Qu'est-ce que c'est AWS Systems Manager ? - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce que c'est AWS Systems Manager ?

AWS Systems Manager est le centre des opérations pour vos AWS applications et vos ressources et une solution de end-to-end gestion sécurisée pour les environnements hybrides et multicloud qui permet des opérations sécurisées à grande échelle.

Fonctionnement de Systems Manager

Le schéma suivant décrit comment certaines capacités de Systems Manager effectuent des actions sur vos ressources. Le diagramme n’inclut pas toutes les fonctionnalités. Chaque interaction énumérée est décrite avant le diagramme.

  1. Access Systems Manager : utilisez l'une des options disponibles pour l'accès à Systems Manager.

  2. Choose a Systems Manager capability (Choisissez une fonctionnalité Systems Manager) : déterminez quelle fonctionnalité peut vous aider à effectuer l'action que vous souhaitez effectuer sur vos ressources. Le schéma ne montre que quelques-unes des fonctionnalités utilisées par les administrateurs informatiques et le DevOps personnel pour gérer leurs applications et leurs ressources.

  3. Vérification et traitement : Systems Manager vérifie que votre utilisateur, groupe ou rôle dispose des autorisations AWS Identity and Access Management (IAM) requises pour effectuer l'action que vous avez spécifiée. Si la cible de votre action est un nœud géré, l'agent Systems Manager (SSM Agent) exécuté sur le nœud effectue l'action. Pour les autres types de ressources, Systems Manager exécute l'action spécifiée ou communique avec d'autres Services AWS personnes pour exécuter l'action au nom de Systems Manager.

  4. Reporting (Génération de rapports) : état du rapport pour Systems Manager, SSM Agent et les autres Services AWS ayant effectué une action pour le compte de Systems Manager. Systems Manager peut envoyer des informations d'état à d'autres personnes Services AWS, s'il est configuré.

  5. Systems Manager operations management capabilities (Fonctionnalités de gestion des opérations de Systems Manager) : si cette option est activée, les fonctionnalités de gestion des opérations de Systems Manager telles que Explorer OpsCenter, et Incident Manager agrège les données d'opérations ou crée des artefacts tels que des éléments de travail opérationnels (OpsItems) et des incidents en réponse à des événements ou des erreurs liés à vos ressources. Ces artefacts incluent des éléments de travail opérationnels (OpsItems) et des incidents. Les fonctionnalités de gestion des opérations de Systems Manager fournissent des informations opérationnelles sur vos applications et ressources ainsi que des solutions de correction automatisées pour résoudre les problèmes.

Les fonctions Systems Manager exécutent les actions sur vos ressources.

Fonctions de Systems Manager

System Manager regroupe les fonctionnalités dans les catégories suivantes. Sélectionnez les onglets de chaque catégorie pour en savoir plus sur chaque fonctionnalité.

Gestion des applications

Gestionnaire d'application

Application Manageraide DevOps les ingénieurs à étudier et à résoudre les problèmes liés à leurs AWS ressources dans le contexte de leurs applications et de leurs clusters. Dans Application Manager, une application est un groupe logique de ressources AWS que vous voulez exploiter en tant qu'unité. Ce groupe logique peut représenter différentes versions d'une application, les limites de propriété pour les opérateurs ou les environnements de développement, pour n'en citer que quelques-uns. Application Managerle support pour les clusters de conteneurs inclut à la fois les clusters Amazon Elastic Kubernetes Service (Amazon EKS) et Amazon Elastic Container Service (Amazon ECS). Application Managerregroupe les informations d'exploitation issues de plusieurs fonctionnalités Services AWS et de Systems Manager en une seule AWS Management Console.

AppConfig

AppConfig vous aide à créer, gérer et déployer des configurations d'applications et des drapeaux de fonctionnalités. AppConfig prend en charge les déploiements contrôlés vers des applications de toute taille. Vous pouvez utiliser AppConfig avec les applications hébergées sur des instances Amazon EC2, des conteneurs AWS Lambda , des applications mobiles ou des appareils de périphérie. Pour éviter les erreurs lors du déploiement de configurations d'application, AppConfig propose des validateurs. Un validateur permet une vérification syntaxique ou sémantique pour vérifier que la configuration que vous souhaitez déployer fonctionne comme prévu. Lors d'un déploiement de configuration, AppConfig surveille l'application pour vérifier que le déploiement a réussi. Si le système rencontre une erreur ou si le déploiement déclenche une alarme, AppConfig annule la modification afin de minimiser l'impact sur les utilisateurs de votre application.

