SUN *)" \
     --max-errors "5" \
     --max-concurrency "10" \
     --apply-only-at-cron-interval
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
     --association-name Update_SSM_Agent_Linux ^
     --targets Key=resource-groups:Name,Values=HR-Department ^
     --name AWS-UpdateSSMAgent  ^
     -association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
     --compliance-severity "MEDIUM" ^
     --schedule-expression "cron(0 2 ? * SUN *)" ^
     --max-errors "5" ^
     --max-concurrency "10" ^
     --apply-only-at-cron-interval
   ```

------
#### [ PowerShell ]

   ```
   New-SSMAssociation `
     -AssociationName Update_SSM_Agent_Linux `
     -Name AWS-UpdateSSMAgent `
     -AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
     -Target @{
         "Key"="resource-groups:Name"
         "Values"="HR-Department"
       } `
     -ScheduleExpression "cron(0 2 ? * SUN *)" `
     -MaxConcurrency 10 `
     -MaxError 5 `
     -ComplianceSeverity MEDIUM `
     -ApplyOnlyAtCronInterval
   ```

------

   Contoh berikut membuat asosiasi yang berjalan pada node ditandai dengan ID node tertentu. Asosiasi menggunakan SSM Agent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan sekali ketika kalender perubahan terbuka. Asosiasi memeriksa status kalender saat dijalankan. Jika kalender ditutup pada waktu peluncuran dan asosiasi hanya dijalankan sekali, asosiasi tidak akan berjalan lagi karena jendela berjalan asosiasi telah berlalu. Jika kalendar dibuka, asosiasi berjalan dengan sesuai.
**catatan**  
Jika Anda menambahkan node baru ke tag atau grup sumber daya yang ditindaklanjuti asosiasi saat kalender perubahan ditutup, asosiasi akan diterapkan ke node tersebut setelah kalender perubahan terbuka.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
     --association-name CalendarAssociation \
     --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" \
     --name AWS-UpdateSSMAgent  \
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" \
     --schedule-expression "rate(1day)"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
     --association-name CalendarAssociation ^
     --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" ^
     --name AWS-UpdateSSMAgent  ^
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" ^
     --schedule-expression "rate(1day)"
   ```

------
#### [ PowerShell ]

   ```
   New-SSMAssociation `
     -AssociationName CalendarAssociation `
     -Target @{
         "Key"="tag:instanceids"
         "Values"="i-0cb2b964d3e14fd9f"
       } `
     -Name AWS-UpdateSSMAgent `
     -AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
     -CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" `
     -ScheduleExpression "rate(1day)"
   ```

------

   Contoh berikut membuat asosiasi yang berjalan pada node ditandai dengan ID node tertentu. Asosiasi menggunakan SSM Agent dokumen untuk memperbarui node yang ditargetkan SSM Agent pada node yang ditargetkan pada pukul 2:00 pagi setiap hari Minggu. Asosiasi ini hanya berjalan pada jadwal cron yang ditentukan saat kalender perubahan terbuka. Ketika asosiasi dibuat, asosisasi memeriksa status kalender. Jika kalender ditutup, asosiasi tidak akan diterapkan. Ketika interval untuk menerapkan asosiasi dimulai pada 2:00 AM pada hari Minggu, asosiasi memeriksa untuk melihat apakah kalender terbuka. Jika kalendar dibuka, asosiasi berjalan dengan sesuai.
**catatan**  
Jika Anda menambahkan node baru ke tag atau grup sumber daya yang ditindaklanjuti asosiasi saat kalender perubahan ditutup, asosiasi akan diterapkan ke node tersebut setelah kalender perubahan terbuka.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
     --association-name MultiCalendarAssociation \
     --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" \
     --name AWS-UpdateSSMAgent  \
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" \
     --schedule-expression "cron(0 2 ? * SUN *)"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
     --association-name MultiCalendarAssociation ^
     --targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" ^
     --name AWS-UpdateSSMAgent  ^
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" ^
     --schedule-expression "cron(0 2 ? * SUN *)"
   ```

------
#### [ PowerShell ]

   ```
   New-SSMAssociation `
     -AssociationName MultiCalendarAssociation `
     -Name AWS-UpdateSSMAgent `
     -AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
     -Target @{
         "Key"="tag:instanceids"
         "Values"="i-0cb2b964d3e14fd9f"
       } `
     -CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" `
     -ScheduleExpression "cron(0 2 ? * SUN *)"
   ```

------

**catatan**  
Jika Anda menghapus asosiasi yang Anda buat, asosiasi tidak lagi berjalan pada setiap target dari asosiasi tersebut. Juga, jika Anda menentukan parameter `apply-only-at-cron-interval`, Anda dapat mengatur ulang opsi ini. Untuk melakukannya, tentukan parameter `no-apply-only-at-cron-interval` saat Anda memperbarui asosiasi dari baris perintah. Parameter ini memaksa asosiasi untuk berjalan segera setelah memperbarui asosiasi dan sesuai dengan interval yang ditentukan.

# Mengedit dan membuat versi baru asosiasi
<a name="state-manager-associations-edit"></a>

Anda dapat mengedit State Manager asosiasi untuk menentukan nama baru, jadwal, tingkat keparahan, target, atau nilai lainnya. Untuk asosiasi berdasarkan dokumen tipe perintah SSM, Anda juga dapat memilih untuk menulis output perintah ke bucket Amazon Simple Storage Service (Amazon S3). Setelah Anda mengedit asosiasi, State Manager buat versi baru. Anda dapat melihat versi yang berbeda setelah mengedit, seperti yang dijelaskan dalam prosedur berikut. 

**catatan**  
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat [Tentang pembaruan target dengan runbook Otomasi](state-manager-about.md#runbook-target-updates).

Prosedur berikut menjelaskan cara mengedit dan membuat versi baru asosiasi menggunakan konsol Systems Manager, AWS Command Line Interface (AWS CLI), dan Alat AWS untuk PowerShell (Alat untuk PowerShell). 

**penting**  
State Managertidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State ManagerSelalu menjalankan `default` versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen ke`default`.

## Mengedit asosiasi (konsol)
<a name="state-manager-associations-edit-console"></a>

Prosedur berikut menjelaskan cara menggunakan konsol Systems Manager untuk mengedit dan membuat versi baru asosiasi.

**catatan**  
Untuk asosiasi yang menggunakan dokumen Perintah SSM, bukan runbook Otomasi, prosedur ini mengharuskan Anda memiliki akses tulis ke bucket Amazon S3 yang ada. Jika Anda belum pernah menggunakan Amazon S3 sebelumnya, perhatikan bahwa Anda akan dikenakan biaya untuk menggunakan Amazon S3. Untuk informasi tentang cara membuat bucket, lihat [Buat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html).

**Untuk mengedit State Manager asosiasi**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih asosiasi yang ada, lalu pilih **Edit**.

1. Konfigurasikan ulang asosiasi untuk memenuhi persyaratan Anda saat ini. 

   Untuk informasi tentang opsi asosiasi dengan `Command` dan `Policy` dokumen, lihat[Membuat asosiasi](state-manager-associations-creating.md). Untuk informasi tentang opsi asosiasi dengan runbook Otomasi, lihat[Menjadwalkan otomatisasi dengan asosiasi State Manager](scheduling-automations-state-manager-associations.md).

1. Pilih **Simpan Perubahan**. 

1. (Opsional) Untuk melihat informasi **asosiasi**, di halaman Asosiasi, pilih nama asosiasi yang Anda edit, lalu pilih tab **Versi**. Sistem mencantumkan setiap versi asosiasi yang Anda buat dan edit.

1. (Opsional) Untuk melihat output untuk asosiasi berdasarkan `Command` dokumen SSM, lakukan hal berikut:

   1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Pilih nama bucket Amazon S3 yang Anda tentukan untuk menyimpan output perintah, lalu pilih folder bernama dengan ID node yang menjalankan asosiasi. (Jika anda memilih untuk menyimpan output dalam folder dalam bucket, buka terlebih dahulu.)

   1. Menelusuri beberapa tingkat, melalui folder `awsrunPowerShell`, ke file `stdout`.

   1. Pilih **Buka** atau **Unduh** untuk melihat nama host.

## Mengedit asosiasi (baris perintah)
<a name="state-manager-associations-edit-commandline"></a>

Prosedur berikut menjelaskan cara menggunakan AWS CLI (di Linux atauWindows Server) atau Alat AWS untuk PowerShell untuk mengedit dan membuat versi baru dari asosiasi.

**Untuk mengedit State Manager asosiasi**

1. Instal dan konfigurasikan AWS CLI atau Alat AWS untuk PowerShell, jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Gunakan format berikut untuk membuat perintah untuk mengedit dan membuat versi baru dari State Manager asosiasi yang ada. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
**penting**  
Saat Anda memanggil`[https://docs.aws.amazon.com/cli/latest/reference/ssm/desupdatecribe-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/desupdatecribe-association.html)`, sistem akan menghapus semua parameter opsional dari permintaan dan menimpa asosiasi dengan nilai nol untuk parameter tersebut. Ini dengan desain. Anda harus menentukan semua parameter opsional dalam panggilan, bahkan jika Anda tidak mengubah parameter. Ini termasuk `--name` parameter. Sebelum memanggil tindakan ini, kami sarankan Anda memanggil `[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association.html)` operasi dan mencatat semua parameter opsional yang diperlukan untuk `update-association` panggilan Anda.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-association \
       --name document_name \
       --document-version version_of_document_applied \
       --instance-id instances_to_apply_association_on \
       --parameters (if any) \
       --targets target_options \
       --association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations \
       --schedule-expression "cron_or_rate_expression" \
       --schedule-offset "number_between_1_and_6" \
       --output-location s3_bucket_to_store_output_details \
       --association-name association_name \
       --max-errors a_number_of_errors_or_a_percentage_of_target_set \
       --max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
       --compliance-severity severity_level \
       --calendar-names change_calendar_names \
       --target-locations aws_region_or_account
   ```

------
#### [ Windows ]

   ```
   aws ssm update-association ^
       --name document_name ^
       --document-version version_of_document_applied ^
       --instance-id instances_to_apply_association_on ^
       --parameters (if any) ^
       --targets target_options ^
       --association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations ^
       --schedule-expression "cron_or_rate_expression" ^
       --schedule-offset "number_between_1_and_6" ^
       --output-location s3_bucket_to_store_output_details ^
       --association-name association_name ^
       --max-errors a_number_of_errors_or_a_percentage_of_target_set ^
       --max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
       --compliance-severity severity_level ^
       --calendar-names change_calendar_names ^
       --target-locations aws_region_or_account
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMAssociation `
       -Name document_name `
       -DocumentVersion version_of_document_applied `
       -InstanceId instances_to_apply_association_on `
       -Parameters (if any) `
       -Target target_options `
       -AssociationDispatchAssumeRole arn_of_role_to_be_used_when_dispatching_configurations `
       -ScheduleExpression "cron_or_rate_expression" `
       -ScheduleOffset "number_between_1_and_6" `
       -OutputLocation s3_bucket_to_store_output_details `
       -AssociationName association_name `
       -MaxError  a_number_of_errors_or_a_percentage_of_target_set
       -MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
       -ComplianceSeverity severity_level `
       -CalendarNames change_calendar_names `
       -TargetLocations aws_region_or_account
   ```

------

   Contoh berikut memperbarui asosiasi yang ada untuk mengubah nama ke `TestHostnameAssociation2`. Versi asosiasi baru berjalan setiap jam dan menulis output perintah ke bucket Amazon S3 yang ditentukan.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-association \
     --association-id 8dfe3659-4309-493a-8755-01234EXAMPLE \
     --association-name TestHostnameAssociation2 \
     --parameters commands="echo Association" \
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
     --output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' \
     --schedule-expression "cron(0 */1 * * ? *)"
   ```

------
#### [ Windows ]

   ```
   aws ssm update-association ^
     --association-id 8dfe3659-4309-493a-8755-01234EXAMPLE ^
     --association-name TestHostnameAssociation2 ^
     --parameters commands="echo Association" ^
     --association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
     --output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' ^
     --schedule-expression "cron(0 */1 * * ? *)"
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMAssociation `
     -AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE `
     -AssociationName TestHostnameAssociation2 `
     -Parameter @{"commands"="echo Association"} `
     -AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
     -S3Location_OutputS3BucketName amzn-s3-demo-bucket `
     -S3Location_OutputS3KeyPrefix logs `
     -S3Location_OutputS3Region us-east-1 `
     -ScheduleExpression "cron(0 */1 * * ? *)"
   ```

------

   Contoh berikut memperbarui asosiasi yang ada untuk mengubah nama ke `CalendarAssociation`. Asosiasi baru berjalan ketika kalender terbuka dan menulis output perintah ke bucket Amazon S3 yang ditentukan. 

------
#### [ Linux & macOS ]

   ```
   aws ssm update-association \
     --association-id 8dfe3659-4309-493a-8755-01234EXAMPLE \
     --association-name CalendarAssociation \
     --parameters commands="echo Association" \
     --output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' \
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar2"
   ```

------
#### [ Windows ]

   ```
   aws ssm update-association ^
     --association-id 8dfe3659-4309-493a-8755-01234EXAMPLE ^
     --association-name CalendarAssociation ^
     --parameters commands="echo Association" ^
     --output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' ^
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar2"
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMAssociation `
     -AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE `
     -AssociationName CalendarAssociation `
     -AssociationName OneTimeAssociation `
     -Parameter @{"commands"="echo Association"} `
     -S3Location_OutputS3BucketName amzn-s3-demo-bucket `
     -CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar2"
   ```

------

   Contoh berikut memperbarui asosiasi yang ada untuk mengubah nama ke `MultiCalendarAssociation`. Asosiasi baru berjalan ketika kalender terbuka dan menulis output perintah ke bucket Amazon S3 yang ditentukan. 

------
#### [ Linux & macOS ]

   ```
   aws ssm update-association \
     --association-id 8dfe3659-4309-493a-8755-01234EXAMPLE \
     --association-name MultiCalendarAssociation \
     --parameters commands="echo Association" \
     --output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' \
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2"
   ```

------
#### [ Windows ]

   ```
   aws ssm update-association ^
     --association-id 8dfe3659-4309-493a-8755-01234EXAMPLE ^
     --association-name MultiCalendarAssociation ^
     --parameters commands="echo Association" ^
     --output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' ^
     --calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2"
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMAssociation `
     -AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE `
     -AssociationName MultiCalendarAssociation `
     -Parameter @{"commands"="echo Association"} `
     -S3Location_OutputS3BucketName amzn-s3-demo-bucket `
     -CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2"
   ```

------

1. Untuk melihat versi baru asosiasi, jalankan perintah berikut.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association \
     --association-id b85ccafe-9f02-4812-9b81-01234EXAMPLE
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-association ^
     --association-id b85ccafe-9f02-4812-9b81-01234EXAMPLE
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMAssociation `
     -AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE | Select-Object *
   ```

------

   Sistem mengembalikan informasi seperti berikut.

