• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Introduzione al funzionamento di State Manager
State Manager, a tool in AWS Systems Manager, è un servizio sicuro e scalabile che automatizza il processo di mantenimento dei nodi gestiti in un'infrastruttura [ibrida e multicloud](operating-systems-and-machine-types.md#supported-machine-types) in uno stato definito dall'utente.
Ecco come funziona State Manager:
**1. Determina lo stato che desideri applicare alle tue risorse. AWS **
Vuoi assicurarti che i nodi gestiti siano configurato con applicazioni specifiche, ad esempio applicazioni antivirus o malware? Vuoi automatizzare il processo di aggiornamento dell'SSM Agent o di altri pacchetti AWS , come ad esempio `AWSPVDriver`? Vuoi accertarti che determinate porte siano aperte o chiuse? Per iniziareState Manager, determina lo stato che desideri applicare alle tue AWS risorse. Lo stato che desideri applicare determinerà quale documento SSM utilizzerai per creare un'associazione di State Manager.
Un'State Manager*associazione* è una configurazione che assegni alle tue AWS risorse. La configurazione definisce lo stato che desideri mantenere sulle risorse. Ad esempio, un'associazione può specificare che il software antivirus debba essere installato ed eseguito su un nodo gestito o che determinate porte debbano essere chiuse.
Un'associazione specifica una pianificazione per quando applicare la configurazione e le destinazioni per l'associazione. Ad esempio, un'associazione per il software antivirus potrebbe essere eseguita una volta al giorno su tutti i nodi gestiti in un account Account AWS. Se il software non è installato su un nodo, l'associazione potrebbe istruire State Manager per installarlo. Se il software è installato, ma il servizio non è in esecuzione, l'associazione potrebbe indicare a State Manager di avviare il servizio.
**2. Determina se un documento SSM preconfigurato può aiutarti a creare lo stato desiderato sulle tue risorse. AWS **
Systems Manager include decine di documenti SSM preconfigurati che è possibile utilizzare per creare un'associazione. I documenti preconfigurati sono pronti per eseguire attività comuni come l'installazione di applicazioni, la configurazione di Amazon CloudWatch, l'esecuzione di AWS Systems Manager automazioni, l'esecuzione di script Shell PowerShell e l'aggiunta di nodi gestiti a un dominio di servizi di directory per Active Directory.
È possibile visualizzare tutti i documenti SSM nella [console di Systems Manager](https://console.aws.amazon.com/systems-manager/documents). Scegliere il nome di un documento per scoprire ulteriori informazioni su ciascuno di essi. Di seguito, sono riportati due esempi: [https://console.aws.amazon.com/systems-manager/documents/AWS-ConfigureAWSPackage/description](https://console.aws.amazon.com/systems-manager/documents/AWS-ConfigureAWSPackage/description) e [https://console.aws.amazon.com/systems-manager/documents/AWS-InstallApplication/description](https://console.aws.amazon.com/systems-manager/documents/AWS-InstallApplication/description).
**3. Creazione di un'associazione**
È possibile creare un'associazione utilizzando la console Systems Manager, AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) o l'API Systems Manager. Quando viene creata l'associazione, si specifica quanto segue:
+ Un nome per l'associazione.
+ I parametri per il documento SSM (ad esempio, il percorso dell'applicazione da installare o lo script da eseguire sui nodi).
+ I target per l'associazione. È possibile scegliere come target i nodi gestiti specificando i tag, scegliendo un singolo nodo IDs o selezionando un gruppo in AWS Resource Groups. Puoi anche scegliere come target *tutti i* nodi gestiti nell'attuale Regione AWS e Account AWS. Se le tue destinazioni includono più di 1.000 nodi, il sistema utilizza un meccanismo di limitazione (della larghezza di banda della rete). Ciò significa che potresti riscontrare imprecisioni nel conteggio dell'aggregazione dello stato, poiché il processo di aggregazione viene eseguito ogni ora e solo quando lo stato di esecuzione di un nodo cambia.
+ Ruolo utilizzato dall'associazione per intraprendere azioni per conto dell'utente. State Manager assumerà questo ruolo e la chiamata richiesta per l' APIs invio delle configurazioni ai nodi. Per informazioni sulla configurazione del ruolo fornito personalizzato, vedere. [Imposta i ruoli per `AssociationDispatchAssumeRole`](#setup-assume-role) Se non viene fornito alcun ruolo, verrà utilizzato il [ruolo collegato al servizio per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/using-service-linked-roles.html).
**Nota**
Si consiglia di definire un ruolo IAM personalizzato in modo da avere il pieno controllo delle autorizzazioni di cui dispone State Manager quando intraprende azioni per conto dell'utente.