Parameter Store

Parameter Store offre un stockage sécurisé et hiérarchique des données de configuration et de gestion des codes secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données, des ID d'instance Amazon Elastic Compute Cloud (Amazon EC2), des ID Amazon Machine Image (AMI) et des codes de licence en tant que valeurs de paramètre. Vous pouvez stocker ces valeurs sous forme de texte brut ou de données chiffrées. Vous pouvez ensuite faire référence à ces valeurs en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.

Gestion des modifications

Gestionnaire des modifications

Change Manager est un cadre de gestion des modifications d'entreprise pour demander, approuver, implémenter et signaler des modifications opérationnelles apportées à la configuration et à l'infrastructure de votre application. À partir d'un seul compte d'administrateur délégué, si vous en avez un AWS Organizations, vous pouvez gérer les modifications sur plusieurs Comptes AWS comptes Régions AWS. En variante, en utilisant un compte local, vous pouvez gérer les modifications d'un Compte AWS unique. Change ManagerÀ utiliser pour gérer les modifications apportées aux AWS ressources et aux ressources locales.

Automation

Utilisez Automation pour automatiser les tâches courantes de maintenance et de déploiement. Vous pouvez utiliser Automation pour créer et mettre à jour des Amazon Machine Images (AMIs), appliquer des mises à jour de pilote et d'agent, réinitialiser les mots de passe sur les instances Windows Server, réinitialiser les clés SSH sur les instances Linux, et appliquer des correctifs de OS ou des mises à jour d'application.

Change Calendar

Change Calendar vous permet de configurer des plages de dates et de temps dans lesquelles les actions que vous spécifiez (dans des runbooks Systems Manager Automation, par exemple) peuvent être effectuées ou non dans votre Compte AWS. Dans Change Calendar, ces plages sont appelées des événements. Lorsque vous créez une entrée Change Calendar, vous créez un document Systems Manager de type ChangeCalendar. Dans Change Calendar, le document stocke les données iCalendar 2.0 au format texte brut. Les événements que vous ajoutez à l'entrée Change Calendar font partie du document. Vous pouvez ajouter des événements manuellement dans l'interface Change Calendar ou importer des événements à partir d'un calendrier tiers pris en charge en utilisant un fichier .ics.

Fenêtres de maintenance

Utilisez les Maintenance Windows pour configurer des planifications récurrentes pour les instances gérées afin d'exécuter des tâches d'administration telles que l'installation de correctifs et de mises à jour sans interrompre les opérations stratégiques.

Gestion des nœuds

Un nœud géré est une machine configurée pour être utilisée avec Systems Manager dans des environnements hybrides et multicloud.

Compliance

Utilisez Compliance pour analyser votre flotte de nœuds gérés afin de rechercher des incohérences de conformité et de configuration de correctifs. Vous pouvez collecter et agréger des données provenant de plusieurs Comptes AWS sources Régions AWS, puis explorer des ressources spécifiques non conformes. Par défaut, le service Compliance affiche les données de conformité relatives aux correctifs Patch Manager et aux associations State Manager. Vous pouvez également personnaliser le service et créer vos propres types de conformité en fonction de vos exigences métier ou IT.

Fleet Manager

Fleet Manager est une expérience d'interface utilisateur (UI) unifiée qui vous aide à gérer à distance vos nœuds. Avec Fleet Manager, vous pouvez afficher l'état et le statut de performance de votre flotte à partir d'une console unique. Vous pouvez également collecter des données provenant d'appareils et d'instances individuels pour effectuer des tâches courantes de résolution des problèmes et de gestion à partir de la console. Cela comprend, entre autres, l'affichage du contenu des répertoires et des fichiers, la gestion du registre Windows, la gestion des utilisateurs du système d'exploitation.

