O que é o AWS Systems Manager?
O AWS Systems Manager é o hub de operações para as aplicações e os recursos da AWS e uma solução segura de gerenciamento completa para ambientes híbridos e multinuvem que permite operações seguras em escala.
Como o Systems Manager funciona
O diagrama a seguir descreve como os recursos do Systems Manager executam ações em seus recursos. O diagrama não cobre todos os recursos. Cada interação enumerada é descrita antes do diagrama.
-
Acessar o Systems Manager: use uma das opções disponíveis para acessar o Systems Manager.
-
Escolher um recurso do Systems Manager: determine qual recurso pode ajudar você a executar a ação que deseja executar em seus recursos. O diagrama mostra apenas algumas das funcionalidades que os administradores de TI e profissionais de DevOps usam para configurar e gerenciar aplicações e recursos.
-
Verificação e processamento: o Systems Manager verifica se seu usuário, grupo ou perfil tem as permissões requeridas do AWS Identity and Access Management (IAM) para executar a ação especificada. Se o destino da ação for um nó gerenciado, o Systems Manager Agent (SSM Agent) em execução no nó executará a ação. Para outros tipos de recursos, o Systems Manager executa a ação especificada ou se comunica com outros Serviços da AWS para executar a ação em nome do Systems Manager.
-
Relatórios: o Systems Manager, o SSM Agent e outros Serviços da AWS que executaram uma ação em nome do status de relatório do Systems Manager. O Systems Manager pode enviar detalhes de status para outros Serviços da AWS, se configurado.
-
Recursos de gerenciamento de operações do Systems Manager: se habilitados, os recursos de gerenciamento de operações do Systems Manager, como Explorer OpsCenter e o Incident Manager agregam dados de operações ou criam artefatos em resposta a eventos ou erros com seus recursos. Esses artefatos incluem itens de trabalho operacionais (OpsItems) e incidentes. Os recursos de gerenciamento de operações do Systems Manager fornecem informações operacionais sobre aplicações e recursos e soluções de correção automatizadas para ajudar a solucionar problemas.
Recursos do Systems Manager
O Systems Manager agrupa recursos nas seguintes categorias: Selecione as guias em cada categoria para saber mais sobre cada recurso.
Gerenciamento de aplicações
- Application Manager
-
O Application Manager ajuda os engenheiros de DevOps a investigar e corrigir problemas com seus recursos da AWS no contexto de suas aplicações e clusters. No Application Manager, uma aplicação é um grupo lógico de recursos da AWS que você deseja operar como uma unidade. Esse grupo lógico pode representar diferentes versões de uma aplicação, limites de propriedade para operadores ou ambientes de desenvolvedor, entre outros. O suporte do Application Manager a clusters de contêiner inclui clusters do Amazon Elastic Kubernetes Service (Amazon EKS) e do Amazon Elastic Container Service (Amazon ECS). O Application Manager agrega informações de operações de vários Serviços da AWS e recursos do Systems Manager em um único AWS Management Console.
- AppConfig
-
O AppConfig ajuda a criar, gerenciar e implantar configurações de aplicações e sinalizadores de recursos. O AppConfig oferece suporte a implantações controladas em aplicações de qualquer tamanho. Você pode usar o AppConfig com aplicações hospedadas em instâncias do Amazon EC2, contêineres do AWS Lambda, aplicações móveis ou dispositivos de borda. Para evitar erros ao implantar configurações de aplicativos, o AppConfig inclui validadores. Um validador fornece uma verificação sintática ou semântica para verificar se a configuração que você quer implantar funciona conforme previsto. Durante uma implantação de configuração, o AppConfig monitora a aplicação para verificar se ela foi bem-sucedida. Se o sistema encontrar um erro ou se a implantação invocar um alarme, o AppConfig reverterá a alteração para minimizar o impacto para os usuários da aplicação.
