一般性问题
问:什么是 AWS Systems Manager?
您可以通过 AWS Systems Manager 集中来自多种 AWS 服务的运行数据,并跨 AWS 以及多云和混合环境中的资源自动执行任务。您可以创建应用程序、应用程序堆栈的不同层或生产与开发环境等资源的逻辑组。借助 Systems Manager,您可以选择一个资源组并查看其最近的 API 活动、资源配置变化、相关通知、运行提醒、软件清单以及补丁合规性状态。您可以根据操作需要对每个资源组执行操作。Systems Manager 让您可以在一个位置查看和管理 AWS 以及多云和混合环境中的资源,从而完全了解和控制各项操作。
问:哪些人应该使用 AWS Systems Manager?
如果您使用多种 AWS 服务,则可以通过 AWS Systems Manager 以集中而一致的方式收集运行信息并执行日常管理任务。您可以使用 AWS Systems Manager 执行日常操作、跟踪开发、测试和生产环境,还可以主动处理各种事件或其他运行问题。AWS Systems Manager 为代码编辑器和集成式开发环境 (IDE) 等更侧重于开发人员的工具提供了一种操作补充。与 IDE 类似,AWS Systems Manager 也集成了多种操作工具。
问:如何开始使用?
开始使用 AWS Systems Manager 的步骤非常简单。使用 AWS 管理控制台,导航到 AWS Systems Manager 控制台。您可以使用简单的标签查询来创建一个资源组,然后开始体验 AWS Systems Manager 提供的一整套操作工具。
问:AWS Systems Manager 支持哪些操作系统?
AWS Systems Manager 经过优化,可以在一个位置统一管理 Windows 和 Linux 两种平台。有关管理本地系统的更多详细信息,请参阅文档。
问:AWS Systems Manager 是否管理在本地运行的实例?
是的,AWS Systems Manager 支持对本地数据中心、混合环境和其他云环境中以及边缘运行的实例进行管理。有关更多详细信息,请参阅 AWS Systems Manager 先决条件。
问:如何使用 AWS Systems Manager 管理 AWS IoT Greengrass 设备?
Systems Manager 让您能够管理 AWS IoT Greengrass 设备以及 Amazon Elastic Compute Cloud (EC2) 实例和本地部署的服务器。要开始,请参阅为边缘设备设置 AWS Systems Manager。
问:AWS Systems Manager 如何帮助用户管理 Amazon EC2 实例和本地部署的服务器?
AWS Systems Manager 提供一个代理,用于在实例或服务器内部执行操作。该代理是完全开源的,可以从 GitHub 上获取。
问:我是否可以从我的 VPC 以私有方式访问 AWS Systems Manager API,而不使用公有 IP 地址?
可以,您可以从使用 Amazon Virtual Private Cloud 创建的 VPC 通过创建 VPC 终端节点来以私有方式访问 AWS Systems Manager API。借助 VPC 终端节点,VPC 和 AWS Systems Manager 之间的路由将由 AWS 网络处理,无需互联网网关、NAT 网关或虚拟专用网络(VPN)连接。AWS Systems Manager 使用的最新一代 VPC 终端节点由 AWS PrivateLink 支持。AWS PrivateLink 这一技术使用的弹性网络接口(ENI)带有 VPC 中的私有 IP 地址,可以支持不同 AWS 服务之间的私有连接。要了解有关 PrivateLink 的更多信息,请参阅 PrivateLink 文档。
问:哪些区域提供 AWS Systems Manager?
请参阅 AWS 区域表,了解哪些区域提供 AWS Systems Manager。
问:我可以通过 AWS Systems Manager 收集哪些信息?
AWS Systems Manager 可以收集来自多种 AWS 服务的信息。这些关于不同服务的信息显示在多个内置控制面板上。AWS Systems Manager 还嵌入了 Amazon CloudWatch 控制面板,而且您可以重复使用现有控制面板或构建新控制面板。
问:什么是内置信息工具?
AWS Systems Manager 的内置信息工具是指各种控制面板,其中可以显示通过 AWS CloudTrail 进行的近期 API 调用、通过 AWS Config 进行的近期配置更改、实例软件清单列表、实例补丁合规性视图和实例配置合规性视图。您可以筛选这些账户级别的信息,以便查看特定资源组的成员的相关信息。这些控制面板还可以显示通过 AWS Personal Health Dashboard 记录的近期事件日志和通过 AWS Trusted Advisor 获取的优化建议。
问:什么是托管实例?
托管实例是指可以使用 AWS Systems Manager 管理的任何本地服务器或 Amazon EC2 实例。托管实例可以是本地数据中心内的物理服务器或虚拟机,甚至也可以是另一家云提供商。
问:如何设置托管实例?