------
#### [ Linux & macOS ]

   ```
   {
       "AssociationDescription": {
           "ScheduleExpression": "cron(0 */1 * * ? *)",
           "OutputLocation": {
               "S3Location": {
                   "OutputS3KeyPrefix": "logs",
                   "OutputS3BucketName": "amzn-s3-demo-bucket",
                   "OutputS3Region": "us-east-1"
               }
           },
           "Name": "AWS-RunPowerShellScript",
           "Parameters": {
               "commands": [
                   "echo Association"
               ]
           },
           "LastExecutionDate": 1559316400.338,
           "Overview": {
               "Status": "Success",
               "DetailedStatus": "Success",
               "AssociationStatusAggregatedCount": {}
           },
           "AssociationId": "b85ccafe-9f02-4812-9b81-01234EXAMPLE",
           "DocumentVersion": "$DEFAULT",
           "LastSuccessfulExecutionDate": 1559316400.338,
           "LastUpdateAssociationDate": 1559316389.753,
           "Date": 1559314038.532,
           "AssociationVersion": "2",
           "AssociationName": "TestHostnameAssociation2",
           "Targets": [
               {
                   "Values": [
                       "Windows"
                   ],
                   "Key": "tag:Environment"
               }
           ]
       }
   }
   ```

------
#### [ Windows ]

   ```
   {
       "AssociationDescription": {
           "ScheduleExpression": "cron(0 */1 * * ? *)",
           "OutputLocation": {
               "S3Location": {
                   "OutputS3KeyPrefix": "logs",
                   "OutputS3BucketName": "amzn-s3-demo-bucket",
                   "OutputS3Region": "us-east-1"
               }
           },
           "Name": "AWS-RunPowerShellScript",
           "Parameters": {
               "commands": [
                   "echo Association"
               ]
           },
           "LastExecutionDate": 1559316400.338,
           "Overview": {
               "Status": "Success",
               "DetailedStatus": "Success",
               "AssociationStatusAggregatedCount": {}
           },
           "AssociationId": "b85ccafe-9f02-4812-9b81-01234EXAMPLE",
           "DocumentVersion": "$DEFAULT",
           "LastSuccessfulExecutionDate": 1559316400.338,
           "LastUpdateAssociationDate": 1559316389.753,
           "Date": 1559314038.532,
           "AssociationVersion": "2",
           "AssociationName": "TestHostnameAssociation2",
           "Targets": [
               {
                   "Values": [
                       "Windows"
                   ],
                   "Key": "tag:Environment"
               }
           ]
       }
   }
   ```

------
#### [ PowerShell ]

   ```
   AssociationId                 : b85ccafe-9f02-4812-9b81-01234EXAMPLE
   AssociationName               : TestHostnameAssociation2
   AssociationVersion            : 2
   AutomationTargetParameterName : 
   ComplianceSeverity            : 
   Date                          : 5/31/2019 2:47:18 PM
   DocumentVersion               : $DEFAULT
   InstanceId                    : 
   LastExecutionDate             : 5/31/2019 3:26:40 PM
   LastSuccessfulExecutionDate   : 5/31/2019 3:26:40 PM
   LastUpdateAssociationDate     : 5/31/2019 3:26:29 PM
   MaxConcurrency                : 
   MaxErrors                     : 
   Name                          : AWS-RunPowerShellScript
   OutputLocation                : Amazon.SimpleSystemsManagement.Model.InstanceAssociationOutputLocation
   Overview                      : Amazon.SimpleSystemsManagement.Model.AssociationOverview
   Parameters                    : {[commands, Amazon.Runtime.Internal.Util.AlwaysSendList`1[System.String]]}
   ScheduleExpression            : cron(0 */1 * * ? *)
   Status                        : 
   Targets                       : {tag:Environment}
   ```

------

# Menghapus asosiasi
<a name="systems-manager-state-manager-delete-association"></a>

Gunakan prosedur berikut untuk menghapus asosiasi dengan menggunakan AWS Systems Manager konsol.

**Untuk menghapus asosiasi**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih asosiasi dan kemudian pilih **Hapus**.

Anda dapat menghapus beberapa asosiasi dalam satu operasi dengan menjalankan otomatisasi dari AWS Systems Manager konsol. Saat Anda memilih beberapa asosiasi untuk dihapus, Manajer Negara meluncurkan halaman awal buku runbook otomatisasi dengan asosiasi IDs dimasukkan sebagai nilai parameter input. 

**Untuk menghapus beberapa asosiasi dalam satu operasi**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih setiap asosiasi yang ingin Anda hapus dan kemudian pilih **Hapus**.

1. (Opsional) Di area **parameter input tambahan**, pilih Nama Sumber Daya Amazon (ARN) untuk *peran asumsi* yang Anda inginkan agar otomatisasi digunakan saat berjalan. Untuk membuat peran asumsi baru, pilih **Buat**.

1. Pilih **Kirim**.

# Menjalankan grup Auto Scaling dengan asosiasi
<a name="systems-manager-state-manager-asg"></a>

Praktik terbaik saat menggunakan asosiasi untuk menjalankan grup Auto Scaling adalah dengan menggunakan target tag. Tidak menggunakan tag dapat menyebabkan Anda mencapai batas asosiasi. 

Jika semua node ditandai dengan kunci dan nilai yang sama, Anda hanya perlu satu asosiasi untuk menjalankan grup Auto Scaling Anda. Prosedur berikut menjelaskan cara membuat asosiasi semacam itu.

**Untuk membuat asosiasi yang menjalankan grup Auto Scaling**

1. Pastikan semua node dalam grup Auto Scaling ditandai dengan kunci dan nilai yang sama. *Untuk petunjuk selengkapnya tentang menandai node, lihat [Menandai grup dan instance Auto Scaling](https://docs.aws.amazon.com//autoscaling/ec2/userguide/autoscaling-tagging.html) di Panduan Pengguna.AWS Auto Scaling * 

1. Membuat asosiasi dengan menggunakan prosedur di [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md). 

   Jika Anda bekerja di konsol, pilih **Tentukan tag instans** dalam bidang **Target**. Untuk **Tag instans**, masukkan kunci **Tag** dan nilai untuk grup Auto Scaling Anda.

   Jika Anda menggunakan AWS Command Line Interface (AWS CLI), tentukan `--targets Key=tag:tag-key,Values=tag-value` di mana kunci dan nilai cocok dengan apa yang Anda beri tag pada node Anda. 

# Melihat riwayat asosiasi
<a name="state-manager-associations-history"></a>

Anda dapat melihat semua eksekusi untuk ID asosiasi tertentu dengan menggunakan operasi [DescribeAssociationExecutions](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutions.html)API. Gunakan operasi ini untuk melihat status, status terperinci, hasil, waktu eksekusi terakhir, dan informasi lebih lanjut untuk State Manager asosiasi. State Manageradalah alat di AWS Systems Manager. Operasi API ini juga menyertakan filter untuk membantu Anda menemukan asosiasi yang sesuai dengan kriteria yang Anda tentukan. Misalnya, Anda dapat menentukan tanggal dan waktu yang tepat, dan menggunakan filter GREATER\$1THAN untuk melihat eksekusi yang diproses setelah tanggal dan waktu yang ditentukan.

Jika, misalnya, eksekusi asosiasi gagal, Anda dapat menelusuri detail eksekusi tertentu dengan menggunakan operasi [DescribeAssociationExecutionTargets](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutionTargets.html)API. Operasi ini menunjukkan sumber daya, seperti node IDs, tempat asosiasi berjalan dan berbagai status asosiasi. Anda kemudian dapat melihat sumber daya atau node mana yang gagal menjalankan asosiasi. Dengan ID sumber daya, Anda dapat melihat rincian eksekusi perintah untuk melihat langkah mana dalam perintah yang gagal.

Contoh di bagian ini juga mencakup informasi tentang cara menggunakan operasi [StartAssociationsOnce](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAssociationsOnce.html)API untuk menjalankan asosiasi sekali pada saat pembuatan. Anda dapat menggunakan operasi API ini ketika Anda menyelidiki eksekusi asosiasi yang gagal. Jika Anda melihat asosiasi yang gagal, Anda dapat membuat perubahan pada sumber daya, dan kemudian segera menjalankan asosiasi untuk melihat apakah perubahan pada sumber daya mengizinkan asosiasi berjalan dengan sukses.

**catatan**  
Operasi API yang diprakarsai oleh dokumen SSM selama proses asosiasi tidak masuk. AWS CloudTrail

## Melihat riwayat asosiasi (konsol)
<a name="state-manager-associations-history-console"></a>

Gunakan prosedur berikut untuk melihat riwayat eksekusi untuk ID asosiasi tertentu lalu melihat rincian eksekusi untuk satu sumber daya atau lebih. 

**Untuk melihat riwayat eksekusi untuk ID asosiasi tertentu**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Pilih **State Manager**.

1. Di bidang **Id asosiasi**, pilih asosiasi yang ingin Anda lihat riwayatnya.

1. Pilih tombol **Melihat detail**.

1. Pilih tab **Riwayat eksekusi**.

1. Pilih asosiasi yang Anda inginkan untuk melihat detail eksekusi tingkat sumber daya. Misalnya, pilih asosiasi yang menunjukkan status **Gagal**. Anda kemudian dapat melihat detail eksekusi untuk node yang gagal menjalankan asosiasi.

   Gunakan filter kotak pencarian untuk menemukan eksekusi yang ingin Anda lihat rinciannya.  
![\[Memfilter daftar eksekusi State Manager asosiasi.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/sysman-state-executions-filter.png)

1. Pilih ID eksekusi. Halaman **Target eksekusi asosiasi** terbuka. Halaman ini menunjukkan semua sumber daya yang menjalankan asosiasi.

1. Pilih ID sumber daya untuk melihat informasi spesifik tentang sumber daya tersebut.

   Gunakan filter kotak pencarian untuk menemukan sumber daya yang ingin Anda lihat rinciannya.  
![\[Memfilter daftar target eksekusi State Manager asosiasi.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/sysman-state-executions-targets-filter.png)

1. Jika Anda sedang menyelidiki asosiasi yang gagal dijalankan, Anda dapat menggunakan tombol **Terapkan asosiasi sekarang** untuk menjalankan asosiasi sekali setelah pembuatan. Setelah Anda membuat perubahan pada sumber daya di mana asosiasi gagal untuk dijalankan, pilih tautan **ID Asosiasi** di breadcrumb navigasi.

1. Pilih tombol **Terapkan asosiasi sekarang**. Setelah eksekusi selesai, verifikasi bahwa eksekusi asosiasi telah berhasil.

## Melihat riwayat asosiasi (baris perintah)
<a name="state-manager-associations-history-commandline"></a>

Prosedur berikut menjelaskan cara menggunakan AWS Command Line Interface (AWS CLI) (di Linux atauWindows Server) atau Alat AWS untuk PowerShell untuk melihat riwayat eksekusi untuk ID asosiasi tertentu. Setelah ini, prosedur menjelaskan cara untuk melihat rincian eksekusi untuk satu sumber daya atau lebih.

**Untuk melihat riwayat eksekusi untuk ID asosiasi tertentu**

1. Instal dan konfigurasikan AWS CLI atau Alat AWS untuk PowerShell, jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Jalankan perintah berikut untuk menampilkan daftar eksekusi untuk ID asosiasi tertentu.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association-executions \
     --association-id ID \
     --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN
   ```

**catatan**  
Perintah ini menyertakan filter untuk membatasi hasil hanya untuk eksekusi yang terjadi setelah tanggal dan waktu tertentu. Jika Anda ingin melihat semua eksekusi untuk ID asosiasi tertentu, hapus parameter `--filters` dan nilai ` Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN`.

------
#### [ Windows ]

   ```
   aws ssm describe-association-executions ^
     --association-id ID ^
     --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN
   ```

**catatan**  
Perintah ini menyertakan filter untuk membatasi hasil hanya untuk eksekusi yang terjadi setelah tanggal dan waktu tertentu. Jika Anda ingin melihat semua eksekusi untuk ID asosiasi tertentu, hapus parameter `--filters` dan nilai ` Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN`.

------
#### [ PowerShell ]

   ```
   Get-SSMAssociationExecution `
     -AssociationId ID `
     -Filter @{"Key"="CreatedTime";"Value"="2019-06-01T19:15:38.372Z";"Type"="GREATER_THAN"}
   ```

**catatan**  
Perintah ini menyertakan filter untuk membatasi hasil hanya untuk eksekusi yang terjadi setelah tanggal dan waktu tertentu. Jika Anda ingin melihat semua eksekusi untuk ID asosiasi tertentu, hapus parameter `-Filter` dan nilai ` @{"Key"="CreatedTime";"Value"="2019-06-01T19:15:38.372Z";"Type"="GREATER_THAN"}`.

------

   Sistem mengembalikan informasi seperti berikut.

------
#### [ Linux & macOS ]

   ```
   {
      "AssociationExecutions":[
         {
            "Status":"Success",
            "DetailedStatus":"Success",
            "AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
            "ExecutionId":"76a5a04f-caf6-490c-b448-92c02EXAMPLE",
            "CreatedTime":1523986028.219,
            "AssociationVersion":"1"
         },
         {
            "Status":"Success",
            "DetailedStatus":"Success",
            "AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
            "ExecutionId":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
            "CreatedTime":1523984226.074,
            "AssociationVersion":"1"
         },
         {
            "Status":"Success",
            "DetailedStatus":"Success",
            "AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
            "ExecutionId":"ecec60fa-6bb0-4d26-98c7-140308EXAMPLE",
            "CreatedTime":1523982404.013,
            "AssociationVersion":"1"
         }
      ]
   }
   ```

------
#### [ Windows ]

   ```
   {
      "AssociationExecutions":[
         {
            "Status":"Success",
            "DetailedStatus":"Success",
            "AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
            "ExecutionId":"76a5a04f-caf6-490c-b448-92c02EXAMPLE",
            "CreatedTime":1523986028.219,
            "AssociationVersion":"1"
         },
         {
            "Status":"Success",
            "DetailedStatus":"Success",
            "AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
            "ExecutionId":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
            "CreatedTime":1523984226.074,
            "AssociationVersion":"1"
         },
         {
            "Status":"Success",
            "DetailedStatus":"Success",
            "AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
            "ExecutionId":"ecec60fa-6bb0-4d26-98c7-140308EXAMPLE",
            "CreatedTime":1523982404.013,
            "AssociationVersion":"1"
         }
      ]
   }
   ```

------
#### [ PowerShell ]

   ```
   AssociationId         : c336d2ab-09de-44ba-8f6a-6136cEXAMPLE
   AssociationVersion    : 1
   CreatedTime           : 8/18/2019 2:00:50 AM
   DetailedStatus        : Success
   ExecutionId           : 76a5a04f-caf6-490c-b448-92c02EXAMPLE
   LastExecutionDate     : 1/1/0001 12:00:00 AM
   ResourceCountByStatus : {Success=1}
   Status                : Success
   
   AssociationId         : c336d2ab-09de-44ba-8f6a-6136cEXAMPLE
   AssociationVersion    : 1
   CreatedTime           : 8/11/2019 2:00:54 AM
   DetailedStatus        : Success
   ExecutionId           : 791b72e0-f0da-4021-8b35-f95dfEXAMPLE
   LastExecutionDate     : 1/1/0001 12:00:00 AM
   ResourceCountByStatus : {Success=1}
   Status                : Success
   
   AssociationId         : c336d2ab-09de-44ba-8f6a-6136cEXAMPLE
   AssociationVersion    : 1
   CreatedTime           : 8/4/2019 2:01:00 AM
   DetailedStatus        : Success
   ExecutionId           : ecec60fa-6bb0-4d26-98c7-140308EXAMPLE
   LastExecutionDate     : 1/1/0001 12:00:00 AM
   ResourceCountByStatus : {Success=1}
   Status                : Success
   ```

------

   Anda dapat membatasi hasil dengan menggunakan satu filter atau lebih. Contoh berikut mengembalikan semua asosiasi yang dijalankan sebelum tanggal dan waktu tertentu. 

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association-executions \
     --association-id ID \
     --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=LESS_THAN
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-association-executions ^
     --association-id ID ^
     --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=LESS_THAN
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMAssociationExecution `
     -AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
     -Filter @{"Key"="CreatedTime";"Value"="2019-06-01T19:15:38.372Z";"Type"="LESS_THAN"}
   ```

