與 AWS 服務整合 - AWS Systems Manager

與 AWS 服務整合

透過使用 Systems Manager 命令文件 (SSM 文件) 和自動化 Runbook,您可以使用 AWS Systems Manager 整合 AWS 服務。如需這些資源的詳細資訊,請參閱 AWS Systems Manager 文件

Systems Manager 已與下列 AWS 服務整合。

Compute

Amazon Elastic Compute Cloud (Amazon EC2)

Amazon EC2 在 AWS 雲端 中提供可擴展的運算容量。使用 Amazon EC2 可減少前期所需的硬體投資,讓您更快速開發並部署應用程式。您可使用 Amazon EC2 按需要啟動任意數量的虛擬伺服器,設定安全性和聯網功能以及管理儲存。

Systems Manager 允許您在 EC2 執行個體上執行數項任務。例如,您可以啟動、設定、管理、維護、故障診斷,以及安全地連線到 EC2 執行個體。您也可以使用 Systems Manager 來部署軟體、判斷合規狀態,以及從 EC2 執行個體收集庫存。

Amazon EC2 Auto Scaling

Auto Scaling 能確保您有正確的 EC2 執行個體數量可處理應用程式的負載。您可以建立 EC2 執行個體的集合,此集合稱為「Auto Scaling 群組」。

Systems Manager 允許您自動化常用程序,例如修補在適用於的 Auto Scaling 群組的 Auto Scaling 範本中使用的 Amazon Machine Image(AMI)。

進一步了解

演練:修補 AMI 和更新 Auto Scaling 群組

Amazon Elastic Container Service (Amazon ECS)

Amazon ECS 是具高可擴展性且快速的容器管理服務,允許您在叢集上執行、停用及管理 Docker 容器。

Systems Manager 允許您在 Parameter Store (Systems Manager 的功能) 的參數中存放敏感資料,然後在容器定義中加以參考,藉此從遠端管理容器執行個體,並將敏感資料注入您的容器。

AWS Lambda

Lambda 是一項運算服務,允許您執行程式碼,而無需佈建或管理伺服器。Lambda 只有在需要時才會執行程式碼,可自動從每天數項請求擴展成每秒數千項請求。

Systems Manager 允許您透過使用 aws:invokeLambdaFunction 動作在自動化 Runbook 內容中使用 Lambda 函數。

進一步了解

演練:使用自動化、AWS Lambda 和 Parameter Store 簡化 AMI 修補

Storage

Amazon Simple Storage Service (Amazon S3)

Amazon S3 是針對網際網路的儲存服務。其旨在降低開發人員進行 web 規模運算的難度。Amazon S3 具有一個簡單的 Web 服務介面,可讓您隨時從 Web 上的任何位置存放和擷取任意數量的資料。

Systems Manager 允許您執行存放在 Amazon S3 中的遠端指令碼和 SSM 文件。Distributor (AWS Systems Manager 的功能),使用 Amazon S3 來存放套件。您也可以將輸出傳送至 Amazon S3 的 Run Command 和 Session Manager (AWS Systems Manager 的功能)。

開發人員工具

AWS CodeBuild

CodeBuild 是在雲端的全受管建置服務。CodeBuild 可編譯原始碼、執行單元測試,並產生可立即部署的成品。使用 CodeBuild 即可不必佈建、管理、擴展自己的組建伺服器。

Parameter Store 允許您為建置建規格和專案存放敏感資訊。

安全性、身分與合規

AWS Identity and Access Management (IAM)

IAM 是一種 Web 服務,讓您能夠安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。

Systems Manager 允許您使用 IAM 控制對服務的存取。

AWS Secrets Manager

Secrets Manager 可簡化秘密的管理。秘密可能是資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。

Parameter Store 允許您在使用其他已支援參考 Parameter Store 參數的 AWS 服務時,擷取 Secrets Manager 秘密。

進一步了解

參考AWS Secrets Manager參數中的 Parameter Store 秘密

AWS Security Hub

Security Hub 可為您提供跨 AWS 帳戶 的高優先級安全性警示和合規性狀態的全方位檢視。Security Hub 會彙總、組織來自多個 AWS 服務的安全性警示或問題清單,以及排定其優先順序。