您可以通过以下方式将 EC2 实例设置为托管实例:安装 Systems Manager 代理并将一个 AWS Identity and Access Management (IAM) 实例配置文件附加到该实例,这样可以授予 Systems Manager 对您的实例执行操作的权限。要在 Amazon EC2 外部注册服务器或虚拟机,您可以创建一项激活。
问:某些操作系统是否已经包含 Systems Manager 代理?
Systems Manager 代理在 AWS Windows AMI 和 Amazon Linux AMI 中默认安装,并存储在在 Amazon Linux 存储库中。您也可以在其他受支持的操作系统上安装代理。
问:什么是 AWS Systems Manager 激活?
AWS Systems Manager 激活支持混合管理和跨云管理。利用 AWS Systems Manager 激活,您可以轻松注册要使用 AWS Systems Manager 管理的任何物理或虚拟服务器。
问:如何使用 AWS Systems Manager 激活来注册实例?
您可以从 AWS Systems Manager 控制台或 API 创建一项 AWS Systems Manager 激活,从而获得激活代码和 ID。使用这一激活代码和 ID,您可以在服务器上运行命令,将其注册到 Systems Manager。
问:什么是 AWS Systems Manager 文档?
AWS Systems Manager 文档让您可以将配置用作代码,以便大规模管理资源。AWS Systems Manager 文档可以定义一系列操作,让您能够远程管理实例、确保所需状态并自动执行操作。AWS Systems Manager 文档是跨平台的,可以用于 Windows 和 Linux 实例。
问:我可以在哪里使用 AWS Systems Manager 文档?
您可以将 Systems Manager 文档与 Run Command、State Manager 或各种自动化功能结合使用。
问:是否有预定义的 AWS Systems Manager 文档?
是的。我们提供多种预定义 AWS Systems Manager 文档供您选择,这些文档可以自动执行收集清单、安装应用程序、将实例加入域、实例操作和收集指标等常见任务。
问:如何创建自己的 AWS Systems Manager 文档?
您可以通过 AWS Systems Manager 控制台或 API,以 JSON 或 YAML 格式编写符合规定文档架构的 AWS Systems Manager 文档。
问:AWS Systems Manager SLA 提供哪些保证?
我们的 AWS Systems Manager SLA 保证 AWS Systems Manager 收费功能的月度正常运行时间百分比至少为 99.9%。
问:怎样确定我是否有资格获得 SLA 服务抵扣?
如果在任何月度结算周期内,AWS Systems Manager 收费功能的月度正常运行时间百分比低于 99.9%,您将有资格依据 AWS Systems Manager SLA 获得 AWS Systems Manager SLA 抵扣。
如需 SLA 的所有条款与条件的完整详细信息,以及如何提交索赔的详细信息,请参阅 AWS Systems Manager SLA 详细信息页面。
问:我可以将 ServiceNow 和 Jira Service Desk 实例连接到 AWS Systems Manager 吗?
可以。适用于 ServiceNow 和 Jira Service Desk 的 AWS 服务管理连接器(以前称为 AWS Service Catalog Connector)允许 ServiceNow 和 Jira Service Desk 最终用户通过 ServiceNow 在本地管理和使用 AWS 以及多云和混合环境中的资源。借助 AWS Service Management Connector,ServiceNow 和 Jira Service Desk 用户可以在 ServiceNow 和 Jira Service Desk 上通过 AWS Systems Manager 无缝地执行自动化运行手册。如此一来,ServiceNow 和 Jira Service Desk 用户能够更轻松地进行 AWS 产品请求操作,并可对 AWS 产品进行管理和监督。
适用于 ServiceNow 的 AWS Service Management Connector 在 ServiceNow Store 中免费提供。提供 AWS Service Catalog 的所有 AWS 区域均已正式提供这项新功能。有关更多信息,请访问文档。
适用于 Jira Service Desk 的 AWS Service Management Connector 在 Atlassian Marketplace 上免费提供。提供 AWS Service Catalog 的所有 AWS 区域均已全面开放这项新功能。有关更多信息,请访问文档。
问:如何在 AWS 中以图形方式管理 Windows 实例?