- Parameter Store
-
O Parameter Store oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. É possível armazenar dados como senhas, strings de banco de dados, IDs de instância do Amazon Elastic Compute Cloud (Amazon EC2), IDs do Amazon Machine Image (AMI) e códigos de licença como valores de parâmetros. É possível armazenar valores como texto sem formatação ou dados criptografados. Você pode fazer referência a valores usando o nome exclusivo que especificou ao criar o parâmetro.
Gerenciamento de alterações
- Gerenciador de alterações
-
O Change Manager é um framework empresarial de gerenciamento de alterações para solicitar, aprovar, implementar e emitir relatórios sobre alterações operacionais em sua configuração e infraestrutura de aplicações. Em uma única Conta de administrador delegado, se você usar o AWS Organizations, poderá gerenciar alterações em várias Contas da AWS e Regiões da AWS. Como alternativa, usando um conta local, você pode gerenciar alterações para uma única Conta da AWS. Use o Change Manager para gerenciar alterações em recursos da AWS e recursos on-premises.
- Automation
-
Use o Automation para automatizar tarefas comuns de manutenção e implantação. Você pode usar a automação para criar e atualizar as Amazon Machine Images (AMIs), aplicar atualizações de drivers e agentes, redefinir senhas na instância do Windows Server, redefinir chaves SSH em instâncias do Linux e aplicar patches do OS ou atualizações de aplicações.
- Alterar calendário
-
O Change Calendar ajuda você a configurar intervalos de data e hora quando as ações especificadas (por exemplo, em runbooks do Automation do Systems Manager) puderem ou não ser executadas em sua Conta da AWS. No Change Calendar, esses intervalos são chamados de eventos. Ao criar uma entrada do Change Calendar, você está criando um documento do Systems Manager do tipo ChangeCalendar
. No Change Calendar, o documento armazena dados do iCalendar 2.0 em formato de texto simples. Os eventos adicionados à entrada do Change Calendar tornam-se parte do documento. Você pode adicionar eventos manualmente na interface do Change Calendar importar eventos de um calendário de terceiros com suporte usando um arquivo do .ics
.
- Janelas de manutenção
-
Use o Maintenance Windows para configurar programações recorrentes de instâncias gerenciadas e executar tarefas administrativas, como atualizações e instalação de patches, sem interromper operações comerciais essenciais.
Gerenciamento de nós
Um nó gerenciado é qualquer máquina configurada para uso com o Systems Manager em ambientes híbridos e multinuvem.
- Compliance
-
Use Conformidade para verificar a conformidade dos patches e as inconsistências de configuração em sua frota de nós gerenciados. Você pode coletar e agregar dados de várias Contas da AWS e Regiões da AWS e depois fazer buscas detalhadas em recursos específicos que não forem compatíveis. Por padrão, a Conformidade exibe dados de conformidade sobre a aplicação de patch do Patch Manager e as associações do State Manager. Você também pode personalizar o serviço e criar seus próprios tipos de conformidade com base nos seus requisitos de IT ou negócios.
- Fleet Manager
-
O Fleet Manager é uma experiência de interface de usuário unificada (UI) que ajuda você a gerenciar remotamente os nós. Com o Fleet Manager, você pode visualizar a integridade e o status da performance de toda a sua frota em um único console. Você também pode coletar dados de instâncias e dispositivos individuais para executar tarefas comuns de solução de problemas e gerenciamento no console. Isso inclui a exibição de conteúdo de diretórios e arquivos, gerenciamento de registros do Windows, gerenciamento de usuários do sistema operacional e muito mais.
- Inventory
-
O Inventário automatiza o processo de coleta de inventário de software de seus nós gerenciados. Você pode usar o inventário para reunir metadados sobre aplicações, arquivos, componentes, patches e muito mais.
