Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di associazioni
State Manager, una funzionalità di AWS Systems Manager, ti aiuta a mantenere AWS le tue risorse in uno stato che definisci e riduci la deriva della configurazione. Per farlo: State Manager utilizza associazioni. Un'associazione è una configurazione che assegni alle tue AWS risorse. La configurazione definisce lo stato che desideri mantenere sulle risorse. Ad esempio, un'associazione può specificare che il software antivirus debba essere installato ed eseguito su un nodo gestito o che determinate porte debbano essere chiuse.
Un'associazione specifica una pianificazione per quando applicare la configurazione e le destinazioni per l'associazione. Ad esempio, un'associazione per il software antivirus potrebbe essere eseguita una volta al giorno su tutti i nodi gestiti in un account Account AWS. Se il software non è installato su un nodo, l'associazione potrebbe istruire State Manager per installarlo. Se il software è installato, ma il servizio non è in esecuzione, l'associazione potrebbe istruire State Manager per avviare il servizio.
avvertimento
Quando crei un'associazione, puoi scegliere un gruppo di AWS risorse di nodi gestiti come destinazione per l'associazione. Se un utente AWS Identity and Access Management (IAM), un gruppo o un ruolo dispone dell'autorizzazione a creare un'associazione destinata a un gruppo di risorse di nodi gestiti, quindi quell'utente, un gruppo o un ruolo dispone automaticamente del controllo a livello root di tutti i nodi del gruppo. Solo gli amministratori attendibili devono essere autorizzati a creare le associazioni.
Target di associazione e controlli di velocità
Un'associazione specifica quali nodi o destinazioni gestiti devono ricevere l'associazione. State Manager include diverse funzionalità per aiutarti a scegliere come target i nodi gestiti e controllare come l'associazione viene implementata su tali target. Per ulteriori informazioni sulle destinazioni e sui controlli di velocità, consulta Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.
Etichettare le associazioni
Puoi assegnare tag a un'associazione quando viene creata utilizzando uno strumento a riga di comando, ad esempio AWS CLI o AWS Tools for PowerShell. Aggiunta di tag a un'associazione utilizzando la console Systems Manager non è supportata.
Esecuzione delle associazioni
Per impostazione predefinita, State Manager esegue un'associazione immediatamente dopo averla creata e successivamente in base alla pianificazione definita.
Il sistema esegue le associazioni anche secondo le seguenti regole:
-
State Manager tenta di eseguire l'associazione su tutti i nodi specificati o di destinazione durante un intervallo.
-
Se un'associazione non viene eseguita durante un intervallo (ad esempio, perché un valore di simultaneità ha limitato il numero di nodi che possono elaborare l'associazione contemporaneamente), State Manager tenta di eseguire l'associazione durante l'intervallo successivo.
-
State Manager esegue l'associazione dopo le modifiche alla configurazione, ai nodi target, ai documenti o ai parametri dell'associazione. Per ulteriori informazioni, consulta Comprendere quando le associazioni vengono applicate alle risorse
-
State Manager registra la cronologia di tutti gli intervalli saltati. È possibile visualizzare la cronologia nella scheda Execution History (Cronologia di esecuzione).
Pianificazione delle associazioni
È possibile pianificare l'esecuzione delle associazioni a intervalli di base, ad esempio ogni 10 ore, oppure creare pianificazioni più avanzate utilizzando espressioni cron e rate personalizzate. È inoltre possibile impedire l'esecuzione delle associazioni durante la rispettiva creazione.
