Casos de uso e melhores práticas

Esse tópico lista os casos de uso comuns e as melhores práticas para recursos do AWS Systems Manager. Se disponível, esse tópico também inclui links para postagens de blog relevantes e a documentação técnica.

nota

O título de cada seção aqui é um link ativo na seção correspondente na documentação técnica.

Automação

Crie runbooks do Automation do autoatendimento para infraestrutura.
Use o Automation, um recurso do AWS Systems Manager, para simplificar a criação de Amazon Machine Images (AMIs) doAWS Marketplace ou de uma AMIs personalizada, usando documentos públicos do Systems Manager (documentos SSM) ou criando seus próprios fluxos de trabalho.
Crie e mantenha as AMIs usando o AWS-UpdateLinuxAmi e runbooks do Automation do AWS-UpdateWindowsAmi ou runbooks do Automation personalizados criados por você.

Inventário

Use o Inventory, um recurso do AWS Systems Manager, com o AWS Config para auditar suas configurações de aplicações ao longo do tempo.

Maintenance Windows

Defina um agendamento para realizar ações potencialmente disruptivas em seus nós, como patches de sistema operacional (SO), atualizações de drivers ou instalações de software.
Para obter mais informações sobre as diferenças entre as APIs State Manager e Maintenance Windows, ambas recursos do AWS Systems Manager, consulte Selecionar entre State Manager e Maintenance Windows.

Parameter Store

Use o Parameter Store, um recurso do AWS Systems Manager, para gerenciar de forma centralizada as definições globais da configuração.
Como o AWS Systems ManagerParameter Store usa o AWS KMS
Fazer referência a segredos do AWS Secrets Manager de parâmetros do Parameter Store.

Patch Manager

Use o Patch Manager, um recurso do AWS Systems Manager, para distribuir patches em grande escala e aumentar a visibilidade da conformidade da frota em seus nós.
Integre o Patch Manager ao AWS Security Hub para receber alertas quando os nós da sua frota saírem de conformidade e para monitorar o status da aplicação de patches das suas frotas de um ponto de vista de segurança. Será cobrada uma taxa para o uso do Security Hub. Para obter mais informações, consulte Preço.
Use somente um método por vez para verificar a conformidade com os patches nos nós gerenciados, a fim de evitar sobrescrever acidentalmente dados de conformidade.

Run Command

Gerenciar instâncias em grande escala sem acesso ao SSH usando o recurso Run Command do EC2.
Auditore todas as chamadas de API feitas por ou em nome do Run Command, um recurso do AWS Systems Manager, usando o AWS CloudTrail.
Ao enviar um comando usando o Run Command, não inclua informações confidenciais formatadas como texto sem formatação, como senhas, dados de configuração ou outros segredos. Todas as atividades de API do Systems Manager em sua conta são registradas em um bucket do S3 para logs do AWS CloudTrail. Isso significa que qualquer usuário com acesso ao bucket do S3 poderá visualizar os valores de texto simples desses segredos. Por esse motivo, recomendamos a criação e o uso de parâmetros SecureString para criptografar os dados sigilosos que você usa nas operações do Systems Manager.

Para obter mais informações, consulte Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM.

nota
Por padrão, os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pela criptografia do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3). Para oferecer uma camada de segurança diretamente gerenciável, é possível usar a criptografia do lado do servidor com chaves gerenciadas por AWS KMS(SSE-KMS) para os arquivos de log do CloudTrail.
Para obter mais informações, consulte Criptografar arquivos de log do CloudTrail com chaves gerenciadas pelo AWS KMS (SSE-KMS), no Guia do usuário do AWS CloudTrail.
Use os destinos e recursos de controle de taxa em Run Command para realizar uma operação de comando em etapas.
Use permissões de acesso detalhadas para o Run Command (e todos os recursos do Systems Manager), usando as políticas do AWS Identity and Access Management (IAM).

Session Manager

State Manager

Atualize o SSM Agent pelo menos uma vez por mês usando o documento AWS-UpdateSSMAgent pré-configurado.
(Windows) Carregue o módulo PowerShell ou DSC no Amazon Simple Storage Service (Amazon S3) e use o AWS-InstallPowerShellModule.
Use etiquetas para criar grupos de aplicações para seus nós. Em seguida, defina destinos para os nós gerenciados usando o parâmetro Targets em vez de especificar IDs de instância individuais.
Corrija automaticamente as constatações geradas pelo Amazon Inspector usando o Systems Manager.
Use um repositório de configuração centralizado para todos os documentos SSM e compartilhe documentos em toda a sua organização.
Para obter informações sobre as diferenças entre State Manager e Maintenance Windows, consulte Selecionar entre State Manager e Maintenance Windows.

Nós gerenciados

O Systems Manager requer referências de tempo precisas para realizar suas operações. Se a data e a hora do nó não estiverem definidas corretamente, talvez elas não correspondam à data de assinatura das solicitações da API. Isso pode causar erros ou funcionalidades incompletas. Por exemplo, as instâncias com configurações de tempo incorretas não serão incluídas em suas listas de nós gerenciados.

Para obter mais informações sobre como definir o horário de seus nós, consulte, Definir o horário da sua instância do Amazon EC2.
Em nós gerenciados pelo Linux, verifique a assinatura do SSM Agent.

Mais informações

Melhores práticas de segurança do Systems Manager

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar strings formatados de data e hora para o Systems Manager

Excluir recursos e artefatos do Systems Manager