本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS Systems Manager?
AWS Systems Manager 是您 AWS 應用程式和資源的作業中心,也是混合式和多雲端環境的安全 end-to-end 管理解決方案,可大規模執行安全作業。
Systems Manager 的運作方式
下圖描述部分 Systems Manager 功能如何在資源上執行動作。該圖並不涵蓋所有功能。會在圖表前描述每個枚舉的互動。
-
存取 Systems Manager - 使用其中一個可用選項存取 Systems Manager。
-
選擇 Systems Manager 功能 - 確定哪些功能可以幫助您針對資源執行您想要執行的動作。此圖僅顯示 IT 管理 DevOps 員和人員用來管理其應用程式和資源的少數功能。
-
驗證和處理 — Systems Manager 會驗證您的使用者、群組或角色具有執行您指定動作的必要 AWS Identity and Access Management (IAM) 許可。如果動作的目標是受管理節點,在該節點執行的 Systems Manager 代理程式 (SSM Agent) 會執行動作。對於其他類型的資源,Systems Manager 會執行指定的動作或與其他人通訊, AWS 服務 以代表 Systems Manager 執行動作。
-
報告 - Systems Manager、SSM Agent 及其他代表 Systems Manager 執行動作的 AWS 服務 會報告狀態。如果已設定 AWS 服務,Systems Manager 可以將狀態詳細資料傳送給其他
-
Systems Manager 操作管理功能 - 如果啟用,Systems Manager 操作管理功能 (例如 Explorer、OpsCenter) 與 Incident Manager 會彙總操作資料或建立成品,以回應資源的事件或錯誤。這些成品包括操作工作項目 (OpsItems) 與事件。Systems Manager 操作管理功能可為您的應用程式與資源提供運作深入分析,並提供自動化修補解決方案,針對問題進行疑難排解。
Systems Manager 功能
Systems Manager 的功能可分為下列類別。選擇各類別下方的索引標籤來進一步了解各項功能。
應用程式管理
- Application Manager
-
Application Manager協助 DevOps工程師在應用程式和叢集的環境中調查和修復其 AWS 資源問題。在 Application Manager 中,應用程式是您要作為單位營運的 AWS
資源的邏輯群組。此邏輯群組可以代表應用程式的不同版本、運算子的擁有權界限或開發人員環境,僅舉幾例。 Application Manager對容器叢集的支援包括 Amazon Elastic Kubernetes Service (Amazon EKS) 和 Amazon Elastic Container Service (Amazon ECS) 叢集。 Application Manager將操作信息從多個 AWS 服務 和「Systems Manager 功能匯總為一個單 AWS Management Console一的。
- AppConfig
-
AppConfig 可協助您建立、管理及部署應用程式組態與功能標記。AppConfig 支援對任何大小應用程式的受控制部署。AppConfig 可以與 Amazon EC2 執行個體、 AWS Lambda
容器、行動應用程式或邊緣裝置上託管的應用程式一起使用。為了防止部署應用程式組態時發生錯誤,AppConfig 包括了驗證器。驗證器提供了一個語法或語義檢查,以確認您要部署的組態可如預期運作。AppConfig 會在組態部署期間監視應用程式,以確認部署成功。如果系統遇到錯誤或部署叫用警示,AppConfig 會復原變更,以將對應用程式使用者的影響降到最低。
- 參數存放區
-
Parameter Store 會提供安全的階層式儲存空間,以供組態資料管理和秘密管理。您可以將密碼、資料庫字串、Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 ID 和 Amazon Machine Image (AMI) ID,以及授權碼之類的資料存放為參數值。您存放的值可以是純文字或加密資料。然後,您可以使用建立參數時指定的唯一名稱來參考各個值。
變更管理
- Change Manager
-
Change Manager 是一個企業變更管理架構,用於請求、核准、實作和報告應用程式組態和基礎設施的操作變更。如果您使用的是單一委派管理員帳戶 AWS Organizations,則可以跨多個 AWS 帳戶 委派管理員帳戶管理變更 AWS 區域。或使用本機帳戶,您可以管理單一 AWS 帳戶的變更。用Change Manager於管理 AWS 資源和內部部署資源的變更。
- Automation
-
使用 Automation 來自動化一般維護與部署任務。您可以使用自動化來建立和更新 Amazon Machine Images (AMIs)、套用驅動程式和代理程式更新、重設 Windows Server 執行個體的密碼、重設 Linux 執行個體的 SSH 金鑰,以及套用 OS 修補程式或應用程式更新。
- 變更行事曆
-
Change Calendar 可協助您為指定的動作 (例如在 Systems Manager Automation Runbook 中) 設定要或不要在 AWS 帳戶中執行的日期與時間範圍。在 Change Calendar 中,這些範圍稱為「事件」。當您建立了 Change Calendar 項目,也會建立類型 ChangeCalendar
