Casi d'uso e best practice

Questo argomento elenca i casi d'uso comuni e le best practice per AWS Systems Manager gli strumenti. Se disponibili, questa sezione include anche i collegamenti ai post sul blog e alla documentazione tecnica relativa.

Nota

Il titolo di ogni sezione qui è un collegamento attivo alla corrispondente sezione nella documentazione tecnica.

Automazione

Creazione di runbook self-service per l'infrastruttura come runbook Automation.
Usa Automation, uno strumento di AWS Systems Manager, per semplificare la creazione Amazon Machine Images (AMIs) da Marketplace AWS o personalizzato AMIs, utilizzando documenti pubblici di Systems Manager (documenti SSM) o creando flussi di lavoro personalizzati.
Costruisci e gestisci AMIsutilizzando i runbook di AWS-UpdateWindowsAmi automazione AWS-UpdateLinuxAmi e i runbook di automazione personalizzati creati dall'utente.

Inventory

Usa Inventory, uno strumento di AWS Systems Manager, con AWS Config per controllare le configurazioni delle applicazioni nel tempo.

Maintenance Windows

Definizione di una pianificazione per eseguire operazioni potenzialmente problematiche sui propri nodi, ad esempio l'applicazione di patch al sistema operativo (OS), gli aggiornamenti o le installazioni di software.
Per informazioni sulle differenze tra State Manager e Maintenance Windows, strumenti di AWS Systems Manager, vediScelta tra State Manager e Maintenance Windows.

Parameter Store

Utilizzo Parameter Store, uno strumento per gestire centralmente le impostazioni di configurazione globali. AWS Systems Manager
Come AWS Systems Manager Parameter Store usi AWS KMS.
AWS Secrets Manager Segreti di riferimento da Parameter Store parametri.

Patch Manager

Utilizzo Patch Manager, uno strumento per implementare patch su larga scala e aumentare la visibilità sulla conformità della flotta tra i nodi. AWS Systems Manager
Integrare Patch Manager con AWS Security Hub per ricevere avvisi quando i nodi della flotta non sono conformi e monitorare lo stato di applicazione delle patch delle flotte dal punto di vista della sicurezza. È previsto un addebito per l'utilizzo di Security Hub. Per ulteriori informazioni, consulta Prezzi.
Utilizza un solo metodo alla volta per analizzare i nodi gestiti e verificare la conformità delle patch per evitare di sovrascrivere involontariamente i dati di conformità.

Run Command

Gestisci le istanze su larga scala senza accesso SSH utilizzando il comando Run. EC2
Controlla tutte le chiamate API effettuate da o per conto di Run Command, uno strumento in AWS Systems Manager, che utilizza AWS CloudTrail.
Quando si invia un comando utilizzando Run Command, non includere informazioni sensibili formattate come testo semplice, come password, dati di configurazione o altri segreti. Tutte le attività dell'API Systems Manager nel tuo account vengono registrate in un bucket S3 per i log. AWS CloudTrail Ciò significa che qualsiasi utente con accesso a quel bucket S3 può visualizzare i valori in testo normale di quei segreti. Per questo motivo, si consiglia vivamente di creare e utilizzare parametri SecureString per crittografare i dati sensibili utilizzati nelle operazioni di Systems Manager.

Per ulteriori informazioni, consulta Limitazione dell'accesso a Parameter Store parametri che utilizzano le politiche IAM.

Nota
Per impostazione predefinita, i file di log forniti dal tuo bucket sono crittografati mediante CloudTrail crittografia lato server di Amazon con chiavi di crittografia gestite da Amazon S3 (SSE-S3). Per fornire un livello di sicurezza gestibile direttamente, puoi invece utilizzare la crittografia lato server con chiavi gestite (SSE-KMS) per i tuoi file di registro. AWS KMS CloudTrail
Per ulteriori informazioni, consulta Encrypting CloudTrail log file with AWS KMS—managed keys (SSE-KMS) nella Guida per l'utente.AWS CloudTrail
Utilizza gli obiettivi e le funzionalità di controllo della frequenza in Run Command per eseguire un'operazione di comando in fasi.
Utilizza autorizzazioni di accesso granulari per Run Command (e tutti gli strumenti Systems Manager) utilizzando le policy AWS Identity and Access Management (IAM).

Session Manager

State Manager

Aggiorna SSM Agent almeno una volta al mese utilizzando il AWS-UpdateSSMAgent documento preconfigurato.
(Windows) Carica il modulo PowerShell o DSC su Amazon Simple Storage Service (Amazon S3) e usalo. AWS-InstallPowerShellModule
Utilizzo dei tag per creare gruppi di applicazioni per i propri nodi. Quindi scegli come target i nodi utilizzando il Targets parametro invece di specificare un singolo nodo. IDs
Risoluzione automatica dei risultati generati da Amazon Inspector utilizzando Systems Manager.
Utilizzare un repository di configurazione centralizzato per tutti i documenti SSM e condividere i documenti all'interno dell'organizzazione.
Per informazioni sulle differenze tra State Manager e Maintenance Windows, consulta Scelta tra State Manager e Maintenance Windows.

Nodi gestiti

Systems Manager richiede riferimenti temporali precisi per eseguire le operazioni. Se la data e l'ora del nodo non sono impostate correttamente, tali informazioni potrebbero non corrispondere alla data di firma delle richieste API. Ciò potrebbe portare a errori o funzionalità incomplete. Ad esempio, nodi con le impostazioni di tempo errate non saranno inclusi nell'elenco dei nodi gestiti.

Per informazioni sull'impostazione dell'ora sui nodi, consulta Impostare l'ora per l' EC2 istanza Amazon.
Sui nodi gestiti da Linux, verifica la firma di SSM Agent.

Ulteriori informazioni

Best practice di sicurezza per Systems Manager

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Formati di stringhe di data e ora per Systems Manager

Eliminazione di risorse e artifact di Systems Manager