AWS Systems Manager 为 Windows 提供了新的基于控制台的管理体验。您可以通过远程桌面协议 (RDP) 使用完整的图形界面,通过 Systems Manager Fleet Manager 轻松设置与 Windows 实例的连接并对其进行管理。在可访问服务器或基于服务器的 Fleet Manager 控制台中执行几个简单的步骤,即可建立与 Windows 服务器的 RDP 连接。您无需安装额外的软件、设置额外的服务器或打开对实例端口的直接入站访问。Fleet Manager 控制台允许您在单个浏览器窗口内直接查看、交互和切换多台服务器,而无需在选项卡之间来回切换。与 Fleet Manager 的其他功能一样,基于控制台的 Windows 管理可用于 EC2 和其他环境(如本地部署和其他云)中的托管实例。除了对 RDP 的标准基于凭证的访问外,您还可以选择使用 AWS IAM Identity Center 和支持的身份提供程序(如 Okta、Ping 和 OneLogin)获得一键式登录体验,从而无需加入域实现连接。
问:如何访问基于控制台的 Windows 管理?
使用 Fleet Manager 在 AWS Systems Manager 中访问基于控制台的 Windows 管理体验。除了现有的 Session Manager 选项外,在实例操作下拉按钮下还有一个基于控制台的 RDP 选项。
问:AWS Systems Manager 是否管理在本地、混合环境、其他云环境和边缘运行的实例?
是的,AWS Systems Manager 支持对本地数据中心、混合环境和其他云环境中以及边缘运行的实例进行管理。有关更多详细信息,请参阅 AWS Systems Manager 先决条件。
Explorer
问:什么是 AWS Systems Manager Explorer?
AWS Systems Manager Explorer 是 AWS 以及多云和混合环境中的资源的可自定义操作仪表板。Explorer 显示来自 AWS 账户和区域的操作数据的聚合视图。Explorer 提供了一个上下文,介绍了操作问题如何跨业务单元或应用程序分布、它们如何随时间变化以及它们如何随类别变化。
问:什么是 OpsData?
OpsData 是由 Explorer 仪表板显示的操作数据。OpsData 有多种来源,包括 EC2、OpsCenter 和 Patch Manager。您可以从 Explorer 设置页面查看和管理 OpsData 数据源。
问:Explorer 和 OpsCenter 有什么关系?
Explorer 显示的一种数据类型是 OpsCenter 中的 OpsItems。OpsItems 帮助您管理、调查和纠正操作问题。Explorer 提供了 OpsItem 的汇总视图,以及跨账户和区域的其他相关操作数据。OpsItem 也仍然可以通过 OpsCenter 管理和纠正。
问:如何跨账户和区域查看我的 OpsData?
通过在 Explorer 设置页面中设置资源数据同步,即可跨账户和区域查看 OpsData。资源数据同步从您指定的账户和区域收集所有 OpsData,并聚合到单个视图中。
问:何时使用 AWS Systems Manager 和 AWS Security Hub?
AWS Systems Manager 是 AWS 的运营中心,方便您轻松管理云和混合基础设施。通过 Systems Manager,您能够在一个集中的地方诊断和解决与 AWS 以及多云和混合环境中的资源有关的运营问题(使用 Systems Manager OpsCenter),并且可以看到一个跨 AWS 账户和区域的运营数据控制面板(使用 Systems Manager Explorer)。安全与合规专业人员以及开发运维工程师使用 AWS Security Hub 以持续监控和改善 AWS 账户和资源的安全状况。由于安全问题非常敏感,通常具有不同的权限要求,大多数客户将其安全问题(例如,可公开访问的 Amazon S3 存储桶,或在 Amazon EC2 实例上检测到的加密挖掘)和运营问题(例如,未充分利用的 Amazon RedShift 实例或过度利用的 Amazon EC2 实例)分开。因此,他们使用 Security Hub 来了解、管理和修复其安全问题,使用 Systems Manager 来了解、管理和修复其运营问题。我们还建议您使用 Security Hub,以便获得对于您的安全状况的更专业视图。
在由相同工程师处理安全和运营问题时,Security Hub 有助于在单一位置整合二者。您可以选择将调查结果发送到 Systems Manager OpsCenter 和 Explorer,由工程师使用 Systems Manager Automation Runbook 调查和修复安全问题以及运营问题,以执行此操作。
OpsCenter
问:什么是 AWS Systems Manager OpsCenter?
