使用案例與最佳實務

本主題列出 AWS Systems Manager 工具的常見使用案例和最佳實務。如果可用，這個主題也包含連結，可連結到相關的部落格文章和技術文件。

注意

此處每個區段的標題，都是有效的連結，可連結到技術文件中的對應區段。

自動化

建立基礎設施用的自助服務自動化 Runbook。
使用中的 Automation 工具 AWS Systems Manager，透過使用公有 Systems Manager 文件 Amazon Machine Images(SSM 文件AMIs) 或編寫您自己的工作流程AMIs，簡化從 AWS Marketplace 或自訂建立 ()。
使用 AWS-UpdateLinuxAmi 和 AWS-UpdateWindowsAmi 自動化 Runbook，或使用您建立的自訂自動化 Runbook，建置和維護 AMIs。

庫存

使用中的工具 Inventory AWS Systems Manager搭配 AWS Config 來稽核您的應用程式組態。

Maintenance Windows

定義排程，在您的節點上執行可能中斷的動作，例如作業系統 (OS) 修補、驅動程式更新，或軟體安裝。
如需 State Manager和工具之間差異的相關資訊Maintenance Windows， AWS Systems Manager請參閱在 State Manager 與 Maintenance Windows 之間進行選擇。

Parameter Store

使用中的Parameter Store工具 AWS Systems Manager，集中管理全域組態設定。
AWS Systems ManagerParameter Store 使用方式 AWS KMS。
參考Parameter Store參數中的 AWS Secrets Manager 秘密。

Patch Manager

使用中的Patch Manager工具 AWS Systems Manager，大規模推出修補程式，並提高節點的機群合規可見性。
整合 Patch Manager 與 AWS Security Hub，以便在機群中的節點不合規時接收提醒，並從安全角度監控您的機群的修補狀態。使用 Security Hub 會產生費用。如需詳細資訊，請參閱定價。
一次只能使用一種方法來掃描受管節點，檢查修補程式的合規性，以避免意外覆寫合規資料。

Run Command

使用 EC2 Run 命令來進行大規模的執行個體管理，而不需存取 SSH。
AWS Systems Manager使用稽核中Run Command工具所發出或代表發出的所有 API 呼叫 AWS CloudTrail。
當您使用 Run Command 發出命令時，請勿包含格式為純文字的敏感資訊，例如密碼、組態資料或其他密碼。您帳戶中的所有 Systems Manager API 活動都會記錄在 S3 儲存貯體中，以供 AWS CloudTrail 記錄。這意味著任何具有權存取該 S3 儲存貯體的使用者都可以查看這些密碼的純文字值。因此，建議您建立並使用 SecureString 參數來加密您在 Systems Manager 操作中使用的敏感資料。

如需詳細資訊，請參閱使用 IAM 政策限制對 Parameter Store 參數的存取。

注意
根據預設，CloudTrail 交付至您儲存貯體的日誌檔案是透過 Amazon 伺服器端加密與 Amazon Simple Storage Service (Amazon S3) 受管加密金鑰 (SSE-S3) 進行加密。若要提供可直接管理的安全層，您可以改為使用伺服器端加密搭配 AWS KMS受管金鑰 (SSE-KMS) 來做為 CloudTrail 日誌檔案。
如需詳細資訊，請參閱AWS CloudTrail 《使用者指南》中的使用 AWS KMS受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案。
使用 Run Command 中的目標和速率控制功能，來進行階段式的指令操作。
使用 Run Command(IAM) 政策，為 AWS Identity and Access Management （和所有 Systems Manager 工具）使用精細的存取許可。

Session Manager

State Manager

使用預先設定的 AWS-UpdateSSMAgent 文件，來至少一個月更新一次 SSM Agent。
(Windows) 將 PowerShell 或 DSC 模組上傳到 Amazon Simple Storage Service (Amazon S3)，並使用 AWS-InstallPowerShellModule。
使用標籤來建立您節點的應用程式群組。然後使用 Targets 參數，而不是指定個別的節點 ID，來鎖定節點。
使用 Systems Manager，來自動修正 Amazon Inspector 所產生的結果。
針對您的 SSM 文件，使用集中化的組態儲存庫，然後在整個組織之間共用文件。
如需有關 State Manager 和 Maintenance Windows 之間的差異的資訊，請參閱在 State Manager 與 Maintenance Windows 之間進行選擇。

受管節點

Systems Manager 需要準確的時間參考才能執行其操作。如果您節點的日期和時間未正確設定，可能會與您 API 請求的簽章日期不符。這可能會導致錯誤或不完整的功能。例如，在您的受管節點清單中，將不會包含具有錯誤時間設定的節點。

如需有關在節點設定時間的資訊，請參閱設定 Amazon EC2 執行個體的時間。
在 Linux 受管節點上，驗證 SSM Agent 的簽章。

詳細資訊

Systems Manager 的安全最佳實務

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Systems Manager 的日期和時間字串格式

刪除 Systems Manager 資源和成品