Inventory

Inventory automatise le processus de collecte de l'inventaire logiciel à partir d'instances gérées. Vous pouvez utiliser Inventory pour collecter des métadonnées sur des applications, des fichiers, des composants, des correctifs et bien plus.

Gestionnaire de session

Utilisez-le Session Managerpour gérer vos appareils Edge et vos instances Amazon Elastic Compute Cloud (Amazon EC2) via un shell interactif basé sur un navigateur en un clic ou via le. AWS CLISession Managerfournit une gestion sécurisée et vérifiable des périphériques et des instances de périphérie sans avoir à ouvrir les ports entrants, à gérer les hôtes Bastion ou à gérer les clés SSH. Session Managervous permet également de vous conformer aux politiques de l'entreprise qui exigent un accès contrôlé aux appareils et aux instances Edge, des pratiques de sécurité strictes et des journaux entièrement vérifiables avec les détails d'accès aux appareils et aux instances Edge, tout en fournissant aux utilisateurs finaux un accès multiplateforme en un clic à vos appareils Edge et à vos instances EC2. Pour utiliser Session Manager, vous devez activer le niveau d'instances avancées. Pour plus d’informations, consultez Activation du niveau d'instances avancées.

Fonctionnalité Exécuter la commande

Utilisez Run Command pour gérer à distance et en toute sécurité la configuration de vos nœuds gérés à grande échelle. Utilisez Run Command pour effectuer des modifications à la demande, comme la mise à jour d'applications ou l'exécution de scripts shell Linux et de commandes Windows PowerShell sur un ensemble cible de dizaines ou de centaines de nœuds gérés.

State Manager

Utilisez State Manager pour automatiser le processus permettant de conserver vos nœuds gérés à un état défini. Vous pouvez utiliser State Manager pour vous assurer que vos nœuds gérés sont amorcés avec un logiciel spécifique au démarrage, joints à un domaine Windows (nœuds Windows Server uniquement) ou corrigés avec des mises à jour logicielles spécifiques.

Gestionnaire de correctifs

Utilisez Patch Manager pour automatiser le processus d'application des correctifs aux nœuds gérés, avec les mises à jour liées à la sécurité et autres. Vous pouvez utiliser Patch Manager pour appliquer des correctifs pour les systèmes d'exploitation et les applications. (Sur Windows Server, la prise en charge des applications est limitée à des mises à jour pour les applications publiées par Microsoft.)

Cette fonctionnalité vous permet de rechercher des correctifs manquants dans les nœuds gérés et d'appliquer les correctifs manquants individuellement ou à de grands groupes de nœuds gérés à l'aide de balises. Patch Manager utilise des référentiels de correctifs, qui peuvent inclure des règles d'approbation automatique des correctifs quelques jours après leur publication, ainsi qu'une liste des correctifs approuvés et refusés. Vous pouvez installer des correctifs de sécurité régulièrement en planifiant leur exécution sous forme de tâches de fenêtre de maintenance Systems Manager, ou bien vous pouvez corriger vos nœuds gérés à la demande à tout moment.

Pour les systèmes d'exploitation Linux, vous pouvez définir les référentiels qui doivent être utilisés pour les opérations d'application de correctifs dans le cadre de votre référentiel de correctifs. Cela vous permet de vous assurer que les mises à jour sont installées uniquement à partir de référentiels approuvés indépendamment des référentiels configurés sur le nœud géré. Pour Linux, vous avez également la possibilité de mettre à jour n'importe quel package sur le nœud géré, pas seulement ceux qui sont classés en tant que mises à jour de sécurité du système d'exploitation. Vous pouvez également générer des rapports des correctifs, qui sont envoyés à un compartiment Amazon S3 de votre choix. Pour un nœud géré individuel, les rapports contiennent les détails de tous les correctifs relatifs à la machine. Pour un ensemble de nœuds gérés, le rapport contient seulement un résumé indiquant le nombre de correctifs manquants.