OpsCenter 是一个 Systems Manager 功能,提供了一个中央站点,运维工程师、IT 专业人员和其他人员可以在该站点中查看、调查和解决与其环境相关的运营问题。OpsCenter 旨在缩短受影响的 AWS 和混合云资源的平均解决时间 (MTTR)。OpsCenter 会将运营问题(称为 OpsItems)进行汇总和标准化,从而提供有助于诊断和修复的上下文相关数据。信息包括配置更改、AWS CloudTrail 日志、资源描述、AWS CloudWatch 警报、相关 OpsItem 和相关资源。您可以使用我们的公共 API,从任何源创建 OpsItems,或使用与 Amazon CloudWatch Events 集成的 OpsItems。 这意味着,对于将事件发布到 CloudWatch Events 的任何 AWS 服务,您可以配置 CloudWatch 以便自动创建 OpsItem。
使用手动或自动配置,您可以创建以下类型的 OpsItem:
- 资源故障,例如,一个 Amazon EC2 Auto Scaling 组无法启动一个实例,或者 Systems Manager Automation 执行故障
- 资源性能问题,例如 Amazon DynamoDB 的限制事件或降低的 Amazon EBS 卷性能
- 来自各种 AWS 服务(例如 Amazon Relational Database Service (RDS) 实例或 EC2 实例的计划维护)的运行状况警报
- AWS Security Hub 安全警报
- 资源状态更改,例如 Amazon EC2 实例状态从正在运行更改为已停止
- 需要别人注意的任何其他工作项目
问:什么是 OpsItem?
Opsitem 是一个与 AWS 资源相关,需要用户注意,并且可能需要调查和解决的运行事件。它可能是与资源相关的故障、维护通知、安全警报或性能问题。Opsitem 包含有助于调查和解决底层事件的相关信息,例如受影响的资源、类似的过去事件和推荐的 Runbook。常见的 OpsItem 例如 EC2 实例 CPU 利用率高、AWS CodeDeploy 部署失败或 EC2 自动化执行失败。
问:使用 OpsCenter 有哪些益处?
OpsCenter 让用户能够减少运行问题的平均解决时间(MTTR),在某些情况下可降低 50% 以上。借助 OpsCenter 可在单个位置对各种资源的运行问题(也称为 OpsItem)进行标准化和汇总。此外,它还汇集了调查和修复问题必需的上下文信息和操作工具。这减少了工程师导航不同工具以获取相关信息所需的时间。从一个位置操作还可以最大限度地减少手动错误的可能性,并减少新雇用工程师的培训时间。
问:哪些人应使用 OpsCenter?
使用多个 AWS 服务来满足其基础设施需求的大中型企业可以利用 OpsCenter 来管理其日常运营。此外,当托管式服务提供商(MSP)合作伙伴代表其他 AWS 客户管理其基础设施时,也可以利用 OpsCenter。MSP 客户可以拥有一个只读角色,以提高 MSP 日常运营的透明度。
该服务的主要用户将是运维工程师,例如 DevOps 工程师和 IT 服务台专业人员。
问:OpsCenter 与案例管理系统有何不同?
OpsCenter 旨在补充现有的案例管理系统。使用公共 API 操作,您可以将 OpsCenter 集成到现有的案例管理系统中。您还可以在当前系统中维护手动生命周期工作流,并使用 OpsCenter 作为调查和修复中心。
问:OpsCenter 的成本是多少?
OpsCenter 的定价可以在 AWS Systems Manager 定价页面找到。
问:如何开始使用 OpsCenter?
使用 AWS Systems Manager 控制台,您只需单击几下即可打开 OpsCenter。
问:OpsCenter 是否需要使用 AWS Systems Manager Agent?
开始使用 OpsCenter 不需要使用 Systems Manager Agent。
Incident Manager
问:什么是 Incident Manager?
Incident Manager 使用自动响应计划帮助您为事故做好准备。响应计划执行 Runbook 操作、跟踪事故更新,并支持基于聊天的协作,同时自动通知适当的人员进行响应。
问:什么是响应计划?
响应计划描述了要通知的联系人(例如随叫随到的应用程序团队)和一套程序,用于在响应一个警报(或一组警报)时进行调查和减轻影响。程序中的步骤(可以是手动的,也可以是自动的)表示为 Systems Manager 自动化文档。
问:什么是事故?
事故是指任何意外中断或服务质量下降。响应计划控制如何根据 Amazon CloudWatch 警报或 Amazon EventBridge 事件自动启动事故。您还可以在 Incident Manager 中手动启动事故。
问:什么是分析?
分析是与事故(或一组事故)相关的事后记录文档。分析由几个部分组成:文本摘要、关键事件和指标的时间线、指导作者完成事件后分析过程的一组问题,以及用于改进的运行操作项列表。
问:Incident Manager 如何提供有关事故的消息?
Incident Manager 使用配置的响应计划按顺序通知所需的联系人(根据需要上报到下一个联系人)。联系人可以代表一个设备(例如共享的电话号码),或一个按顺序拥有一系列设备的人。Incident Manager 支持短信、语音呼叫、电子邮件和 Slack 通知(通过 AWS Chatbot)。
问:Incident Manager 如何与其他 AWS 服务配合使用?
