使用案例與最佳實務

本主題列出 AWS Systems Manager 功能的常見使用案例和最佳作法。如果可用，這個主題也包含連結，可連結到相關的部落格文章和技術文件。

注意

此處每個區段的標題，都是有效的連結，可連結到技術文件中的對應區段。

自動化

• 建立基礎設施用的自助服務自動化 Runbook。

• 使用「自動化」功能 AWS Systems Manager，可使用公開的 Systems Manager 文件 Amazon Machine Images (文件AMIs) AWS Marketplace 或編寫您自己的工作流程AMIs，簡化從或自訂建立 (SSM)。

• 使用 AWS-UpdateLinuxAmi 和 AWS-UpdateWindowsAmi 自動化 Runbook，或使用您建立的自訂自動化 Runbook，建置和維護 AMIs。

庫存

• 使用「庫存管理系統」功能 AWS Systems Manager，隨著時間的推移稽核您的應用程式組態。 AWS Config

Maintenance Windows

• 定義排程，在您的節點上執行可能中斷的動作，例如作業系統 (OS) 修補、驅動程式更新，或軟體安裝。

• 如需State Manager和Maintenance Windows之間差異的資訊 AWS Systems Manager，請參閱在 State Manager 與 Maintenance Windows 之間進行選擇。

Parameter Store

• 使用Parameter Store的 AWS Systems Manager功能集中管理全域組態設定。

• 如何 AWS Systems ManagerParameter Store使用 AWS KMS.

• 參數的Parameter Store參考 AWS Secrets Manager 密碼。

Patch Manager

• 使用Patch Manager的功能大規模推出修補程式 AWS Systems Manager，並提高節點上的叢集合規可見度。

• 整合 Patch Manager 與 AWS Security Hub，以便在機群中的節點不合規時接收提醒，並從安全角度監控您的機群的修補狀態。使用 Security Hub 會產生費用。如需詳細資訊，請參閱 定價。

• 一次只能使用一種方法來掃描受管節點，檢查修補程式的合規性，以避免意外覆寫合規資料。

Run Command

• 使用EC2運行命令無需SSH訪問即可大規模管理實例。

• 稽核由或代表某項功能Run Command，使用的 AWS Systems Manager所有API呼叫 AWS CloudTrail。

• 當您使用 Run Command 發出命令時，請勿包含格式為純文字的敏感資訊，例如密碼、組態資料或其他密碼。您帳戶中的所有 Systems Manager API 活動都會記錄在 S3 儲存貯體中以進行 AWS CloudTrail 記錄。這意味著任何具有權存取該 S3 儲存貯體的使用者都可以查看這些密碼的純文字值。因此，建議您建立並使用 SecureString 參數來加密您在 Systems Manager 操作中使用的敏感資料。

  如需詳細資訊，請參閱使用 IAM 政策限制對 Systems Manager 參數的存取。

  注意

  根據預設，傳送 CloudTrail 到儲存貯體的日誌檔會透過 Amazon 伺服器端加密使用 Amazon S3 受管加密金鑰 (SSE-S3) 進行加密。若要提供可直接管理的安全層級，您可以改為使用伺服器端加密，並為 CloudTrail 記錄檔使用 AWS KMS—managed 金鑰 (SSE-KMS)。

  如需詳細資訊，請參閱《使用指南》中的AWS CloudTrail 使用 AWS KMS —managed 金鑰加密 CloudTrail 記錄檔 (SSE-KMS)。

• 使用 Run Command 中的目標和速率控制功能，來進行階段式的指令操作。

• 使用 () 原則，針對 Run Command (以及所有 Systems Manager 功能 AWS Identity and Access Management IAM) 使用精細的存取權限。

Session Manager

• 稽核您使用中的工作階段活 AWS 帳戶 動 AWS CloudTrail。

• AWS 帳戶 使用 Amazon CloudWatch 日誌或 Amazon S3 在您的工作階段資料記錄。

• 控制使用者工作階段存取執行個體。

• 限制對工作階段中命令的存取。

• 停用或啟用 ssm-user 帳戶管理許可。

State Manager

• 使用預先設定的 AWS-UpdateSSMAgent 文件，來至少一個月更新一次 SSM Agent。

• （視窗）將 PowerShell 或DSC模塊上傳到 Amazon Simple Storage Service (Amazon S3) 並使用AWS-InstallPowerShellModule。

• 使用標籤來建立您節點的應用程式群組。然後使用Targets參數而不是指定單個節點定位節點IDs。

• 使用 Systems Manager，來自動修正 Amazon Inspector 所產生的結果。

• 為您的SSM文件使用集中式組態存放庫，並在整個組織中共用文件。

• 如需有關 State Manager 和 Maintenance Windows 之間的差異的資訊，請參閱 在 State Manager 與 Maintenance Windows 之間進行選擇。

受管節點

• Systems Manager 需要準確的時間參考才能執行其操作。如果節點的日期和時間設置不正確，則它們可能與API請求的簽名日期不匹配。這可能會導致錯誤或不完整的功能。例如，在您的受管節點清單中，將不會包含具有錯誤時間設定的節點。

  有關在節點上設定時間的資訊，請參閱設定 Amazon EC2 執行個體的時間。

• 在 Linux 受管節點上，驗證 SSM Agent 的簽章。

詳細資訊

• Systems Manager 的安全最佳實務