------

   Berikut mengembalikan semua asosiasi yang *berhasil* dijalankan setelah tanggal dan waktu tertentu.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association-executions \
     --association-id ID \
     --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN Key=Status,Value=Success,Type=EQUAL
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-association-executions ^
     --association-id ID ^
     --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN Key=Status,Value=Success,Type=EQUAL
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMAssociationExecution `
     -AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
     -Filter @{
         "Key"="CreatedTime";
         "Value"="2019-06-01T19:15:38.372Z";
         "Type"="GREATER_THAN"
       },
       @{
         "Key"="Status";
         "Value"="Success";
         "Type"="EQUAL"
       }
   ```

------

1. Jalankan perintah berikut untuk menampilkan semua target di mana eksekusi spesifik berjalan.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association-execution-targets \
     --association-id ID \
     --execution-id ID
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-association-execution-targets ^
     --association-id ID ^
     --execution-id ID
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMAssociationExecutionTarget `
     -AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
     -ExecutionId 76a5a04f-caf6-490c-b448-92c02EXAMPLE
   ```

------

   Anda dapat membatasi hasil dengan menggunakan satu filter atau lebih. Contoh berikut mengembalikan informasi tentang semua target di mana asosiasi tertentu gagal untuk dijalankan.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association-execution-targets \
     --association-id ID \
     --execution-id ID \
     --filters Key=Status,Value="Failed"
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-association-execution-targets ^
     --association-id ID ^
     --execution-id ID ^
     --filters Key=Status,Value="Failed"
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMAssociationExecutionTarget `
     -AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
     -ExecutionId 76a5a04f-caf6-490c-b448-92c02EXAMPLE `
     -Filter @{
         "Key"="Status";
         "Value"="Failed"
       }
   ```

------

   Contoh berikut mengembalikan informasi tentang node terkelola tertentu di mana asosiasi gagal dijalankan.

------
#### [ Linux & macOS ]

   ```
   aws ssm describe-association-execution-targets \
     --association-id ID \
     --execution-id ID \
     --filters Key=Status,Value=Failed Key=ResourceId,Value="i-02573cafcfEXAMPLE" Key=ResourceType,Value=ManagedInstance
   ```

------
#### [ Windows ]

   ```
   aws ssm describe-association-execution-targets ^
     --association-id ID ^
     --execution-id ID ^
     --filters Key=Status,Value=Failed Key=ResourceId,Value="i-02573cafcfEXAMPLE" Key=ResourceType,Value=ManagedInstance
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMAssociationExecutionTarget `
     -AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
     -ExecutionId 76a5a04f-caf6-490c-b448-92c02EXAMPLE `
     -Filter @{
         "Key"="Status";
         "Value"="Success"
       },
       @{
         "Key"="ResourceId";
         "Value"="i-02573cafcfEXAMPLE"
       },
       @{
         "Key"="ResourceType";
         "Value"="ManagedInstance"
       }
   ```

------

1. Jika Anda menyelidiki asosiasi yang gagal dijalankan, Anda dapat menggunakan operasi [StartAssociationsOnce](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAssociationsOnce.html)API untuk menjalankan asosiasi segera dan hanya satu kali. Setelah Anda mengubah sumber daya di mana asosiasi gagal untuk dijalankan, jalankan perintah berikut untuk segera menjalankan asosiasi dan hanya satu kali.

------
#### [ Linux & macOS ]

   ```
   aws ssm start-associations-once \
     --association-id ID
   ```

------
#### [ Windows ]

   ```
   aws ssm start-associations-once ^
     --association-id ID
   ```

------
#### [ PowerShell ]

   ```
   Start-SSMAssociationsOnce `
     -AssociationId ID
   ```

------

# Bekerja dengan asosiasi menggunakan IAM
<a name="systems-manager-state-manager-iam"></a>

State Manager, alat di AWS Systems Manager, menggunakan [target](systems-manager-state-manager-targets-and-rate-controls.md#systems-manager-state-manager-targets-and-rate-controls-about-targets) untuk memilih instance mana Anda mengonfigurasi asosiasi Anda. Awalnya, asosiasi dibuat dengan menentukan nama dokumen (`Name`) dan ID instans (`InstanceId`). Ini menciptakan hubungan antara dokumen dan instance atau node terkelola. Asosiasi digunakan untuk diidentifikasi oleh parameter ini. Parameter ini sekarang tidak lagi digunakan, tetapi mereka masih didukung. Sumber daya `instance` dan `managed-instance` ditambahkan sebagai sumber daya untuk tindakan dengan `Name` dan `InstanceId`.

AWS Identity and Access Management (IAM) perilaku penegakan kebijakan tergantung pada jenis sumber daya yang ditentukan. Sumber daya untuk State Manager operasi hanya diberlakukan berdasarkan permintaan yang dilaluinya. State Managertidak melakukan pemeriksaan mendalam untuk properti sumber daya di akun Anda. Permintaan hanya divalidasi terhadap sumber daya kebijakan jika parameter permintaan berisi sumber daya kebijakan tertentu. Misalnya, jika Anda menentukan instans di blok sumber daya, kebijakan diberlakukan jika permintaan menggunakan parameter `InstanceId`. Parameter `Targets` untuk setiap sumber daya di akun tidak diperiksa untuk `InstanceId` itu. 

Berikut ini adalah beberapa kasus dengan perilaku yang membingungkan:
+  [DescribeAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_DescribeActivations.html), [DeleteAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_DeleteAssociation.html), dan [UpdateAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_UpdateAssociation.html)gunakan `instance``managed-instance`, dan `document` sumber daya untuk menentukan cara yang tidak digunakan lagi untuk merujuk ke asosiasi. Hal ini mencakup semua asosiasi dibuat dengan parameter `InstanceId` yang tidak lagi digunakan.
+ [CreateAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateAssociation.html), [CreateAssociationBatch](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateAssociationBatch.html), dan [UpdateAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_UpdateAssociation.html)penggunaan `instance` dan `managed-instance` sumber daya untuk menentukan cara yang tidak digunakan lagi untuk merujuk ke asosiasi. Hal ini mencakup semua asosiasi dibuat dengan parameter `InstanceId` yang tidak lagi digunakan. Jenis sumber daya `document` adalah bagian dari cara yang tidak lagi digunakan dalam merujuk ke asosiasi dan merupakan properti sebenarnya dari sebuah asosiasi. Ini berarti Anda dapat membuat kebijakan IAM dengan `Allow` atau `Deny` izin untuk keduanya `Create` dan `Update` tindakan berdasarkan nama dokumen.

Untuk informasi selengkapnya mengenai menggunakan kebijakan IAM dengan Systems Manager, lihat [Identity and access management untuk AWS Systems Manager](security-iam.md) atau [Tindakan, sumber daya, dan kunci kondisi untuk AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html) dalam *Referensi Otorisasi Layanan*.

# Membuat asosiasi yang menjalankan file MOF
<a name="systems-manager-state-manager-using-mof-file"></a>

Anda dapat menjalankan file Managed Object Format (MOF) untuk menerapkan status target pada node Windows Server terkelola denganState Manager, alat di AWS Systems Manager, dengan menggunakan dokumen `AWS-ApplyDSCMofs` SSM. Dokumen `AWS-ApplyDSCMofs` memiliki dua mode eksekusi. Dengan mode pertama, Anda dapat mengonfigurasi asosiasi untuk memindai dan melaporkan jika node terkelola berada dalam keadaan yang diinginkan yang ditentukan dalam file MOF yang ditentukan. Dalam mode kedua, Anda dapat menjalankan file MOF dan mengubah konfigurasi node Anda berdasarkan sumber daya dan nilainya yang ditentukan dalam file MOF. Dokumen `AWS-ApplyDSCMofs` mengizinkan Anda untuk mengunduh dan menjalankan file konfigurasi MOF dari Amazon Simple Storage Service (Amazon S3), berbagi lokal, atau dari situs web aman dengan domain HTTPS.

State Managermencatat dan melaporkan status setiap eksekusi file MOF selama setiap proses asosiasi. State Managerjuga melaporkan output dari setiap eksekusi file MOF sebagai peristiwa kepatuhan yang dapat Anda lihat di halaman [AWS Systems Manager Kepatuhan](https://console.aws.amazon.com/systems-manager/compliance).

Eksekusi file MOF dibangun di atas Windows Desired State PowerShell Configuration (PowerShell DSC). PowerShell DSC adalah platform deklaratif yang digunakan untuk konfigurasi, penyebaran, dan manajemen sistem Windows. PowerShell DSC memungkinkan administrator untuk menjelaskan, dalam dokumen teks sederhana yang disebut konfigurasi DSC, bagaimana mereka ingin server dikonfigurasi. Konfigurasi PowerShell DSC adalah PowerShell skrip khusus yang menyatakan apa yang harus dilakukan, tetapi bukan bagaimana melakukannya. Menjalankan konfigurasi menghasilkan file MOF. File MOF dapat diterapkan ke satu atau lebih server untuk mencapai konfigurasi yang diinginkan untuk server tersebut. PowerShell Sumber daya DSC melakukan pekerjaan aktual dalam menegakkan konfigurasi. Untuk informasi selengkapnya, lihat [Ikhtisar Konfigurasi Status PowerShell yang Diinginkan Windows](https://download.microsoft.com/download/4/3/1/43113F44-548B-4DEA-B471-0C2C8578FBF8/Quick_Reference_DSC_WS12R2.pdf).

**Topics**
+ [Menggunakan Amazon S3 untuk menyimpan artifact](#systems-manager-state-manager-using-mof-file-S3-storage)
+ [Menyelesaikan kredensial dalam file MOF](#systems-manager-state-manager-using-mof-file-credentials)
+ [Menggunakan token dalam file MOF](#systems-manager-state-manager-using-mof-file-tokens)
+ [Prasyarat untuk membuat asosiasi yang menjalankan file MOF](#systems-manager-state-manager-using-mof-file-prereqs)
+ [Membuat asosiasi yang menjalankan file MOF](#systems-manager-state-manager-using-mof-file-creating)
+ [Memecahkan masalah saat membuat asosiasi yang menjalankan file MOF](#systems-manager-state-manager-using-mof-file-troubleshooting)
+ [Melihat rincian kepatuhan sumber daya DSC](#systems-manager-state-manager-viewing-mof-file-compliance)

## Menggunakan Amazon S3 untuk menyimpan artifact
<a name="systems-manager-state-manager-using-mof-file-S3-storage"></a>

Jika Anda menggunakan Amazon S3 untuk menyimpan PowerShell modul, file MOF, laporan kepatuhan, atau laporan status, maka peran AWS Identity and Access Management (IAM) yang digunakan oleh AWS Systems Manager SSM Agent harus memiliki `GetObject` dan `ListBucket` izin di bucket. Jika Anda tidak memberikan izin ini, sistem akan menampilkan kesalahan *Akses Ditolak*. Di bawah ini adalah informasi penting tentang menyimpan artefak di Amazon S3.
+ Jika bucket berbeda Akun AWS, buat kebijakan sumber daya bucket yang memberikan akun (atau peran IAM) `GetObject` dan `ListBucket` izin.
+ Jika Anda ingin menggunakan sumber daya DSC khusus, Anda dapat mengunduh sumber daya ini dari bucket Amazon S3. Anda juga dapat menginstalnya secara otomatis dari PowerShell galeri. 
+ Jika Anda menggunakan Amazon S3 sebagai sumber modul, unggah modul sebagai file Zip dalam format peka huruf besar/kecil berikut: \$1 .zip. *ModuleName* *ModuleVersion* Misalnya: MyModule \$11.0.0.zip.
+ Semua file harus berada dalam root bucket. Struktur folder tidak didukung.

## Menyelesaikan kredensial dalam file MOF
<a name="systems-manager-state-manager-using-mof-file-credentials"></a>

Kredensial diselesaikan dengan menggunakan [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/) atau [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md). Hal ini mengizinkan Anda untuk mengatur rotasi kredensial otomatis. Ini juga memungkinkan DSC untuk secara otomatis menyebarkan kredensil ke server Anda tanpa redeploying. MOFs

Untuk menggunakan AWS Secrets Manager rahasia dalam konfigurasi, buat PSCredential objek di mana Username adalah SecretId atau secretArn dari rahasia yang berisi kredensi. Anda dapat menentukan nilai apa pun untuk kata sandi. Nilai diabaikan. Berikut adalah contohnya.

```
Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}
```

Kompilasi MOF Anda menggunakan PsAllowPlaintextPassword pengaturan dalam data konfigurasi. Hal ini boleh karena kredensialnya hanya berisi label. 

Di Secrets Manager, pastikan bahwa node memiliki GetSecretValue akses dalam Kebijakan Terkelola IAM, dan secara opsional dalam Kebijakan Sumber Daya Rahasia jika ada. Untuk bekerja dengan DSC, rahasianya harus dalam format berikut.

```
{ 'Username': 'a_name', 'Password': 'a_password' }
```

Rahasianya dapat memiliki properti lain (misalnya, properti yang digunakan untuk rotasi), tetapi setidaknya harus memiliki properti nama pengguna dan kata sandi.

Kami menyarankan Anda menggunakan metode rotasi multi-pengguna, di mana Anda memiliki dua nama pengguna dan kata sandi yang berbeda, dan AWS Lambda fungsi rotasi membalik di antara keduanya. Metode ini mengizinkan Anda untuk memiliki beberapa akun aktif sekaligus menghilangkan risiko mengunci pengguna selama rotasi.

## Menggunakan token dalam file MOF
<a name="systems-manager-state-manager-using-mof-file-tokens"></a>

Token memberi Anda kemampuan untuk memodifikasi nilai atribut sumber daya *setelah* MOF dikompilasi. Hal ini mengizinkan Anda untuk menggunakan kembali file MOF umum pada beberapa server yang memerlukan konfigurasi yang sama.

Substitusi token hanya bekerja untuk Atribut Sumber Daya jenis `String`. Namun, jika sumber daya Anda memiliki properti simpul CIM bersarang, itu juga menyelesaikan token dari `String` properti di simpul CIM tersebut. Anda tidak dapat menggunakan substitusi token untuk angka atau larik.

Misalnya, pertimbangkan skenario di mana Anda menggunakan xComputerManagement sumber daya dan Anda ingin mengganti nama komputer menggunakan DSC. Biasanya Anda akan membutuhkan file MOF khusus untuk mesin itu. Namun, dengan dukungan token, Anda dapat membuat satu file MOF dan menerapkannya ke semua node Anda. Di properti `ComputerName`, alih-alih mengkodekan nama komputer ke MOF, Anda dapat menggunakan token tipe Tag Instans. Nilai diselesaikan selama penguraian MOF. Lihat contoh berikut ini.

```
Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}
```

Anda kemudian menetapkan tag pada node terkelola di konsol Systems Manager, atau tag Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2. Saat Anda menjalankan dokumen, skrip menggantikan token \$1tag:ComputerName\$1 untuk nilai tag instance.

Anda juga dapat menggabungkan beberapa tag ke properti tunggal, seperti yang ditunjukkan dalam contoh berikut.

