Grundlegendes zur Funktionsweise von State Manager - AWS Systems Manager
Verstehen, wann Zuordnungen auf Ressourcen angewendet werdenInformationen zu Zielupdates mit Automation-Runbooks

Grundlegendes zur Funktionsweise von State Manager

State Manager, eine Fähigkeit von AWS Systems Manager, ist ein sicherer und skalierbarer Service, der den Prozess automatisiert, verwaltete Knoten in einer Hybrid- und Multi-Cloud-Infrastruktur in einem von Ihnen definierten Zustand zu halten.

So funktioniert State Manager:

1. Bestimmen Sie den Status, den Sie auf Ihre AWS-Ressourcen anwenden wollen.

Möchten Sie sicherstellen, dass Ihr verwaltete Knoten mit spezifischen Anwendungen, wie z. B. Antiviren- oder Malware-Anwendungen, konfiguriert ist? Möchten Sie die den Prozess zur Aktualisierung des SSM Agent oder andere AWS-Pakete wie z. B. AWSPVDriver automatisieren? Müssen Sie sicherstellen, dass bestimmte Ports geöffnet oder geschlossen sind? Für erste Schritte mit State Manager bestimmen Sie zunächst den Status, den Sie auf Ihre AWS-Ressource anwenden möchten. Der Status, den Sie anwenden möchten, legt fest, welches SSM-Dokument Sie verwenden können, um eine State Manager-Zuordnung zu erstellen.

Eine State Manager-Assoziation ist eine Konfiguration, die Sie Ihren AWS-Ressourcen zuweisen. Die Konfiguration definiert den Status, den Sie auf Ihren Ressourcen beibehalten möchten. Beispiel: Eine Zuordnung kann angeben, dass auf einem verwalteten Knoten Antiviren-Software installiert sein und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Eine Assoziation gibt einen Zeitplan an, wann die Konfiguration und die Ziele für die Assoziation angewendet werden sollen. Beispielsweise könnte eine Zuordnung für Antivirensoftware einmal täglich auf allen verwalteten Knoten in einem AWS-Konto ausgeführt werden. Wenn die Software nicht auf einem Knoten installiert ist, könnte die Assoziation State Manager anweisen, sie zu installieren. Wenn die Software installiert ist, aber der Service nicht ausgeführt wird, könnte die Assoziation State Manager anweisen, den Service zu starten.

2. Stellen Sie fest, ob ein vorkonfiguriertes SSM-Dokument Ihnen bei der Erstellung des gewünschten Status in Ihren AWS-Ressourcen helfen kann.

Systems Manager umfasst Dutzende von vorkonfigurierten SSM-Dokumenten, die Sie verwenden können, um eine Zuordnung zu erstellen. Vorkonfigurierte Dokumente sind dafür vorbereitet, allgemeine Aufgaben wie das Installieren von Anwendungen, das Konfigurieren von Amazon CloudWatch, das Ausführen von AWS Systems Manager-Automatisierungen, das Ausführen der PowerShell und von Shell-Skripts und bei Active Directory den Beitritt von verwalteten Knoten zu einer Directory Service-Domain auszuführen.

Sie können alle SSM-Dokumente in der Systems Manager-Konsole anzeigen. Wählen Sie den Namen eines Dokuments an, um mehr darüber zu erfahren. Nachfolgend finden Sie zwei Beispiele: AWS-ConfigureAWSPackage und AWS-InstallApplication.

3. Erstellen einer Assoziation.

Sie können die Assoziation über die Systems Manager-Konsole, die AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) oder die Systems Manager API erstellen. Beim Erstellen einer Assoziation geben Sie die folgenden Informationen an:

  • Ein Name für die Assoziation.

  • Die Parameter für das SSM-Dokument (z. B. den Pfad zu der zu installierenden Anwendung oder zu dem Skript, das auf den Knoten ausgeführt werden soll).

  • Ziele für die Zuordnung. Sie können verwaltete Knoten als Ziel auswählen, indem Sie Tags angeben, einzelne Instance-IDs oder eine Gruppe in AWS Resource Groups wählen. Sie können auch alle verwalteten Knoten in der aktuellen AWS-Region und AWS-Konto als Ziel auswählen.

  • Einen Zeitplan für die Häufigkeit der Statusanwendung. Sie können einen Cron- oder Rate-Ausdruck festlegen. Weitere Informationen zum Erstellen von Zeitplänen mit cron- und Rate-Ausdrücken für Zuordnungen finden Sie unter Cron- und Rate-Ausdrücke für Zuordnungen.

    Anmerkung

    State Manager unterstützt derzeit nicht die Angabe von Monaten in Cron-Ausdrücken für Assoziationen.

Wenn Sie den Befehl ausführen, um die Assoziation zu erstellen, bindet Systems Manager die von Ihnen angegebenen Informationen (Zeitplan, Ziele, SSM-Dokument und Parameter) an die anvisierten Ressourcen. Der Status der Zuordnung wird zunächst als „Pending (ausstehend)“ angezeigt, während das System versucht, alle Ziele zu erreichen und sofort den in der Zuordnung angegebenen Status anzuwenden.

