Entender cómo funciona State Manager - AWS Systems Manager
Cómo saber cuándo se aplican las asociaciones a los recursosAcerca de las actualizaciones de destino con los manuales de procedimientos de Automatización

Entender cómo funciona State Manager

State Manager, una capacidad de AWS Systems Manager, es un servicio seguro y escalable que automatiza el proceso de mantener los nodos administrados en una infraestructura híbrida y multinube en el estado que usted defina.

Así es como funciona State Manager:

1. Determine el estado que desea aplicar a sus recursos de AWS.

¿Desea garantizar que los nodos administrados estén configurados con aplicaciones específicas, como, por ejemplo, las aplicaciones antivirus o malware? ¿Desea automatizar el proceso de actualización de SSM Agent u otros paquetes de AWS como AWSPVDriver? ¿Necesita garantizar que los puertos específicos se cierren o abran? Para comenzar a utilizar State Manager, determine el estado que desea aplicar a los recursos de AWS. El estado que desea aplicar determina qué documento de SSM se utiliza para crear una asociación de State Manager.

Una asociación de State Manager es una configuración que asigna a sus recursos de AWS. La configuración define el estado que desea mantener en los recursos. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en un nodo administrado, o bien que determinados puertos deben estar cerrados.

Una asociación especifica una programación del momento en que aplicar la configuración y los destinos para la asociación. Por ejemplo, una asociación para software antivirus puede ejecutarse una vez al día en todos los nodos administrados de una Cuenta de AWS. Si el software no está instalado en un nodo, la asociación podría exigir a State Manager que lo instale. Si el software está instalado, pero el servicio no se está ejecutando, la asociación podría exigir a State Manager que inicie el servicio.

2. Determine si un documento de SSM preconfigurado puede ayudarlo a crear el estado deseado en los recursos de AWS.

Systems Manager incluye decenas de documentos de SSM preconfigurados que puede utilizar para crear una asociación. Los documentos preconfigurados están listos para llevar a cabo tareas comunes, como instalar aplicaciones, configurar Amazon CloudWatch, ejecutar automatizaciones de AWS Systems Manager, ejecutar scripts de PowerShell y Shell, y unir nodos administrados a un dominio de Directory Service para Active Directory.

Puede ver todos los documentos de SSM en la consola de Systems Manager. Elija el nombre de un documento para obtener más información acerca de cada uno de ellos. A continuación, se incluyen dos ejemplos: AWS-ConfigureAWSPackage y AWS-InstallApplication.

3. Cree una asociación.

Puede crear una asociación mediante la consola de Systems Manager, AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) o la API de Systems Manager. Al crear una asociación, debe especificar la siguiente información:

  • Un nombre para la asociación.

  • Los parámetros del documento de SSM (por ejemplo, la ruta a la aplicación que desee instalar o el script que se va a ejecutar en los nodos).

  • Destinos para la asociación. Puede definir el destino de los nodos administrados especificando etiquetas, eligiendo identificadores de nodo individuales o eligiendo un grupo en AWS Resource Groups. También puede definir el destino de todos los nodos administrados en la Región de AWS y la Cuenta de AWS actuales.

  • Una programación para indicar cuándo o con qué frecuencia se aplicará el estado. Puede especificar una expresión cron o rate. Para obtener más información acerca de la creación de programas usando expresiones Cron y Rate, consulte Expresiones cron y rate para asociaciones.

    nota

    State Manager actualmente no admite especificar meses en expresiones cron para asociaciones.

Cuando ejecuta el comando para crear la asociación, Systems Manager vincula la información que se especifica (programación, destinos, documento de SSM y parámetros) a los recursos de destino. El estado de la asociación inicialmente muestra Pending (Pendiente) pues el sistema intenta llegar a todos los destinos y aplicar inmediatamente el estado especificado en la asociación.

nota

Si crea una nueva asociación que está programada para ejecutarse mientras todavía se está ejecutando una asociación anterior, se agota el tiempo de espera de la asociación y se ejecuta la nueva asociación.

