Kasus penggunaan dan praktik terbaik

Topik ini mencantumkan kasus penggunaan umum dan praktik terbaik untuk AWS Systems Manager kemampuan. Jika tersedia, topik ini juga mencakup tautan ke posting blog dan dokumentasi teknis yang relevan.

catatan

Judul setiap bagian di sini adalah tautan aktif ke bagian yang sesuai dalam dokumentasi teknis.

Otomatisasi

Buat runbook Otomatisasi layanan mandiri untuk infrastruktur.
Gunakan Otomasi, kemampuan AWS Systems Manager, untuk menyederhanakan pembuatan Amazon Machine Images (AMIs) dari AWS Marketplace atau kustomAMIs, menggunakan dokumen Systems Manager publik (SSMdokumen) atau dengan membuat alur kerja Anda sendiri.
Menyusun dan mempertahankan AMIs menggunakan AWS-UpdateLinuxAmi dan runbook Otomatisasi AWS-UpdateWindowsAmi, atau menggunakan runbook Otomatisasi kustom yang Anda buat.

Inventaris

Gunakan Inventaris, kemampuan AWS Systems Manager, dengan AWS Config untuk mengaudit konfigurasi aplikasi Anda dari waktu ke waktu.

Maintenance Windows

Tentukan jadwal untuk melakukan tindakan yang berpotensi mengganggu pada node Anda seperti patch sistem operasi (OS), pembaruan driver, atau instalasi perangkat lunak.
Untuk informasi tentang perbedaan antara State Manager danMaintenance Windows, kemampuan AWS Systems Manager, lihatMemilih antara State Manager and Maintenance Windows.

Parameter Store

GunakanParameter Store, kemampuan AWS Systems Manager, untuk mengelola pengaturan konfigurasi global secara terpusat.
Bagaimana AWS Systems ManagerParameter Store menggunakan AWS KMS.
AWS Secrets Manager Rahasia referensi dari Parameter Store parameter.

Patch Manager

GunakanPatch Manager, kemampuan AWS Systems Manager, untuk meluncurkan tambalan dalam skala besar dan meningkatkan visibilitas kepatuhan armada di seluruh node Anda.
Integrasikan Patch Manager dengan AWS Security Hub untuk menerima peringatan saat node di armada Anda tidak sesuai dan pantau status patching armada Anda dari sudut pandang keamanan. Ada biaya atas penggunaan Security Hub. Untuk informasi selengkapnya, lihat Harga.
Gunakan hanya satu metode pada satu waktu untuk memindai node terkelola untuk kepatuhan patch untuk menghindari penimpaan data kepatuhan secara tidak sengaja.

Run Command

Kelola Instans pada Skala tanpa SSH Akses Menggunakan Perintah EC2 Jalankan.
Audit semua API panggilan yang dilakukan oleh atau atas namaRun Command, kemampuan AWS Systems Manager, penggunaan AWS CloudTrail.
Saat Anda mengirim perintah menggunakanRun Command, jangan sertakan informasi sensitif yang diformat sebagai teks biasa, seperti kata sandi, data konfigurasi, atau rahasia lainnya. Semua API aktivitas Systems Manager di akun Anda dicatat dalam bucket S3 untuk AWS CloudTrail log. Ini berarti bahwa setiap pengguna dengan akses ke bucket S3 dapat melihat nilai plaintext dari rahasia tersebut. Untuk alasan ini, kami sarankan untuk membuat dan menggunakan SecureString parameter untuk mengenkripsi data sensitif yang Anda gunakan dalam operasi Systems Manager Anda.

Untuk informasi selengkapnya, lihat Membatasi akses ke Parameter Store parameter menggunakan IAM kebijakan.

catatan
Secara default, file log yang dikirimkan CloudTrail ke bucket Anda dienkripsi oleh enkripsi sisi server Amazon dengan kunci enkripsi yang dikelola Amazon S3 (-S3). SSE Untuk menyediakan lapisan keamanan yang dapat dikelola secara langsung, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS—managed keys (SSE-KMS) untuk file log Anda. CloudTrail
Untuk informasi selengkapnya, lihat Mengenkripsi file CloudTrail log dengan AWS KMS—managed keys (SSE-KMS) di Panduan Pengguna.AWS CloudTrail
Gunakan target dan fitur kontrol tingkat Run Command untuk melakukan operasi perintah bertahap.
Gunakan izin akses berbutir halus untuk Run Command (dan semua kemampuan Systems Manager) dengan menggunakan AWS Identity and Access Management kebijakan (). IAM

Session Manager

State Manager

Perbarui SSM Agent setidaknya sebulan sekali menggunakan AWS-UpdateSSMAgent dokumen yang telah dikonfigurasi sebelumnya.
(Windows) Unggah DSC modul PowerShell atau ke Amazon Simple Storage Service (Amazon S3), dan gunakan. AWS-InstallPowerShellModule
Gunakan tag untuk membuat grup aplikasi untuk node Anda. Dan kemudian target node menggunakan Targets parameter alih-alih menentukan node IDs individu.
Secara otomatis memulihkan temuan yang dihasilkan oleh Amazon Inspector dengan menggunakan Systems Manager.
Gunakan repositori konfigurasi terpusat untuk SSM dokumen Anda, dan bagikan dokumen di seluruh organisasi Anda.
Untuk informasi selengkapnya tentang perbedaan antara State Manager dan Maintenance Windows, lihat Memilih antara State Manager and Maintenance Windows.

Node terkelola

Systems Manager memerlukan referensi waktu yang akurat untuk melakukan operasinya. Jika tanggal dan waktu node Anda tidak disetel dengan benar, mereka mungkin tidak cocok dengan tanggal tanda tangan API permintaan Anda. Hal ini dapat menyebabkan kesalahan atau fungsionalitas yang tidak lengkap. Misalnya, node dengan pengaturan waktu yang salah tidak akan disertakan dalam daftar node terkelola Anda.

Untuk informasi tentang menyetel waktu pada node, lihat Mengatur waktu untuk EC2 instans Amazon Anda.
Pada node yang dikelola Linux, verifikasi tanda tangan SSM Agent.

Info lebih lanjut

Praktik terbaik keamanan untuk Systems Manager

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat string tanggal dan waktu yang diformat untuk Systems Manager

Menghapus sumber daya dan artefak Systems Manager