當您開啟 Security Hub 與 Patch Manager (AWS Systems Manager 的功能) 之間的整合時,Security Hub 會從安全角度監控您的機群的修補狀態。修補程式合規詳細資訊會自動匯出至 Security Hub。這可讓您使用單一檢視來集中監控修補程式合規狀態,並追蹤其他安全問題清單。您可以在機群中的執行個體違反修補程式合規性時接收警示,並在 Security Hub 主控台中檢閱修補程式合規問題清單。

您也可以整合 Security Hub 與 Explorer 和 OpsCenter (AWS Systems Manager 的功能)。與 Security Hub 整合可讓您在 Explorer 和 OpsCenter 中接收來自 Security Hub 的問題清單。Security Hub 問題清單提供您可在 Explorer 和 OpsCenter 中使用的安全資訊,以對 AWS Systems Manager 中的安全、效能和操作問題進行彙總並採取動作。

使用 Security Hub 會產生費用。如需詳細資訊,請參閱 Security Hub 定價

密碼編譯和 PKI

AWS Key Management Service (AWS KMS)

AWS KMS 是一種受管服務,可讓您輕鬆地建立和控制客戶受管金鑰,這是用來加密資料的加密金鑰。

Systems Manager 允許您使用 AWS KMS 來建立 SecureString 參數和加密 Session Manager 工作階段資料。

管理與管控

AWS CloudFormation

AWS CloudFormation 是一項服務,能幫助您模型化與設定 Amazon Web Services 資源,讓您花較少的時間管理這些資源,並且有更多時間專注在執行於 AWS 的應用程式上。

Parameter Store 是動態參考的來源。動態參考提供簡潔、強大的方式,讓您在 AWS CloudFormation 堆疊範本中指定其他服務中存放和管理的外部值。

進一步了解

使用動態參考來指定範本值

AWS CloudTrail

CloudTrail 是一種 AWS 服務,可協助您授權 AWS 帳戶 的監管、合規、操作稽核和風險稽核。使用者、角色或 AWS 服務所執行的動作會在 CloudTrail 中記錄為事件。事件會包含在 AWS Management Console、AWS Command Line Interface (AWS CLI) 以及 AWS 開發套件和 API 中採取的動作。

Systems Manager 與 CloudTrail 整合,允許您將 Systems Manager 的所有 API 呼叫擷取為事件,包括來自 Systems Manager 主控台的呼叫以及來自對 Systems Manager API 發出的程式碼呼叫。

進一步了解

使用 AWS Systems Manager 記錄 AWS CloudTrail API 呼叫

Amazon CloudWatch Logs

Amazon CloudWatch Logs 允許您集中您使用的所有系統、應用程式和 AWS 服務的日誌。然後,您可以檢視日誌、在日誌中搜尋特定的錯誤碼或模式、根據特定欄位篩選日誌,或安全封存日誌以供日後分析。

Systems Manager 支援將 SSM Agent、Run Command 和 Session Manager 的日誌傳送至 CloudWatch Logs。

Amazon EventBridge

EventBridge 會傳送近乎即時的系統事件串流,說明 Amazon Web Services 資源的變動。使用您可以快速設定的簡單規則,您可以比對事件並將它們路由到一或多個目標函數或串流。Eventbridge 在操作變更時會查覺到。EventBridge 會回應這些操作變更並視需要進行修正動作。這些動作包括傳送訊息來回應環境、啟用函數和擷取狀態資訊。

Systems Manager 有多個 EventBridge 支援的事件,允許您根據那些事件的內容採取相關動作。

進一步了解

使用 Amazon EventBridge 監控 Systems Manager

注意

Amazon EventBridge 是管理事件的首選方式。CloudWatch Events 和 EventBridge 是相同的基礎服務和 API,但 EventBridge 提供了更多功能。您在 CloudWatch 或 EventBridge 中所做的變更將會顯現在每個主控台中。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》。

AWS Config

AWS Config - 提供您 AWS 帳戶 中 AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式。這樣一來,您可看到一段時間中組態和關係的變化。

Systems Manager 與 AWS Config 整合,可提供多個規則,協助您了解 EC2 執行個體。這些規則可協助您識別由 Systems Manager、作業系統組態、系統層級更新、已安裝的應用程式、網路組態等管理的 EC2 執行個體。

