Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anwendungsfälle und bewährte Methoden
In diesem Thema werden allgemeine Anwendungsfälle und bewährte Methoden für AWS Systems Manager Funktionen aufgeführt. Wo verfügbar, sind in diesem Thema auch Links zu relevanten Blogbeiträgen und technischer Dokumentation enthalten.
Anmerkung
Die Abschnittstitel sind aktive Links zum entsprechenden Abschnitt in der technischen Dokumentation.
Automation
-
Erstellen Sie Self-Service-Automation-Runbooks für Infrastruktur.
-
Verwenden Sie Automation, eine Funktion von AWS Systems Manager, um das Erstellen Amazon Machine Images (AMIs) anhand von AWS Marketplace oder benutzerdefiniertenAMIs, öffentlichen Systems Manager Manager-Dokumenten (SSMDokumenten) oder durch das Verfassen eigener Workflows zu vereinfachen.
-
Erstellen und verwalten Sie AMIs mithilfe der
AWS-UpdateLinuxAmi
undAWS-UpdateWindowsAmi
Automation-Runbooks oder mithilfe benutzerdefinierter Automation-Runbooks, die Sie erstellen.
Inventory
-
Verwenden Sie Inventory, eine Funktion von AWS Systems Manager, mit, AWS Config um Ihre Anwendungskonfigurationen im Laufe der Zeit zu überprüfen.
Maintenance Windows
-
Definieren Sie einen Zeitplan zur Ausführung potenziell störender Aktionen auf Ihren Knoten, wie z. B. Betriebssystem-Patches, Treiber-Updates oder Software-Installationen.
-
Informationen zu den Unterschieden zwischen State Manager und und Maintenance Windows zu den Funktionen von AWS Systems Manager finden Sie unterAuswahl zwischen State Manager und Maintenance Windows.
Parameter Store
-
Verwenden SieParameter Store, eine Funktion von AWS Systems Manager, um globale Konfigurationseinstellungen zentral zu verwalten.
-
Verweisen Sie auf AWS Secrets Manager Geheimnisse aus Parameter Store Parametern.
Patch Manager
-
Verwenden Sie Patch Manager eine Funktion von AWS Systems Manager, um Patches in großem Umfang bereitzustellen und die Transparenz der Flottenkonformität auf Ihren Knoten zu erhöhen.
-
Integrieren Sie Patch Manager in AWS Security Hub, um Warnungen zu erhalten, wenn Knoten in Ihrer Flotte nicht konform sind, und überwachen Sie den Patching-Status Ihrer Flotten hinsichtlich der Sicherheit. Für die Nutzung von Security Hub wird eine Gebühr erhoben. Weitere Informationen finden Sie unter -Preisgestaltung
. -
Verwenden Sie jeweils nur eine Methode zum Scannen verwalteter Knoten auf Patch-Compliance, um unbeabsichtigtes Überschreiben von Compliance-Daten zu vermeiden.
Run Command
-
Mit EC2Run Command können Sie Instances in großem Umfang ohne SSH Zugriff verwalten
. -
Prüfen Sie alle API AnrufeRun Command, die von oder im Namen einer Funktion von AWS Systems Manager, getätigt AWS CloudTrail werden.
Wenn Sie einen Befehl mit Run Command senden, schließen Sie keine vertraulichen Informationen ein, die als Klartext formatiert sind, z. B. Passwörter, Konfigurationsdaten oder andere Geheimnisse. Alle Systems Manager API Manager-Aktivitäten in Ihrem Konto werden in einem S3-Bucket für AWS CloudTrail Protokolle protokolliert. Dies bedeutet, dass jeder Benutzer mit Zugriff auf den S3-Bucket die Klartextwerte dieser Geheimnisse anzeigen kann. Aus diesem Grund empfehlen wir,
SecureString
-Parameter zu erstellen und zu verwenden, um die sensiblen Daten zu verschlüsseln, die Sie in Ihren Systems-Manager-Operationen verwenden.Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Systems Manager-Parameter mithilfe von IAM-Richtlinien.
Anmerkung
Standardmäßig werden die von an Ihren Bucket übermittelten Protokolldateien durch CloudTrail serverseitige Amazon-Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) verschlüsselt. Um eine Sicherheitsebene bereitzustellen, die direkt verwaltet werden kann, können Sie stattdessen serverseitige Verschlüsselung mit AWS KMS—verwalteten Schlüsseln (SSE-) für Ihre Protokolldateien verwenden. KMS CloudTrail
Weitere Informationen finden Sie im Benutzerhandbuch unter Verschlüsseln von CloudTrail Protokolldateien mit AWS KMS—verwalteten Schlüsseln (SSE-KMS).AWS CloudTrail
Session Manager
State Manager
-
(Windows) Laden Sie das DSC Modul PowerShell oder auf Amazon Simple Storage Service (Amazon S3) hoch und verwenden Sie es
AWS-InstallPowerShellModule
. -
Erstellen Sie Anwendungsgruppen für Ihre Knoten mit Tags. Und dann verwenden Sie den
Targets
Parameter als Zielknoten, anstatt einzelne Knoten anzugebenIDs. -
Beseitigen Sie die von Amazon Inspector erzeugten Ergebnisse mit Systems Manager automatisch
. -
Informationen zu den Unterschieden zwischen State Manager und Maintenance Windows finden Sie unterAuswahl zwischen State Manager und Maintenance Windows.
Verwaltete Knoten
-
Systems Manager erfordert genaue Zeitreferenzen, um seine Operationen auszuführen. Wenn Datum und Uhrzeit Ihres Nodes nicht korrekt eingestellt sind, stimmen sie möglicherweise nicht mit dem Signaturdatum Ihrer API Anfragen überein. Dies kann zu Fehlern oder unvollständiger Funktionalität führen. Beispiel: Knoten mit falschen Zeiteinstellungen werden nicht in die Liste der verwalteten Knoten aufgenommen.
Informationen zum Einstellen der Uhrzeit auf Ihren Knoten finden Sie unter Zeit für Ihre EC2 Amazon-Instance festlegen.
-
Überprüfen Sie auf verwalteten Linux-Knoten die Signatur von SSM Agent.
- Weitere Informationen