借助 Incident Manager,当 Amazon CloudWatch 警报或 Amazon EventBridge 事件检测到严重问题时,您可以自动采取措施。Incident Manager 立即执行预先配置的响应计划,通过短信和电话与响应人员互动,使用 AWS Chatbot 关联指定的聊天渠道,并执行 AWS Systems Manager Automation Runbook。Incident Manager 控制台与 AWS Systems Manager OpsCenter 集成,让您可以从一个中心位置跟踪事件和事件后的操作项,该控制台还与 Jira Service Desk 和 ServiceNow 等常用的第三方事件管理工具同步。
问:如何开始使用 Incident Manager?
要开始使用,请从 AWS 控制台选择 Incident Manager 或导航到 AWS Systems Manager,在 Operations Management(操作管理)下的左侧导航窗格中找到它。
问:我是否可以跨账户和 AWS 区域使用 Incident Manager?
可以。Incident Manager 使用 Resource Access Manager 跨成员账户共享事件、响应计划和联系人。成员账户可以通过 AWS Organizations 单独选择或识别。Incident Manager 还提供事件的跨区域复制,以实现更高的可用性。
CloudWatch 控制面板
问:什么是 Amazon CloudWatch 控制面板?
利用 Amazon CloudWatch 控制面板,您可以创建可重复使用的控制面板,以便在一个位置监控 AWS 以及多云和混合环境中的资源。指标数据的保存期限为十五个月,让您能够查看最新数据和历史数据。
问:Amazon CloudWatch 控制面板如何与 AWS Systems Manager 集成?
您现在可以通过 AWS Systems Manager 直接使用现有的 CloudWatch 控制面板。您还可以从 Systems Manager 直接创建新的 CloudWatch 控制面板。使用 CloudWatch 控制面板,您可以构建自己的自定义运行控制面板,用于显示应用程序组件或应用程序层的运行状况,或者操作所有权的一般范围。
Application Manager
问:什么是 AWS Systems Manager Application Manager?
AWS Systems Manager Application Manager 可帮助开发运维工程师在应用程序上下文中调查和修复 AWS 以及多云和混合环境中的资源问题。
问:如何开始使用 Application Manager?
要开始使用 AWS Systems Manager Application Manager,请转到 AWS Systems Manager 控制台并导航到左侧导航窗格中的 Application Management 类别。选择 Application Manager 链接以开始使用。
问:Application Manager 如何与其他 AWS 服务配合使用?
AWS Systems Manager Application Manager 与多项 AWS 服务集成,包括用于监视的 Amazon CloudWatch、用于审计的 AWS CloudTrail、用于跟踪基础设施配置更改的 AWS Config、用于预置 CloudFormation 堆栈的 AWS CloudFormation,以及其他 AWS Systems Manager 功能(例如,运行手册自动化)。
问:什么是 Application Manager 中的应用程序?
在 AWS Systems Manager Application Manager 中,应用程序代表作为一个单元运行的逻辑资源组。逻辑组可以是业务应用程序、操作员的所有权边界或开发人员环境(例如暂存或生产)。
问:Application Manager 如何发现应用程序?
您可以使用现有机制(例如标签、资源组和 AWS CloudFormation 堆栈定义)在 AWS Systems Manager Application Manager 中发现应用程序。
问:我可以在 Application Manager 中执行操作任务还是只能查看数据?
在 AWS Systems Manager Application Manager 中,您可以执行操作任务和查看数据。除了查看操作数据之外,您还可以启动运行手册来帮助您修复应用程序资源中的操作问题。 您还可以管理 AWS CloudFormation 模板,并将其预置到 CloudFormation 堆栈中。
问:Application Manager 是否处理跨不同账户和 AWS 区域分布的应用程序?
目前,您可以将 AWS Systems Manager Application Manager 用于单个 AWS 账户和区域内的应用程序。
问:我可以在 Application Manager 中编辑我的应用程序吗?
您可以在 AWS Systems Manager Application Manager 中编辑应用程序。载入某个应用程序后,您可以从中添加或删除新的资源组或 CloudFormation 堆栈。此外,Application Manager 会自动在其相应的服务控制台中反映对应用程序所做的任何更改。
问:Application Manager 与 AWS Systems Manager 控制台中的资源组有何不同?
AWS Systems Manager Application Manager 基于 AWS Systems Manager 控制台中的现有资源组功能构建,可为给定应用程序提供上下文和操作信息,例如警报、OpsItems 和运行手册日志。为了载入应用程序,除了 Launch Wizard 和 CloudFormation 堆栈之类的结构外,Application Manager 还可将资源组用作源结构之一。
问:我使用 AWS CloudFormation 堆栈为每个应用程序配置基础设施。Application Manager 是否与 CloudFormation 堆栈集成?
