使用案例與最佳實務
本主題列出了 AWS Systems Manager 功能的常用案例和最佳實務。如果可用,這個主題也包含連結,可連結到相關的部落格文章和技術文件。
此處每個區段的標題,都是有效的連結,可連結到技術文件中的對應區段。
-
建立基礎設施用的自助服務自動化 Runbook。
-
使用自動化 (AWS Systems Manager 的功能),藉由使用公有 Systems Manager 文件 (SSM 文件) 或編寫自己的工作流程,來簡化從 AWS Marketplace 或自訂 AMIs 建立 Amazon Machine Images (AMIs) 的工作。
-
使用
AWS-UpdateLinuxAmi和AWS-UpdateWindowsAmi自動化 Runbook,或使用您建立的自訂自動化 Runbook,建置和維護 AMIs。
-
使用庫存 (AWS Systems Manager 的功能) 與 AWS Config 來長期稽核您的應用程式組態。
-
定義排程,在您的執行個體上執行可能中斷的動作,例如作業系統 (OS) 修補、驅動程式更新,或軟體安裝。
-
如需有關 State Manager 和 Maintenance Windows (AWS Systems Manager 的功能) 之間的差異的資訊,請參閱 在 State Manager 與 Maintenance Windows 之間進行選擇。
-
使用 Parameter Store (AWS Systems Manager 的功能) 來集中管理全域組態設定。
-
使用 Patch Manager (AWS Systems Manager 的功能),大規模地推出修補程式,並提高涵跨執行個體的機群合規能見度。
-
整合 Patch Manager 與 AWS Security Hub,以便在機群中的執行個體不合規時接收提醒,並從安全角度監控您的機群的修補狀態。使用 Security Hub 會產生費用。如需詳細資訊,請參閱定價
。
-
使用 AWS CloudTrail,針對由 Run Command (AWS Systems Manager 的功能) 或代表其所發出的所有 API 呼叫進行稽核。
-
當您在 Run Command 中執行命令時,請勿包含任何格式為純文字的敏感資訊,例如密碼、組態資料或其他密碼。帳戶中的所有 Systems Manager API 活動都會記錄在 AWS CloudTrail 日誌中的 Amazon S3 儲存貯體中。這意味著任何具有權存取該 S3 儲存貯體的使用者都可以查看這些密碼的純文字值。因此,強烈建議您建立並使用
SecureString參數來加密您在 Systems Manager 操作中使用的敏感資料。如需更多詳細資訊,請參閱 使用 IAM 政策限制對 Systems Manager 參數的存取。
注意 根據預設,CloudTrail 交付至您儲存貯體的日誌檔案是透過 Amazon 伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3) 進行加密。若要提供可直接管理的安全層,您可以改為將伺服器端加密與 AWS KMS 受管金鑰 (SSE-KMS) 用於 CloudTrail 日誌檔案。
如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的使用 AWS KMS–受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案。
-
使用 AWS Identity and Access Management (IAM) 政策,以使用精細分級的 Run Command (和所有 Systems Manager 功能) 存取許可。
-
(Windows) 將 PowerShell 或 DSC 模組上傳到 Amazon Simple Storage Service (Amazon S3),並使用
AWS-InstallPowerShellModule。 -
使用 Amazon Elastic Compute Cloud (Amazon EC2) 標籤為執行個體建立應用程式群組。然後使用
Targets參數,而不是指定個別的執行個體 ID,來鎖定執行個體。 -
如需有關 State Manager 和 Maintenance Windows 之間的差異的資訊,請參閱 在 State Manager 與 Maintenance Windows 之間進行選擇。
-
Systems Manager 需要準確的時間參考才能執行其操作。如果您執行個體的日期和時間未正確設定,可能會與您 API 請求的簽章日期不符。這可能會導致錯誤或不完整的功能。例如,在您的受管執行個體清單中,將不會包含具有錯誤時間設定的執行個體。
如需有關在執行個體上設定時間的資訊,請參閱下列的主題:
