Anwendungsfälle und bewährte Methoden

Erstellen Sie Self-Service-Automation-Runbooks für Infrastruktur.

Verwenden Sie Automation, eine Funktion von AWS Systems Manager, um das Erstellen Amazon Machine Images (AMIs) anhand von AWS Marketplace oder benutzerdefiniertenAMIs, öffentlichen Systems Manager Manager-Dokumenten (SSMDokumenten) oder durch das Verfassen eigener Workflows zu vereinfachen.

Erstellen und verwalten Sie AMIs mithilfe der AWS-UpdateLinuxAmi und AWS-UpdateWindowsAmi Automation-Runbooks oder mithilfe benutzerdefinierter Automation-Runbooks, die Sie erstellen.

Verwenden Sie Inventory, eine Funktion von AWS Systems Manager, mit, AWS Config um Ihre Anwendungskonfigurationen im Laufe der Zeit zu überprüfen.

Definieren Sie einen Zeitplan zur Ausführung potenziell störender Aktionen auf Ihren Knoten, wie z. B. Betriebssystem-Patches, Treiber-Updates oder Software-Installationen.

Informationen zu den Unterschieden zwischen State Manager und und Maintenance Windows zu den Funktionen von AWS Systems Manager finden Sie unterAuswahl zwischen State Manager und Maintenance Windows.

Verwenden SieParameter Store, eine Funktion von AWS Systems Manager, um globale Konfigurationseinstellungen zentral zu verwalten.

Wie AWS Systems ManagerParameter Store verwendet AWS KMS.

Verweisen Sie auf AWS Secrets Manager Geheimnisse aus Parameter Store Parametern.

Verwenden Sie Patch Manager eine Funktion von AWS Systems Manager, um Patches in großem Umfang bereitzustellen und die Transparenz der Flottenkonformität auf Ihren Knoten zu erhöhen.

Integrieren Sie Patch Manager in AWS Security Hub, um Warnungen zu erhalten, wenn Knoten in Ihrer Flotte nicht konform sind, und überwachen Sie den Patching-Status Ihrer Flotten hinsichtlich der Sicherheit. Für die Nutzung von Security Hub wird eine Gebühr erhoben. Weitere Informationen finden Sie unter -Preisgestaltung.

Verwenden Sie jeweils nur eine Methode zum Scannen verwalteter Knoten auf Patch-Compliance, um unbeabsichtigtes Überschreiben von Compliance-Daten zu vermeiden.

Mit EC2Run Command können Sie Instances in großem Umfang ohne SSH Zugriff verwalten.

Prüfen Sie alle API AnrufeRun Command, die von oder im Namen einer Funktion von AWS Systems Manager, getätigt AWS CloudTrail werden.

Wenn Sie einen Befehl mit Run Command senden, schließen Sie keine vertraulichen Informationen ein, die als Klartext formatiert sind, z. B. Passwörter, Konfigurationsdaten oder andere Geheimnisse. Alle Systems Manager API Manager-Aktivitäten in Ihrem Konto werden in einem S3-Bucket für AWS CloudTrail Protokolle protokolliert. Dies bedeutet, dass jeder Benutzer mit Zugriff auf den S3-Bucket die Klartextwerte dieser Geheimnisse anzeigen kann. Aus diesem Grund empfehlen wir, SecureString-Parameter zu erstellen und zu verwenden, um die sensiblen Daten zu verschlüsseln, die Sie in Ihren Systems-Manager-Operationen verwenden.

Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Systems Manager-Parameter mithilfe von IAM-Richtlinien.

Verwenden Sie die Ziel- und Tempo-Steuerungsfunktionen in Run Command zum Ausführen zwischengespeicherter Befehle.

Verwenden Sie detaillierte Zugriffsberechtigungen für Run Command (und alle Systems Manager Manager-Funktionen) mithilfe von AWS Identity and Access Management (IAM) -Richtlinien.

Prüfen Sie die Sitzungsaktivität während Ihrer AWS-Konto Nutzung. AWS CloudTrail

Protokollieren Sie Sitzungsdaten in Ihrer AWS-Konto Nutzung von Amazon CloudWatch Logs oder Amazon S3.

Steuerung des Benutzer-Sitzungszugriffs auf Instances.

Beschränken des Zugriffs auf Befehle in einer Sitzung.

Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto.

Aktualisieren Sie den SSM Agent mindestens einmal pro Monat mit dem vorkonfigurierten AWS-UpdateSSMAgent-Dokument.

(Windows) Laden Sie das DSC Modul PowerShell oder auf Amazon Simple Storage Service (Amazon S3) hoch und verwenden Sie esAWS-InstallPowerShellModule.

Erstellen Sie Anwendungsgruppen für Ihre Knoten mit Tags. Und dann verwenden Sie den Targets Parameter als Zielknoten, anstatt einzelne Knoten anzugebenIDs.

Beseitigen Sie die von Amazon Inspector erzeugten Ergebnisse mit Systems Manager automatisch.

Verwenden Sie ein zentrales Konfigurations-Repository für Ihre SSM Dokumente und teilen Sie Dokumente unternehmensweit.

Informationen zu den Unterschieden zwischen State Manager und Maintenance Windows finden Sie unterAuswahl zwischen State Manager und Maintenance Windows.

Systems Manager erfordert genaue Zeitreferenzen, um seine Operationen auszuführen. Wenn Datum und Uhrzeit Ihres Nodes nicht korrekt eingestellt sind, stimmen sie möglicherweise nicht mit dem Signaturdatum Ihrer API Anfragen überein. Dies kann zu Fehlern oder unvollständiger Funktionalität führen. Beispiel: Knoten mit falschen Zeiteinstellungen werden nicht in die Liste der verwalteten Knoten aufgenommen.

Informationen zum Einstellen der Uhrzeit auf Ihren Knoten finden Sie unter Zeit für Ihre EC2 Amazon-Instance festlegen.

Überprüfen Sie auf verwalteten Linux-Knoten die Signatur von SSM Agent.