AWS Systems Manager Application Manager 与 CloudFormation 堆栈集成。要从 Application Manager 控制台开始,请选择一个代表您的应用程序的堆栈并开始管理它。您可以查看堆栈详细信息(例如事件、参数和资源),并且可以集中查看 Application Manager 在堆栈上下文中提供的所有操作数据。 此外,您可以从 Application Manager 控制台中为应用程序创作、存储、版本化、验证、共享和预置 CloudFormation 模板。您可以将模板预置到新的或现有的 CloudFormation 堆栈中,并跟踪特定堆栈正在使用哪些版本的模板。
问:我目前使用标记解决方案来管理应用程序资源。为什么要使用 Application Manager?
使用 AWS Systems Manager Application Manager 载入应用程序时,您可以使用标签作为将资源分组到应用程序中的条件。有了 Application Manager,您可以在组和子组的层次结构中查看所有资源,然后在组和子组级别查看操作数据并执行操作。
问:Application Manager 是否与 Amazon Elastic Kubernetes Service (Amazon EKS) 和 Amazon Elastic Container Service (Amazon ECS) 集成?
AWS Systems Manager Application Manager 与 Amazon EKS 和 Amazon ECS 集成,以提供有关容器集群运行状况以及集群中资源的组件运行时系统视图的信息。您可以为集群中的资源创建和查看 OpsItems,并通过使用运行手册快速修复资源问题。
AppConfig
问:什么是 AWS AppConfig?
无论应用程序是托管在 Amazon EC2 实例、容器、AWS Lambda 函数、移动应用程序上,还是托管在 IoT 设备上,您都可以使用 AWS AppConfig(AWS Systems Manager 的一项功能)以受控制和受监视的方式在任何规模的应用程序中快速验证和部署配置。借助 AWS AppConfig,您可以验证配置数据,以确保根据您的定义,配置数据在语法和语义上正确无误,然后将其部署到您的应用程序。借助 AWS AppConfig,您可以在监控错误的同时按照您定义的速度部署配置,从而遵循部署最佳实践。如果出现错误,AWS AppConfig 可以回滚所作的更改,以最大限度地降低对应用程序用户的影响。
问:哪些人应该使用 AWS AppConfig?
AWS AppConfig 专为系统管理员、DevOps 团队和开发人员而设计,他们希望以受托管和受监视的方式(与他们管理代码的方式类似)在其应用程序中部署配置更改,但无需在配置值更改时部署代码,从而帮助降低服务中断的风险。AWS AppConfig 适用于具有配置目标(主机、服务器、AWS Lambda 函数、容器、移动设备、物联网设备等)的任何规模或类型的公司或组织。
问:什么是配置?
配置是应用程序在运行时用来修改其行为的一个或多个应用程序设置的集合。您可以将配置存储为 AWS Systems Manager 文档或参数。
问:什么是验证程序?
验证程序是 AWS Lambda 函数的架构或指针,AWS AppConfig 可使用该函数根据您的定义测试您的配置在语法或语义上是否正确无误。
问:什么是部署策略?
部署策略是用于说明配置数据如何传播到应用程序的计划。部署策略包括用于定义配置部署速度的控制措施、应在不同时间间隔接收更新后的配置的应用程序实例百分比,以及 AWS AppConfig 应监控整个应用程序以帮助您确保配置更改没有带来不利影响所用的时间。
问:AWS AppConfig 与 AWS CodeDeploy 有何区别?
应用程序配置是影响应用程序行为且不需要编译的数据;配置是可在运行时更改的抽象。例如,我们可以将配置值填充到特定的日期和时间来控制功能版本。如果需要更改值,例如更改为新的日期和时间,则管理员可在不进行编译的情况下更改配置值,并且应用程序会在运行时应用新配置。应用程序配置和代码均应包含安全机制,以防止生产环境中出现错误。我们建议您在部署新配置时使用 AWS AppConfig 应用安全机制,在部署新代码时使用 AWS CodeDeploy。
问:何时应使用 AWS Systems Manager Parameter Store,以及何时应使用 AWS AppConfig?
AWS Systems Manager Parameter Store 是一项能够存储、检索和管理密钥或纯文本配置值的功能。参数仓库的常见使用案例包括将数据库字符串和许可证代码存储为参数值。如果您需要以自行管理的方式存储和检索值,则应使用参数仓库。AWS AppConfig 是一项应用程序配置管理服务,您可以使用这项服务在运行时安全地将更新后的配置发布到应用程序,并将配置存储为参数。如果您需要对一组复杂的应用程序配置进行建模,并且需要在受控环境中安全地验证和部署这些配置,并在某些情况下回滚所作的更改,则您应使用 AWS AppConfig。
问:AWS AppConfig 与 AWS Config 有何区别?