```
Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}
```

Ada lima jenis token yang dapat Anda gunakan:
+ **tag**: Amazon EC2 atau tag node terkelola.
+ **tagb64**: Ini sama dengan tag, tetapi sistem menggunakan base64 untuk memecahkan kode nilainya. Hal ini memungkinkan Anda untuk menggunakan karakter khusus dalam nilai tag.
+ **env**: Variabel Resolves Environment.
+ **ssm**: Parameter Store nilai. Hanya tipe String dan Secure String yang didukung.
+ **tagssm**: Ini sama dengan tag, tetapi jika tag tidak disetel pada node, sistem mencoba untuk menyelesaikan nilai dari parameter Systems Manager dengan nama yang sama. Ini berguna dalam situasi ketika Anda menginginkan 'nilai global default' tetapi Anda ingin dapat menggantinya pada satu node (misalnya, penerapan satu kotak).

Berikut adalah Parameter Store contoh yang menggunakan jenis `ssm` token. 

```
File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}
```

Token memainkan peran penting dalam mengurangi kode berlebihan dengan membuat file MOF generik dan dapat digunakan kembali. Jika Anda dapat menghindari file MOF server tertentu, maka tidak perlu layanan bangunan MOF. Layanan pembangunan MOF meningkatkan biaya, memperlambat waktu penyediaan, dan meningkatkan risiko penyimpangan konfigurasi antara node yang dikelompokkan karena versi modul yang berbeda yang diinstal pada server build saat dikompilasi. MOFs 

## Prasyarat untuk membuat asosiasi yang menjalankan file MOF
<a name="systems-manager-state-manager-using-mof-file-prereqs"></a>

Sebelum Anda membuat asosiasi yang menjalankan file MOF, verifikasi bahwa node terkelola Anda telah menginstal prasyarat berikut:
+ Windows PowerShell versi 5.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat [Persyaratan PowerShell Sistem Windows](https://docs.microsoft.com/en-us/powershell/scripting/install/windows-powershell-system-requirements?view=powershell-6) di Microsoft.com.
+ [AWS Tools for Windows PowerShell](https://aws.amazon.com/powershell/) versi 3.3.261.0 atau lebih baru.
+ SSM Agentversi 2.2 atau yang lebih baru.

## Membuat asosiasi yang menjalankan file MOF
<a name="systems-manager-state-manager-using-mof-file-creating"></a>

**Untuk membuat asosiasi yang menjalankan file MOF**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih **State Manager**, lalu pilih **Buat asosiasi**.

1. Di bidang **Nama**, tentukan nama. Ini opsional, tetapi direkomendasikan. Sebuah nama dapat membantu Anda memahami tujuan dari asosiasi ketika Anda membuatnya. Spasi tidak diperbolehkan dalam nama.

1. Di daftar **Dokumen**, pilih **`AWS-ApplyDSCMofs`**.

1. Di bagian **Parameter**, tentukan pilihan Anda untuk parameter input yang diperlukan dan opsional.

   1. **Mofs Untuk Terapkan**: Tentukan satu file MOF atau lebih untuk dijalankan ketika asosiasi ini berjalan. Gunakan koma untuk memisahkan daftar file MOF. Systems Manager mengulangi daftar file MOF dan menjalankannya dalam urutan yang ditentukan oleh daftar dipisahkan koma.
      + Nama bucket Amazon S3. Nama bucket harus menggunakan huruf kecil. Tentukan informasi ini dengan menggunakan format berikut.

        ```
        s3:amzn-s3-demo-bucket:MOF_file_name.mof
        ```

        Jika Anda ingin menentukan Wilayah AWS, maka gunakan format berikut.

        ```
        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof
        ```
      + Situs web yang aman. Tentukan informasi ini dengan menggunakan format berikut.

        ```
        https://domain_name/MOF_file_name.mof
        ```

        Ini contohnya.

        ```
        https://www.example.com/TestMOF.mof
        ```
      + Sistem file pada berbagi lokal. Tentukan informasi ini dengan menggunakan format berikut.

        ```
        \server_name\shared_folder_name\MOF_file_name.mof
        ```

        Ini contohnya.

        ```
        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof
        ```

   1. **Jalur Layanan**: (Opsional) Jalur layanan adalah prefiks bucket Amazon S3 di mana Anda ingin menulis laporan dan informasi status. Atau, jalur layanan adalah jalur untuk tag Parameter Store berbasis parameter. Saat menyelesaikan tag berbasis parameter, sistem menggunakan \$1ssm: %ServicePath%/*parameter\$1name*\$1 untuk menyuntikkan nilai ServicePath ke dalam nama parameter. Misalnya, jika jalur layanan Anda adalah "WebServers/Production" then the systems resolves the parameter as: WebServers/Production/*parameter\$1name*. Hal ini berguna saat Anda menjalankan beberapa lingkungan di akun yang sama.

   1. **Laporkan Nama Bucket**: (Opsional) Masukkan nama bucket Amazon S3 di mana Anda ingin menulis data kepatuhan. Laporan disimpan dalam bucket ini dalam format JSON.
**catatan**  
Anda dapat mengawali nama bucket dengan Wilayah tempat bucket berada. Berikut ini contohnya: MOFBucket US-Barat-2:my. Jika Anda menggunakan proxy untuk titik akhir Amazon S3 di Wilayah tertentu yang tidak menyertakan us-east-1, awali nama bucket dengan Wilayah. Jika nama bucket tidak diawali, maka secara otomatis menemukan Wilayah bucket dengan menggunakan titik akhir us-east-1.

   1. **Mode Operasi Mof**: Pilih State Manager perilaku saat menjalankan **`AWS-ApplyDSCMofs`**asosiasi:
      + **Terapkan**: Konfigurasi node yang benar yang tidak sesuai. 
      + **ReportOnly**: Jangan perbaiki konfigurasi node, tetapi catat semua data kepatuhan dan laporkan node yang tidak sesuai.

   1. **Nama Bucket Status**: (Opsional) Masukkan nama bucket Amazon S3 di mana Anda ingin menulis informasi status eksekusi MOF. Laporan status ini adalah ringkasan tunggal dari kepatuhan terbaru dari sebuah node. Ini berarti bahwa laporan ditimpa saat berikutnya asosiasi menjalankan file MOF.
**catatan**  
Anda dapat mengawali nama bucket dengan Wilayah tempat bucket berada. Inilah contohnya: `us-west-2:amzn-s3-demo-bucket`. Jika Anda menggunakan proxy untuk titik akhir Amazon S3 di Wilayah tertentu yang tidak menyertakan us-east-1, awali nama bucket dengan Wilayah. Jika nama bucket tidak diawali, maka bucket secara otomatis menemukan Wilayah bucket menggunakan titik akhir us-east-1.

   1. **Nama Bucket Sumber Modul**: (Opsional) Masukkan nama bucket Amazon S3 yang berisi file PowerShell modul. Jika Anda menentukan **Tidak ada**, pilih **Benar** untuk opsi berikutnya, **Izinkan Sumber Modul Galeri PS**.
**catatan**  
Anda dapat mengawali nama bucket dengan Wilayah tempat bucket berada. Inilah contohnya: `us-west-2:amzn-s3-demo-bucket`. Jika Anda menggunakan proxy untuk titik akhir Amazon S3 di Wilayah tertentu yang tidak menyertakan us-east-1, awali nama bucket dengan Wilayah. Jika nama bucket tidak diawali, maka bucket secara otomatis menemukan Wilayah bucket menggunakan titik akhir us-east-1.

   1. **Izinkan Sumber Modul Galeri PS**: (Opsional) Pilih **Benar** untuk mengunduh PowerShell modul dari [https://www.powershellgallery.com/](https://www.powershellgallery.com/). Jika Anda memilih **False**, tentukan sumber untuk opsi sebelumnya, **ModuleSourceBucketName**.

   1. **Proxy Uri**: (Opsional) Gunakan opsi ini untuk mengunduh file MOF dari server proxy.

   1. **Perilaku Reboot**: (Opsional) Tentukan salah satu perilaku reboot berikut jika eksekusi file MOF Anda memerlukan reboot:
      + **AfterMof**: Reboot node setelah semua eksekusi MOF selesai. Bahkan jika beberapa eksekusi MOF meminta reboot, sistem menunggu sampai semua eksekusi MOF selesai untuk reboot.
      + **Segera**: Reboot node setiap kali eksekusi MOF memintanya. Jika menjalankan beberapa file MOF yang meminta reboot, maka node di-reboot beberapa kali.
      + **Never**: Node tidak di-boot ulang, bahkan jika eksekusi MOF secara eksplisit meminta reboot.

   1. **Menggunakan Nama Komputer Untuk Melapor**: (Opsional) Aktifkan opsi ini untuk menggunakan nama komputer saat melaporkan informasi kepatuhan. Nilai default adalah **false**, yang berarti bahwa sistem menggunakan ID node saat melaporkan informasi kepatuhan.

   1. **Mengaktifkan Pencatatan Verbose**: (Opsional) Kami merekomendasikan bahwa Anda mengaktifkan pencatatan verbose saat men-deploy file MOF untuk pertama kalinya.
**penting**  
Bila diizinkan, pencatatan verbose menulis lebih banyak data ke bucket Amazon S3 Anda daripada pencatatan eksekusi asosiasi standar. Hal ini mungkin mengakibatkan performa yang lebih lambat dan biaya penyimpanan yang lebih tinggi untuk Amazon S3. Untuk mengurangi masalah ukuran penyimpanan, kami sarankan Anda mengaktifkan kebijakan siklus hidup pada bucket Amazon S3 Anda. Untuk informasi selengkapnya, lihat [Bagaimana Cara Membuat Kebijakan Siklus Hidup untuk Bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-lifecycle.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

   1. **Aktifkan Pencatatan Debug**: (Opsional) Kami merekomendasikan bahwa Anda mengaktifkan pencatatan debug untuk memecahkan masalah kegagalan MOF. Kami juga menyarankan Anda untuk menonaktifkan opsi ini untuk penggunaan normal.
**penting**  
Bila diizinkan, pencatatan debug menulis lebih banyak data ke bucket Amazon S3 Anda daripada pencatatan eksekusi asosiasi standar. Hal ini mungkin mengakibatkan performa yang lebih lambat dan biaya penyimpanan yang lebih tinggi untuk Amazon S3. Untuk mengurangi masalah ukuran penyimpanan, kami sarankan Anda mengaktifkan kebijakan siklus hidup pada bucket Amazon S3 Anda. Untuk informasi selengkapnya, lihat [Bagaimana Cara Membuat Kebijakan Siklus Hidup untuk Bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-lifecycle.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

   1. **Jenis Kepatuhan**: (Opsional) Tentukan jenis kepatuhan yang akan digunakan saat melaporkan informasi kepatuhan. Jenis kepatuhan default adalah **Custom:DSC**. Jika Anda membuat beberapa asosiasi yang menjalankan file MOF, maka pastikan untuk menentukan jenis kepatuhan yang berbeda untuk setiap asosiasi. Jika tidak, setiap asosiasi tambahan yang menggunakan **Custom:DSC** menimpa data kepatuhan yang ada.

   1. **Skrip Pre Reboot**: (Opsional) Tentukan skrip untuk dijalankan jika konfigurasi telah menunjukkan bahwa reboot diperlukan. Skrip berjalan sebelum reboot. Skrip harus satu baris. Pisahkan baris tambahan dengan menggunakan titik koma.

1. Di bagian **Target**, pilih **Menentukan tag** atau **Memilih Instans secara Manual**. Jika Anda memilih untuk menargetkan sumber daya dengan menggunakan tag, masukkan kunci tag dan nilai tag di bidang yang disediakan. Untuk informasi selengkapnya tentang menggunakan target, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

1. Di bagian **Tentukan jadwal**, pilih **Sesuai Jadwal** atau **Tidak ada jadwal**. Jika Anda memilih **Sesuai Jadwal**, gunakan tombol yang disediakan untuk membuat jadwal cron atau rate untuk asosiasi. 

1. Di bagian **Opsi lanjutan**:
   + Di **Keparahan kepatuhan**, pilih tingkat keparahan untuk asosiasi. Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat [Tentang kepatuhan State Manager asosiasi](compliance-about.md#compliance-about-association).

1. Di bagian **Rate control**, konfigurasikan opsi untuk menjalankan State Manager asosiasi di seluruh armada node terkelola. Untuk informasi selengkapnya tentang opsi ini, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

   Di bagian **Konkurensi**, pilih satu opsi: 
   + Pilih **target** untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.
   + Pilih **persentase** untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.

   Di bagian **Batas kesalahan**, pilih opsi:
   + Pilih **kesalahan** untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.
   + Pilih **persentase** untuk memasukkan persentase kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Pilih **Buat Asosiasi**. 

State Managermembuat dan segera menjalankan asosiasi pada node atau target yang ditentukan. Setelah eksekusi awal, asosiasi berjalan dalam interval yang sesuai dengan jadwal yang Anda tetapkan dan sesuai dengan aturan berikut:
+ State Managermenjalankan asosiasi pada node yang online saat interval dimulai dan melewatkan node offline.
+ State Managermencoba untuk menjalankan asosiasi pada semua node yang dikonfigurasi selama interval.
+ Jika asosiasi tidak dijalankan selama interval (karena, misalnya, nilai konkurensi membatasi jumlah node yang dapat memproses asosiasi pada satu waktu), maka State Manager mencoba untuk menjalankan asosiasi selama interval berikutnya.
+ State Managermencatat riwayat untuk semua interval yang dilewati. Anda dapat melihat riwayat di tab **Riwayat Eksekusi**.

**catatan**  
`AWS-ApplyDSCMofs` adalah dokumen Perintah Systems Manager. Ini berarti bahwa Anda juga dapat menjalankan dokumen ini dengan menggunakanRun Command, alat di AWS Systems Manager. Untuk informasi selengkapnya, lihat [AWS Systems Manager Run Command](run-command.md).

## Memecahkan masalah saat membuat asosiasi yang menjalankan file MOF
<a name="systems-manager-state-manager-using-mof-file-troubleshooting"></a>

Bagian ini berisi informasi untuk membantu Anda memecahkan masalah yang membuat asosiasi menjalankan file MOF.

**Mengaktifkan pencatatan yang ditingkatkan**  
Sebagai langkah pertama untuk pemecahan masalah, aktifkan pencatatan yang ditingkatkan. Lebih khusus lagi, lakukan hal berikut:

1. Verifikasi bahwa asosiasi dikonfigurasi untuk menulis output perintah ke Amazon S3 atau Amazon CloudWatch Logs ()CloudWatch.

1. Atur parameter **Aktifkan Pencatatan Verbose** ke Betul.

1. Atur parameter **Aktifkan Pencatatan Debug** ke Betul.

Dengan pencatatan debug dan verbose diaktifkan, file output **Stdout** menyertakan rincian tentang eksekusi skrip. File output ini dapat membantu Anda mengidentifikasi di mana skrip gagal. File output **Stderr** berisi kesalahan yang terjadi selama eksekusi skrip. 

**Masalah umum saat membuat asosiasi yang menjalankan file MOF**  
Bagian ini mencakup informasi tentang masalah umum yang dapat terjadi saat membuat asosiasi yang menjalankan file MOF dan langkah-langkah untuk memecahkan masalah ini.

**MOF saya tidak diterapkan**  
Jika State Manager gagal menerapkan asosiasi ke node Anda, mulailah dengan meninjau file keluaran **Stderr**. File ini dapat membantu Anda memahami akar dari masalah tersebut. Juga, verifikasikan hal berikut:
+ Node memiliki izin akses yang diperlukan ke semua bucket Amazon S3 terkait MOF. Secara khusus:
  + **s3: GetObject izin**: Ini diperlukan untuk file MOF di bucket Amazon S3 pribadi dan modul khusus di bucket Amazon S3.
  + **s3: PutObject izin**: Ini diperlukan untuk menulis laporan kepatuhan dan status kepatuhan ke bucket Amazon S3.
+ Jika Anda menggunakan tag, pastikan bahwa node memiliki kebijakan IAM yang diperlukan. Menggunakan tag memerlukan IAM role instans untuk memiliki kebijakan yang mengizinkan tindakan `ec2:DescribeInstances` dan `ssm:ListTagsForResource`.
+ Pastikan bahwa node memiliki tag yang diharapkan atau parameter SSM ditetapkan.
+ Pastikan bahwa tag atau parameter SSM tidak salah eja.
+ Coba terapkan MOF secara lokal pada node untuk memastikan tidak ada masalah dengan file MOF itu sendiri.

**MOF saya sepertinya gagal, tapi eksekusi Systems Manager berhasil**  
Jika dokumen `AWS-ApplyDSCMofs` berhasil dijalankan, maka status eksekusi Systems Manager menunjukkan **Sukses**. Status ini tidak mencerminkan status kepatuhan node Anda terhadap persyaratan konfigurasi dalam file MOF. Untuk melihat status kepatuhan node Anda, lihat laporan kepatuhan. Anda dapat melihat laporan JSON di Bucket Laporan Amazon S3. Ini berlaku untuk Run Command dan State Manager eksekusi. Selain itu, untukState Manager, Anda dapat melihat detail kepatuhan di halaman Kepatuhan Systems Manager.

**Stderr menyatakan: Kegagalan resolusi nama mencoba mencapai layanan**  
Kesalahan ini menunjukkan bahwa skrip tidak dapat mencapai layanan jarak jauh. Kemungkinan besar, skrip tidak bisa mencapai Amazon S3. Masalah ini paling sering terjadi ketika skrip mencoba untuk menulis laporan kepatuhan atau status kepatuhan untuk bucket Amazon S3 yang disediakan dalam parameter dokumen. Biasanya, kesalahan ini terjadi ketika lingkungan komputasi menggunakan firewall atau proxy transparan yang menyertakan daftar yang diizinkan. Untuk mengatasi masalah ini:
+ Gunakan sintaks bucket khusus Wilayah untuk semua parameter bucket Amazon S3. Misalnya, **Mofs untuk Terapkan** parameter harus diformat sebagai berikut:

  s3:: *bucket-region**amzn-s3-demo-bucket*: *mof-file-name* .mof.

  Ini contohnya:` s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof`

  Nama bucket Laporan, Status, dan Modul Sumber harus diformat sebagai berikut.

  *bucket-region*:*amzn-s3-demo-bucket*. Berikut ini contohnya: `us-west-1:amzn-s3-demo-bucket;`
+ Jika sintaks khusus Wilayah tidak memperbaiki masalah, pastikan node yang ditargetkan dapat mengakses Amazon S3 di Wilayah yang diinginkan. Untuk memverifikasi ini:

  1. Cari nama titik akhir untuk Amazon S3 di Wilayah Amazon S3 yang sesuai. Untuk selengkapnya, lihat [Titik Akhir Layanan Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html#s3_region) di. *Referensi Umum Amazon Web Services*

  1. Masuk ke node target dan jalankan perintah ping berikut.

     ```
     ping s3.s3-region.amazonaws.com
     ```

     Jika ping gagal, itu berarti Amazon S3 sedang down, atau firewall/transparent proxy memblokir akses ke Wilayah Amazon S3, atau node tidak dapat mengakses internet.

## Melihat rincian kepatuhan sumber daya DSC
<a name="systems-manager-state-manager-viewing-mof-file-compliance"></a>

Systems Manager menangkap informasi kepatuhan tentang kegagalan sumber daya DSC di Amazon S3 **Bucket Status** yang Anda tentukan ketika Anda menjalankan dokumen `AWS-ApplyDSCMofs`. Mencari informasi tentang kegagalan sumber daya DSC dalam bucket Amazon S3 dapat memakan waktu. Sebaliknya, Anda dapat melihat informasi ini di halaman **Kepatuhan** Systems Manager. 

Bagian **Ringkasan sumber daya kepatuhan** menampilkan jumlah sumber daya yang gagal. Dalam contoh berikut, **Custom:DSC** dan satu sumber daya tidak sesuai. **ComplianceType**

**catatan**  
Custom:DSC adalah **ComplianceType**nilai default dalam dokumen. `AWS-ApplyDSCMofs` Nilai ini dapat disesuaikan.

![\[Melihat jumlah di bagian Ringkasan sumber daya kepatuhan dari halaman Kepatuhan.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-mof-detailed-status-3.png)


Bagian **Ikhtisar detail untuk sumber daya** menampilkan informasi tentang AWS sumber daya dengan sumber daya DSC yang tidak sesuai. Bagian ini juga mencakup nama MOF, langkah-langkah eksekusi skrip, dan (bila berlaku) tautan **Lihat output**untuk melihat informasi status yang terperinci. 

![\[Melihat rincian kepatuhan untuk kegagalan sumber daya eksekusi MOF\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-mof-detailed-status-1.png)


Tautan **Lihat output** menampilkan 4.000 karakter terakhir dari status yang terperinci. Systems Manager dimulai dengan pengecualian sebagai elemen pertama, dan kemudian memindai kembali melalui pesan verbose dan menambahkan sebanyak mungkin sampai mencapai kuota karakter 4.000. Proses ini menampilkan pesan log yang dikeluarkan sebelum pengecualian diluncurkan, yang merupakan pesan yang paling relevan untuk pemecahan masalah.

![\[Melihat output terperinci untuk masalah kepatuhan sumber daya MOF\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-mof-detailed-status-2.png)


Untuk informasi tentang cara melihat informasi kepatuhan, lihat [AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

**Situasi yang mempengaruhi pelaporan kepatuhan**  
Jika State Manager asosiasi gagal, maka tidak ada data kepatuhan yang dilaporkan. Lebih khusus lagi, jika MOF gagal untuk memproses, maka Systems Manager tidak melaporkan item kepatuhan apa pun karena asosiasi gagal. Misalnya, jika Systems Manager mencoba mengunduh MOF dari bucket Amazon S3 yang tidak memiliki izin untuk diakses oleh node, maka asosiasi gagal dan tidak ada data kepatuhan yang dilaporkan.

Jika sumber daya dalam MOF kedua gagal, maka Systems Manager *akan* melaporkan data kepatuhan. Sebagai contoh, jika MOF mencoba untuk membuat file pada drive yang tidak ada, kemudian Systems Manager melaporkan kepatuhan karena dokumen `AWS-ApplyDSCMofs` mampu memproses sepenuhnya, yang berarti asosiasi berhasil berjalan. 

# Membuat asosiasi yang menjalankan buku Ansible pedoman
<a name="systems-manager-state-manager-ansible"></a>

Anda dapat membuat State Manager asosiasi yang menjalankan Ansible buku pedoman dengan menggunakan dokumen `AWS-ApplyAnsiblePlaybooks` SSM. State Manageradalah alat di AWS Systems Manager. Dokumen ini menawarkan manfaat berikut untuk menjalankan playbook:
+ Support untuk menjalankan playbook yang kompleks
+ Support untuk mengunduh pedoman dari GitHub dan Amazon Simple Storage Service (Amazon S3)
+ Support untuk struktur playbook yang terkompresi
+ Pencatatan yang ditingkatkan
+ Kemampuan untuk menentukan playbook mana yang akan dijalankan saat playbook dipaketkan

**catatan**  
Systems Manager menyertakan dua dokumen SSM yang memungkinkan Anda membuat State Manager asosiasi yang menjalankan Ansible playbook: `AWS-RunAnsiblePlaybook` dan. `AWS-ApplyAnsiblePlaybooks` Dokumen `AWS-RunAnsiblePlaybook` tidak lagi digunakan. Ini tetap tersedia di Systems Manager untuk tujuan warisan. Kami menyarankan agar Anda menggunakan dokumen `AWS-ApplyAnsiblePlaybooks` karena peningkatan yang dijelaskan di sini.  
Asosiasi yang menjalankan Ansible buku pedoman tidak didukung. macOS

**Support untuk menjalankan playbook yang kompleks**

Dokumen `AWS-ApplyAnsiblePlaybooks` mendukung playbook kompleks yang dipaketkan karena akan menyalin keseluruhan struktur file ke direktori lokal sebelum mengeksekusi playbook utama yang ditentukan. Anda dapat memberikan playbook sumber dalam file Zip atau dalam struktur direktori. File atau direktori Zip dapat disimpan di GitHub atau Amazon S3. 

**Support untuk mengunduh pedoman dari GitHub**

Dokumen `AWS-ApplyAnsiblePlaybooks` menggunakan plugin `aws:downloadContent` untuk mengunduh file playbook. File dapat disimpan GitHub dalam satu file atau sebagai kumpulan file playbook gabungan. Untuk mengunduh kontenGitHub, tentukan informasi tentang GitHub repositori Anda dalam format JSON. Inilah contohnya.

