Cas d'utilisation et bonnes pratiques

Cette rubrique répertorie les cas d'utilisation courants et les bonnes pratiques pour les fonctionnalités AWS Systems Manager. Si elle est disponible, cette rubrique comporte aussi des liens vers de la documentation technique et des billets de blogs pertinents.

Note

Le titre de chaque section ici est un lien actif vers la section correspondante dans la documentation technique.

Automation

• Créez des runbooks Automation en libre-service pour l'infrastructure.

• Utilisez Automation, une fonctionnalité de AWS Systems Manager, pour simplifier la création d'Amazon Machine Images (AMIs) à partir d'AWS Marketplace ou d'AMIs personnalisées en utilisant des documents Systems Manager (documents SSM) publics ou en créant vos propres flux de travail.

• Générez et gérez des AMIs à l'aide des runbooks Automation AWS-UpdateLinuxAmi et AWS-UpdateWindowsAmi, ou à l'aide de runbooks Automation personnalisés que vous créez.

Inventaire

• Utilisez Inventory, une fonctionnalité de AWS Systems Manager, avec AWS Config pour auditer les configurations des applications dans le temps.

Maintenance Windows

• Définissez un calendrier pour la mise en œuvre des actions potentiellement perturbatrices, comme l'application de correctifs à un système d'exploitation, la mise à jour de pilotes ou l'installation de logiciels.

• Pour obtenir des informations sur les différences entre State Manager et Maintenance Windows, des fonctionnalités de AWS Systems Manager, consultez Choisir entre State Manager et Maintenance Windows.

Parameter Store

• Utilisez Parameter Store, une fonctionnalité de AWS Systems Manager, pour gérer de façon centralisée les paramètres de configuration généraux.

• Comment AWS Systems ManagerParameter Store utilise-t-il AWS KMS ?

• Référencez des secrets AWS Secrets Manager à partir des paramètres Parameter Store.

Patch Manager

• Utilisez la fonctionnalité Patch Manager d'AWS Systems Manager pour déployer des correctifs à grande échelle et accroître la visibilité de la conformité de la flotte sur vos nœuds.

• Intégrez Patch Manager à AWS Security Hub pour recevoir des alertes lorsque des nœuds de votre flotte ne sont plus conformes, et pour contrôler l'état d'application de correctifs de vos flottes du point de vue de la sécurité. L'utilisation de Security Hub entraîne des frais supplémentaires. Pour plus d'informations, consultez Pricing (Tarification CTlong).

• Utilisez une seule méthode à la fois pour analyser la conformité aux correctifs des nœuds gérés, afin d'éviter de remplacer involontairement les données de conformité.

Run Command

• Gérer les instances à grande échelle sans accès SSH en utilisant la fonctionnalité Exécuter la commande d'EC2.

• Contrôlez tous les appels d'API effectués par ou au nom de Run Command, une fonctionnalité de AWS Systems Manager, à l'aide d'AWS CloudTrail.

• Lorsque vous envoyez une commande à l'aide de Run Command, n'incluez pas d'informations sensibles formatées en texte brut, comme des mots de passe, des données de configuration ou d'autres secrets. L'activité de l'API Systems Manager utilisée dans votre compte est consignée dans un compartiment S3 pour les journaux AWS CloudTrail. Cela signifie que tout utilisateur ayant accès à ce compartiment S3 peut consulter les valeurs en texte brut de ces secrets. Pour cette raison, nous vous recommandons de créer et d'utiliser des paramètres SecureString pour chiffrer les données sensibles que vous utilisez dans le cadre de vos opérations Systems Manager.

  Pour de plus amples informations, veuillez consulter Restriction de l'accès aux paramètres Systems Manager à l'aide des politiques IAM.

  Note

  Par défaut, les fichiers journaux livrés par CloudTrail à votre compartiment sont chiffrés par Amazon côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour fournir une couche de sécurité qui soit directement gérable, vous pouvez utiliser le chiffrement côté serveur avec des clés gérées par AWS KMS (SSE-KMS) pour les fichiers journaux CloudTrail.

  Pour plus d'informations, reportez-vous à Chiffrement des fichiers journaux CloudTrail avec clés gérées par AWS KMS (SSE-KMS) dans le Guide de l'utilisateur AWS CloudTrail.

• Utilisez les cibles et les fonctions de contrôle du débit de Run Command pour exécuter des commandes par étapes.

• Utilisez des autorisations d'accès plus détaillées pour la fonctionnalité Run Command (et l'ensemble des fonctionnalités Systems Manager) à l'aide de politiques AWS Identity and Access Management (IAM).

Session Manager

• Auditez l'activité de session de votre Compte AWS en utilisant AWS CloudTrail.

• Journalisez les données de session de votre Compte AWS en utilisant Amazon CloudWatch Logs ou Amazon S3.

• Contrôlez l'accès des sessions utilisateur aux instances.

• Restreindre l'accès aux commandes dans une session.

• Désactivez ou activez les autorisations administratives du compte ssm-user.

State Manager

• Mettez à jour l'SSM Agent au moins une fois par mois à l'aide du document préconfiguré AWS-UpdateSSMAgent.

• (Windows) Téléchargez le module PowerShell ou DSC dans Amazon Simple Storage Service (Amazon S3), et utilisez AWS-InstallPowerShellModule.

• Utilisez des balises afin de créer des groupes d'applications pour vos nœuds. Puis, ciblez des nœuds en utilisant le paramètre Targets au lieu de spécifier des ID de nœud individuels.

• Corrigez automatiquement les résultats générés par Amazon Inspector en utilisant Systems Manager.

• Utilisez un référentiel de configuration centralisé pour vos documents SSM, et partagez les documents dans l'ensemble de votre organisation.

• Pour plus d'informations sur les différences entre State Manager et Maintenance Windows, consultez Choisir entre State Manager et Maintenance Windows.

Nœuds gérés

• Systems Manager nécessite des références horaires précises pour effectuer ses opérations. Si la date et l'heure de votre nœud ne sont pas correctement définies, elles risquent de ne pas correspondre à la date de signature de vos demandes d'API. Cela peut conduire à des erreurs ou des fonctionnalités incomplètes. Par exemple, les nœuds dont les paramètres horaires sont incorrects ne seront pas inclus dans vos listes de nœuds gérés.

  Pour plus d'informations sur le réglage de l'heure sur vos nœuds, consultez les rubriques suivantes :

  • Régler l'heure pour votre instance Linux

  • Régler l'heure pour une instance Windows

• Sur les nœuds gérés par Linux, vérifiez la signature de SSM Agent.

Plus d'informations

• Bonnes pratiques de sécurité pour Systems Manager