- Session Manager
-
Use o Session Manager para gerenciar seus dispositivos de borda do Amazon Elastic Compute Cloud (Amazon EC2) por meio de um shell interativo baseado em navegador acionado por um clique ou por meio da AWS CLI. O Session Manager fornece gerenciamento seguro e auditável de instâncias sem a necessidade de abrir portas de entrada, manter bastion hosts ou gerenciar chaves de SSH. O Session Manager também permite cumprir as políticas corporativas que exigem acesso controlado às instâncias, práticas rígidas de segurança e logs totalmente auditáveis com detalhes do acesso à instância, fornecendo ao mesmo tempo aos usuários finais o acesso interplataformas com apenas um clique a suas instâncias do EC2. Para usar o Session Manager ative o nível de instâncias avançadas. Para ter mais informações, consulte Ativar o nível de instâncias avançadas.
- Executar comando
-
Use o Run Command para gerenciar remotamente e de forma segura a configuração em grande escala de seus nós gerenciados. Use o Run Command para realizar alterações sob demanda, como atualizar aplicações ou executar scripts de shell do Linux e comandos do Windows PowerShell em um conjunto de destino de dezenas ou centenas de nós gerenciados.
- State Manager
-
Use o State Manager para automatizar o processo de manutenção de seus nós gerenciados em um estado definido. Você pode usar o State Manager para garantir que os nós gerenciados passem por bootstrap com software específico no startup inicialização, ingressem em um domínio do Windows (apenas para nós gerenciados do Windows Server) ou recebam patches com atualizações específicas de software.
- Patch Manager
-
Use o Patch Manager para automatizar o processo de aplicação de patches aos nós gerenciados com atualizações de segurança e outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches em sistemas operacionais e aplicações. (No Windows Server, o suporte a aplicações é limitado a atualizações de aplicações da Microsoft.)
Esse recurso permite verificar os nós gerenciados em busca de patches ausentes e aplicá-los individualmente ou em grandes grupos de nós gerenciados usando etiquetas. O Patch Manager usa a lista de referência de patches, o que pode incluir regras para aprovação automática de patches dentro de dias após o lançamento e uma lista de patches aprovados e rejeitados. Você pode instalar patches de segurança regularmente programando a aplicação de patches para ser executada como uma tarefa da janela de manutenção do Systems Manager, ou pode corrigir os nós gerenciados sob demanda a qualquer momento.
Para sistemas operacionais Linux, você pode definir os repositórios que devem ser usados para operações de patch como parte de sua linha de base de patch. Isso permite que você verifique se as atualizações são instaladas apenas de repositórios confiáveis, independentemente de quais repositórios são configurados em seu nó gerenciado. Para o Linux, você também tem a capacidade de atualizar qualquer pacote em seu nó gerenciado, não apenas as que são classificadas como as atualizações de segurança do sistema operacional. Também é possível gerar relatórios de patches que são enviados para um bucket do S3 de sua preferência. Para um único nó gerenciado, os relatórios incluem detalhes de todos os patches para a máquina. Para obter um relatório sobre todas os nós gerenciados, apenas um resumo de quantos patches estão ausentes é fornecido.
- Distributor
-
Use o Distributor para criar e implantar pacotes em nós gerenciados. Com o Distributor, é possível criar seu próprio pacote de software ou encontrar pacotes de software do agente fornecidos pela AWS, como o AmazonCloudWatchAgent, para instalar em nós gerenciados pelo Systems Manager. Depois de instalar um pacote pela primeira vez, você poderá usar o Distributor para desinstalar e reinstalar uma nova versão do pacote ou executar uma atualização local que adiciona arquivos novos ou alterados. O Distributor publica recursos, como pacotes de software, em nós gerenciados do Systems Manager.
- Hybrid Activations
-
Para configurar máquinas que não são do EC2 em seu ambiente híbrido e multinuvem como nós gerenciados, crie uma ativação híbrida. Depois de concluir a ativação, você receberá um código de ativação e um ID. Essa combinação de código/ID funciona como um ID de acesso e uma chave secreta do Amazon Elastic Compute Cloud (Amazon EC2) para fornecer acesso seguro ao serviço do Systems Manager nas instâncias gerenciadas.