```
{
   "owner":"TestUser",
   "repository":"GitHubTest",
   "path":"scripts/python/test-script",
   "getOptions":"branch:master",
   "tokenInfo":"{{ssm-secure:secure-string-token}}"
}
```

**Support untuk mengunduh pedoman dari Amazon S3**

Anda juga dapat menyimpan dan mengunduh Ansible buku pedoman di Amazon S3 sebagai satu file.zip atau struktur direktori. Untuk mengunduh konten dari Amazon S3, tentukan jalur ke file. Berikut ini adalah dua contoh.

**Contoh 1: Unduh file playbook tertentu**

```
{
   "path":"https://s3.amazonaws.com/amzn-s3-demo-bucket/playbook.yml"
}
```

**Contoh 2: Unduh isi direktori**

```
{
   "path":"https://s3.amazonaws.com/amzn-s3-demo-bucket/ansible/webservers/"
}
```

**penting**  
Jika Anda menentukan Amazon S3, maka profil instance AWS Identity and Access Management (IAM) pada node terkelola harus menyertakan izin untuk bucket S3. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). 

**Support untuk struktur playbook terkompresi**

Dokumen `AWS-ApplyAnsiblePlaybooks` mengizinkan Anda untuk menjalankan file .zip yang dikompresi dalam paket yang diunduh. Dokumen memeriksa apakah file yang diunduh berisi file yang dikompresi dalam format .zip. Jika .zip ditemukan, dokumen secara otomatis mendekompresi file dan kemudian menjalankan otomatisasi yang ditentukan. Ansible

**Penebangan yang ditingkatkan**

Dokumen `AWS-ApplyAnsiblePlaybooks` termasuk parameter opsional untuk menentukan tingkat pencatatan yang berbeda. Spesifikasikan -v untuk verbositas rendah, -vv atau –vvv untuk verbositas medium, dan -vvvv untuk pencatatan tingkat debug. Opsi ini langsung dipetakan ke opsi Ansible verbositas.

**Kemampuan untuk menentukan pedoman mana yang akan dijalankan saat pedoman dibundel**

Dokumen `AWS-ApplyAnsiblePlaybooks` menyertakan parameter yang diperlukan untuk menentukan playbook mana yang akan dijalankan ketika beberapa playbook dipaketkan. Opsi ini memberikan fleksibilitas untuk menjalankan playbook untuk men-support kasus penggunaan yang berbeda.

## Memahami dependensi yang diinstal
<a name="systems-manager-state-manager-ansible-depedencies"></a>

Jika Anda menentukan **True** untuk **InstallDependencies**parameter, maka Systems Manager memverifikasi bahwa node Anda memiliki dependensi berikut diinstal:
+ **Ubuntu Server/Debian Server**: Apt-get (Manajemen Package), Python 3,, Unzip Ansible
+ Versi yang didukung **Amazon Linux**: Ansible
+ **RHEL**: Python 3Ansible,, Unzip

Jika satu atau lebih dari dependensi ini tidak ditemukan, maka Systems Manager secara otomatis menginstalnya.

## Buat asosiasi yang menjalankan Ansible playbook (konsol)
<a name="systems-manager-state-manager-ansible-console"></a>

Prosedur berikut menjelaskan cara menggunakan konsol Systems Manager untuk membuat State Manager asosiasi yang menjalankan Ansible playbook menggunakan `AWS-ApplyAnsiblePlaybooks` dokumen.

**Untuk membuat asosiasi yang menjalankan Ansible playbooks (konsol)**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih **State Manager**, lalu pilih **Buat asosiasi**.

1. Untuk **Nama**, tentukan nama yang membantu anda mengingat tujuan asosiasi.

1. Di daftar **Dokumen**, pilih **`AWS-ApplyAnsiblePlaybooks`**.

1. Di bagian **Parameter**, untuk **Jenis Sumber**, pilih salah satu **GitHub**atau **S3**.

   **GitHub**

   Jika Anda memilih **GitHub**, masukkan informasi repositori dalam format berikut.

   ```
   {
      "owner":"user_name",
      "repository":"name",
      "path":"path_to_directory_or_playbook_to_download",
      "getOptions":"branch:branch_name",
      "tokenInfo":"{{(Optional)_token_information}}"
   }
   ```

   **S3**

   Jika Anda memilih **S3**, masukkan informasi jalur dalam format berikut.

   ```
   {
      "path":"https://s3.amazonaws.com/path_to_directory_or_playbook_to_download"
   }
   ```

1. Untuk **Instal Dependensi**, pilih opsi.

1. (Opsional) Untuk **File Playbook**, masukkan nama file. Jika file Zip berisi buku playbook, tentukan jalur relatif ke file Zip.

1. (Opsional) Untuk **Variabel Ekstra**, masukkan variabel yang State Manager ingin Anda kirim Ansible saat runtime.

1. (Opsional) Untuk **Periksa**, pilih opsi.

1. (Opsional) Untuk **Verbose**, pilih opsi.

1. Untuk **Target**, pilih satu opsi. Untuk informasi tentang menggunakan target, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

1. Di bagian **Tentukan jadwal**, pilih **Sesuai jadwal** atau **Tidak ada jadwal**. Jika Anda memilih **Sesuai jadwal**, maka gunakan tombol yang disediakan untuk membuat jadwal cron atau rate untuk asosiasi. 

1. Di bagian **Opsi lanjutan**, untuk **Keparahan kepatuhan**, pilih tingkat keparahan untuk asosiasi. Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat [Tentang kepatuhan State Manager asosiasi](compliance-about.md#compliance-about-association).

1. Di bagian **Rate control**, konfigurasikan opsi untuk menjalankan State Manager asosiasi di seluruh armada node terkelola. Untuk informasi tentang menggunakan kontrol rate, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

   Di bagian **Konkurensi**, pilih satu opsi: 
   + Pilih **target** untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.
   + Pilih **persentase** untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.

   Di bagian **Batas kesalahan**, pilih opsi:
   + Pilih **kesalahan** untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.
   + Pilih **persentase** untuk memasukkan persentase kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Pilih **Buat Asosiasi**.

**catatan**  
Jika Anda menggunakan tag untuk membuat asosiasi pada satu atau lebih node target, dan kemudian Anda menghapus tag dari node, node itu tidak lagi menjalankan asosiasi. Node terlepas dari State Manager dokumen. 

## Buat asosiasi yang menjalankan Ansible buku pedoman (CLI)
<a name="systems-manager-state-manager-ansible-cli"></a>

Prosedur berikut menjelaskan cara menggunakan AWS Command Line Interface (AWS CLI) untuk membuat State Manager asosiasi yang menjalankan Ansible buku pedoman dengan menggunakan `AWS-ApplyAnsiblePlaybooks` dokumen. 

**Untuk membuat asosiasi yang menjalankan Ansible buku pedoman (CLI)**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan salah satu perintah berikut untuk membuat asosiasi yang menjalankan Ansible buku pedoman dengan menargetkan node menggunakan tag. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. Command (A) menentukan GitHub sebagai tipe sumber. Command (B) menentukan Amazon S3 sebagai jenis sumber.

   **(A) GitHub sumber**

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association --name "AWS-ApplyAnsiblePlaybooks" \
       --targets Key=tag:TagKey,Values=TagValue \
       --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"owner_name\", \"repository\": \"name\", \"getOptions\": \"branch:master\"}"],"InstallDependencies":["True_or_False"],"PlaybookFile":["file_name.yml"],"ExtraVariables":["key/value_pairs_separated_by_a_space"],"Check":["True_or_False"],"Verbose":["-v,-vv,-vvv, or -vvvv"],"TimeoutSeconds":["3600"]}' \
       --association-name "name" \
       --schedule-expression "cron_or_rate_expression"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association --name "AWS-ApplyAnsiblePlaybooks" ^
       --targets Key=tag:TagKey,Values=TagValue ^
       --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"owner_name\", \"repository\": \"name\", \"getOptions\": \"branch:master\"}"],"InstallDependencies":["True_or_False"],"PlaybookFile":["file_name.yml"],"ExtraVariables":["key/value_pairs_separated_by_a_space"],"Check":["True_or_False"],"Verbose":["-v,-vv,-vvv, or -vvvv"], "TimeoutSeconds":["3600"]}' ^
       --association-name "name" ^
       --schedule-expression "cron_or_rate_expression"
   ```

------

   Ini contohnya.