Utilizzo di espressioni Cron e Rate per pianificare esecuzioni di associazioni
Oltre alle espressioni cron o rate standard, State Manager supporta anche espressioni cron che includono un giorno della settimana e il segno numerico (#) per designare il n giorno di un mese per l'esecuzione di un'associazione. Ecco un esempio che esegue un programma cron il terzo martedì di ogni mese alle UTC 23:30:
cron(30 23 ? * TUE#3 *)
Ecco un esempio che viene eseguito il secondo giovedì di ogni mese a mezzanotteUTC:
cron(0 0 ? * THU#2 *)
State Manager supporta anche il segno (L) per indicare l'ultimo giorno X del mese. Ecco un esempio che esegue un programma cron l'ultimo martedì di ogni mese a mezzanotteUTC:
cron(0 0 ? * 3L *)
Per controllare ulteriormente l'esecuzione di un'associazione, ad esempio se si desidera eseguire un'associazione due giorni dopo la patch di martedì, è possibile specificare un offset. Un record offset definisce quanti giorni attendere dopo il giorno programmato per eseguire un'associazione. Ad esempio, se hai specificato un programma cron di cron(0 0 ? * THU#2 *)
, è possibile specificare il numero 3 nel campo Offset di pianificazione per eseguire l'associazione ogni domenica dopo il secondo giovedì del mese.
Nota
Per utilizzare gli offset, è necessario scegliere Applica associazione solo all'intervallo cron specificato successivo nella console oppure specificare l'uso del parametro ApplyOnlyAtCronInterval
dalla linea di comando. Quando una di queste opzioni è attivata, State Manager non esegue l'associazione immediatamente dopo la creazione.
Per ulteriori informazioni sulle espressioni cron e rate, consulta Riferimento: espressioni Cron e Rate per Systems Manager.
Creazione di un'associazione (console)
La procedura seguente descrive come utilizzare la console di Systems Manager per creare una State Manager associazione.
Importante
Questa procedura descrive come creare un'associazione che utilizza un documento Command
o un Policy
documento per i nodi gestiti target. Per informazioni sulla creazione di un'associazione che utilizza un runbook Automation per indirizzare i nodi o altri tipi di AWS risorse, consultaPianificazione di automazioni con associazioni State Manager.
Creazione di una State Manager associazione
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegliere State Manager.
-
Selezionare Create association (Crea associazione).
-
Nel campo Name (Nome), specifica un nome.
-
Nell'elenco Document (Documenti), scegliere l'opzione disponibile accanto al nome del documento. Prendere nota del tipo di documento. Questa procedura si applica solo a documenti
Command
ePolicy
. Per informazioni su come creare un'associazione che utilizza un runbook Automation, consultare Pianificazione di automazioni con associazioni State Manager.Importante
State Manager non supporta associazioni in esecuzione che utilizzano una nuova versione di un documento se tale documento è condiviso da un altro account. State Manager gestisce sempre la versione
default
di un documento se condivisa da un altro account, anche se la console di Systems Manager mostra che è stata elaborata una nuova versione. Se si desidera eseguire un'associazione utilizzando una nuova versione di un documento condiviso da un altro account, è necessario impostare la versione del documento sudefault
. -
Per Parameters (Parametri), specificare i parametri di input necessari.
-
(Facoltativo) Scegli un CloudWatch allarme da applicare all'associazione per il monitoraggio.
Nota
Prendi nota delle seguenti informazioni importanti relative a questa fase.
-
L'elenco degli allarmi riporta un massimo di 100 allarmi. Se l'allarme non è visualizzato nell'elenco, utilizza l' AWS Command Line Interface per creare l'associazione. Per ulteriori informazioni, consulta Creazione di un'associazione (riga di comando).
-
Per allegare un CloudWatch allarme al comando, il IAM principale che crea l'associazione deve disporre dell'autorizzazione per l'
iam:createServiceLinkedRole
operazione. Per ulteriori informazioni sugli CloudWatch allarmi, consulta Usare gli CloudWatch allarmi Amazon. -
Tenere presente che se l'allarme si attiva, qualsiasi automazione o invocazione di comando in sospeso non viene eseguita.
-
-
Per Targets (Destinazioni), scegliere un'opzione. Per informazioni sull'utilizzo delle destinazioni, consultare Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.
Nota
Affinché le associazioni create con i runbook di Automation possano essere applicate quando vengono rilevati nuovi nodi di destinazione, devono essere soddisfatte determinate condizioni. Per informazioni, consultare Informazioni sugli aggiornamenti di Target con i runbook di automazione.