的 Systems Manager 文件。在 Change Calendar 中,這些文件會以純文字格式儲存 iCalendar 2.0 資料。您新增到 Change Calendar 項目的事件將成為文件的一部份。您可以在 Change Calendar 界面中手動新增事件,或使用 .ics
檔案從支援的第三方行事曆中匯入事件。
- 維護時段
-
使用 Maintenance Windows,為受管執行個體安排各種管理任務的定期執行排程,例如安裝修補程式和更新,而不會中斷業務關鍵操作。
節點管理
受管節點是設定為在混合多雲端環境中搭配 Systems Manager 使用的任何機器。
- Compliance
-
您可以使用合規功能來掃描受管節點機群,以檢查修補程式合規與組態的不一致。您可以從多個和收集資料 AWS 帳戶 並彙總資料 AWS 區域,然後向下鑽研至不合規的特定資源。根據預設,合規會顯示有關 Patch Manager 修補和 State Manager 關聯的合規資料。您也可以根據 IT 或業務的需求,來自訂服務和建立自己的合規類型。
- Fleet Manager
-
Fleet Manager 是統一的使用者介面 (UI) 體驗,可助您遠端管理節點。利用 Fleet Manager,您可以從單一主控台檢視整個機群的運作狀態和效能狀態。您也可以從個別裝置和執行個體收集資料,進而從主控台執行常見的故障診斷和管理任務。這包括檢視目錄和檔案內容、Windows 登錄管理、作業系統使用者管理等。
- Inventory
-
清查功能會自動化從受管節點收集軟體庫存的程序。您可以使用庫存在受管執行個體上蒐集有關應用程式、檔案、元件、修補程式等。
- 工作階段管理員
-
使Session Manager用透過互動式按一 Elastic Compute Cloud (Amazon EC2) 瀏覽器殼層或透過 AWS CLI. Session Manager提供安全且可稽核的邊緣裝置和執行個體管理,無須開啟輸入連接埠、維護防禦主機或管理安全殼層金鑰。 Session Manager此外,您還可以遵守企業政策,這些政策需要受控管的邊緣裝置和執行個體存取權限、嚴格的安全實務,以及具有邊緣裝置和執行個體存取詳細資料的完全可稽核日誌,同時還能為使用者提供對邊緣裝置和 EC2 執行個體的簡單一鍵跨平台存取。若要使用 Session Manager,您必須啟用進階執行個體層。如需詳細資訊,請參閱 開啟 advanced-instances 方案。
- Run Command
-
使用 Run Command,以從遠端安全地大規模管理受管節點的組態。使用 Run Command 執行隨需變更,例如,在擁有數十或數百個受管節點的目標集上,更新應用程式或執行 Linux shell 指令碼和 Windows PowerShell 命令。
- 狀態管理員
-
使用 State Manager,以自動化讓受管節點維持在定義狀態的程序。您可以使用 State Manager 來保證受管節點在啟動時由特定軟體引導、加入 Windows 網域 (僅限 Windows Server 節點),或使用特定軟體更新來進行修補。
- 修補程式管理員
-
使用 Patch Manager 以透過安全相關和其他類型的更新,來自動化修補您受管節點的程序。您可以使用 Patch Manager 以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上,應用程式支援僅限於由 Microsoft 發佈的應用程式更新。)
此功能可讓您掃描受管節點是否遺漏修補程式,然後逐一套用遺漏的修補程式,或使用標籤套用到大型的受管節點群組。Patch Manager 使用修補基準,其中包含在修補程式發佈後的數日內自動核准等規則,以及已核准和拒絕的修補程式清單。您可以藉由將修補排定為以 Systems Manager 維護時段任務執行,定期安裝安全修補程式,或者您可以隨時隨需修補您的受管節點。
至於 Linux 作業系統,您可以在修補基準中,定義要用於修補操作的儲存庫。這樣便能確定不管受管節點上設定了哪些儲存庫,都只會從信任的儲存庫安裝更新。至於 Linux,您也能夠更新受管節點上的任何套件,而不只是歸類為作業系統安全更新的套件。您也可以產生可傳送至所選 S3 儲存貯體的修補程式報告。對於單一受管節點,報告包括機器所有修補程式的詳細資訊。對於所有受管節點的報告,只會提供缺少修補程式數量的摘要。
- Distributor
-
使用 Distributor,以建立套件並將其部署到受管節點。您可以使用封裝自己的軟體Distributor,或尋找所 AWS提供的代理程式軟體套件,例如 AmazonCloudWatchAgent,在 Systems Manager 管理的節點上安裝。第一次安裝套件之後,您可以使用 Distributor 解除安裝並重新安裝新的套件版本,或執行只會加入新增或變更檔案的就地更新。Distributor 會將資源 (例如軟體套件) 發佈至 Systems Manager 受管理的節點。
- Hybrid Activations
-
若要將混合多雲端環境中的非 EC2 機器設定為受管節點,請建立混合啟用。完成啟用後,您會收到一組啟用代碼和 ID。這個程式碼/ID 組合的函數就像 Amazon Elastic Compute Cloud (Amazon EC2) 存取 ID 和秘密金鑰,可讓您從受管執行個體安全存取 Systems Manager 服務。
