什麼是 AWS Systems Manager？

AWS Systems Manager 是您 AWS 應用程式和資源的作業中心，也是混合式和多雲端環境的安全 end-to-end 管理解決方案，可大規模執行安全作業。

Systems Manager 的運作方式

下圖描述部分 Systems Manager 功能如何在資源上執行動作。該圖並不涵蓋所有功能。會在圖表前描述每個枚舉的互動。

1. 存取 Systems Manager - 使用其中一個可用選項存取 Systems Manager。

2. 選擇 Systems Manager 功能 - 確定哪些功能可以幫助您針對資源執行您想要執行的動作。此圖僅顯示 IT 管理 DevOps 員和人員用來管理其應用程式和資源的少數功能。

3. 驗證和處理 — Systems Manager 會驗證您的使用者、群組或角色具有執行您指定動作的必要 AWS Identity and Access Management (IAM) 許可。如果動作的目標是受管理節點，在該節點執行的 Systems Manager 代理程式 (SSM Agent) 會執行動作。對於其他類型的資源，Systems Manager 會執行指定的動作或與其他人通訊， AWS 服務 以代表 Systems Manager 執行動作。

4. 報告 - Systems Manager、SSM Agent 及其他代表 Systems Manager 執行動作的 AWS 服務 會報告狀態。如果已設定 AWS 服務，Systems Manager 可以將狀態詳細資料傳送給其他

5. Systems Manager 操作管理功能 - 如果啟用，Systems Manager 操作管理功能 (例如 Explorer、OpsCenter) 與 Incident Manager 會彙總操作資料或建立成品，以回應資源的事件或錯誤。這些成品包括操作工作項目 (OpsItems) 與事件。Systems Manager 操作管理功能可為您的應用程式與資源提供運作深入分析，並提供自動化修補解決方案，針對問題進行疑難排解。

Systems Manager 功能

Systems Manager 的功能可分為下列類別。選擇各類別下方的索引標籤來進一步了解各項功能。

應用程式管理

Application Manager

Application Manager協助 DevOps工程師在應用程式和叢集的環境中調查和修復其 AWS 資源問題。在 Application Manager 中，應用程式是您要作為單位營運的 AWS 資源的邏輯群組。此邏輯群組可以代表應用程式的不同版本、運算子的擁有權界限或開發人員環境，僅舉幾例。 Application Manager對容器叢集的支援包括 Amazon Elastic Kubernetes Service (Amazon EKS) 和 Amazon Elastic Container Service (Amazon ECS) 叢集。 Application Manager將操作信息從多個 AWS 服務 和「Systems Manager 功能匯總為一個單 AWS Management Console一的。

AppConfig

AppConfig 可協助您建立、管理及部署應用程式組態與功能標記。AppConfig 支援對任何大小應用程式的受控制部署。AppConfig 可以與 Amazon EC2 執行個體、 AWS Lambda 容器、行動應用程式或邊緣裝置上託管的應用程式一起使用。為了防止部署應用程式組態時發生錯誤，AppConfig 包括了驗證器。驗證器提供了一個語法或語義檢查，以確認您要部署的組態可如預期運作。AppConfig 會在組態部署期間監視應用程式，以確認部署成功。如果系統遇到錯誤或部署叫用警示，AppConfig 會復原變更，以將對應用程式使用者的影響降到最低。

參數存放區

Parameter Store 會提供安全的階層式儲存空間，以供組態資料管理和秘密管理。您可以將密碼、資料庫字串、Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 ID 和 Amazon Machine Image (AMI) ID，以及授權碼之類的資料存放為參數值。您存放的值可以是純文字或加密資料。然後，您可以使用建立參數時指定的唯一名稱來參考各個值。

變更管理

Change Manager

Change Manager 是一個企業變更管理架構，用於請求、核准、實作和報告應用程式組態和基礎設施的操作變更。如果您使用的是單一委派管理員帳戶 AWS Organizations，則可以跨多個 AWS 帳戶 委派管理員帳戶管理變更 AWS 區域。或使用本機帳戶，您可以管理單一 AWS 帳戶的變更。用Change Manager於管理 AWS 資源和內部部署資源的變更。

