Systems Manager 功能 - AWS Systems Manager

Systems Manager 功能

Systems Manager 功能可分組成下列功能類型:

快速設定

快速設定是您可以用來快速設定 EC2 執行個體所需的安全角色及常用 Systems Manager 功能的工具。這些功能可協助您管理及監控執行個體的運作狀態,同時提供開始使用所需的最低許可。特別是,快速設定可協助您使用標籤,以在您選擇或設為目標的執行個體上設定下列元件:

  • Systems Manager 的 AWS Identity and Access Management (IAM) 執行個體描述檔角色。

  • SSM 代理程式 的已排程每兩週更新。

  • 已排程每 30 分鐘一次的清查中繼資料收集。

  • 每日掃描您的執行個體,識別遺漏的修補程式。

  • Amazon CloudWatch 代理程式的一次性安裝和設定。

  • 依據排程每月更新 CloudWatch 代理程式。

營運管理

營運管理是一套功能,可協助您管理您的 AWS 資源。選擇標記以進一步了解。

Explorer

Explorer 是可自訂的操作儀表板,可報告 AWS 資源的相關資訊。Explorer 會顯示您的 AWS 帳戶和跨區域的操作資料 (OpsData) 的彙總視圖。在 Explorer 中,OpsData 包含有關 EC2 執行個體、修補程式合規詳細資料和操作工作項目 (OpsItems) 的中繼資料。Explorer 提供脈絡指出 OpsItems 如何分散於業務單位或應用程式、如何隨著時間而演變趨勢,以及如何隨類別而變化。您可以在 Explorer 中群組和篩選資訊,以專注於與您相關且需要採取動作的項目。當您發現高優先順序的問題時,您可以使用 Systems Manager OpsCenter 來執行自動化 Runbook,並快速解決這些問題。

OpsCenter

OpsCenter 提供一個集中的位置,營運工程師和 IT 專業人員可在此檢視、調查和解決與 AWS 資源相關的營運工作項目 (OpsItems)。OpsCenter 旨在降低解決影響 AWS 資源問題的平均時間。此 Systems Manager 功能會在各項服務中彙整並標準化 OpsItems,同時提供各 OpsItem、相關 OpsItems 和相關資源的關聯調查資料。OpsCenter 也提供 Systems Manager 自動化文件 (Runbook),您可以用來快速解決問題。您可以為每個 OpsItem 指定可搜尋的自訂資料。您也可以依狀態和來源,檢視自動產生的 OpsItems 摘要報告。

CloudWatch Dashboards

Amazon CloudWatch 儀表板是 CloudWatch 主控台中可自訂的首頁,您可用來在單一檢視中監控資源,甚至是分散在不同的區域的那些資源。您可以使用 CloudWatch 儀表板來建立適用於 AWS 資源之指標和警示的自訂檢視。

Trusted Advisor & Personal Health Dashboard (PHD)

Systems Manager 主控兩個線上工具,可協助您佈建資源和監控帳戶是否有運作狀態事件。Trusted Advisor 這個線上工具可提供您的即時指導,來協助您佈建遵循 AWS 最佳實務的資源。如需詳細資訊,請參閱 Trusted Advisor

AWS Personal Health Dashboard 提供可能影響您帳戶的 AWS Health 事件相關資訊。資訊以兩種方式呈現:儀表板 (依類別顯示最近和近期事件) 和完整的事件日誌 (顯示過去 90 天內的所有事件)。如需詳細資訊,請參閱 AWS Personal Health Dashboard 入門