   ```
   aws ssm create-association --name "AWS-ApplyAnsiblePlaybooks" \
       --targets "Key=tag:OS,Values=Linux" \
       --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"ansibleDocumentTest\", \"repository\": \"Ansible\", \"getOptions\": \"branch:master\"}"],"InstallDependencies":["True"],"PlaybookFile":["hello-world-playbook.yml"],"ExtraVariables":["SSM=True"],"Check":["False"],"Verbose":["-v"]}' \
       --association-name "AnsibleAssociation" \
       --schedule-expression "cron(0 2 ? * SUN *)"
   ```

   **(B) Sumber S3**

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association --name "AWS-ApplyAnsiblePlaybooks" \
       --targets Key=tag:TagKey,Values=TagValue \
       --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/path_to_Zip_file,_directory,_or_playbook_to_download\"}"],"InstallDependencies":["True_or_False"],"PlaybookFile":["file_name.yml"],"ExtraVariables":["key/value_pairs_separated_by_a_space"],"Check":["True_or_False"],"Verbose":["-v,-vv,-vvv, or -vvvv"]}' \
       --association-name "name" \
       --schedule-expression "cron_or_rate_expression"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association --name "AWS-ApplyAnsiblePlaybooks" ^
       --targets Key=tag:TagKey,Values=TagValue ^
       --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/path_to_Zip_file,_directory,_or_playbook_to_download\"}"],"InstallDependencies":["True_or_False"],"PlaybookFile":["file_name.yml"],"ExtraVariables":["key/value_pairs_separated_by_a_space"],"Check":["True_or_False"],"Verbose":["-v,-vv,-vvv, or -vvvv"]}' ^
       --association-name "name" ^
       --schedule-expression "cron_or_rate_expression"
   ```

------

   Inilah contohnya.

   ```
   aws ssm create-association --name "AWS-ApplyAnsiblePlaybooks" \
       --targets "Key=tag:OS,Values=Linux" \
       --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/amzn-s3-demo-bucket/playbook.yml\"}"],"InstallDependencies":["True"],"PlaybookFile":["playbook.yml"],"ExtraVariables":["SSM=True"],"Check":["False"],"Verbose":["-v"]}' \
       --association-name "AnsibleAssociation" \
       --schedule-expression "cron(0 2 ? * SUN *)"
   ```
**catatan**  
State Managerasosiasi tidak mendukung semua ekspresi cron dan rate. Untuk informasi selengkapnya tentang membuat ekspresi cron dan rate untuk asosiasi, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

   Sistem mencoba untuk membuat asosiasi pada node dan segera menerapkan status. 

1. Jalankan perintah berikut untuk menampilkan status terbaru dari asosiasi yang baru saja Anda buat. 

   ```
   aws ssm describe-association --association-id "ID"
   ```

# Membuat asosiasi yang menjalankan Chef resep
<a name="systems-manager-state-manager-chef"></a>

Anda dapat membuat State Manager asosiasi yang menjalankan Chef resep dengan menggunakan dokumen `AWS-ApplyChefRecipes` SSM. State Manageradalah alat di AWS Systems Manager. Anda dapat menargetkan node terkelola Systems Manager berbasis Linux dengan dokumen SSM `AWS-ApplyChefRecipes`. Dokumen ini menawarkan manfaat berikut untuk menjalankan Chef resep:
+ Mendukung beberapa rilis Chef (Chef11 hingga Chef 18).
+ Secara otomatis menginstal perangkat lunak Chef klien pada node target.
+ Secara opsional menjalankan [pemeriksaan kepatuhan Systems Manager](systems-manager-compliance.md) pada node target, dan menyimpan hasil pemeriksaan kepatuhan di bucket Amazon Simple Storage Service (Amazon S3).
+ Menjalankan beberapa buku masak dan resep dalam satu dokumen.
+ Secara opsional menjalankan resep dalam `why-run` mode, untuk menunjukkan resep mana yang berubah pada node target tanpa membuat perubahan.
+ Secara opsional menerapkan atribut JSON khusus untuk `chef-client` dijalankan.
+ Opsional menerapkan atribut JSON kustom dari file sumber yang disimpan di lokasi yang Anda tentukan.

Anda dapat menggunakan bucket [Git [GitHub](#state-manager-chef-github)](#state-manager-chef-git),, [HTTP](#state-manager-chef-http), atau [Amazon S3](#state-manager-chef-s3) sebagai sumber unduhan untuk Chef buku masak dan resep yang Anda tentukan dalam dokumen. `AWS-ApplyChefRecipes`

**catatan**  
Asosiasi yang menjalankan Chef resep tidak didukung padamacOS.

## Memulai
<a name="state-manager-chef-prereqs"></a>

Sebelum Anda membuat `AWS-ApplyChefRecipes` dokumen, siapkan buku masak dan Chef repositori buku masak Anda. Jika Anda belum memiliki Chef buku masak yang ingin Anda gunakan, Anda dapat memulai dengan menggunakan `HelloWorld` buku masak tes yang AWS telah disiapkan untuk Anda. Dokumen `AWS-ApplyChefRecipes` sudah menunjuk ke buku masak ini secara default. Buku masak Anda harus diatur serupa dengan struktur direktori berikut. Dalam contoh berikut, `jenkins` dan `nginx` merupakan contoh Chef buku masak yang tersedia di [https://supermarket.chef.io/](https://supermarket.chef.io/)situs Chef web.

Meskipun tidak AWS dapat secara resmi mendukung buku masak di [https://supermarket.chef.io/](https://supermarket.chef.io/)situs web, banyak dari mereka bekerja dengan `AWS-ApplyChefRecipes` dokumen tersebut. Berikut ini adalah contoh kriteria untuk menentukan kapan Anda menguji buku masak komunitas:
+ Buku masak harus men-support sistem operasi berbasis Linux dari node terkelola Systems Manager yang Anda targetkan.
+ Buku masak harus valid untuk versi Chef klien (Chef11 hingga Chef 18) yang Anda gunakan.
+ Buku masak kompatibel denganChef Infra Client, dan, tidak memerlukan server Chef.

Verifikasi bahwa Anda dapat mencapai `Chef.io` situs web, sehingga buku masak apa pun yang Anda tentukan dalam daftar jalankan dapat diinstal saat dokumen Systems Manager (dokumen SSM) berjalan. Menggunakan folder `cookbooks` yang di-nest disupport, tetapi tidak diperlukan; Anda dapat menyimpan buku masak langsung di tingkat root.

```
<Top-level directory, or the top level of the archive file (ZIP or tgz or tar.gz)>
    └── cookbooks (optional level)
        ├── jenkins
        │   ├── metadata.rb
        │   └── recipes
        └── nginx
            ├── metadata.rb
            └── recipes
```

**penting**  
Sebelum Anda membuat State Manager asosiasi yang menjalankan Chef resep, ketahuilah bahwa dokumen yang dijalankan menginstal perangkat lunak Chef klien pada node terkelola Systems Manager Anda, kecuali jika Anda menetapkan nilai **versi Chef klien**. `None` Operasi ini menggunakan skrip instalasi dari Chef untuk menginstal Chef komponen atas nama Anda. Sebelum Anda menjalankan `AWS-ApplyChefRecipes` dokumen, pastikan perusahaan Anda dapat mematuhi persyaratan hukum yang berlaku, termasuk ketentuan lisensi yang berlaku untuk penggunaan Chef perangkat lunak. Untuk informasi lebih lanjut, lihat situs [Chefweb](https://www.chef.io/).

Systems Manager dapat mengirimkan laporan kepatuhan ke bucket S3, konsol Systems Manager, atau membuat hasil kepatuhan tersedia sebagai respons terhadap perintah API Systems Manager. Untuk menjalankan laporan kepatuhan Systems Manager, profil instans yang dilampirkan ke node terkelola Systems Manager harus memiliki izin untuk menulis ke bucket S3. Profil instans harus memiliki izin untuk menggunakan API `PutComplianceItem` Systems Manager. Untuk informasi selengkapnya tentang kepatuhan Systems Manager, lihat [AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

### Mencatat dokumen yang berjalan
<a name="state-manager-chef-logging"></a>

Saat menjalankan dokumen Systems Manager (dokumen SSM) menggunakan State Manager asosiasi, Anda dapat mengonfigurasi asosiasi untuk memilih output dokumen yang dijalankan, dan Anda dapat mengirim output ke Amazon S3 atau CloudWatch Amazon Logs CloudWatch (Log). Untuk membantu memudahkan pemecahan masalah saat asosiasi selesai berjalan, verifikasi bahwa asosiasi dikonfigurasi untuk menulis output perintah ke bucket Amazon S3 atau Log. CloudWatch Untuk informasi selengkapnya, lihat [Bekerja dengan asosiasi di Systems Manager](state-manager-associations.md).

## Menerapkan atribut JSON ke target saat menjalankan resep
<a name="apply-custom-json-attributes"></a>

Anda dapat menentukan atribut JSON untuk Chef klien Anda untuk diterapkan ke node target selama menjalankan asosiasi. Saat menyiapkan asosiasi, Anda dapat memberikan JSON mentah atau memberikan jalur ke file JSON yang disimpan di Amazon S3.

Gunakan atribut JSON ketika Anda ingin menyesuaikan bagaimana resep dijalankan tanpa harus memodifikasi resep itu sendiri, misalnya:
+ **Mengesampingkan sejumlah kecil atribut**

  Gunakan JSON khusus untuk menghindari keharusan mempertahankan beberapa versi resep untuk mengakomodasi perbedaan kecil.
+ **Memberikan nilai variabel**

  Gunakan JSON kustom untuk menentukan nilai yang mungkin berubah dari run-to-run. Misalnya, jika Chef buku masak Anda mengonfigurasi aplikasi pihak ketiga yang menerima pembayaran, Anda dapat menggunakan JSON khusus untuk menentukan URL titik akhir pembayaran. 

**Menentukan atribut dalam JSON mentah**

Berikut ini adalah contoh format yang dapat Anda gunakan untuk menentukan atribut JSON kustom untuk Chef resep Anda.

```
{"filepath":"/tmp/example.txt", "content":"Hello, World!"}
```

**Menentukan jalur ke file JSON**  
Berikut ini adalah contoh format yang dapat Anda gunakan untuk menentukan jalur ke atribut JSON kustom untuk Chef resep Anda.

```
{"sourceType":"s3", "sourceInfo":"someS3URL1"}, {"sourceType":"s3", "sourceInfo":"someS3URL2"}
```

## Gunakan Git sebagai sumber buku masak
<a name="state-manager-chef-git"></a>

`AWS-ApplyChefRecipes`Dokumen ini menggunakan plugin [AWS:DownloadContent](documents-command-ssm-plugin-reference.md#aws-downloadContent) untuk mengunduh buku masak. Chef Untuk mengunduh konten dari Git, tentukan informasi tentang repositori Git Anda dalam format JSON seperti pada contoh berikut. Ganti masing-masing *example-resource-placeholder* dengan informasi Anda sendiri.

```
{
   "repository":"GitCookbookRepository",
   "privateSSHKey":"{{ssm-secure:ssh-key-secure-string-parameter}}",
   "skipHostKeyChecking":"false",
   "getOptions":"branch:refs/head/main",
   "username":"{{ssm-secure:username-secure-string-parameter}}",
   "password":"{{ssm-secure:password-secure-string-parameter}}"
}
```

## Gunakan GitHub sebagai sumber buku masak
<a name="state-manager-chef-github"></a>

`AWS-ApplyChefRecipes`Dokumen ini menggunakan plugin [AWS:DownloadContent](documents-command-ssm-plugin-reference.md#aws-downloadContent) untuk mengunduh buku masak. Untuk mengunduh konten dariGitHub, tentukan informasi tentang GitHub repositori Anda dalam format JSON seperti pada contoh berikut. Ganti masing-masing *example-resource-placeholder* dengan informasi Anda sendiri.

```
{
   "owner":"TestUser",
   "repository":"GitHubCookbookRepository",
   "path":"cookbooks/HelloWorld",
   "getOptions":"branch:refs/head/main",
   "tokenInfo":"{{ssm-secure:token-secure-string-parameter}}"
}
```

## Gunakan HTTP sebagai sumber buku masak
<a name="state-manager-chef-http"></a>

Anda dapat menyimpan Chef buku masak di lokasi HTTP kustom baik sebagai satu `.zip` atau `tar.gz` file, atau struktur direktori. Untuk mengunduh konten dari HTTP, tentukan jalur ke file atau direktori dalam format JSON seperti pada contoh berikut. Ganti masing-masing *example-resource-placeholder* dengan informasi Anda sendiri.