-
Nella sezione Specify schedule (Specifica pianificazione), scegliere On Schedule (Conforme a pianificazione) oppure No schedule (Nessuna pianificazione). Se si sceglie On Schedule (Conforme a pianificazione), utilizzare i pulsanti disponibili per creare una pianificazione cron o rate per l'associazione.
Se non si desidera che l'associazione venga eseguita immediatamente dopo averla creata, scegli Applica associazione solo all'intervallo Cron specificato successivo.
-
(Facoltativo) Nel campo Pianificazione offset, specificare un numero compreso tra 1 e 6.
-
Nella sezione Advanced options (Opzioni avanzate) usare Compliance severity (Gravità della conformità) per scegliere un livello di gravità per l'associazione e utilizzare Change Calendars (Modificare i calendari) per scegliere un calendario di modifica per l'associazione.
Il report di conformità indica se l'associazione è conforme o non conforme e il livello di gravità specificato qui. Per ulteriori informazioni, consulta Informazioni State Manager Conformità di associazione.
Il calendario delle modifiche determina quando l'associazione viene eseguita. Se il calendario è chiuso, l'associazione non viene applicata. Se il calendario è aperto, l'associazione viene di conseguenza eseguita. Per ulteriori informazioni, consulta AWS Systems Manager Change Calendar.
-
Nella sezione Rate control (Controllo della velocità) scegli le opzioni per controllare l'esecuzione dell'associazione su più nodi gestiti. Per informazioni sull'utilizzo dei controlli di velocità, consultare Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.
Nella sezione Concurrency (Simultaneità) scegliere un'opzione:
-
Scegliere targets (target) per immettere il numero assoluto di target che possono eseguire contemporaneamente l'associazione.
-
Scegliere percentage (percentuale) per immettere la percentuale del set target che può eseguire contemporaneamente l'associazione.
Nella sezione Error threshold (Soglia di errore). scegliere un'opzione:
-
Scegli gli errori per inserire un numero assoluto di errori consentiti in precedenza State Manager interrompe l'esecuzione di associazioni su obiettivi aggiuntivi.
-
Scegli la percentuale per inserire una percentuale di errori consentiti in precedenza State Manager interrompe l'esecuzione di associazioni su obiettivi aggiuntivi.
-
(Opzionale) In Output optione (Opzioni di output), per salvare l'output del comando in un file, selezionare la casella Enable writing output to S3 (Abilita scrittura in S3). Digitare i nomi del bucket e del prefisso (cartella) nelle caselle.
Nota
Le autorizzazioni S3 che assegnano la possibilità di scrivere dati in un S3 Bucket sono quelle del profilo del nodo e non quelle dell'IAMutente che esegue l'attività. Per ulteriori informazioni, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager o Creare un ruolo IAM di servizio per un ambiente ibrido. Inoltre, se il bucket S3 specificato si trova in un diverso Account AWS, assicurarsi che il profilo dell'istanza o il ruolo di IAM servizio associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
Di seguito sono riportate le autorizzazioni minime necessarie per attivare l'output di Amazon S3 per un'associazione. È possibile limitare ulteriormente l'accesso collegando IAM policy a utenti o ruoli all'interno di un account. Come minimo, un profilo dell'EC2istanza Amazon deve avere un IAM ruolo nella policy
AmazonSSMManagedInstanceCore
gestita e nella seguente policy inline.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/*" } ] }Per le autorizzazioni minime, il bucket di Amazon S3 in cui esporti deve disporre delle impostazioni di default definite dalla console di Amazon S3. Per ulteriori informazioni sulla creazione di bucket di Amazon S3, consultare Creating a bucket (Creazione di un bucket) nella Guida per l'utente di Amazon S3.
Nota
APIle operazioni avviate dal SSM documento durante un'esecuzione di associazione non vengono registrate in. AWS CloudTrail
-
Scegliere Create Association (Crea associazione).
Nota
Se si elimina l'associazione creata, l'associazione non viene più eseguita sulle destinazioni di tale associazione.