Distributor

Utilisez Distributor pour créer et déployer des packages sur des nœuds gérés. Vous pouvez ainsi créer votre propre package logiciel (ou rechercher des packages logiciels d'agent AWS fournis, tels que AmazonCloudWatchAgent) à installer sur les nœuds gérés par Systems Manager. Distributor Après avoir installé un package pour la première fois, vous pouvez utiliser Distributor pour désinstaller et réinstaller une nouvelle version du package, ou effectuer une mise à jour sur place qui ajoute des fichiers nouveaux ou modifiés. Distributor publie des ressources, telles que des packages logiciels, sur des nœuds gérés par Systems Manager.

Hybrid Activations

Pour configurer des machines non EC2 dans votre environnement hybride et multicloud en tant que nœuds gérés, créez une activation hybride. Une fois que vous avez terminé l'activation, vous recevez un identifiant et un code d'activation. Cette combinaison code/ID fonctionne comme un ID d'accès Amazon Elastic Compute Cloud (Amazon EC2) et une clé secrète pour fournir un accès sécurisé au service Systems Manager à partir de vos instances gérées.

Vous pouvez également créer une activation pour les appareils de périphérie si vous souhaitez les gérer à l'aide de Systems Manager.

Gestion des opérations

Incident Manager

Incident Manager est une console de gestion des incidents qui aide les utilisateurs à atténuer les incidents affectant leurs applications AWS hébergées et à s'en remettre.

Incident Manager améliore la résolution des incidents en informant les intervenants de l'impact, en mettant en évidence les données de dépannage pertinentes et en fournissant des outils de collaboration pour assurer la sauvegarde et l'exécution des services. Incident Manager automatise également les plans de réponse et fait remonter les problèmes à l'équipe concernée.

Explorer

Explorerest un tableau de bord des opérations personnalisable qui fournit des informations sur vos AWS ressources. Exploreraffiche une vue agrégée des données d'exploitation (OpsData) pour vous Comptes AWS et pour l'ensemble de celles-ci Régions AWS. DansExplorer, OpsData inclut les métadonnées relatives à vos instances Amazon EC2, les détails de conformité des correctifs et les éléments de travail opérationnels ()OpsItems. Explorerfournit un contexte sur la manière dont elles OpsItems sont réparties entre vos unités commerciales ou vos applications, sur leur évolution dans le temps et sur leur variation par catégorie. Vous pouvez regrouper et filtrer les informations dans Explorer pour vous concentrer sur les éléments qui vous intéressent et qui nécessitent une action. Lorsque vous identifiez des problèmes prioritaires, vous pouvez utiliser OpsCenter, une des fonctionnalités de Systems Manager, pour exécuter des runbooks Automation et résoudre ces problèmes.

OpsCenter

OpsCenterfournit un emplacement central où les ingénieurs des opérations et IT les professionnels peuvent consulter, étudier et résoudre les éléments de travail opérationnels (OpsItems) liés aux AWS ressources. OpsCenterest conçu pour réduire le délai moyen de résolution des problèmes ayant une incidence sur les AWS ressources. Cette fonctionnalité Systems Manager regroupe et normalise les OpsItems entre les services tout en fournissant des données d'investigation contextuelles sur chaque OpsItem, sur les OpsItems associés et sur les ressources connexes. OpsCenter fournit également des runbooks Systems Manager Automation que vous pouvez utiliser pour résoudre les problèmes. Vous pouvez spécifier des données personnalisées consultables pour chaque OpsItem. Vous pouvez également afficher des rapports de synthèse générés automatiquement sur les OpsItems par statut et source.

CloudWatch Dashboards

Les CloudWatch tableaux de bord Amazon sont des pages personnalisables de la CloudWatch console que vous pouvez utiliser pour surveiller vos ressources dans une vue unique, même celles qui sont réparties dans différentes régions. Vous pouvez utiliser CloudWatch des tableaux de bord pour créer des vues personnalisées des mesures et des alarmes relatives à vos AWS ressources.

Quick Setup

Quick SetupÀ utiliser pour configurer Services AWS les fonctionnalités fréquemment utilisées conformément aux meilleures pratiques recommandées. Vous pouvez l'utiliser de Quick Setup manière individuelle Compte AWS ou multiple Comptes AWS et Régions AWS en intégrant à AWS Organizations. Quick Setupsimplifie la configuration des services, y compris Systems Manager, en automatisant les tâches courantes ou recommandées. Ces tâches incluent, par exemple, la création de rôles de profil d'instance AWS Identity and Access Management (IAM) requis et la mise en place de meilleures pratiques opérationnelles, telles que des analyses de correctifs périodiques et la collecte d'inventaire.

