Comprendre comment State Manager fonctionnement - AWS Systems Manager
Comprendre quand les associations sont appliquées aux ressourcesÀ propos des mises à jour de cibles avec les dossiers d’exploitation Automation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre comment State Manager fonctionnement

State Manager, un outil de AWS Systems Manager, est un service sécurisé et évolutif qui automatise le processus de maintien des nœuds gérés dans une infrastructure hybride et multicloud dans un état que vous définissez.

Voici comment State Manager œuvres :

1. Déterminez l'état que vous souhaitez appliquer à vos AWS ressources.

Souhaitez‑vous garantir que vos nœuds gérés sont configurés avec des applications spécifiques, comme des anti‑virus ou des applications anti‑programme malveillant ? Voulez-vous automatiser le processus de mise à jour du SSM Agent ou d'autres AWS packages tels que AWSPVDriver ? Devez-vous vous assurer que des ports spécifiques sont fermés ou ouverts ? Pour commencer avec State Manager, déterminez l'état que vous souhaitez appliquer à vos AWS ressources. L'état que vous souhaitez appliquer détermine le document SSM que vous utilisez pour créer un State Manager association.

A State Manager une association est une configuration que vous attribuez à vos AWS ressources. La configuration définit le statut que vous souhaitez conserver sur vos ressources. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et s'exécuter sur un nœud géré, ou que certains ports doivent être fermés.

Une association spécifie une planification indiquant quand appliquer la configuration et quelles sont les cibles de l'association. Par exemple, une association pour un logiciel antivirus peut s'exécuter une fois par jour sur tous les nœuds gérés d'un Compte AWS. Si le logiciel n'est pas installé sur un nœud, l'association peut demander State Manager pour l'installer. Si le logiciel est installé, mais que le service n'est pas en cours d'exécution, l'association peut demander State Manager pour démarrer le service.

2. Déterminez si un document SSM préconfiguré peut vous aider à créer l'état souhaité sur vos AWS ressources.

Systems Manager inclut des douzaines de documents SSM préconfigurés que vous pouvez utiliser pour créer une association. Les documents préconfigurés sont prêts à effectuer des tâches courantes telles que l'installation d'applications, la configuration d'Amazon CloudWatch, l'exécution d' AWS Systems Manager automatismes, l'exécution de scripts Shell PowerShell et l'association de nœuds gérés à un domaine de service d'annuaire pour Active Directory.

Vous pouvez afficher tous les documents SSM dans la console Systems Manager. Sélectionnez le nom d'un document pour en savoir plus sur celui-ci. Voici deux exemples : AWS-ConfigureAWSPackage et AWS-InstallApplication.

3. Créer une association.

Vous pouvez créer une association à l'aide de la console Systems Manager, de l'API AWS Command Line Interface AWS Tools for Windows PowerShell (AWS CLI), (Tools for Windows PowerShell) ou de l'API Systems Manager. Lorsque vous créez une association, vous spécifiez les informations suivantes :

  • Un nom pour l'application.

  • Les paramètres pour le document de commande SSM (par exemple, le chemin d'accès à l'application à installer ou le script à exécuter sur les nœuds).

  • Des cibles pour l'association. Vous pouvez cibler les nœuds gérés en spécifiant des balises, en choisissant un nœud IDs individuel ou en choisissant un groupe dans AWS Resource Groups. Vous pouvez également cibler tous les nœuds gérés dans les versions actuelles Région AWS et Compte AWS.

  • Un programme définissant quand et à quelle fréquence appliquer l'état. Vous pouvez spécifier une expression cron ou de fréquence. Pour plus d'informations sur la création de programmes à l'aide d'expressions cron et de fréquence (rate), consultez Expressions cron et rate pour les associations.

    Note

    State Manager ne prend actuellement pas en charge la spécification de mois dans les expressions cron pour les associations.

Lorsque vous exécutez la commande pour créer l'association, Systems Manager lie les informations que vous avez spécifiées (planification, cibles, documents SSM et paramètres) aux ressources ciblées. Le statut de l'association affiche initialement « Pending » (En suspens) pendant que système tente d'atteindre toutes les cibles et d'appliquer immédiatement l'état spécifié dans l'association.

Note

Si vous avez créé une nouvelle association qui est prévue pendant qu'une association précédente est encore en cours d'exécution, l'association précédente prend fin et la nouvelle association est exécutée.

Systems Manager signale le statut de la demande de création d'associations sur les ressources. Vous pouvez consulter les détails du statut dans la console ou (pour les nœuds gérés) à l'aide de l'opération DescribeInstanceAssociationsStatusAPI. Si vous choisissez d'écrire la sortie de la commande dans Amazon Simple Storage Service (Amazon S3) lorsque vous créez une association, vous pouvez également afficher la sortie dans le compartiment Amazon Simple Storage Service (Amazon S3) spécifié.

Pour de plus amples informations, veuillez consulter Utilisation d'associations dans Systems Manager.

