Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cas d'utilisation et bonnes pratiques
Cette rubrique répertorie les cas d'utilisation courants et les meilleures pratiques en matière AWS Systems Manager de fonctionnalités. Si elle est disponible, cette rubrique comporte aussi des liens vers de la documentation technique et des billets de blogs pertinents.
Note
Le titre de chaque section ici est un lien actif vers la section correspondante dans la documentation technique.
Automation
-
Créez des runbooks Automation en libre-service pour l'infrastructure.
-
Utilisez Automation, une fonctionnalité permettant de AWS Systems Manager simplifier la création Amazon Machine Images (AMIs) à partir AWS Marketplace ou sur mesureAMIs, en utilisant des documents publics de Systems Manager (SSMdocuments) ou en créant vos propres flux de travail.
-
Générez et gérez des AMIs à l'aide des runbooks Automation
AWS-UpdateLinuxAmi
etAWS-UpdateWindowsAmi
, ou à l'aide de runbooks Automation personnalisés que vous créez.
Inventaire
-
Utilisez Inventory, une fonctionnalité de AWS Systems Manager, AWS Config pour auditer les configurations de vos applications au fil du temps.
Maintenance Windows
-
Définissez un calendrier pour la mise en œuvre des actions potentiellement perturbatrices, comme l'application de correctifs à un système d'exploitation, la mise à jour de pilotes ou l'installation de logiciels.
-
Pour plus d'informations sur les différences entre State Manager etMaintenance Windows, les fonctionnalités de AWS Systems Manager, voirChoisir entre State Manager et Maintenance Windows.
Parameter Store
-
UtilisezParameter Store, une fonctionnalité de AWS Systems Manager, pour gérer de manière centralisée les paramètres de configuration globaux.
-
Référencez AWS Secrets Manager les secrets à partir Parameter Store des paramètres.
Patch Manager
-
Utilisez Patch Manager une fonctionnalité pour déployer des AWS Systems Manager correctifs à grande échelle et améliorer la visibilité de la conformité de la flotte sur l'ensemble de vos nœuds.
-
Intégrez Patch Manager à AWS Security Hub pour recevoir des alertes lorsque des nœuds de votre flotte ne sont plus conformes, et pour contrôler l'état d'application de correctifs de vos flottes du point de vue de la sécurité. L'utilisation de Security Hub entraîne des frais supplémentaires. Pour plus d'informations, consultez Pricing
(Tarification CTlong). -
Utilisez une seule méthode à la fois pour analyser la conformité aux correctifs des nœuds gérés, afin d'éviter de remplacer involontairement les données de conformité.
Run Command
-
Gérez les instances à grande échelle sans SSH accès à l'aide de la commande EC2 Run
. -
Auditez tous les API appels passés par ou au nom deRun Command, une capacité de AWS Systems Manager, en utilisant AWS CloudTrail.
Lorsque vous envoyez une commande à l'aide de Run Command, n'incluez pas d'informations sensibles formatées en texte brut, comme des mots de passe, des données de configuration ou d'autres secrets. Toutes les API activités de Systems Manager sur votre compte sont enregistrées dans un compartiment S3 pour les AWS CloudTrail journaux. Cela signifie que tout utilisateur ayant accès à ce compartiment S3 peut consulter les valeurs en texte brut de ces secrets. Pour cette raison, nous vous recommandons de créer et d'utiliser des paramètres
SecureString
pour chiffrer les données sensibles que vous utilisez dans le cadre de vos opérations Systems Manager.Pour de plus amples informations, veuillez consulter Restriction de l'accès aux paramètres Systems Manager à l'aide des politiques IAM.
Note
Par défaut, les fichiers journaux envoyés par CloudTrail votre compartiment sont chiffrés par chiffrement côté serveur Amazon avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE Pour fournir une couche de sécurité directement gérable, vous pouvez plutôt utiliser le chiffrement côté serveur avec des clés AWS KMS gérées (SSE-KMS) pour vos fichiers journaux. CloudTrail
Pour plus d'informations, consultez la section Chiffrement des fichiers CloudTrail journaux avec des clés AWS KMS gérées (SSE-KMS) dans le Guide de l'AWS CloudTrail utilisateur.
Session Manager
State Manager
-
(Windows) Téléchargez le DSC module PowerShell or sur Amazon Simple Storage Service (Amazon S3) et utilisez-le.
AWS-InstallPowerShellModule
-
Utilisez des balises afin de créer des groupes d'applications pour vos nœuds. Puis ciblez les nœuds en utilisant le
Targets
paramètre au lieu de spécifier un nœud individuelIDs. -
Corrigez automatiquement les résultats générés par Amazon Inspector en utilisant Systems Manager
. -
Pour plus d'informations sur les différences entre State Manager et Maintenance Windows, consultez Choisir entre State Manager et Maintenance Windows.
Nœuds gérés
-
Systems Manager nécessite des références horaires précises pour effectuer ses opérations. Si la date et l'heure de votre nœud ne sont pas correctement définies, il est possible qu'elles ne correspondent pas à la date de signature de vos API demandes. Cela peut conduire à des erreurs ou des fonctionnalités incomplètes. Par exemple, les nœuds dont les paramètres horaires sont incorrects ne seront pas inclus dans vos listes de nœuds gérés.
Pour plus d'informations sur le réglage de l'heure sur vos nœuds, consultez Définir l'heure pour votre EC2 instance Amazon.
-
Sur les nœuds gérés par Linux, vérifiez la signature de SSM Agent.
- Plus d'informations