```
{
   "url":"https://my.website.com/chef-cookbooks/HelloWorld.zip",
   "allowInsecureDownload":"false",
   "authMethod":"Basic",
   "username":"{{ssm-secure:username-secure-string-parameter}}",
   "password":"{{ssm-secure:password-secure-string-parameter}}"
}
```

## Menggunakan Amazon S3 sebagai sumber buku masak
<a name="state-manager-chef-s3"></a>

Anda juga dapat menyimpan dan mengunduh Chef buku masak di Amazon S3 sebagai `.zip` satu `tar.gz` atau file, atau struktur direktori. Untuk mengunduh konten dari Amazon S3, tentukan jalur ke file dalam format JSON seperti pada contoh berikut. Ganti masing-masing *example-resource-placeholder* dengan informasi Anda sendiri.

**Contoh 1: Unduh buku masak tertentu**

```
{
   "path":"https://s3.amazonaws.com/chef-cookbooks/HelloWorld.zip"
}
```

**Contoh 2: Unduh isi direktori**

```
{
   "path":"https://s3.amazonaws.com/chef-cookbooks-test/HelloWorld"
}
```

**penting**  
Jika Anda menentukan Amazon S3, profil instans AWS Identity and Access Management (IAM) pada node terkelola harus dikonfigurasi dengan kebijakan. `AmazonS3ReadOnlyAccess` Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md).

## Buat asosiasi yang menjalankan Chef resep (konsol)
<a name="state-manager-chef-console"></a>

Prosedur berikut menjelaskan cara menggunakan konsol Systems Manager untuk membuat State Manager asosiasi yang menjalankan Chef buku masak dengan menggunakan `AWS-ApplyChefRecipes` dokumen.

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih **State Manager**, lalu pilih **Buat asosiasi**.

1. Untuk **Nama**, masukkan nama yang membantu Anda mengingat tujuan asosiasi.

1. Di daftar **Dokumen**, pilih **`AWS-ApplyChefRecipes`**.

1. Di **Parameter**, untuk **Jenis Sumber**, pilih **Git **GitHub****, **HTTP**, atau **S3**.

1. Untuk **info Sumber**, masukkan informasi sumber buku masak menggunakan format yang sesuai untuk **Jenis Sumber** yang Anda pilih pada langkah 6. Untuk informasi selengkapnya, lihat topik berikut:
   + [Gunakan Git sebagai sumber buku masak](#state-manager-chef-git)
   + [Gunakan GitHub sebagai sumber buku masak](#state-manager-chef-github)
   + [Gunakan HTTP sebagai sumber buku masak](#state-manager-chef-http)
   + [Menggunakan Amazon S3 sebagai sumber buku masak](#state-manager-chef-s3)

1. Di **Jalankan daftar**, buat daftar resep yang ingin Anda jalankan dalam format berikut, memisahkan setiap resep dengan koma seperti yang ditunjukkan. Jangan masukkan spasi setelah koma. Ganti masing-masing *example-resource-placeholder* dengan informasi Anda sendiri.

   ```
   recipe[cookbook-name1::recipe-name],recipe[cookbook-name2::recipe-name]
   ```

1. (Opsional) Tentukan atribut JSON kustom yang Anda ingin Chef klien berikan ke node target Anda.

   1. Dalam **konten atribut JSON**, tambahkan atribut apa pun yang Anda ingin Chef klien berikan ke node target Anda.

   1. Di **sumber atribut JSON**, tambahkan jalur ke atribut apa pun yang Anda ingin Chef klien lewatkan ke node target Anda.

   Untuk informasi selengkapnya, lihat [Menerapkan atribut JSON ke target saat menjalankan resep](#apply-custom-json-attributes).

1. Untuk **versi Chef klien**, tentukan Chef versi. Nilai yang valid adalah `11` melalui`18`, atau`None`. Jika Anda menentukan nomor antara `11` `18` (inklusif), Systems Manager menginstal versi Chef klien yang benar pada node target Anda. Jika Anda menentukan`None`, Systems Manager tidak menginstal Chef klien pada node target sebelum menjalankan resep dokumen.

1. (Opsional) Untuk **argumen Chef klien**, tentukan argumen tambahan yang didukung untuk versi yang Chef Anda gunakan. Untuk mempelajari lebih lanjut tentang argumen yang didukung, jalankan `chef-client -h` pada node yang menjalankan Chef klien.

1. (Opsional) Aktifkan **Why-run** untuk menampilkan perubahan yang dibuat pada node target jika resep dijalankan, tanpa benar-benar mengubah node target.

1. Untuk **Keparahan kepatuhan**, pilih keparahan dari hasil Kepatuhan Systems Manager yang ingin Anda laporkan. Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak sesuai, bersama dengan tingkat keparahan yang Anda tentukan. Laporan kepatuhan disimpan di bucket S3 yang Anda tentukan sebagai nilai dari parameter **Bucket laporan kepatuhan** (langkah 14). Untuk informasi selengkapnya tentang Kepatuhan, lihat [Pelajari detail tentang Kepatuhan](compliance-about.md) dalam panduan ini.

   Pemindaian kepatuhan mengukur penyimpangan antara konfigurasi yang ditentukan dalam Chef resep dan sumber daya node Anda. Nilai yang valid adalah `Critical`, `High`, `Medium`, `Low`, `Informational`, `Unspecified`, atau `None`. Untuk melewati pelaporan kepatuhan, pilih `None`.

1. Untuk **Jenis kepatuhan**, tentukan jenis kepatuhan yang hasilnya ingin Anda laporkan. Nilai yang valid adalah `Association` untuk State Manager asosiasi, atau `Custom:`*custom-type*. Nilai default-nya adalah `Custom:Chef`.

1. Untuk **bucket laporan Kepatuhan**, masukkan nama bucket S3 untuk menyimpan informasi tentang setiap Chef proses yang dilakukan oleh dokumen ini, termasuk konfigurasi sumber daya dan hasil Kepatuhan.

1. Dalam **Rate control**, konfigurasikan opsi untuk menjalankan State Manager asosiasi di seluruh armada node terkelola. Untuk informasi tentang menggunakan kontrol rate, lihat [Memahami target dan kontrol tingkat dalam State Manager asosiasi](systems-manager-state-manager-targets-and-rate-controls.md).

   Di **Konkurensi**, pilih opsi:
   + Pilih **target** untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.
   + Pilih **persentase** untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.

   Di **Batas kesalahan**, pilih opsi:
   + Pilih **kesalahan** untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.
   + Pilih **persentase** untuk memasukkan persentase kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. Pilih **Buat Asosiasi**.

## Buat asosiasi yang menjalankan Chef resep (CLI)
<a name="state-manager-chef-cli"></a>

Prosedur berikut menjelaskan cara menggunakan AWS Command Line Interface (AWS CLI) untuk membuat State Manager asosiasi yang menjalankan buku masak Chef dengan menggunakan `AWS-ApplyChefRecipes` dokumen.

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan salah satu perintah berikut untuk membuat asosiasi yang menjalankan Chef buku masak pada node target yang memiliki tag tertentu. Gunakan perintah yang sesuai untuk jenis sumber buku masak dan sistem operasi Anda. Ganti masing-masing *example-resource-placeholder* dengan informasi Anda sendiri.

   1. **Sumber Git**

------
#### [ Linux & macOS ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" \
          --targets Key=tag:TagKey,Values=TagValue \
          --parameters '{"SourceType":["Git"],"SourceInfo":["{\"repository\":\"repository-name\", \"getOptions\": \"branch:branch-name\", \"username\": \"{{ ssm-secure:username-secure-string-parameter }}\", \"password\": \"{{ ssm-secure:password-secure-string-parameter }}\"}"], "RunList":["{\"recipe[cookbook-name-1::recipe-name]\", \"recipe[cookbook-name-2::recipe-name]\"}"], "JsonAttributesContent": ["{custom-json-content}"], "JsonAttributesSources": "{\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-1\"}, {\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-2\"}", "ChefClientVersion": ["version-number"], "ChefClientArguments":["{chef-client-arguments}"], "WhyRun": boolean, "ComplianceSeverity": ["severity-value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["s3-bucket-name"]}' \
          --association-name "name" \
          --schedule-expression "cron-or-rate-expression"
      ```

------
#### [ Windows ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" ^
          --targets Key=tag:TagKey,Values=TagValue ^
          --parameters '{"SourceType":["Git"],"SourceInfo":["{\"repository\":\"repository-name\", \"getOptions\": \"branch:branch-name\", \"username\": \"{{ ssm-secure:username-secure-string-parameter }}\", \"password\": \"{{ ssm-secure:password-secure-string-parameter }}\"}"], "RunList":["{\"recipe[cookbook-name-1::recipe-name]\", \"recipe[cookbook-name-2::recipe-name]\"}"], "JsonAttributesContent": ["{custom-json}"], "JsonAttributesSources": "{\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-1\"}, {\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-2\"}", "ChefClientVersion": ["version-number"], "ChefClientArguments":["{chef-client-arguments}"], "WhyRun": boolean, "ComplianceSeverity": ["severity-value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["s3-bucket-name"]}' ^
          --association-name "name" ^
          --schedule-expression "cron-or-rate-expression"
      ```

------

   1. **GitHub sumber**

------
#### [ Linux & macOS ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" \
          --targets Key=tag:TagKey,Values=TagValue \
          --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"owner-name\", \"repository\": \"name\", \"path\": \"path-to-directory-or-cookbook-to-download\", \"getOptions\": \"branch:branch-name\"}"], "RunList":["{\"recipe[cookbook-name-1::recipe-name]\", \"recipe[cookbook-name-2::recipe-name]\"}"], "JsonAttributesContent": ["{custom-json}"], "ChefClientVersion": ["version-number"], "ChefClientArguments":["{chef-client-arguments}"], "WhyRun": boolean, "ComplianceSeverity": ["severity-value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["s3-bucket-name"]}' \
          --association-name "name" \
          --schedule-expression "cron-or-rate-expression"
      ```

------
#### [ Windows ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" ^
          --targets Key=tag:TagKey,Values=TagValue \
          --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"owner-name\", \"repository\": \"name\", \"path\": \"path-to-directory-or-cookbook-to-download\", \"getOptions\": \"branch:branch-name\"}"], "RunList":["{\"recipe[cookbook-name-1::recipe-name]\", \"recipe[cookbook-name-2::recipe-name]\"}"], "JsonAttributesContent": ["{custom-json}"], "ChefClientVersion": ["version-number"], "ChefClientArguments":["{chef-client-arguments}"], "WhyRun": boolean, "ComplianceSeverity": ["severity-value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["s3-bucket-name"]}' ^
          --association-name "name" ^
          --schedule-expression "cron-or-rate-expression"
      ```

------

      Ini contohnya.

------
#### [ Linux & macOS ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" \
          --targets Key=tag:OS,Values=Linux \
          --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"ChefRecipeTest\", \"repository\": \"ChefCookbooks\", \"path\": \"cookbooks/HelloWorld\", \"getOptions\": \"branch:master\"}"], "RunList":["{\"recipe[HelloWorld::HelloWorldRecipe]\", \"recipe[HelloWorld::InstallApp]\"}"], "JsonAttributesContent": ["{\"state\": \"visible\",\"colors\": {\"foreground\": \"light-blue\",\"background\": \"dark-gray\"}}"], "ChefClientVersion": ["14"], "ChefClientArguments":["{--fips}"], "WhyRun": false, "ComplianceSeverity": ["Medium"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["ChefComplianceResultsBucket"]}' \
          --association-name "MyChefAssociation" \
          --schedule-expression "cron(0 2 ? * SUN *)"
      ```

------
#### [ Windows ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" ^
          --targets Key=tag:OS,Values=Linux ^
          --parameters '{"SourceType":["GitHub"],"SourceInfo":["{\"owner\":\"ChefRecipeTest\", \"repository\": \"ChefCookbooks\", \"path\": \"cookbooks/HelloWorld\", \"getOptions\": \"branch:master\"}"], "RunList":["{\"recipe[HelloWorld::HelloWorldRecipe]\", \"recipe[HelloWorld::InstallApp]\"}"], "JsonAttributesContent": ["{\"state\": \"visible\",\"colors\": {\"foreground\": \"light-blue\",\"background\": \"dark-gray\"}}"], "ChefClientVersion": ["14"], "ChefClientArguments":["{--fips}"], "WhyRun": false, "ComplianceSeverity": ["Medium"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["ChefComplianceResultsBucket"]}' ^
          --association-name "MyChefAssociation" ^
          --schedule-expression "cron(0 2 ? * SUN *)"
      ```

------

   1. **Sumber HTTP**

------
#### [ Linux & macOS ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" \
          --targets Key=tag:TagKey,Values=TagValue \
          --parameters '{"SourceType":["HTTP"],"SourceInfo":["{\"url\":\"url-to-zip-file|directory|cookbook\", \"authMethod\": \"auth-method\", \"username\": \"{{ ssm-secure:username-secure-string-parameter }}\", \"password\": \"{{ ssm-secure:password-secure-string-parameter }}\"}"], "RunList":["{\"recipe[cookbook-name-1::recipe-name]\", \"recipe[cookbook-name-2::recipe-name]\"}"], "JsonAttributesContent": ["{custom-json-content}"], "JsonAttributesSources": "{\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-1\"}, {\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-2\"}", "ChefClientVersion": ["version-number"], "ChefClientArguments":["{chef-client-arguments}"], "WhyRun": boolean, "ComplianceSeverity": ["severity-value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["s3-bucket-name"]}' \
          --association-name "name" \
          --schedule-expression "cron-or-rate-expression"
      ```

------
#### [ Windows ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" ^
          --targets Key=tag:TagKey,Values=TagValue ^
          --parameters '{"SourceType":["HTTP"],"SourceInfo":["{\"url\":\"url-to-zip-file|directory|cookbook\", \"authMethod\": \"auth-method\", \"username\": \"{{ ssm-secure:username-secure-string-parameter }}\", \"password\": \"{{ ssm-secure:password-secure-string-parameter }}\"}"], "RunList":["{\"recipe[cookbook-name-1::recipe-name]\", \"recipe[cookbook-name-2::recipe-name]\"}"], "JsonAttributesContent": ["{custom-json-content}"], "JsonAttributesSources": "{\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-1\"}, {\"sourceType\":\"s3\", \"sourceInfo\":\"s3-bucket-endpoint-2\"}", "ChefClientVersion": ["version-number"], "ChefClientArguments":["{chef-client-arguments}"], "WhyRun": boolean, "ComplianceSeverity": ["severity-value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["s3-bucket-name"]}' \
          --association-name "name" ^
          --schedule-expression "cron-or-rate-expression"
      ```

------

   1. **Sumber Amazon S3**

------
#### [ Linux & macOS ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" \
          --targets Key=tag:TagKey,Values=TagValue \
          --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/path_to_Zip_file,_directory,_or_cookbook_to_download\"}"], "RunList":["{\"recipe[cookbook_name1::recipe_name]\", \"recipe[cookbook_name2::recipe_name]\"}"], "JsonAttributesContent": ["{Custom_JSON}"], "ChefClientVersion": ["version_number"], "ChefClientArguments":["{chef_client_arguments}"], "WhyRun": true_or_false, "ComplianceSeverity": ["severity_value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["amzn-s3-demo-bucket"]}' \
          --association-name "name" \
          --schedule-expression "cron_or_rate_expression"
      ```

------
#### [ Windows ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" ^
          --targets Key=tag:TagKey,Values=TagValue ^
          --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/path_to_Zip_file,_directory,_or_cookbook_to_download\"}"], "RunList":["{\"recipe[cookbook_name1::recipe_name]\", \"recipe[cookbook_name2::recipe_name]\"}"], "JsonAttributesContent": ["{Custom_JSON}"], "ChefClientVersion": ["version_number"], "ChefClientArguments":["{chef_client_arguments}"], "WhyRun": true_or_false, "ComplianceSeverity": ["severity_value"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["amzn-s3-demo-bucket"]}' ^
          --association-name "name" ^
          --schedule-expression "cron_or_rate_expression"
      ```

------

      Ini contohnya.

------
#### [ Linux & macOS ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" \
          --targets "Key=tag:OS,Values= Linux" \
          --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/amzn-s3-demo-bucket/HelloWorld\"}"], "RunList":["{\"recipe[HelloWorld::HelloWorldRecipe]\", \"recipe[HelloWorld::InstallApp]\"}"], "JsonAttributesContent": ["{\"state\": \"visible\",\"colors\": {\"foreground\": \"light-blue\",\"background\": \"dark-gray\"}}"], "ChefClientVersion": ["14"], "ChefClientArguments":["{--fips}"], "WhyRun": false, "ComplianceSeverity": ["Medium"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["ChefComplianceResultsBucket"]}' \
          --association-name "name" \
          --schedule-expression "cron(0 2 ? * SUN *)"
      ```

------
#### [ Windows ]

      ```
      aws ssm create-association --name "AWS-ApplyChefRecipes" ^
          --targets "Key=tag:OS,Values= Linux" ^
          --parameters '{"SourceType":["S3"],"SourceInfo":["{\"path\":\"https://s3.amazonaws.com/amzn-s3-demo-bucket/HelloWorld\"}"], "RunList":["{\"recipe[HelloWorld::HelloWorldRecipe]\", \"recipe[HelloWorld::InstallApp]\"}"], "JsonAttributesContent": ["{\"state\": \"visible\",\"colors\": {\"foreground\": \"light-blue\",\"background\": \"dark-gray\"}}"], "ChefClientVersion": ["14"], "ChefClientArguments":["{--fips}"], "WhyRun": false, "ComplianceSeverity": ["Medium"], "ComplianceType": ["Custom:Chef"], "ComplianceReportBucket": ["ChefComplianceResultsBucket"]}' ^
          --association-name "name" ^
          --schedule-expression "cron(0 2 ? * SUN *)"
      ```

------

      Sistem membuat asosiasi, dan kecuali ekspresi cron atau rate yang Anda tentukan mencegahnya, sistem menjalankan asosiasi pada node target.
**catatan**  
State Managerasosiasi tidak mendukung semua ekspresi cron dan rate. Untuk informasi selengkapnya tentang membuat ekspresi cron dan rate untuk asosiasi, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

1. Jalankan perintah berikut untuk melihat status asosiasi yang baru saja Anda buat. 

   ```
   aws ssm describe-association --association-id "ID"
   ```

## Melihat detail kepatuhan sumber daya Chef
<a name="state-manager-chef-compliance"></a>

Systems Manager menangkap informasi kepatuhan tentang sumber daya yang Chef dikelola dalam nilai bucket **laporan Kepatuhan Amazon S3** yang ditentukan saat menjalankan dokumen. `AWS-ApplyChefRecipes` Mencari informasi tentang kegagalan Chef sumber daya dalam bucket S3 dapat memakan waktu. Sebaliknya, Anda dapat melihat informasi ini pada halaman **Kepatuhan** Systems Manager.

Pemindaian Kepatuhan Systems Manager mengumpulkan informasi tentang sumber daya pada node terkelola yang dibuat atau diperiksa dalam proses terbaruChef. Sumber daya dapat mencakup file, direktori, layanan `systemd`, paket `yum`, file templat, paket `gem`, dan buku masak dependen, di antaranya.

Bagian **Ringkasan sumber daya kepatuhan** menampilkan jumlah sumber daya yang gagal. Dalam contoh berikut, **ComplianceType**adalah **Custom: Chef** dan satu sumber daya tidak sesuai.

**catatan**  
`Custom:Chef`adalah **ComplianceType**nilai default dalam `AWS-ApplyChefRecipes` dokumen. Nilai ini dapat disesuaikan.

![\[Melihat jumlah di bagian Ringkasan sumber daya kepatuhan dari halaman Kepatuhan.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-chef-compliance-summary.png)


Bagian **Ikhtisar detail untuk sumber** daya menunjukkan informasi tentang AWS sumber daya yang tidak sesuai. Bagian ini juga mencakup jenis Chef sumber daya yang digunakan untuk menjalankan kepatuhan, tingkat keparahan masalah, status kepatuhan, dan tautan ke informasi lebih lanjut bila berlaku.

![\[Melihat detail kepatuhan untuk kegagalan sumber daya Chef terkelola\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/state-manager-chef-compliance-details.png)


**Melihat output** menunjukkan 4.000 karakter terakhir dari status terperinci. Systems Manager dimulai dengan pengecualian sebagai elemen pertama, menemukan pesan verbose, dan menunjukkannya sampai mencapai kuota karakter 4.000. Proses ini menampilkan pesan log yang dikeluarkan sebelum pengecualian diluncurkan, yang merupakan pesan yang paling relevan untuk pemecahan masalah.

Untuk informasi tentang cara melihat informasi kepatuhan, lihat [AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

**penting**  
Jika State Manager asosiasi gagal, tidak ada data kepatuhan yang dilaporkan. Misalnya, jika Systems Manager mencoba mengunduh Chef buku masak dari bucket S3 yang node tidak memiliki izin untuk mengaksesnya, asosiasi gagal, dan Systems Manager tidak melaporkan data kepatuhan.

# Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI
<a name="state-manager-update-ssm-agent-cli"></a>

Prosedur berikut memandu Anda melalui proses menciptakan State Manager asosiasi menggunakan AWS Command Line Interface. Asosiasi secara otomatis memperbarui SSM Agent sesuai dengan jadwal yang Anda tentukan. Untuk informasi selengkapnya tentang SSM Agent, lihat [Bekerja dengan SSM Agent](ssm-agent.md). Untuk menyesuaikan jadwal pembaruan untuk SSM Agent menggunakan konsol, lihat[Memperbarui secara otomatis SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console).

Untuk diberi tahu tentang SSM Agent pembaruan, berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/master/RELEASENOTES.md) diGitHub.

**Sebelum Anda mulai**  
Sebelum Anda menyelesaikan prosedur berikut, verifikasi bahwa Anda setidaknya memiliki satu instans Amazon Elastic Compute Cloud (Amazon EC2) untuk Linux, macOS, atau Windows Server yang dikonfigurasi untuk Systems Manager. Untuk informasi selengkapnya, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md). 

Jika Anda membuat asosiasi dengan menggunakan salah satu AWS CLI atau AWS Tools for Windows PowerShell, gunakan `--Targets` parameter untuk menargetkan instance, seperti yang ditunjukkan pada contoh berikut. Jangan gunakan `--InstanceID` parameter. Parameter `--InstanceID` adalah parameter warisan.

**Untuk membuat asosiasi untuk memperbarui secara otomatis SSM Agent**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Jalankan perintah berikut untuk membuat asosiasi dengan menargetkan instans menggunakan tag Amazon Elastic Compute Cloud (Amazon EC2). Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri. Parameter `Schedule` menetapkan jadwal untuk menjalankan asosiasi setiap Minggu pagi pukul 2:00 pagi. (UTC).

   State Managerasosiasi tidak mendukung semua ekspresi cron dan rate. Untuk informasi selengkapnya tentang membuat ekspresi cron dan rate untuk asosiasi, lihat [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md).

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --targets Key=tag:tag_key,Values=tag_value \
   --name AWS-UpdateSSMAgent \
   --schedule-expression "cron(0 2 ? * SUN *)"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --targets Key=tag:tag_key,Values=tag_value ^
   --name AWS-UpdateSSMAgent ^
   --schedule-expression "cron(0 2 ? * SUN *)"
   ```