Il supporto dei ruoli collegati ai servizi in State Manager viene gradualmente eliminato. Le associazioni che si basano sul ruolo collegato al servizio potrebbero richiedere aggiornamenti in futuro per continuare a funzionare correttamente.
Per informazioni sulla gestione dell'utilizzo del ruolo fornito dall'utente, vedere. [Gestisci l'utilizzo di AssociationDispatchAssumeRole con `ssm:AssociationDispatchAssumeRole`](#context-key-assume-role)
+ Una pianificazione per il momento o la frequenza di applicazione dello stato. È possibile specificare un'espressione Cron o della frequenza. Per ulteriori informazioni sulla creazione di pianificazioni utilizzando espressioni Cron e della frequenza, consulta [Espressioni Cron e della frequenza per le associazioni](reference-cron-and-rate-expressions.md#reference-cron-and-rate-expressions-association).
**Nota**
State Manager attualmente non supporta la specifica di mesi nelle espressioni cron per le associazioni.
Quando si esegue il comando per creare l'associazione, Systems Manager associa le informazioni specificate (pianificazione, target, documento SSM e parametri) alle risorse target. Lo stato dell'associazione inizialmente mostra "Pending" (In sospeso) mentre il sistema tenta di raggiungere tutti i target e applica *immediatamente* lo stato specificato nell'associazione.
Se si crea una nuova associazione pianificata per essere eseguita mentre un'associazione precedente è ancora in esecuzione, la prima associazione viene messa in timeout e viene eseguita la nuova associazione.
Systems Manager indica lo stato della richiesta di creazione di associazioni sulle risorse. È possibile visualizzare i dettagli sullo stato nella console o (per i nodi gestiti) utilizzando l'operazione [DescribeInstanceAssociationsStatus](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceAssociationsStatus.html)API. Se si sceglie di scrivere l'output del comando in Amazon Simple Storage Service (Amazon S3) quando si crea un'associazione, è possibile anche visualizzare l'output nel bucket Amazon S3 specificato.
Per ulteriori informazioni, consulta [Utilizzo delle associazioni in Systems Manager](state-manager-associations.md).
Le operazioni API avviate dal documento SSM durante un'esecuzione di associazione non vengono registrate in AWS CloudTrail.
**4. Monitorare e aggiornare.**
Una volta creata l'associazione, State Manager riapplica la configurazione in base alla pianificazione definita nell'associazione. È possibile visualizzare lo stato delle associazioni nella [pagina di State Manager](https://console.aws.amazon.com/systems-manager/state-manager) nella console oppure chiamando direttamente l'ID di associazione generato da Systems Manager quando è stata creata l'associazione. Per ulteriori informazioni, consulta [Visualizzazione della cronologia delle associazioni](state-manager-associations-history.md). È possibile aggiornare i documenti delle associazioni e riapplicarli come necessario. È possibile inoltre creare più versioni di un'associazione. Per ulteriori informazioni, consulta [Modifica e creazione di una nuova versione di un'associazione](state-manager-associations-edit.md).
## Capire quando le associazioni vengono applicate alle risorse
Quando crei un'associazione, specifichi un documento SSM che definisce la configurazione, un elenco di risorse target e una pianificazione per l'applicazione della configurazione. Per impostazione predefinita, State Manager esegue l'associazione al momento della creazione e quindi in base alla pianificazione specificata. State Manager prova inoltre a eseguire l'associazione nelle seguenti situazioni:
+ **Modifica associazione**: State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche in uno dei seguenti campi di associazione: `DOCUMENT_VERSION`, `PARAMETERS`, `SCHEDULE_EXPRESSION`, `OUTPUT_S3_LOCATION`.
+ **Modifica documento**: State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche al documento SSM che definisce lo stato di configurazione dell'associazione. In particolare, l'associazione viene eseguita dopo le seguenti modifiche al documento:
+ Un utente specifica una nuova versione del documento `$DEFAULT` e l'associazione era stata creata utilizzando la versione `$DEFAULT`.
+ Un utente aggiorna un documento e l'associazione era stata creata utilizzando la versione `$LATEST`.
+ Un utente elimina il documento specificato al momento della creazione dell'associazione.
+ **Avvio manuale**: State Manager esegue l'associazione quando viene avviata dall'utente dalla console di Systems Manager o a livello di programmazione.
+ **Modifiche alla destinazione**: State Manager esegue l'associazione dopo che si è verificata una delle seguenti attività su un nodo di destinazione:
+ Un nodo gestito passa online per la prima volta.