Automation

使用 Automation 來自動化一般維護與部署任務。您可以使用自動化來建立和更新 Amazon Machine Images (AMIs)、套用驅動程式和代理程式更新、重設 Windows Server 執行個體的密碼、重設 Linux 執行個體的 SSH 金鑰，以及套用 OS 修補程式或應用程式更新。

變更行事曆

Change Calendar 可協助您為指定的動作 (例如在 Systems Manager Automation Runbook 中) 設定要或不要在 AWS 帳戶中執行的日期與時間範圍。在 Change Calendar 中，這些範圍稱為「事件」。當您建立了 Change Calendar 項目，也會建立類型 ChangeCalendar 的 Systems Manager 文件。在 Change Calendar 中，這些文件會以純文字格式儲存 iCalendar 2.0 資料。您新增到 Change Calendar 項目的事件將成為文件的一部份。您可以在 Change Calendar 界面中手動新增事件，或使用 .ics 檔案從支援的第三方行事曆中匯入事件。

維護時段

使用 Maintenance Windows，為受管執行個體安排各種管理任務的定期執行排程，例如安裝修補程式和更新，而不會中斷業務關鍵操作。

節點管理

受管節點是設定為在混合多雲端環境中搭配 Systems Manager 使用的任何機器。

Compliance

您可以使用合規功能來掃描受管節點機群，以檢查修補程式合規與組態的不一致。您可以從多個和收集資料 AWS 帳戶 並彙總資料 AWS 區域，然後向下鑽研至不合規的特定資源。根據預設，合規會顯示有關 Patch Manager 修補和 State Manager 關聯的合規資料。您也可以根據 IT 或業務的需求，來自訂服務和建立自己的合規類型。

Fleet Manager

Fleet Manager 是統一的使用者介面 (UI) 體驗，可助您遠端管理節點。利用 Fleet Manager，您可以從單一主控台檢視整個機群的運作狀態和效能狀態。您也可以從個別裝置和執行個體收集資料，進而從主控台執行常見的故障診斷和管理任務。這包括檢視目錄和檔案內容、Windows 登錄管理、作業系統使用者管理等。

Inventory

清查功能會自動化從受管節點收集軟體庫存的程序。您可以使用庫存在受管執行個體上蒐集有關應用程式、檔案、元件、修補程式等。

工作階段管理員

使Session Manager用透過互動式按一 Elastic Compute Cloud (Amazon EC2) 瀏覽器殼層或透過 AWS CLI. Session Manager提供安全且可稽核的邊緣裝置和執行個體管理，無須開啟輸入連接埠、維護防禦主機或管理安全殼層金鑰。 Session Manager此外，您還可以遵守企業政策，這些政策需要受控管的邊緣裝置和執行個體存取權限、嚴格的安全實務，以及具有邊緣裝置和執行個體存取詳細資料的完全可稽核日誌，同時還能為使用者提供對邊緣裝置和 EC2 執行個體的簡單一鍵跨平台存取。若要使用 Session Manager，您必須啟用進階執行個體層。如需詳細資訊，請參閱 開啟 advanced-instances 方案。

Run Command

使用 Run Command，以從遠端安全地大規模管理受管節點的組態。使用 Run Command 執行隨需變更，例如，在擁有數十或數百個受管節點的目標集上，更新應用程式或執行 Linux shell 指令碼和 Windows PowerShell 命令。

狀態管理員

使用 State Manager，以自動化讓受管節點維持在定義狀態的程序。您可以使用 State Manager 來保證受管節點在啟動時由特定軟體引導、加入 Windows 網域 (僅限 Windows Server 節點)，或使用特定軟體更新來進行修補。

修補程式管理員

使用 Patch Manager 以透過安全相關和其他類型的更新，來自動化修補您受管節點的程序。您可以使用 Patch Manager 以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上，應用程式支援僅限於由 Microsoft 發佈的應用程式更新。)

此功能可讓您掃描受管節點是否遺漏修補程式，然後逐一套用遺漏的修補程式，或使用標籤套用到大型的受管節點群組。Patch Manager 使用修補基準，其中包含在修補程式發佈後的數日內自動核准等規則，以及已核准和拒絕的修補程式清單。您可以藉由將修補排定為以 Systems Manager 維護時段任務執行，定期安裝安全修補程式，或者您可以隨時隨需修補您的受管節點。