AWS Config 可用于评估和审计 AWS 资源的配置,而 AWS AppConfig 则用于管理应用程序配置。您应使用 AWS Config 来详细查看账户中的 AWS 资源配置,以及确定过去是如何配置资源的以及配置如何随时间变化。AWS AppConfig 适用于在 AWS 资源或本地部署的服务器上运行的应用程序。借助 AWS AppConfig,您可以验证应用程序配置中的更改,并设置部署策略,以便在运行时将更新后的配置安全地部署到应用程序。
Parameter Store
问:什么是 AWS Systems Manager Parameter Store?
AWS Systems Manager 提供一个集中式存储来管理配置数据,支持数据库字符串等纯文本数据或密码等保密数据。这让您能够将保密数据和配置数据与代码分开。您可以标记参数并将其整理成不同的层级,这有助于您更轻松地管理参数。例如,您可以将同一参数名称 (“db-string”) 与不同的层级路径 (“dev/db-string”或“prod/db-string”) 结合使用,用于存储不同的值。Systems Manager 与 AWS Key Management Service(KMS)集成,让您可以自动加密存储的数据。此外,您还可以使用 AWS Identity and Access Management(IAM)控制用户和资源对参数的访问权限。参数可以通过 Amazon Elastic Container Service (ECS)、AWS Lambda 和 AWS CloudFormation 等其他 AWS 服务引用。
问:为什么应该使用 AWS Systems Manager Parameter Store?
将配置数据和保密数据与代码分开存储是一种最佳做法。您可以使用 AWS Systems Manager Parameter Store 快速存储和引用配置信息与敏感信息。您可以在应用程序或脚本中存储和获取此类信息,而不必将数据存储在配置文件中或在纯文本中进行引用。此外,您还可以控制谁有权访问参数,从而只让合适的用户群访问合适的信息。
问:你们如何存储敏感数据?
安全字符串指的是需要以安全的方式存储和引用的所有敏感数据。如果您有不希望用户以明文形式引用的数据,或者不希望用户访问可能被篡改或误用的数据,则应在 AWS Systems Manager Parameter Store 中使用安全字符串。您可以使用自己的 AWS KMS 密钥或 AWS KMS 为您的用户账户提供的原定设置密钥来加密敏感数据。
问:我可以在哪些服务中引用我的参数?
您可以跨 AWS 服务(例如 Amazon ECS、AWS Lambda 和 AWS Systems Manager 等)轻松引用参数,也可以在通过其使用 AWS Systems Manager Parameter Store API 的任何服务中引用。
问:我能否跟踪使用情况并提供对特定参数的访问控制?
是。您可以使用 AWS IAM 通过自定义权限向用户和资源(如实例)提供对参数访问的精细访问控制。 这意味着您可以控制哪些用户可以访问哪些资源中的哪些参数。您还可以根据参数更改事件来设置 Amazon CloudWatch Events 规则。此外,您还可以使用 AWS CloudTrail 跟踪并审核参数 API 调用。
问:是否可以跟踪参数更改?
可以,您可以查看参数更改历史记录。此外,您还可以使用在发生更改时自动实施的版本来根据版本查找特定参数值。
问:是否可以将层级数据作为参数存储?
可以,您可以使用层级结构来存储参数。您还可以在每个层级控制和审核访问权限。
问:是否可以在参数值发生更改时接收通知?
可以,您可以针对各个参数值设置 Amazon CloudWatch 和 Amazon Simple Notification Service (SNS) 通知,并在发生更改时接收通知。
问:Secrets Manager 和 Parameter Store 之间有何区别?
AWS Secrets Manager 是用于集中管理组织中使用的私密信息生命周期(包括轮换、审核和访问控制)的服务。Secrets Manager 支持自动轮换私密信息,帮助您满足安全性与合规性要求。Secrets Manager 可为 Amazon RDS 上的 MySQL、PostgreSQL 和 Amazon Aurora 提供内置集成,通过自定义 Lambda 函数扩展至其他私密信息类型。
AWS Systems Manager Parameter Store 为配置数据管理(可能包含私密信息)提供安全、分层的存储。您可以将数据库连接字符串、密码和许可证代码之类的数据存储为参数值,还可对它们进行审核并控制访问。存储的值可以是纯文本或加密数据。您随后可以使用参数的唯一名称来引用值。您可以引用 Systems Manager 参数来构建一般配置和自动化脚本,以供用于不同 AWS 服务(例如 Amazon ECS 和 AWS CloudFormation)。
问:我应该使用 Parameter Store 还是 Secrets Manager?