應用程式管理

應用程式管理是一套功能,可協助您管理在 AWS 中執行的應用程式。選擇標記以進一步了解。

Resource Groups

AWS Resource Groups:AWS 資源是您可以在 AWS 中使用的實體 (例如 Systems Manager SSM 文件、修補程式基準、維護時段、參數和受管執行個體);Amazon Elastic Compute Cloud (EC2) 執行個體;Amazon Elastic Block Store (Amazon EBS) 磁碟區;安全群組;或 Amazon Virtual Private Cloud ( VPC )。資源群組為同一 AWS 區域內所有 AWS 資源的集合,且符合查詢中提供的標準。您可以在資源群組主控台中建置查詢,或在 AWS CLI 中將它們以引數形式傳遞至資源群組命令。有了資源群組,您就可以建立可根據您在標記中指定的條件組織並整合資訊的自訂主控台。您也可以使用群組,做為在 AWS Systems Manager 中檢視監控和組態見解的基礎。

AWS AppConfig

AppConfig 可協助您建立、管理及快速部署應用程式組態。AppConfig 支援對任何大小應用程式的受控制部署。AppConfig 可以與 EC2 執行個體、AWS Lambda、容器、行動應用程式或 IoT 裝置上託管的應用程式一起使用。為了防止部署應用程式組態時發生錯誤,AppConfig 包括了驗證器。驗證器提供了一個語法或語義檢查,以確保您要部署的組態可如預期運作。AppConfig 會在組態部署期間監視應用程式,以確保部署成功。如果系統遇到錯誤或部署觸發警示,AppConfig 會復原變更,以將對應用程式使用者的影響降到最低。

參數存放區

參數存放區 會提供安全的階層式儲存空間,以供組態資料管理和秘密管理。您可以將密碼、資料庫字串、EC2 執行個體 ID 和 Amazon Machine Image (AMI) ID,以及授權碼之類的資料存放為參數值。您存放的值可以是純文字或加密資料。然後,您可以使用建立參數時指定的唯一名稱來參考各個值。

動作與變更

Systems Manager 提供下列功能,可讓您對 AWS 資源採取動作或進行變更。選擇標記以進一步了解。

Automation

使用 Systems Manager 自動化來自動化一般維護與部署任務。您可以使用 Automation 來建立和更新 Amazon Machine Image、套用驅動程式和代理程式更新、重設 Windows Server 執行個體的密碼、重設 Linux 執行個體的 SSH 金鑰,以及套用作業系統修補程式或應用程式更新。

變更行事曆

變更行事曆 可讓您為指定的動作 (例如在 Systems Manager Automation 文件中) 設定要 (或不要) 在 AWS 帳戶中執行的日期與時間範圍。在 變更行事曆 中,這些範圍稱為「事件」。當您建立 變更行事曆 項目時,就會建立類型為 ChangeCalendarSystems Manager 文件。在 變更行事曆 中,這些文件會以純文字格式儲存 iCalendar 2.0 資料。您新增到 變更行事曆 項目的事件將成為文件的一部份。

維護時段

使用 維護時段,為受管執行個體安排各種管理任務的定期執行排程,例如安裝修補程式和更新,而不會中斷業務關鍵操作。

執行個體和節點

Systems Manager 提供以下功能,可讓您在混合環境中管理 EC2 執行個體、內部部署伺服器和虛擬機器 (VM),以及其他類型的 AWS 資源 (節點)。選擇標記以進一步了解。

Compliance

使用 Systems Manager 組態合規掃描您的受管執行個體機群,了解修補程式合規與組態不一致情形。您可以從多個 AWS 帳戶和區域收集並彙總資料,然後深入檢視不合規的特定資源。根據預設,組態合規會顯示有關修補程式管理員修補和 狀態管理員 關聯的合規資料。您也可以根據 IT 或業務的需求,來自訂服務和建立自己的合規類型。

Inventory

庫存管理員自動化從受管執行個體蒐集軟體庫存的程序。您可以使用庫存管理員在受管執行個體上蒐集有關應用程式、檔案、元件、修補程式等項目的中繼資料。

Managed Instances

受管執行個體是混合環境中針對 Systems Manager 設定的任何 EC2 執行個體或內部部署機器 (伺服器或虛擬機器 (VM))。若要設定受管執行個體,您需要在機器上安裝 SSM 代理程式 (如果非預設為安裝) 和設定 AWS Identity and Access Management (IAM) 許可。現場部署機器還需要啟用程式碼。

