Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kasus penggunaan dan praktik terbaik
Topik ini mencantumkan kasus penggunaan umum dan praktik terbaik untuk AWS Systems Manager kemampuan. Jika tersedia, topik ini juga mencakup tautan ke posting blog dan dokumentasi teknis yang relevan.
catatan
Judul setiap bagian di sini adalah tautan aktif ke bagian yang sesuai dalam dokumentasi teknis.
Otomatisasi
-
Buat runbook Otomatisasi layanan mandiri untuk infrastruktur.
-
Gunakan otomatisasi, suatu kemampuan dari AWS Systems Manager, untuk menyederhanakan pembuatan Amazon Machine Images (AMIs) dari AWS Marketplace atau kebiasaan AMIs, menggunakan dokumen Systems Manager publik (SSMdokumen) atau dengan membuat alur kerja Anda sendiri.
-
Membangun dan memelihara AMIsmenggunakan runbook
AWS-UpdateWindowsAmi
Otomatisasi, atau menggunakan runbook Otomatisasi kustom yang Anda buat.AWS-UpdateLinuxAmi
inventaris
-
Gunakan Inventaris, kemampuan dari AWS Systems Manager, dengan AWS Config untuk mengaudit konfigurasi aplikasi Anda dari waktu ke waktu.
Maintenance Windows
-
Tetapkan jadwal untuk melakukan tindakan yang berpotensi mengganggu di node Anda seperti penambalan sistem operasi (OS), pembaruan driver, atau penginstalan perangkat lunak.
-
Untuk informasi tentang perbedaan antara State Manager and Maintenance Windows, kemampuan AWS Systems Manager, lihatMemilih antara State Manager and Maintenance Windows.
Parameter Store
-
Gunakan Parameter Store, kemampuan dari AWS Systems Manager, untuk mengelola pengaturan konfigurasi global secara terpusat.
-
Bagaimana AWS Systems Manager Parameter Store menggunakan AWS KMS.
-
AWS Secrets Manager Rahasia referensi dari Parameter Store parameter.
Patch Manager
-
Gunakan Patch Manager, kemampuan dari AWS Systems Manager, untuk meluncurkan patch dalam skala besar dan meningkatkan visibilitas kepatuhan armada di seluruh node Anda.
-
Integrasikan Patch Manager dengan AWS Security Hub untuk menerima peringatan saat node di armada Anda tidak sesuai dan memantau status penambalan armada Anda dari sudut pandang keamanan. Ada biaya atas penggunaan Security Hub. Untuk informasi selengkapnya, lihat Harga
. -
Gunakan hanya satu metode pada satu waktu untuk memindai node terkelola untuk kepatuhan patch untuk menghindari penimpaan data kepatuhan secara tidak sengaja.
Run Command
-
Kelola Instans di Skala Besar tanpa SSH Akses Menggunakan EC2 Run Command
. -
Mengaudit semua API panggilan yang dilakukan oleh atau atas nama Run Command, kemampuan AWS Systems Manager, menggunakan AWS CloudTrail.
Ketika Anda mengirim perintah menggunakan Run Command, jangan menyertakan informasi sensitif yang diformat sebagai teks biasa, seperti kata sandi, data konfigurasi, atau rahasia lainnya. Semua API aktivitas Systems Manager di akun Anda dicatat di bucket S3 untuk AWS CloudTrail log. Ini berarti bahwa setiap pengguna dengan akses ke bucket S3 dapat melihat nilai teks biasa dari rahasia tersebut. Untuk alasan ini, kami merekomendasikan untuk membuat dan menggunakan
SecureString
parameter untuk mengenkripsi data sensitif yang Anda gunakan dalam operasi Systems Manager.Untuk informasi selengkapnya, lihat Pembatasan akses ke Parameter Store parameter menggunakan IAM kebijakan.
catatan
Secara default, berkas log yang dikirim CloudTrail ke bucket Anda dienkripsi oleh enkripsi sisi server Amazon dengan kunci enkripsi yang dikelola Amazon S3 (-S3). SSE Untuk menyediakan lapisan keamanan yang dapat dikelola secara langsung, Anda dapat menggunakan enkripsi sisi server dengan kunci yang AWS KMS dikelola (SSE-KMS) untuk file log Anda. CloudTrail
Untuk informasi selengkapnya, lihat Mengenkripsi file CloudTrail log dengan AWS KMS—managed keys (SSE-KMS) di Panduan Pengguna.AWS CloudTrail
-
Gunakan target dan fitur kontrol laju di Run Command untuk melakukan operasi perintah bertahap.
State Manager
-
Perbarui SSM Agent setidaknya sebulan sekali menggunakan AWS-UpdateSSMAgent dokumen yang telah dikonfigurasi sebelumnya.
-
(Windows) Unggah DSC modul PowerShell atau ke Amazon Simple Storage Service (Amazon S3), dan gunakan.
AWS-InstallPowerShellModule
-
Gunakan tag untuk membuat grup aplikasi untuk node Anda. Dan kemudian target node menggunakan
Targets
parameter alih-alih menentukan node IDs individual. -
Untuk informasi tentang perbedaan antara State Manager and Maintenance Windows, lihat Memilih antara State Manager and Maintenance Windows.
Node terkelola
-
Systems Manager memerlukan referensi waktu yang akurat untuk melakukan operasinya. Jika tanggal dan waktu node Anda tidak diatur dengan benar, tanggal dan waktu tersebut mungkin tidak cocok dengan tanggal tanda tangan API permintaan Anda. Hal ini dapat menyebabkan kesalahan atau fungsionalitas yang tidak lengkap. Misalnya, node dengan pengaturan waktu yang salah tidak akan disertakan dalam daftar node yang dikelola.
Untuk informasi tentang pengaturan waktu di node Anda, lihat Mengatur waktu untuk EC2 instans Amazon Anda.
-
Pada node yang dikelola Linux, verifikasi tanda tangan SSM Agent.
- Info selengkapnya