------

   Anda dapat menargetkan beberapa instance dengan menentukan instance IDs dalam daftar yang dipisahkan koma.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --targets Key=instanceids,Values=instance_ID,instance_ID,instance_ID \
   --name AWS-UpdateSSMAgent \
   --schedule-expression "cron(0 2 ? * SUN *)"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --targets Key=instanceids,Values=instance_ID,instance_ID,instance_ID ^
   --name AWS-UpdateSSMAgent ^
   --schedule-expression "cron(0 2 ? * SUN *)"
   ```

------

   Anda dapat menentukan versi yang ingin SSM Agent Anda perbarui.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-association \
   --targets Key=instanceids,Values=instance_ID,instance_ID,instance_ID \
   --name AWS-UpdateSSMAgent \
   --schedule-expression "cron(0 2 ? * SUN *)" \
   --parameters version=ssm_agent_version_number
   ```

------
#### [ Windows ]

   ```
   aws ssm create-association ^
   --targets Key=instanceids,Values=instance_ID,instance_ID,instance_ID ^
   --name AWS-UpdateSSMAgent ^
   --schedule-expression "cron(0 2 ? * SUN *)" ^
   --parameters version=ssm_agent_version_number
   ```

------

   Sistem mengembalikan informasi seperti berikut.

   ```
   {
       "AssociationDescription": {
           "ScheduleExpression": "cron(0 2 ? * SUN *)",
           "Name": "AWS-UpdateSSMAgent",
           "Overview": {
               "Status": "Pending",
               "DetailedStatus": "Creating"
           },
           "AssociationId": "123..............",
           "DocumentVersion": "$DEFAULT",
           "LastUpdateAssociationDate": 1504034257.98,
           "Date": 1504034257.98,
           "AssociationVersion": "1",
           "Targets": [
               {
                   "Values": [
                       "TagValue"
                   ],
                   "Key": "tag:TagKey"
               }
           ]
       }
   }
   ```

   Sistem mencoba untuk membuat asosiasi pada instans dan menerapkan status setelah pembuatan. Status asosiasi menunjukkan `Pending`.

1. Jalankan perintah berikut untuk menampilkan status terbaru dari asosiasi yang Anda buat. 

   ```
   aws ssm list-associations
   ```

   Jika instans Anda *tidak* menjalankan versi terbaruSSM Agent, status akan ditampilkan`Failed`. Ketika versi baru diterbitkan, asosiasi secara otomatis menginstal agen baru, dan status ditampilkan`Success`. SSM Agent

# Walkthrough: Secara otomatis memperbarui driver PV pada instans EC2 untuk Windows Server
<a name="state-manager-update-pv-drivers"></a>

Amazon Windows Server Amazon Machine Images (AMIs) berisi satu set driver untuk mengizinkan akses ke perangkat keras virtual. Driver ini digunakan oleh Amazon Elastic Compute Cloud (Amazon EC2) untuk memetakan penyimpanan instans dan volume Amazon Elastic Block Store (Amazon EBS) ke perangkat mereka. Kami menyarankan Anda menginstal driver terbaru untuk meningkatkan stabilitas dan performa instans EC2 untuk Windows Server. Untuk informasi selengkapnya tentang driver PV, lihat [Driver PV AWS](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/xen-drivers-overview.html#xen-driver-awspv).

Panduan berikut menunjukkan kepada Anda cara mengonfigurasi State Manager asosiasi untuk mengunduh dan menginstal driver AWS PV baru secara otomatis saat driver tersedia. State Manageradalah alat di AWS Systems Manager.

**Sebelum Anda mulai**  
Sebelum Anda menyelesaikan prosedur berikut, verifikasi bahwa Anda memiliki setidaknya satu instans Amazon EC2 untuk Windows Server dijalankan yang dikonfigurasi untuk Systems Manager. Untuk informasi selengkapnya, lihat [Menyiapkan node terkelola untuk AWS Systems Manager](systems-manager-setting-up-nodes.md). 

**Untuk membuat State Manager asosiasi yang secara otomatis memperbarui driver PV**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **State Manager**.

1. Pilih **Buat asosiasi**.

1. Di bidang **Nama**, masukkan nama deskriptif untuk asosiasi.

1. Di daftar **Dokumen**, pilih `AWS-ConfigureAWSPackage`.

1. Di area **Parameter**, lakukan hal berikut:
   + Untuk **Tindakan**, pilih **Instal**.
   + Untuk **Jenis penginstalan**, pilih **Hapus instalan dan instal ulang**.
**catatan**  
Upgrade di tempat tidak didukung untuk paket ini. Itu harus dihapus dan diinstal ulang.
   + Untuk **Nama**, masukkan **AWSPVDriver**.

     Anda tidak perlu memasukkan apa pun untuk **Versi** dan **Argumen Tambahan**.

1. Di bagian **Target**, pilih node terkelola tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih instance atau perangkat tepi secara manual, atau menentukan grup sumber daya.
**Tip**  
Jika node terkelola yang Anda harapkan tidak terdaftar, lihat [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md) untuk tips pemecahan masalah.
**catatan**  
Jika Anda memilih untuk menargetkan instance dengan menggunakan tag, dan Anda menentukan tag yang memetakan ke instance Linux, asosiasi berhasil pada Windows Server instance tetapi gagal pada instance Linux. Status keseluruhan asosiasi menunjukkan **Gagal**.

1. Di area **Tentukan jadwal**, pilih apakah akan menjalankan asosiasi pada jadwal yang Anda konfigurasikan, atau hanya sekali. Driver PV yang diperbarui dirilis beberapa kali dalam setahun, sehingga Anda dapat menjadwalkan asosiasi untuk dijalankan sebulan sekali, jika Anda mau.

1. Di area **Opsi lanjutan**, untuk **tingkat keparahan Kepatuhan**, pilih tingkat keparahan untuk asosiasi. Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat [Tentang kepatuhan State Manager asosiasi](compliance-about.md#compliance-about-association).

1. Untuk **Pengendalian rate**:
   + Untuk **Konkurensi**, tentukan jumlah atau persentase dari simpul terkelola untuk menjalankan perintah pada saat yang sama.
**catatan**  
Jika Anda memilih target dengan menentukan tag yang diterapkan pada node terkelola atau dengan menentukan grup AWS sumber daya, dan Anda tidak yakin berapa banyak node terkelola yang ditargetkan, maka batasi jumlah target yang dapat menjalankan dokumen pada saat yang sama dengan menentukan persentase.
   + Untuk **Ambang kesalahan**, tentukan kapan harus berhenti menjalankan perintah pada simpul terkelola lain setelah gagal pada jumlah atau persentase simpul. Misalnya, jika Anda menentukan tiga kesalahan, Systems Manager berhenti mengirim perintah ketika kesalahan keempat diterima. Node terkelola yang masih memproses perintah mungkin juga mengirim kesalahan.

1. (Opsional) Untuk **Opsi output**, untuk menyimpan output perintah ke file, pilih kotak **Aktifkan output penulisan ke S3**. Masukkan nama bucket dan prefiks (folder) di dalam kotak.
**catatan**  
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin pengguna IAM yang melakukan tugas ini. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md) atau [Membuat peran layanan IAM untuk lingkungan hibrid](hybrid-multicloud-service-role.md). Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran layanan IAM yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

1. (Opsional) Di bagian **CloudWatch alarm**, untuk **nama Alarm**, pilih CloudWatch alarm untuk diterapkan ke asosiasi Anda untuk pemantauan. 
**catatan**  
Perhatikan informasi berikut tentang langkah ini.  
Daftar alarm menampilkan maksimal 100 alarm. Jika Anda tidak melihat alarm dalam daftar, gunakan tombol AWS Command Line Interface untuk membuat asosiasi. Untuk informasi selengkapnya, lihat [Membuat asosiasi (baris perintah)](state-manager-associations-creating.md#create-state-manager-association-commandline).
Untuk melampirkan CloudWatch alarm ke perintah Anda, kepala sekolah IAM yang membuat asosiasi harus memiliki izin untuk `iam:createServiceLinkedRole` tindakan tersebut. Untuk informasi selengkapnya tentang CloudWatch alarm, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html).
Jika alarm Anda aktif, pemanggilan atau otomatisasi perintah yang tertunda tidak berjalan.

1. Pilih **Buat asosiasi**, lalu pilih **Tutup**. Sistem ini mencoba untuk membuat asosiasi pada instans dan segera menerapkan status. 

   Jika Anda membuat asosiasi pada satu atau lebih instans Amazon EC2 untuk Windows Server, status berubah ke **Sukses**. Jika instans Anda tidak dikonfigurasi untuk Systems Manager, atau jika Anda secara tidak sengaja menargetkan instans Linux, status akan menampilkan **Gagal**.

   Jika statusnya **Gagal**, pilih ID asosiasi, pilih tab **Sumber Daya**, lalu verifikasi bahwa asosiasi berhasil dibuat pada instans EC2 Anda untuk Windows Server. Jika instans EC2 untuk Windows Server menampilkan status **Gagal**, verifikasi bahwa instans berjalan pada instance, dan verifikasi bahwa instance dikonfigurasi dengan peran AWS Identity and Access Management (IAM) untuk Systems Manager. SSM Agent Lihat informasi yang lebih lengkap di [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md).