Anmerkung

Wenn Sie eine neue Zuordnung erstellen, die ausgeführt werden soll, solange eine frühere Zuordnung noch ausgeführt wird, führt dies zu einer Unterbrechung der früheren Zuordnung und die neue Zuordnung wird ausgeführt.

Systems Manager meldet den Status der Anforderung zum Erstellen von Assoziationen auf den Ressourcen. Sie können Statusdetails in der Konsole oder (für verwaltete Knoten) mithilfe der API-Operation DescribeInstanceAssociationsStatus anzeigen. Wenn Sie die Ausgabe des Befehls beim Erstellen einer Zuordnung in Amazon Simple Storage Service (Amazon S3) auswählen, können Sie die Ausgabe auch im angegebenen Amazon S3-Bucket anzeigen.

Weitere Informationen finden Sie unter Arbeiten mit Zuordnungen in Systems Manager.

Anmerkung

API-Vorgänge, die während der Ausführung einer Zuordnung durch das SSM-Dokument initiiert werden, werden in AWS CloudTrail nicht protokolliert.

4. Überwachen und aktualisieren Sie.

Nach dem Erstellen der Zuordnung wendet State Manager den Status entsprechend des in der Zuordnung definierten Zeitplans erneut an. Sie können den Status Ihrer Zuordnungen auf der State Manager-Seite in der Konsole oder mit dem direkten Aufruf der Zuordnungs-ID anzeigen, die von Systems Manager beim Erstellen der Zuordnung generiert wurde. Weitere Informationen finden Sie unter Anzeigen von Zuordnungsverläufen. Sie können Ihre Zuordnungsdokumente aktualisieren und Sie bei Bedarf erneut anwenden. Sie können auch mehrere Versionen einer Zuordnung erstellen. Weitere Informationen finden Sie unter Bearbeiten und Erstellen einer neuen Version einer Zuordnung.

Verstehen, wann Zuordnungen auf Ressourcen angewendet werden

Wenn Sie eine Zuordnung erstellen, geben Sie ein SSM-Dokument an, das die Konfiguration, eine Liste der Zielressourcen und einen Zeitplan für die Anwendung der Konfiguration definiert. Standardmäßig führt State Manager die Zuordnung aus, wenn Sie sie erstellen und dann nach Ihrem Zeitplan. State Manager versucht auch, die Zuordnung in den folgenden Situationen auszuführen:

  • Zuordnung bearbeiten – State Manager führt die Zuordnung aus, nachdem ein Benutzer seine Änderungen bearbeitet und in einem der folgenden Zuordnungsfelder gespeichert hat: DOCUMENT_VERSION, PARAMETERS, SCHEDULE_EXPRESSION, OUTPUT_S3_LOCATION.

  • Dokumentbearbeitung – State Manager führt die Zuordnung aus, nachdem ein Benutzer Änderungen am SSM-Dokument, das den Konfigurationsstatus der Zuordnung definiert, bearbeitet und gespeichert hat. Insbesondere wird die Zuordnung nach den folgenden Änderungen am Dokument ausgeführt:

    • Ein Benutzer gibt eine neue $DEFAULT-Dokumentversion an, und die Zuordnung wurde mit der $DEFAULT-Version erstellt.

    • Ein Benutzer aktualisiert ein Dokument und die Zuordnung wurde mit der $LATEST-Version erstellt.

    • Ein Benutzer löscht das Dokument, das beim Erstellen der Zuordnung angegeben wurde.

  • Manueller Start – State Manager führt die Zuordnung aus, wenn sie vom Benutzer entweder über die Systems-Manager-Konsole oder programmgesteuert initiiert wird.

  • Zieländerungen – State Manager führt die Zuordnung aus, nachdem eine der folgenden Aktivitäten auf einem Zielknoten auftritt:

    • Ein verwalteter Knoten wird zum ersten Mal online geschaltet.

    • Ein verwalteter Knoten geht online, nachdem ein geplanter Zuordnungslauf verpasst wurde.

    • Ein verwalteter Knoten wird online gestellt, nachdem er länger als 30 Tage angehalten war.

Informationen zu Zielupdates mit Automation-Runbooks

Damit Verknüpfungen, die mit Automation-Runbooks erstellt wurden, angewendet werden können, wenn neue Zielknoten erkannt werden, müssen die folgenden Bedingungen erfüllt sein:

  • Die Zuordnung muss durch eine Quick Setup-Konfiguration erstellt worden sein. Quick Setup ist eine Funktion von AWS Systems Manager. Verknüpfungen, die von anderen Prozessen erstellt werden derzeit nicht unterstützt.

  • Das Automation-Runbook muss explizit auf den Ressourcentyp AWS::EC2::Instance oder AWS::SSM::ManagedInstance abzielen.

  • Die Zuordnung muss sowohl Parameter als auch Ziele angeben.

    In der Konsole werden die Felder Parameter und Ziele angezeigt, wenn Sie eine Ausführung mit Ratensteuerung wählen.

    Parameter- und Zieloptionen werden in der Konsole für die Ausführung von Ratensteuerungen angezeigt

    Wenn Sie die API-Vorgänge CreateAssociation, CreateAssociationBatch oder UpdateAssociation verwenden, können Sie diese Werte mithilfe der Eingaben AutomationTargetParameterName und Targets angeben.