Você também pode criar uma ativação para dispositivos de borda se quiser gerenciá-los usando o Systems Manager.
Gerenciamento de operações
- Incident Manager
-
O Incident Manager é um console de gerenciamento de incidentes que ajuda os usuários a reduzir e se recuperar de incidentes que afetam as aplicações hospedadas na AWS.
O Incident Manager aumenta a resolução de incidentes notificando os respondentes sobre o impacto, destacando dados relevantes para a solução de problemas e fornecendo ferramentas de colaboração para colocar os serviços em funcionamento. O Incident Manager também automatiza os planos de resposta e permite o encaminhamento para a equipe de resposta.
- Explorer
-
O Explorer é um painel de operações personalizável que relata informações sobre seus recursos da AWS. O Explorer exibe uma visualização agregada dos dados de operações (OpsData) para suas Contas da AWS e em todas as Regiões da AWS. No Explorer, os OpsData incluem metadados sobre suas instâncias do Amazon EC2, detalhes de conformidade de patches e itens de trabalho operacionais (OpsItems). O Explorer fornece contexto sobre como os OpsItems são distribuídos em suas unidades de negócios ou aplicações, a tendência ao longo do tempo e como eles variam de acordo com a categoria. Você pode agrupar e filtrar informações no Explorer para se concentrar em itens que são relevantes para você e que exigem ação. Ao identificar problemas de alta prioridade, você pode usar o OpsCenter, um recurso do Systems Manager, para executar runbooks de automação e resolver rapidamente esses problemas.
- OpsCenter
-
O OpsCenter fornece um local central onde engenheiros de operações e profissionais de IT podem visualizar, investigar e resolver itens de trabalho operacionais (OpsItems) relacionados a recursos da AWS. O OpsCenter foi projetado para reduzir o tempo médio de resolução de problemas que afetam os recursos da AWS. Esse recurso do Systems Manager agrega e padroniza o OpsItems em todos os serviços enquanto fornece dados de investigação contextuais sobre cada OpsItem, OpsItems relacionados e recursos relacionados. O OpsCenter também fornece runbooks do Systems Manager Automation que você pode usar para resolver problemas. Você pode especificar dados personalizados e pesquisáveis para cada OpsItem. Você também pode visualizar relatórios de resumo gerados automaticamente sobre o OpsItems por status e origem.
- CloudWatch Dashboards
-
Os painéis do Amazon CloudWatch são páginas personalizáveis no console do CloudWatch que você pode usar para monitorar seus recursos em uma única visualização, mesmo os recursos distribuídos em regiões diferentes. Você pode usar os painéis do CloudWatch para criar visualizações personalizadas das métricas e dos alarmes para os recursos da AWS.
Quick Setup
Use o Quick Setup para configurar Serviços da AWS e recursos frequentemente utilizados com práticas recomendadas. Você pode usar o Quick Setup em uma Conta da AWS individual ou por meio de várias Contas da AWS e Regiões da AWS pela integração com o AWS Organizations. O Quick Setupsimplifica a configuração de serviços, incluindo o Systems Manager, automatizando tarefas comuns ou recomendadas. Essas tarefas incluem, por exemplo, a criação de funções de perfil da instância AWS Identity and Access Management (IAM) e a configuração de práticas recomendadas operacionais, como verificações periódicas de patches e coleta de inventário.
Recursos compartilhados do
- Documents
-
Um Documento do Systems Manager (documento SSM) define a ação que o Systems Manager realiza. Os tipos de documentos do SSM incluem os de Comando, que são usados pelo State Manager e Run Command, e runbooks do Automation, que são usados pelo Systems Manager Automation. O Systems Manager inclui dezenas de documentos pré-configurados, que você pode usar especificando parâmetros no runtime. Os documentos podem ser expresso em JSON ou YAML e incluem etapas e parâmetros especificados por você.