Note

Les opérations d'API initiées par le document SSM lors d'une exécution d'association ne sont pas journalisées dans AWS CloudTrail.

4. Surveillez et mettez à jour.

Après avoir créé l'association, State Manager réapplique la configuration conformément au calendrier que vous avez défini dans l'association. Vous pouvez consulter le statut de vos associations sur le State Manager page dans la console ou en appelant directement l'ID d'association généré par Systems Manager lors de la création de l'association. Pour de plus amples informations, veuillez consulter Affichage des historiques des associations. Vous pouvez mettre à jour vos documents d'association et les réappliquer si nécessaire. Vous pouvez également créer plusieurs versions d'une association. Pour de plus amples informations, veuillez consulter Modification et création de la nouvelle version d'une association.

Comprendre quand les associations sont appliquées aux ressources

Lorsque vous créez une association, vous spécifiez un document SSM qui définit la configuration, une liste des ressources cibles et un calendrier pour l'application de la configuration. Par défaut, State Manager exécute l'association lorsque vous la créez, puis selon votre planning. State Manager tente également d'exécuter l'association dans les situations suivantes :

  • Modification de l'association — State Manager exécute l'association une fois qu'un utilisateur l'a modifiée et enregistre ses modifications dans l'un des champs d'association suivants :DOCUMENT_VERSION,, PARAMETERSSCHEDULE_EXPRESSION,OUTPUT_S3_LOCATION.

  • Modification du document — State Manager exécute l'association après qu'un utilisateur a modifié et enregistré les modifications apportées au document SSM qui définit l'état de configuration de l'association. Plus précisément, l'association s'exécute une fois que les modifications suivantes ont été apportées au document :

    • Un utilisateur spécifie une nouvelle version de document $DEFAULT et l’association a été créée à l’aide de la version $DEFAULT.

    • Un utilisateur met à jour un document et l’association a été créée à l’aide de la version $LATEST.

    • Un utilisateur supprime le document qui a été spécifié lors de la création de l'association.

  • Démarrage manuel — State Manager exécute l'association lorsqu'elle est initiée par l'utilisateur depuis la console Systems Manager ou par programmation.

  • Changements de cibles — State Manager exécute l'association après que l'une des activités suivantes se soit produite sur un nœud cible :

    • Un nœud géré est mis en ligne pour la première fois.

    • Un nœud est mis en ligne après avoir manqué une exécution d’association planifiée.

    • Un nœud est mis en ligne après avoir été arrêté pendant plus de 30 jours.

       

    Empêcher les associations de s'exécuter lorsqu'une cible change

    Dans certains cas, il se peut que vous ne souhaitiez pas qu'une association s'exécute lorsqu'une cible composée de nœuds gérés change, mais uniquement selon le calendrier spécifié.

    Note

    L'exécution d'un runbook d'automatisation entraîne un coût. Si une association avec un runbook Automation cible toutes les instances de votre compte et que vous lancez régulièrement un grand nombre d'instances, le runbook est exécuté sur chacune des instances lors de son lancement. Cela peut entraîner des frais d'automatisation élevés.

    Pour empêcher l'exécution d'une association lorsque les cibles de cette association changent, cochez la case Appliquer l'association uniquement au prochain intervalle de cron spécifié. Cette case à cocher se trouve dans la zone Spécifier le calendrier des pages Créer une association et Modifier une association.

    Cette option s'applique aux associations qui intègrent un runbook d'automatisation ou un document SSM.

À propos des mises à jour de cibles avec les dossiers d’exploitation Automation

Pour que les associations créées avec les dossiers d’exploitation Automation soient appliquées lorsque de nouveaux nœuds cibles sont détectés, les conditions suivantes doivent être remplies :

  • L'association doit avoir été créée par un Quick SetupConfiguration . Quick Setup est un outil dans AWS Systems Manager. Les associations créées par d’autres processus ne sont pas prises en charge actuellement.

  • Le dossier d’exploitation Automation doit cibler explicitement le type de ressource AWS::EC2::Instance ou AWS::SSM::ManagedInstance.

  • L’association doit spécifier les paramètres et les cibles.

    Dans la console, les champs Paramètre et Cibles s’affichent lorsque vous choisissez une exécution de contrôle de débit.

    Les options de paramètre et de cible sont présentées dans la console pour les exécutions de contrôle de débit

    Lorsque vous utilisez le CreateAssociation, CreateAssociationBatch, ou UpdateAssociationActions d'API, vous pouvez spécifier ces valeurs à l'aide AutomationTargetParameterName des Targets entrées et. Dans chacune de ces actions d'API, vous pouvez également empêcher l'association de s'exécuter chaque fois qu'une cible change en définissant le ApplyOnlyAtCronInterval paramètre surtrue.

    Pour plus d'informations sur l'utilisation de la console pour contrôler le moment où les associations sont exécutées, y compris des informations sur la manière d'éviter des coûts inattendus lors des exécutions automatisées, consultezComprendre quand les associations sont appliquées aux ressources.