Ressources partagées

Documents

Un document Systems Manager (document SSM) définit les actions exécutées par Systems Manager. Les types de documents SSM incluent des documents Command, qui sont utilisés par State Manager et Run Command, et des runbooks Automation, qui sont utilisés par Systems Manager Automation. Systems Manager inclut plusieurs dizaines de documents préconfigurés que vous pouvez utiliser en spécifiant des paramètres lors de l'exécution. Les documents peuvent être exprimés au format JSON ou YAML et incluent les étapes et paramètres que vous spécifiez.

Accès à Systems Manager

Vous pouvez utiliser Systems Manager de l'une des façons suivantes :

Console Systems Manager

La console Systems Manager est une interface basée sur un navigateur qui permet d'accéder à Systems Manager et de l'utiliser.

AWS IoT Greengrass V2 console

Vous pouvez afficher et gérer les appareils périphériques configurés pour AWS IoT Greengrass la console Greengrass.

AWS outils de ligne de commande

À l'aide des outils de ligne de AWS commande, vous pouvez émettre des commandes sur la ligne de commande de votre système pour exécuter Systems Manager et d'autres AWS tâches. Les outils sont pris en charge sous Linux, macOS et Windows. Utiliser la AWS Command Line Interface (AWS CLI) peut être plus rapide et plus pratique que d'utiliser la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches AWS .

AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interfaceet le AWS Tools for Windows PowerShell. Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur l'installation et l'utilisation des outils pour Windows PowerShell, consultez le guide de AWS Tools for Windows PowerShell l'utilisateur.

Note

Sur vos instances Windows Server, Windows PowerShell 3.0 ou une version ultérieure est requis pour exécuter certains documents SSM (par exemple, le document AWS-ApplyPatchBaseline hérité). Vérifiez que votre instance Windows Server exécute actuellement Windows Management Framework 3.0 ou une version ultérieure. Le cadre inclut Windows PowerShell.

AWS SDK

AWS fournit des kits de développement logiciel (SDK) composés de bibliothèques et d'exemples de code pour divers langages de programmation et plateformes (par exemple, Java, Python, Ruby, .NET, iOS et Android, etc.). Les SDK facilitent l'octroi par programmation d'un accès à Systems Manager. Pour plus d'informations sur les AWS SDK, notamment sur la façon de les télécharger et de les installer, consultez la section Outils pour Amazon Web Services.

Historique des noms de service Systems Manager

AWS Systems Manager (Systems Manager) était auparavant connu sous les noms de Amazon Simple Systems Manager (SSM) « » et « Amazon EC2 Systems Manager (SSM) ». Le nom abrégé original du service, SSM « », est toujours reflété dans diverses AWS ressources, y compris quelques autres consoles de service. Voici quelques exemples :

  • Systems Manager Agent : SSM Agent

  • Paramètres Systems Manager : paramètres SSM

  • Points de terminaison de service Systems Manager : ssm.region.amazonaws.com

  • AWS CloudFormation types de ressources : AWS::SSM::Document

  • AWS Config identifiant de règle : EC2_INSTANCE_MANAGED_BY_SSM

  • AWS Command Line Interface (AWS CLI) commandes : aws ssm describe-patch-baselines

  • AWS Identity and Access Management Noms des politiques gérées (IAM) : AmazonSSMReadOnlyAccess

  • ARN de la ressource Systems Manager : arn:aws:ssm:region:account-id:patchbaseline/pb-07d8884178EXAMPLE

Soutenu Régions AWS

Systems Manager est disponible dans la Régions AWS liste des points de terminaison de service Systems Manager du Référence générale d'Amazon Web Services. Avant de démarrer le processus de configuration de Systems Manager, nous vous recommandons de vérifier que le service est disponible dans chacun des Régions AWS sites dans lesquels vous souhaitez l'utiliser.

Pour les machines non EC2 de votre environnement hybride et multicloud, nous vous conseillons de choisir la région plus proche de votre centre de données ou de votre environnement informatique.