Systems Manager indica el estado de la solicitud para crear asociaciones en los recursos. Puede consultar los detalles de estado en la consola o, en el caso de los nodos administrados, mediante la operación DescribeInstanceAssociationsStatus de la API. Si elige escribir el resultado del comando en Amazon Simple Storage Service (Amazon S3) cuando crea una asociación, también podrá consultar el resultado en el bucket de Simple Storage Service (Amazon S3) que haya especificado.

Para obtener más información, consulte Trabajo con asociaciones en Systems Manager.

nota

Las operaciones de la API que inicia el documento SSM durante la ejecución de una asociación no se registran en AWS CloudTrail.

4. Monitorización y actualización.

Después de crear la asociación, State Manager vuelve a aplicar la configuración de acuerdo con la programación definida en la asociación. Puede ver el estado de sus asociaciones en la página de State Manager de la consola o llamando directamente al ID de asociación generado por Systems Manager cuando creó dicha asociación. Para obtener más información, consulte Visualización de los historiales de asociación. Puede actualizar los documentos de asociación y volver a aplicarlos según sea necesario. También puede crear varias versiones de una asociación. Para obtener más información, consulte Edición y creación de una nueva versión de una asociación.

Cómo saber cuándo se aplican las asociaciones a los recursos

Cuando crea una asociación, especifica un documento de SSM que define la configuración, una lista de recursos de destino y una programación para aplicar la configuración. De manera predeterminada, State Manager ejecuta la asociación cuando se crea, y luego según su programación. State Manager también intenta ejecutar la asociación en las siguientes situaciones:

  • Edición de asociación: State Manager ejecuta la asociación después de que un usuario edite y guarde los cambios realizados en cualquiera de los siguientes campos de la asociación: DOCUMENT_VERSION, PARAMETERS, SCHEDULE_EXPRESSION, OUTPUT_S3_LOCATION.

  • Edición de documento: State Manager ejecuta la asociación después de que un usuario edite y guarde los cambios realizados en el documento SSM que define el estado de configuración de la asociación. Concretamente, la asociación se ejecuta después de realizar las siguientes ediciones en el documento:

    • Un usuario especifica una nueva versión del documento $DEFAULT y la asociación se creó utilizando la versión $DEFAULT.

    • Un usuario actualiza un documento y la asociación se creó utilizando la versión $LATEST.

    • Un usuario elimina el documento que se especificó cuando se creó la asociación.

  • Inicio manual: State Manager ejecuta la asociación cuando la inicia el usuario desde la consola de Systems Manager o mediante programación.

  • Cambios de destino: State Manager ejecuta la asociación después de que se produzca alguna de las siguientes actividades en un nodo de destino:

    • Un nodo administrado se conecta por primera vez.

    • Un nodo administrado se conecta después de perder una ejecución de asociación programada.

    • Un nodo administrado se conecta después de haber estado detenido durante más de 30 días.

Acerca de las actualizaciones de destino con los manuales de procedimientos de Automatización

Para que las asociaciones que se crean con los manuales de procedimientos de Automatización se apliquen cuando se detecten nuevos nodos de destino, se deben cumplir las siguientes condiciones:

  • La asociación debe haberla creado una configuración de Quick Setup. Quick Setup es una capacidad de AWS Systems Manager. Actualmente, no se admiten asociaciones creadas por otros procesos.

  • El manual de procedimientos de Automatización se debe dirigir explícitamente al tipo de recurso AWS::EC2::Instance o AWS::SSM::ManagedInstance.

  • La asociación debe especificar los parámetros y los destinos.

    En la consola, los campos Parámetro y Destinos se muestran al seleccionar una ejecución de control de velocidad.

    Las opciones de parámetros y destinos se presentan en la consola para las ejecuciones del control de velocidad

    Cuando use las operaciones CreateAssociation, CreateAssociationBatch o UpdateAssociation de la API, puede especificar estos valores con las entradas AutomationTargetParameterName y Targets.