如果您想要使用 Systems Manager 來管理邊緣裝置,則也可以建立邊緣裝置的啟用。
營運管理
- Incident Manager
-
事件管理員是一個事件管理主控台,可協助使用者減輕影響其 AWS 代管應用程式的事件並從中復原
Incident Manager 可通知回應方相關影響、反白相關的故障診斷資料,並提供協同合作工具來備份和執行服務,藉此增強事件解決方案。Incident Manager 也會自動化回應計劃,並允許回應方團隊上報。
- Explorer
-
Explorer是可自訂的作業儀表板,可報告您的 AWS 資源相關資訊。 Explorer顯示您 AWS 帳戶 和其他人的作業資料的彙總檢視 (OpsData) AWS 區域。在中Explorer, OpsData 包含有關 Amazon EC2 執行個體的中繼資料、修補程式合規詳細資訊和操作工作項目 (OpsItems)。 Explorer提供OpsItems有關如何在業務單位或應用程式之間分佈的背景資訊、它們在一段時間內的趨勢,以及它們如何依類別而有所不同。您可以在 Explorer 中群組和篩選資訊,以專注於與您相關且需要採取動作的項目。當您識別高優先順序問題時,您可以使用 OpsCenter (Systems Manager 功能) 來執行自動化 runbook 並解決問題。`
- OpsCenter
-
OpsCenter提供一個集中位置,作業工程師和IT專業人員可以檢視、調查和解決與 AWS
資源相關的作業工作項目 (OpsItems)。 OpsCenter旨在減少影響 AWS 資源問題的平均解決時間。此 Systems Manager 功能會在各項服務中彙整並標準化 OpsItems,同時提供各 OpsItem、相關 OpsItems 和相關資源的關聯調查資料。OpsCenter 也提供 Systems Manager 自動化文件 (Runbook),您可以用來快速解決問題。您可以為每個 OpsItem 指定可搜尋的自訂資料。您也可以依狀態和來源,檢視自動產生的 OpsItems 摘要報告。
- CloudWatch Dashboards
-
Amazon CloudWatch 儀表板是 CloudWatch主控台中可自訂的頁面,您可以使用這些頁面在單一檢視中監控資源,甚至是分散在不同區域的資源。您可以使用 CloudWatch 儀表板為 AWS 資源建立指標和警示的自訂檢視。
Quick Setup
用於使Quick Setup用建議的最佳做法來設定常用功能 AWS 服務 和功能。您可以Quick Setup在個人 AWS 帳戶 或跨多個使用, AWS 帳戶 並 AWS 區域 通過與集成 AWS Organizations. Quick Setup透過自動化一般或建議的工作,簡化服務的設定,包括 Systems Manager。這些工作包括建立必要 AWS Identity and Access Management (IAM) 執行個體設定檔角色,以及設定營運最佳實務,例如定期修補程式掃描和庫存收集。
共用 資源
- Documents
-
Systems Manager 文件 (SSM 文件) 定義 Systems Manager 在受管執行個體上執行的動作。SSM 文件類型包含命令文件 (由 State Manager 和Run Command 使用) 和自動化 Runbook (由 Systems Manager 自動化使用)。Systems Manager 包含數十種預先設定的文件,可讓您用來在執行時間時指定參數。文件可以使用 JSON 或 YAML 格式表示,並包含您指定的步驟和參數。
存取 Systems Manager
您可以透過以下方式使用 Systems Manager:
Systems Manager 服務名稱歷程記錄
AWS Systems Manager (Systems Manager) 先前稱為 "Amazon Simple Systems Manager
(SSM)" 和 "Amazon EC2 Systems Manager (SSM)"。服務的原始縮寫名稱 SSM「」仍然反映在各種 AWS 資源中,包括其他一些服務主控台。一些範例:
-
Systems ManagerAgent:SSM Agent
-
Systems Manager 參數:SSM 參數
-
Systems Manager 服務端點:ssm.region
.amazonaws.com
-
AWS CloudFormation 資源類型:AWS::SSM::Document
-
AWS Config 規則識別碼:EC2_INSTANCE_MANAGED_BY_SSM
-
AWS Command Line Interface (AWS CLI) 指令:aws ssm
describe-patch-baselines
-
AWS Identity and Access Management (IAM) 受管政策名稱:AmazonSSMReadOnlyAccess
-
Systems Manager 資源 ARN:arn:aws:ssm:region
:account-id
:patchbaseline/pb-07d8884178EXAMPLE
支援 AWS 區域
Systems Manager 可在中 AWS 區域 列出的 Systems Manager 服務端點中使用Amazon Web Services 一般參考。在開始您的 Systems Manager 組態程序之前,我們建議您先確認您要在其中使用該服務的 AWS 區域 每個服務中都可以使用該服務。
針對混合多雲端環境中的非 EC2 機器,建議您選擇最接近您資料中心或運算環境的區域。