Creazione di un'associazione (riga di comando)
La procedura seguente descrive come utilizzare il AWS CLI (su Linux o Windows) o Tools PowerShell per creare una State Manager associazione. In questa sezione sono inclusi diversi esempi che illustrano come utilizzare le destinazioni e i controlli di velocità. Le destinazioni e i controlli di velocità consentono di assegnare un'associazione a decine o centinaia di istanze controllando al contempo l'esecuzione di tali associazioni. Per ulteriori informazioni sulle destinazioni e sui controlli di velocità, consulta Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.
Importante
Questa procedura descrive come creare un'associazione che utilizza un documento Command
o un Policy
documento per i nodi gestiti target. Per informazioni sulla creazione di un'associazione che utilizza un runbook Automation per indirizzare i nodi o altri tipi di AWS risorse, consultaPianificazione di automazioni con associazioni State Manager.
Prima di iniziare
Il parametro targets
è un array di criteri di ricerca che definisce le istanze come destinazioni mediante una combinazione Key
Value
specificata. Se si prevede di creare un'associazione su decine o centinaia di istanze utilizzando il parametro targets
, esaminare le seguenti opzioni di destinazione prima di iniziare la procedura.
Definire come destinazione nodi specifici specificando IDs
--targets Key=InstanceIds,Values=
instance-id-1
,instance-id-2
,instance-id-3
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE,i-07782c72faEXAMPLE
Definire come destinazione le istanze utilizzando i tag
--targets Key=tag:
tag-key
,Values=tag-value-1
,tag-value-2
,tag-value-3
--targets Key=tag:Environment,Values=Development,Test,Pre-production
Nodi di destinazione utilizzando AWS Resource Groups
--targets Key=resource-groups:Name,Values=
resource-group-name
--targets Key=resource-groups:Name,Values=WindowsInstancesGroup
Scegli come target tutte le istanze nella versione corrente Account AWS e Regione AWS
--targets Key=InstanceIds,Values=*
Nota
Osservare le seguenti informazioni.
-
State Manager non supporta associazioni in esecuzione che utilizzano una nuova versione di un documento se tale documento è condiviso da un altro account. State Manager gestisce sempre la versione
default
di un documento se condivisa da un altro account, anche se la console di Systems Manager mostra che è stata elaborata una nuova versione. Se si desidera eseguire un'associazione utilizzando una nuova versione di un documento condiviso da un altro account, è necessario impostare la versione del documento sudefault
. -
Puoi specificare un massimo di cinque chiavi di tag utilizzando la AWS CLI. Se utilizzi la AWS CLI, tutte le chiavi di tag specificate nel
create-association
comando devono essere attualmente assegnate al nodo. Se non lo sono, State Manager non riesce a scegliere il nodo come destinazione per un'associazione. -
Quando crei un'associazione, specifica quando eseguire la pianificazione. Specificare la pianificazione utilizzando un'espressione cron o rate. Per ulteriori informazioni sulle espressioni cron e rate, consulta Espressioni Cron e Rate per le associazioni.
-
Affinché le associazioni create con i runbook di automazione possano essere applicate quando vengono rilevati nuovi nodi di destinazione, devono essere soddisfatte determinate condizioni. Per informazioni, consultare Informazioni sugli aggiornamenti di Target con i runbook di automazione.
Per creare un'associazione
Se non è già stato fatto AWS Tools for PowerShell, installare e configurare AWS CLI o.
Per informazioni, consulta le pagine Installazione o aggiornamento della versione più recente di AWS CLI e Installazione di AWS Tools for PowerShell.