至於 Linux 作業系統，您可以在修補基準中，定義要用於修補操作的儲存庫。這樣便能確定不管受管節點上設定了哪些儲存庫，都只會從信任的儲存庫安裝更新。至於 Linux，您也能夠更新受管節點上的任何套件，而不只是歸類為作業系統安全更新的套件。您也可以產生可傳送至所選 S3 儲存貯體的修補程式報告。對於單一受管節點，報告包括機器所有修補程式的詳細資訊。對於所有受管節點的報告，只會提供缺少修補程式數量的摘要。

Distributor

使用 Distributor，以建立套件並將其部署到受管節點。您可以使用封裝自己的軟體Distributor，或尋找所 AWS提供的代理程式軟體套件，例如 AmazonCloudWatchAgent，在 Systems Manager 管理的節點上安裝。第一次安裝套件之後，您可以使用 Distributor 解除安裝並重新安裝新的套件版本，或執行只會加入新增或變更檔案的就地更新。Distributor 會將資源 (例如軟體套件) 發佈至 Systems Manager 受管理的節點。

Hybrid Activations

若要將混合多雲端環境中的非 EC2 機器設定為受管節點，請建立混合啟用。完成啟用後，您會收到一組啟用代碼和 ID。這個程式碼/ID 組合的函數就像 Amazon Elastic Compute Cloud (Amazon EC2) 存取 ID 和秘密金鑰，可讓您從受管執行個體安全存取 Systems Manager 服務。

如果您想要使用 Systems Manager 來管理邊緣裝置，則也可以建立邊緣裝置的啟用。

營運管理

Incident Manager

事件管理員是一個事件管理主控台，可協助使用者減輕影響其 AWS 代管應用程式的事件並從中復原

Incident Manager 可通知回應方相關影響、反白相關的故障診斷資料，並提供協同合作工具來備份和執行服務，藉此增強事件解決方案。Incident Manager 也會自動化回應計劃，並允許回應方團隊上報。

Explorer

Explorer是可自訂的作業儀表板，可報告您的 AWS 資源相關資訊。 Explorer顯示您 AWS 帳戶 和其他人的作業資料的彙總檢視 (OpsData) AWS 區域。在中Explorer， OpsData 包含有關 Amazon EC2 執行個體的中繼資料、修補程式合規詳細資訊和操作工作項目 (OpsItems)。 Explorer提供OpsItems有關如何在業務單位或應用程式之間分佈的背景資訊、它們在一段時間內的趨勢，以及它們如何依類別而有所不同。您可以在 Explorer 中群組和篩選資訊，以專注於與您相關且需要採取動作的項目。當您識別高優先順序問題時，您可以使用 OpsCenter (Systems Manager 功能) 來執行自動化 runbook 並解決問題。`

OpsCenter

OpsCenter提供一個集中位置，作業工程師和IT專業人員可以檢視、調查和解決與 AWS 資源相關的作業工作項目 (OpsItems)。 OpsCenter旨在減少影響 AWS 資源問題的平均解決時間。此 Systems Manager 功能會在各項服務中彙整並標準化 OpsItems，同時提供各 OpsItem、相關 OpsItems 和相關資源的關聯調查資料。OpsCenter 也提供 Systems Manager 自動化文件 (Runbook)，您可以用來快速解決問題。您可以為每個 OpsItem 指定可搜尋的自訂資料。您也可以依狀態和來源，檢視自動產生的 OpsItems 摘要報告。

CloudWatch Dashboards

Amazon CloudWatch 儀表板是 CloudWatch主控台中可自訂的頁面，您可以使用這些頁面在單一檢視中監控資源，甚至是分散在不同區域的資源。您可以使用 CloudWatch 儀表板為 AWS 資源建立指標和警示的自訂檢視。