Acessar o Systems Manager
Você pode trabalhar com o Systems Manager de qualquer uma das seguintes formas:
- Console do Systems Manager:
-
O console do Systems Manager é uma interface baseada em navegador para acesso e uso do Systems Manager.
- Console do AWS IoT Greengrass V2
-
Você pode visualizar e gerenciar dispositivos de borda configurados para oAWS IoT Greengrass no console do Greengrass.
- Ferramentas da linha de comando da AWS
-
Usnado as ferramentas de linha de comando da AWS, você pode emitir comandos na linha de comando do seu sistema para executar o Systems Manager e outras tarefas da AWS. As ferramentas têm suporte no Linux, macOS e Windows. Usar AWS Command Line Interface (AWS CLI) pode ser mais rápido e mais conveniente do que usar o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas da AWS.
A AWS fornece dois conjuntos de ferramentas de linha de comando: AWS Command Line Interface e AWS Tools for Windows PowerShell. Para obter informações sobre a instalação e o uso da AWS CLI, consulte o Guia do usuário da AWS Command Line Interface. Para obter informações sobre a instalação e o uso do Tools for Windows PowerShell, consulte o Manual do usuário do AWS Tools for Windows PowerShell.
Nas instâncias do Windows Server, o Windows PowerShell 3.0 ou posterior é necessário para executar determinados documentos do SSM (por exemplo, o documento legado AWS-ApplyPatchBaseline
). Verifique se as instâncias do Windows Server estão executando o Windows Management Framework
3.0 ou posterior. O framework inclui o Windows
PowerShell.
- SDKs da AWS
-
A AWS fornece Kits de Desenvolvimento de Software (SDKs) que consistem em bibliotecas e códigos de exemplo para várias linguagens de programação e plataformas (por exemplo Java, Python, Ruby, .NET, iOS e Android e outras). Os SDKs fornecem uma maneira conveniente de conceder acesso programático ao Systems Manager. Para obter informações sobre os SDKs AWS, incluindo como fazer download e instalá-los, consulte Ferramentas da Amazon Web Services.
Histórico de nomes de serviço do Systems Manager
AWS Systems ManagerO Systems Manager (Gerenciador de sistemas) era conhecido anteriormente como ”Amazon Simple Systems Manager
(SSM)" e "Amazon EC2 Systems Manager (SSM)". O nome abreviado original do serviço, "SSM", ainda é refletido em vários recursos da AWS, incluindo alguns outros consoles de serviço. Alguns exemplos:
-
Systems Manager Agent: SSM Agent
-
Parâmetros do Systems Manager: parâmetros do SSM
-
Endpoints do serviço do Systems Manager: ssm.region
.amazonaws.com
-
Tipos de recursos do AWS CloudFormation: AWS::SSM::Document
-
Identificador de regra do AWS Config: EC2_INSTANCE_MANAGED_BY_SSM
-
AWS Command Line Interface Comandos da (AWS CLI): aws ssm
describe-patch-baselines
-
AWS Identity and Access Management Nomes de políticas gerenciadas (IAM): AmazonSSMReadOnlyAccess
-
ARNs de recursos do Systems Manager: arn:aws:ssm:region
:account-id
:patchbaseline/pb-07d8884178EXAMPLE
Com suporte Regiões da AWS
O Systems Manager está disponível nas Regiões da AWS listadas em Systems Manager service endpoints no Referência geral da Amazon Web Services. Antes de iniciar o processo de configuração do Systems Manager, recomendamos que você verifique se o serviço está disponível em cada uma das Regiões da AWS em que você deseja usá-lo.
Para máquinas que não são do EC2 em seu ambiente híbrido e multinuvem, recomendamos escolher a região mais próxima de seu datacenter ou ambiente de computação.