+ Un nodo gestito passa online dopo la mancata esecuzione di un'associazione pianificata.
+ Un nodo gestito passa online dopo essere stato arrestato per più di 30 giorni.
**Nota**
State Manager non monitora i documenti o i pacchetti utilizzati nelle associazioni all'interno degli Account AWS. Se aggiorni un documento o un pacchetto in un account, l'aggiornamento non causerà l'esecuzione dell'associazione nel secondo account. È necessario eseguire manualmente l'associazione nel secondo account.
**Impedire l'esecuzione delle associazioni quando una destinazione cambia**
In alcuni casi, potresti non voler eseguire un'associazione quando una destinazione composta da nodi gestiti cambia, ma solo in base alla pianificazione specificata.
**Nota**
L'esecuzione di un runbook di automazione comporta un costo. Se un'associazione a un runbook di automazione è diretta a tutte le istanze del tuo account e avvii regolarmente un gran numero di istanze, il runbook viene eseguito su ciascuna istanza al momento dell'avvio. Ciò può comportare costi di automazione elevati.
Per evitare che un'associazione venga eseguita quando le destinazioni di quell'associazione cambiano, seleziona la **casella di controllo Applica l'associazione solo al successivo intervallo cron specificato**. Questa casella di controllo si trova nell'area **Specifica pianificazione** delle pagine **Crea associazione** e **Modifica associazione**.
Questa opzione si applica alle associazioni che incorporano sia un runbook di automazione che un documento SSM.
## Informazioni sugli aggiornamenti di destinazione con i runbook Automation
Affinché le associazioni create con i runbook Automation vengano applicate quando vengono rilevati nuovi nodi di destinazione, è necessario che vengano soddisfatte le seguenti condizioni:
+ È necessario che l'associazione sia creata da una configurazione [Quick Setup](systems-manager-quick-setup.md). Quick Setup è uno strumento di AWS Systems Manager. Le associazioni create da altri processi non sono attualmente supportate.
+ È necessario che il runbook Automation indirizzi esplicitamente il tipo di risorsa `AWS::EC2::Instance` o `AWS::SSM::ManagedInstance`.
+ È necessario che l'associazione specifichi parametri e destinazioni.
Nella console, i campi **Parametro** e **Destinazioni** vengono visualizzati quando si sceglie un'esecuzione per il controllo della velocità.
![\[Le opzioni relative ai parametri e alle destinazioni sono presentate nella console per le esecuzioni di controllo della velocità\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/sm_Rate_control_execution_options.png)
Quando si utilizzano le azioni di API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociation.html), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociationBatch.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociationBatch.html) o [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateAssociation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateAssociation.html), è possibile specificare questi valori utilizzando gli input `AutomationTargetParameterName` e `Targets`. In ognuna di queste azioni di API, puoi anche impedire l'esecuzione dell'associazione ogni volta che una destinazione cambia impostando il parametro `ApplyOnlyAtCronInterval` su `true`.
Per informazioni sull'utilizzo della console per controllare quando vengono eseguite le associazioni, compresi i dettagli per evitare costi inaspettatamente elevati per le esecuzioni di automazione, consulta [Capire quando le associazioni vengono applicate alle risorse](#state-manager-about-scheduling).
## Imposta i ruoli per `AssociationDispatchAssumeRole`
Per configurare un invio personalizzato, si presupponga che State Manager assuma per eseguire azioni per conto dell'utente, che i ruoli siano affidabili `ssm.amazonaws.com` e abbiano l'autorizzazione necessaria per la chiamata `ssm:SendCommand` o in `ssm:StartAutomationExecution` base ai casi d'uso dell'associazione.
Esempio di politica di fiducia:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
## Gestisci l'utilizzo di AssociationDispatchAssumeRole con `ssm:AssociationDispatchAssumeRole`
Per gestire l'utilizzo dell'invio personalizzato, assumi i ruoli che State Manager assume per eseguire azioni per tuo conto, usa la chiave `ssm:AssociationDispatchAssumeRole` condition. Questa condizione controlla se le associazioni possono essere create o aggiornate senza specificare un ruolo di invio personalizzato.
Nella seguente politica di esempio, l'`"Allow"`istruzione concede le autorizzazioni per la creazione e l'aggiornamento dell'associazione APIs solo quando viene specificato il `AssociationDispatchAssumeRole` parametro. Senza questo parametro nelle richieste API, la policy non concede l'autorizzazione a creare o aggiornare associazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation",
"ssm:CreateAssociationBatch"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:AssociationDispatchAssumeRole": "*"
}
}
}
]
}
```