Quick Setup

用於使Quick Setup用建議的最佳做法來設定常用功能 AWS 服務 和功能。您可以Quick Setup在個人 AWS 帳戶 或跨多個使用， AWS 帳戶 並 AWS 區域 通過與集成 AWS Organizations. Quick Setup透過自動化一般或建議的工作，簡化服務的設定，包括 Systems Manager。這些工作包括建立必要 AWS Identity and Access Management (IAM) 執行個體設定檔角色，以及設定營運最佳實務，例如定期修補程式掃描和庫存收集。

共用 資源

Documents

Systems Manager 文件 (SSM 文件) 定義 Systems Manager 在受管執行個體上執行的動作。SSM 文件類型包含命令文件 (由 State Manager 和Run Command 使用) 和自動化 Runbook (由 Systems Manager 自動化使用)。Systems Manager 包含數十種預先設定的文件，可讓您用來在執行時間時指定參數。文件可以使用 JSON 或 YAML 格式表示，並包含您指定的步驟和參數。

存取 Systems Manager

您可以透過以下方式使用 Systems Manager：

Systems Manager 主控台：

Systems Manager 主控台是一種瀏覽器界面，可存取及使用 Systems Manager。

AWS IoT Greengrass V2 控制台

您可以 AWS IoT Greengrass 在 Greengr ass 主控台中檢視和管理設定的邊緣裝置。

AWS 命令行工具

透過使用指 AWS 令行工具，您可以在系統的指令列中發出指令，以執行 Systems Manager 和其他工 AWS 作。Linux、macOS 和 Windows 支援這些工具。與使用主控台相較，使用 AWS Command Line Interface (AWS CLI) 更快速也更便利。若您想要建構執行 AWS 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組指令行工具：AWS Command Line Interface和 AWS Tools for Windows PowerShell. 若要取得有關安裝和使用的資訊 AWS CLI，請參閱《使AWS Command Line Interface 用指南》。若要取得有關安裝和使用 Windows 工具的資訊 PowerShell，請參閱使用AWS Tools for Windows PowerShell 者指南。

注意

在您的 Windows Server 執行個體上，需要 Windows PowerShell 3.0 或更新版本，才能執行特定 SSM 文件 (例如舊版 AWS-ApplyPatchBaseline 文件)。驗證您的 Windows Server 執行個體正在執行 Windows Management Framework 3.0 或更新版本。這個架構包含 Windows PowerShell。

AWS 開發套件

AWS 提供軟體開發套件 (SDK)，其中包含各種程式設計語言和平台 (例如 Java、Python、Ruby、.NET、iOS 和安卓系統等) 的程式庫和範例程式碼。SDK 提供便捷方法來授予對 Systems Manager 的程式設計方式存取。如需 AWS SDK 的相關資訊，包括如何下載和安裝這些軟體開發套件，請參閱 Amazon Web Services 的工具。

Systems Manager 服務名稱歷程記錄

AWS Systems Manager (Systems Manager) 先前稱為 "Amazon Simple Systems Manager (SSM)" 和 "Amazon EC2 Systems Manager (SSM)"。服務的原始縮寫名稱 SSM「」仍然反映在各種 AWS 資源中，包括其他一些服務主控台。一些範例：

• Systems ManagerAgent：SSM Agent

• Systems Manager 參數：SSM 參數

• Systems Manager 服務端點：ssm.region.amazonaws.com

• AWS CloudFormation 資源類型：AWS::SSM::Document

• AWS Config 規則識別碼：EC2_INSTANCE_MANAGED_BY_SSM

• AWS Command Line Interface (AWS CLI) 指令：aws ssm describe-patch-baselines

• AWS Identity and Access Management (IAM) 受管政策名稱：AmazonSSMReadOnlyAccess

• Systems Manager 資源 ARN：arn:aws:ssm:region:account-id:patchbaseline/pb-07d8884178EXAMPLE

支援 AWS 區域

Systems Manager 可在中 AWS 區域 列出的 Systems Manager 服務端點中使用Amazon Web Services 一般參考。在開始您的 Systems Manager 組態程序之前，我們建議您先確認您要在其中使用該服務的 AWS 區域 每個服務中都可以使用該服務。

針對混合多雲端環境中的非 EC2 機器，建議您選擇最接近您資料中心或運算環境的區域。