Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anwendungsfälle und bewährte Methoden
In diesem Thema werden häufige Anwendungsfälle und bewährte Methoden für AWS Systems Manager Funktionen aufgeführt. Wo verfügbar, sind in diesem Thema auch Links zu relevanten Blogbeiträgen und technischer Dokumentation enthalten.
Anmerkung
Die Abschnittstitel sind aktive Links zum entsprechenden Abschnitt in der technischen Dokumentation.
Automation
-
Erstellen Sie Self-Service-Automation-Runbooks für Infrastruktur.
-
Verwenden Sie Automation, eine Funktion von AWS Systems Manager, um das Erstellen zu vereinfachen Amazon Machine Images (AMIs) von AWS Marketplace oder benutzerdefiniert AMIs, indem Sie öffentliche Systems Manager SSM Manager-Dokumente (Dokumente) verwenden oder Ihre eigenen Workflows erstellen.
-
Erstellen und verwalten AMIsmithilfe der
AWS-UpdateLinuxAmi
undAWS-UpdateWindowsAmi
Automation-Runbooks oder mithilfe benutzerdefinierter Automation-Runbooks, die Sie erstellen.
Inventory
-
Verwenden Sie Inventory, eine Funktion von AWS Systems Manager, mit, AWS Config um Ihre Anwendungskonfigurationen mit der Zeit zu prüfen.
Maintenance Windows
-
Definieren Sie einen Zeitplan zur Ausführung potenziell störender Aktionen auf Ihren Knoten, wie z. B. Betriebssystem-Patches, Treiber-Updates oder Software-Installationen.
-
Für Informationen zu den Unterschieden zwischen State Manager and Maintenance Windows, Funktionen von AWS Systems Manager, sieheWählen Sie zwischen State Manager and Maintenance Windows.
Parameter Store
-
Verwenden Sie Parameter Store, eine Funktion von AWS Systems Manager, globale Konfigurationseinstellungen zentral zu verwalten.
-
AWS Secrets Manager Referenzgeheimnisse von Parameter Store Parameter.
Patch Manager
-
Verwenden Sie Patch Manager, eine Funktion von AWS Systems Manager, Patches in großem Umfang bereitzustellen und die Compliance-Sichtbarkeit der Flotte über alle Knoten hinweg zu erhöhen.
-
Integrieren Patch Manager mit AWS Security Hub, um Warnungen zu erhalten, wenn Knoten in Ihrer Flotte die Compliance nicht erfüllen, und überwachen Sie den Patching-Status Ihrer Flotten aus Sicherheitsansicht. Für die Nutzung von Security Hub wird eine Gebühr erhoben. Weitere Informationen finden Sie unter -Preisgestaltung
. -
Verwenden Sie jeweils nur eine Methode zum Scannen verwalteter Knoten auf Patch-Compliance, um unbeabsichtigtes Überschreiben von Compliance-Daten zu vermeiden.
Run Command
-
Verwalten Sie Instances in großem Umfang ohne SSH Zugriff mithilfe von EC2 Run Command
. -
Prüfen Sie alle API Anrufe und zugehörige Ereignisse, die von oder im Namen der Run Command, eine Fähigkeit zur AWS Systems Manager Verwendung von AWS CloudTrail.
Wenn Sie einen Befehl senden mit Run Command, schließen Sie keine vertraulichen Informationen ein, die als Klartext formatiert sind, z. B. Passwörter, Konfigurationsdaten oder andere Geheimnisse. Alle API Systems-Manager-Aktivitäten in Ihrem Konto werden in einem S3-Bucket für AWS CloudTrail -Protokolle protokolliert. Dies bedeutet, dass jeder Benutzer mit Zugriff auf den S3-Bucket die Klartextwerte dieser Geheimnisse anzeigen kann. Aus diesem Grund empfehlen wir,
SecureString
-Parameter zu erstellen und zu verwenden, um die sensiblen Daten zu verschlüsseln, die Sie in Ihren Systems-Manager-Operationen verwenden.Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Parameter Store Parameter mithilfe von Richtlinien IAM.
Anmerkung
Standardmäßig werden die von CloudTrail an Ihren Bucket gesendeten Protokolldateien mit Amazon-S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3) verschlüsselt. Um eine Sicherheitsebene bereitzustellen, die direkt verwaltet werden kann, können Sie stattdessen die serverseitige Verschlüsselung mit von AWS KMS verwalteten Schlüsseln (SSE-KMS) für Ihre CloudTrail Protokolldateien verwenden.
Weitere Informationen finden Sie im Benutzerhandbuch unter Verschlüsseln von CloudTrail Protokolldateien mit AWS KMS—verwalteten Schlüsseln (SSE-KMS).AWS CloudTrail
-
Verwenden Sie die Funktionen für Ziele und Ratensteuerung in Run Command um eine mehrstufige Befehlsoperation auszuführen.
Session Manager
State Manager
-
(Windows) Laden Sie das DSC Modul PowerShell oder in Amazon Simple Storage Service (Amazon S3) hoch und verwenden Sie
AWS-InstallPowerShellModule
. -
Erstellen Sie Anwendungsgruppen für Ihre Knoten mit Tags. Wählen Sie anschließend Knoten mit dem
Targets
Parameter aus, anstatt einzelne Knoten anzugebenIDs. -
Beseitigen Sie die von Amazon Inspector erzeugten Ergebnisse mit Systems Manager automatisch
. -
Für Informationen zu den Unterschieden zwischen State Manager and Maintenance Windows, finden Sie unter Wählen Sie zwischen State Manager and Maintenance Windows.
Verwaltete Knoten
-
Systems Manager erfordert genaue Zeitreferenzen, um seine Operationen auszuführen. Wenn in Ihrem Knoten das Datum und die Uhrzeit nicht korrekt festgelegt wurden, stimmen sie möglicherweise nicht mit dem Signaturdatum Ihrer API Anforderungen überein. Dies kann zu Fehlern oder unvollständiger Funktionalität führen. Beispiel: Knoten mit falschen Zeiteinstellungen werden nicht in die Liste der verwalteten Knoten aufgenommen.
Weitere Informationen über das Einstellen der Zeit für Ihre Knoten finden Sie unter Einstellen der Zeit für Ihre EC2 Amazon-Instance.
-
Überprüfen Sie auf verwalteten Linux-Knoten die Signatur von SSM Agent.
- Weitere Informationen