Hybrid Activations

若要在混合環境中設定伺服器和虛擬機器做為受管執行個體,您需要建立受管執行個體的啟用。完成啟用後,您會收到一組啟用代碼和 ID。這個代碼/ID 組合的功能就像 Amazon EC2 存取 ID 和秘密金鑰,可讓您從受管執行個體安全存取 Systems Manager 服務。

Session Manager

使用 Session Manager,透過可互動的一鍵式瀏覽器型 Shell 或透過 AWS CLI,以管理您的 EC2 執行個體。Session Manager提供安全且可稽核的執行個體管理,不需要開啟傳入連接埠、維護堡壘主機,或管理 SSH 金鑰。Session Manager還可讓您輕鬆遵守公司政策,此等政策要求可控管的執行個體存取權、嚴格的安全實務以及完整可稽核的日誌與執行個體存取詳細資訊,同時仍可讓最終使用者透過一鍵式功能跨平台存取您的 EC2 執行個體。

Run Command

使用 Systems Manager Run Command,以從遠端安全地大規模管理受管執行個體的組態。使用 Run Command 執行隨需變更,例如,在擁有數十或數百個執行個體的目標集上,更新應用程式或執行 Linux shell 指令碼和 Windows PowerShell 命令。

State Manager

使用 Systems Manager 狀態管理員,以自動化程序使您的受管執行個體維持在定義的狀態。您可以使用狀態管理員來確保執行個體在啟動時由特定軟體引導、加入 Windows 網域 (僅限 Windows Server 執行個體),或使用特定軟體更新來進行修補。

Patch Manager

使用修補程式管理員以透過安全相關和其他類型的更新,來自動化修補您受管執行個體的程序。您可以使用修補程式管理員以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上,應用程式支援僅限於 Microsoft 應用程式的更新。) 此功能可讓您掃描執行個體是否遺漏修補程式,然後逐一套用遺漏的修補程式,或使用 EC2 執行個體標籤套用到大型的執行個體群組。修補程式管理員使用「修補程式基準」,其中包含在修補程式發佈後的數日內自動核准等規則,以及已核准和拒絕的修補程式清單。您可以藉由將修補排定為以 Systems Manager 維護時段任務執行,定期安裝安全修補程式。至於 Linux 作業系統,您可以在修補基準中,定義要用於修補操作的儲存庫。這樣便能確定不管執行個體上設定了哪些儲存庫,都只會從信任的儲存庫安裝更新。至於 Linux,您也能夠更新執行個體上的任何套件,而不只是歸類為作業系統安全更新的套件。對於 Windows Server,您也可以使用修補程式管理員以更新支援的 Microsoft 應用程式。

Distributor

使用 Distributor 來建立和部署套件至受管執行個體。Distributor 可讓您封裝自己的軟體,或找到 AWS 提供的代理程式套裝軟體,例如 AmazonCloudWatchAgent 以在 AWS Systems Manager 受管執行個體上安裝。第一次安裝套件之後,您可以使用 Distributor 完全解除安裝並重新安裝新的套件版本,或執行只會加入新增或變更檔案的就地更新。Distributor 會將資源 (例如軟體套件) 發佈至 AWS Systems Manager 受管理的執行個體。

共享資源

Systems Manager 會運用下列的共用資源,來管理和設定您的 AWS 資源。選擇標記以進一步了解。

Documents

Systems Manager 文件 (SSM 文件) 定義 Systems Manager 執行的動作。SSM 文件類型包含用於 狀態管理員 和Run Command 的命令文件,以及用於 Systems Manager 自動化的自動化文件。Systems Manager 包含數十個預先設定的文件,您可藉由在執行時間指定參數來使用。文件可以使用 JSON 或 YAML 格式表示,並包含您指定的步驟和參數。