AWS Trusted Advisor

Trusted Advisor 這個線上工具可提供您的即時指導,來協助您佈建遵循 AWS 最佳實務的資源。

Systems Manager 可託管 Trusted Advisor,而您可以在 Explorer 中檢視 Trusted Advisor 資料。

AWS Organizations

Organizations 是一種帳戶管理服務,允許您將多個 AWS 帳戶 整合到您建立和集中管理的組織中。Organizations 包括帳戶管理和合併帳單功能,可讓您更符合您商業的預算、安全及合規需求。

Change Manager (AWS Systems Manager 的功能) 與 Organizations 之間的整合,可讓您透過此單一帳戶使用委派管理員帳戶來管理整個組織的變更請求、變更範本和核准。

Organizations 與庫存 (AWS Systems Manager 的功能) 和 Explorer 整合,可讓您彙總來自多個 AWS 區域 和 AWS 帳戶 的庫存與操作資料 (OpsData)。

Quick Setup (AWS Systems Manager 的功能) 與 Organizations 整合,會自動化常見服務設定任務,並根據組織單位 (OU) 的最佳實務來部署服務設定。

聯網與內容交付

AWS PrivateLink

AWS PrivateLink 允許您將 Virtual Private Cloud (VPC) 私下連線至支援的 AWS 服務以及 VPC 端點服務,而不需要網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。

Systems Manager 支援使用 AWS PrivateLink 將受管執行個體連接到 Systems Manager API。這樣一來,可以改善受管執行個體的安全狀態,因為 AWS PrivateLink 會將受管執行個體、Systems Manager 和 Amazon EC2 之間的所有網路流量限於 Amazon 網路。這意味著受管執行個體無需存取網際網路。

進一步了解

(選用) 建立 Virtual Private Cloud 端點

Analytics

Amazon Athena

Athena 是一種互動式查詢服務,允許您在 Amazon Simple Storage Service (Amazon S3) 中使用標準 SQL 直接分析資料。只要在 AWS Management Console 執行幾個動作,您就能將 Athena 指向您存放在 Amazon S3 的資料,並開始使用標準 SQL 來執行一次性查詢,在幾秒鐘內就能獲得結果。

Systems Manager 庫存會與 Athena 整合,協助您查詢來自多個 AWS 區域 和 AWS 帳戶 的庫存資料。Athena 整合會使用資源資料同步,讓您能夠在 Systems Manager 庫存主控台的 Detailed View (詳細檢視) 頁面上檢視來自所有受管執行個體的庫存資料。

AWS Glue

AWS Glue 是全受管的擷取、轉換和載入 (ETL) 服務,可讓您以輕鬆且經濟實惠的方式,將您的資料進行分類、清理、富集,以及可靠地在各種資料存放區和資料串流之間移動。

Systems Manager 使用 AWS Glue 來在 S3 儲存貯體中爬取庫存資料。

進一步了解

查詢來自多個區域和帳戶的清查資料

Amazon QuickSight

Amazon QuickSight 是一項商業分析服務,可用來建置視覺化效果、執行一次性分析,及從資料獲取商業洞察。這能夠自動探索 AWS 資料來源,而且能夠搭配您的資料來源使用。

Systems Manager 資源資料同步可將從所有受管執行個體收集到的庫存資料傳送至單一 Amazon S3 儲存貯體。您可以使用 Amazon QuickSight 來查詢和分析彙總資料。

應用程式整合

Amazon Simple Notification Service (Amazon SNS)

Amazon SNS 是一種 Web 服務,可協調與管理將訊息交付或傳送到訂閱端點或用戶端。

Systems Manager 會為多個服務產生狀態,而這些服務可透過 Amazon SNS 通知擷取。

AWS Management Console

AWS Resource Groups

Resource Groups 可組織您的 AWS 資源。資源群組可讓您更輕鬆地管理、監控及一次自動化大量資源的任務。

可以將 Systems Manager 資源類型 (例如受管執行個體、SSM 文件、維護時段、Parameter Store 參數和修補基準) 新增至資源群組。

進一步了解

什麼是 AWS Resource Groups?