Casos de uso y prácticas recomendadas

En este tema se enumeran los casos de uso comunes y las prácticas recomendadas de las características de AWS Systems Manager. Si están disponibles, este tema también incluye enlaces a publicaciones de blogs relevantes y documentación técnica.

nota

El título de cada sección que se indica a continuación es un enlace a la sección correspondiente activo en la documentación técnica.

Automatización

• Cree manuales de procedimientos de Automation de autoservicio para la infraestructura.

• Utilice Automation, una capacidad de AWS Systems Manager, para simplificar la creación de Amazon Machine Images (AMIs) desde AWS Marketplace o AMIs personalizadas, mediante documentos públicos de Systems Manager (documentos de SSM) o mediante la creación de sus propios flujos de trabajo.

• Cree y mantenga AMIs mediante los manuales de procedimientos de Automation AWS-UpdateLinuxAmi y AWS-UpdateWindowsAmi o mediante manuales de procedimientos de Automation personalizados que cree.

Inventario

• Utilice Inventory, una capacidad de AWS Systems Manager, con AWS Config para auditar las configuraciones de aplicaciones a lo largo del tiempo.

Maintenance Windows

• Defina una programación para realizar las acciones potencialmente disruptivas en los nodos, por ejemplo, la aplicación de revisiones en el sistema operativo (SO), las actualizaciones de controladores o las instalaciones de software.

• Para obtener información acerca de las diferencias entre State Manager y Maintenance Windows, capacidades de AWS Systems Manager, consulte Elección entre State Manager y Maintenance Windows.

Parameter Store

• Utilice Parameter Store, una capacidad de AWS Systems Manager, para administrar de forma centralizada los valores de configuración globales.

• Cómo AWS Systems ManagerParameter Store utiliza AWS KMS.

• Referencia a los secretos de AWS Secrets Manager desde los parámetros de Parameter Store.

Patch Manager

• Utilice Patch Manager, una capacidad de AWS Systems Manager, para aplicar revisiones a escala y aumentar la visibilidad de la conformidad de la flota en todos los nodos.

• Integre Patch Manager en AWS Security Hub para recibir alertas cuando los nodos de su flota salgan de conformidad y monitoree el estado de aplicación de revisiones de sus flotas desde el punto de vista de la seguridad. El uso de Security Hub conlleva un cargo. Para obtener más información, consulte Precios.

• Utilice solo un método a la vez para analizar los nodos administrados para comprobar la conformidad de las revisiones a fin de evitar sobrescribir involuntariamente los datos de conformidad.

Run Command

• Administrar instancias a escala sin acceso SSH con Run Command de EC2.

• Audite todas las llamadas a la API realizadas por Run Command o de su parte, una capacidad de AWS Systems Manager, mediante AWS CloudTrail.

• Cuando ejecute un comando con Run Command, no incluya información confidencial como texto sin formato, por ejemplo, contraseñas, datos de configuración u otros secretos. Toda la actividad de la API de Systems Manager de la cuenta se registra en un bucket de S3, para registros de AWS CloudTrail. Esto significa que cualquier usuario con acceso al bucket de S3 puede ver los valores en texto sin formato de esos secretos. Por este motivo, le recomendamos crear y utilizar parámetros SecureString para cifrar la información confidencial que utiliza en las operaciones de Systems Manager.

  Para obtener más información, consulte Restricción del acceso a los parámetros de Systems Manager mediante políticas de IAM.

  nota

  De forma predeterminada, los archivos de registro que envía CloudTrail a su bucket se cifran mediante el sistema de Amazon de cifrado del lado del servidor con claves de cifrado administradas mediante Amazon S3 (SSE-S3). Para proporcionar una capa de seguridad que pueda administrarse directamente, en su lugar puede utilizar el cifrado del lado del servidor con claves de AWS KMS administradas (SSE-KMS) para los archivos de registros de CloudTrail.

  Para obtener más información, consulte Cifrado de archivos de registros de CloudTrail con claves administradas por AWS KMS (SSE-KMS) en la Guía del usuario de AWS CloudTrail.

• Usar la característica de control de velocidad y destinos en Run Command para efectuar una operación de comando por fases.

• Utilice permisos de acceso detallados para Run Command (y todas las capacidades de Systems Manager) mediante las políticas de AWS Identity and Access Management (IAM).

Session Manager

• Audite la actividad de la sesión en la Cuenta de AWS con AWS CloudTrail.

• Registre los datos de la sesión en la Cuenta de AWS con Amazon CloudWatch Logs o Amazon S3.

• Control del acceso de las sesiones de usuario a las instancias.

• Restrinja el acceso a los comandos de una sesión.

• Desactive o active los permisos administrativos de la cuenta ssm-user.

State Manager

• Actualice el SSM Agent al menos una vez al mes con el documento AWS-UpdateSSMAgent preconfigurado.

• (Windows) Cargue el módulo de PowerShell o DSC en Amazon Simple Storage Service (Amazon S3) y utilice AWS-InstallPowerShellModule.

• Usar etiquetas para crear grupos de aplicaciones para los nodos. y, a continuación, dirigirse a los nodos usando el parámetro Targets en lugar de especificar el ID de cada nodo.

• Solucione automáticamente los resultados generados por Amazon Inspector con Systems Manager.

• Utilice un repositorio de configuración centralizado para todos los documentos de SSM y comparta los documentos en la organización.

• Para obtener información acerca de las diferencias entre State Manager y Maintenance Windows, consulte Elección entre State Manager y Maintenance Windows.

Nodos administrados

• Systems Manager requiere referencias de horarios precisos para realizar sus operaciones. Si la fecha y la hora del nodo no se establecen correctamente, podrían no coincidir con la fecha de la firma de las solicitudes de la API. Esto podría producir errores o funcionalidad incompleta. Por ejemplo, los nodos con una configuración de hora incorrecta no se incluirán en las listas de nodos administrados.

  Para obtener información sobre cómo configurar la hora en los nodos, consulte Configuración de la hora en una instancia de Amazon EC2.

• En los nodos gestionados por Linux, compruebe la firma de SSM Agent.

Más información

• Prácticas recomendadas de seguridad para Systems Manager