-
Utilizzare il formato seguente per creare un comando che crei una State Manager associazione. Sostituisci ogni
example resource placeholder
con le tue informazioni.L'esempio seguente crea un'associazione sulle istanze con il tag
"Environment,Linux"
. L'associazione utilizza ilAWS-UpdateSSMAgent
documento per aggiornare il SSM Agent sui nodi bersaglio alle 2:00 di UTC ogni domenica mattina. Questa associazione viene eseguita contemporaneamente su un massimo di 10 nodi in qualsiasi momento. Inoltre, l'esecuzione dell'associazione viene arrestata su più nodi durante un determinato intervallo di esecuzione se il conteggio degli errori restituiti supera 5. Per la creazione di report di conformità, a questa associazione viene assegnato un livello di gravità Medium (Medio).L'esempio seguente fa riferimento al nodo IDs mediante un carattere jolly (*). Ciò consente a Systems Manager di creare un'associazione su tutti i nodi nell' Account AWS e nella correnti Regione AWS. Questa associazione viene eseguita contemporaneamente su un massimo di 10 nodi in qualsiasi momento. Inoltre, l'esecuzione dell'associazione viene arrestata su più nodi durante un determinato intervallo di esecuzione se il conteggio degli errori restituiti supera 5. Per la creazione di report di conformità, a questa associazione viene assegnato un livello di gravità Medium (Medio). Questa associazione utilizza un offset di pianificazione, il che significa che viene eseguito due giorni dopo la pianificazione cron specificata. Include anche il parametro
ApplyOnlyAtCronInterval
, che è necessario per utilizzare l'offset della pianificazione e il che significa che l'associazione non verrà eseguita immediatamente dopo la creazione.L'esempio seguente crea un'associazione sui nodi in Resource Groups. Il gruppo è denominato "HR-Department". L'associazione utilizza il
AWS-UpdateSSMAgent
documento per l'aggiornamento SSM Agent sui nodi mirati alle 2:00 UTC ogni domenica mattina. Questa associazione viene eseguita contemporaneamente su un massimo di 10 nodi in qualsiasi momento. Inoltre, l'esecuzione dell'associazione viene arrestata su più nodi durante un determinato intervallo di esecuzione se il conteggio degli errori restituiti supera 5. Per la creazione di report di conformità, a questa associazione viene assegnato un livello di gravità Medium (Medio). Questa associazione viene eseguita nella pianificazione Cron specificata. Non viene eseguita immediatamente dopo la creazione dell'associazione.Nell'esempio seguente viene creata un'associazione che viene eseguita sui nodi con il tag di un ID di nodo specifico. L'associazione utilizza il SSM Agent documento da aggiornare SSM Agent sui nodi di destinazione una volta quando il calendario delle modifiche è aperto. L'associazione controlla lo stato del calendario durante l'esecuzione. Se il calendario viene chiuso al momento dell'avvio e l'associazione viene eseguita una sola volta, non verrà eseguito più perché la finestra di esecuzione dell'associazione è passata. Se il calendario è aperto, l'associazione viene di conseguenza eseguita.
Nota
Se si aggiungono nuovi nodi ai tag o ai gruppi di risorse su cui agisce un'associazione quando il calendario delle modifiche è chiuso, l'associazione viene applicata a tali nodi una volta aperto il calendario delle modifiche.
Nell'esempio seguente viene creata un'associazione che viene eseguita sui nodi con il tag di un ID di nodo specifico. L'associazione utilizza il SSM Agent documento da aggiornare SSM Agent sui nodi target ogni domenica mattina alle 2:00. Questa associazione viene eseguita solo nella pianificazione Cron specificata quando il calendario delle modifiche è aperto. Quando viene creata, l'associazione controlla lo stato del calendario. Se il calendario è chiuso, l'associazione non viene applicata. Quando l'intervallo di applicazione dell'associazione inizia alle 2:00 di domenica, l'associazione verifica se il calendario è aperto. Se il calendario è aperto, l'associazione viene di conseguenza eseguita.
Nota
Se si aggiungono nuovi nodi ai tag o ai gruppi di risorse su cui agisce un'associazione quando il calendario delle modifiche è chiuso, l'associazione viene applicata a tali nodi una volta aperto il calendario delle modifiche.
Nota
Se si elimina l'associazione creata, l'associazione non viene più eseguita sulle destinazioni di tale associazione. Inoltre, se è stato specificato il parametro apply-only-at-cron-interval
, è possibile reimpostare questa opzione. A tale scopo, specificare il parametro no-apply-only-at-cron-interval
quando si aggiorna l'associazione dalla riga di comando. Questo parametro forza l'esecuzione dell'associazione immediatamente dopo l'aggiornamento dell'associazione e in base all'intervallo specificato.