如果您需要针对配置和私密信息的单一存储,则可以使用 Parameter Store。如果您需要包含生命周期管理的专用私密信息存储,则可以使用 Secrets Manager。Parameter Store 最多可支持存储 10000 个参数,无需额外费用。请参阅 Secrets Manager 定价页面以了解详细信息。
问:Parameter Store 和 Secrets Manager 的安全模型是否有差异?
没有。Secrets Manager 和 Parameter Store 的安全等级是相同的。这两种服务都支持使用客户所有的 KMS 密钥进行静态加密。有关 Parameter Store 如何使用 KMS 的更多信息,请参阅 KMS 开发人员指南中关于 Parameter Store 如何使用 AWS KMS 的内容。
问:我可以搭配使用 Secrets Manager 和 Parameter Store 吗?
可以。您可以使用 Parameter Store 引用 Secrets Manager 私密信息。
问:什么是高级参数?
高级参数可提供增强功能,例如能够存储超过 10000 个参数、更大的参数值大小(最多 8KB)和参数策略(比如过期和无更改通知)。过期策略使您能够指定过期日期和时间。无更改通知策略可帮助您跟踪在指定时间内没有更改的参数。高级参数按每月存储以及每个 API 交互定价。请参阅定价页面了解详细信息。
问:我可以在标准和高级参数类型之间进行转换吗?
标准参数可以随时转换为高级参数。高级参数无法转换为标准参数。如果不再需要高级参数的增强功能,或者您不想再为该参数支付费用,则必须删除高级参数,然后创建一个新参数作为标准参数。
问:我可以提高 Parameter Store 的 API 吞吐量吗?
可以,您可以通过 Parameter Store 设置选项卡提高 API 吞吐量的限制。API 吞吐量限制按每账户每区域适用。提高吞吐量限制会产生费用。请参阅定价页面了解详细信息。如果不再需要提高吞吐量,您可以随时从 Settings(设置)选项卡重置限制。
Change Manager
问:什么是 AWS Systems Manager Change Manager?
AWS Systems Manager Change Manager 是一项变更管理功能。有了 Change Manager,您可以请求、批准、实现和报告对应用程序配置和基础设施的操作更改的方式。Change Manager 通过预先批准的变更工作流和自动批准来简化变更流程。它与 AWS Systems Manager Automation 集成以进行更改,并将实施与变更请求直接结合。Change Manager 与 AWS Systems Manager Change Calendar(可在指定时间段内阻止变更)和 Amazon CloudWatch(可基于警报自动回滚变更)集成。在 Change Manager 中,您可以查看整个组织中进行的变更,从而帮助您确定哪些变更有待批准,并审核已完成变更的结果。
问:使用 Change Manager 有哪些益处?
借助 AWS Systems Manager Change Manager,您可以提高应用程序配置和基础设施更改的安全和监管,从而降低服务中断的风险。Change Manager 可跟踪所需的批准并仅实施批准的变更,有助于提高操作变更的安全性。最后,Change Manager 提供了一种一致的方式来记录和审核组织内所做的变更、变更的意图以及批准和实施这些变更的人员,从而帮助您增加责任感。
问:什么是变更请求?
您可以使用 AWS Systems Manager Change Manager 为要进行的每个操作变更创建变更请求。变更请求可以包含有关变更的信息,例如意图、要使用的运行手册以及任何指定的回滚程序。变更请求还维护其生命周期事件的时间表,例如提交、批准、实施和完成。
问:什么是变更模板?
每个变更请求都是通过指定的变更模板创建的,该模板定义了变更请求需要完成的批准工作流程。您可以通过控制台或使用 API 创建变更模板。您还可以要求所有变更模板都必须经过审查和批准,然后才能用于创建变更请求。您可以使用模板为常规变更类型(例如标准、主要、次要和应急)建模,或者为更具体的变更类型(例如补丁或轮换证书)建模。
问:Change Manager 的费用是多少?
可以在 AWS Systems Manager 定价页面上找到 AWS Systems Manager Change Manager 定价。
问:如何开始使用 Change Manager?
使用 AWS Systems Manager 控制台,您只需单击几下即可打开 AWS Systems Manager Change Manager。
问:我可以跨账户和 AWS 区域使用 Change Manager 吗?
借助 AWS Systems Manager Change Manager,您可以使用 AWS Organizations 跨 AWS 账户和区域管理操作变更。您可以在组织中指定一个账户作为委派管理员。您可以通过该委派账户请求、批准、实施和查看您的 AWS 账户和区域中的更改。请参阅用户指南了解更多信息。
问:我可以使用我的单点登录身份来批准变更请求吗?
AWS Systems Manager Change Manager 与 AWS IAM Identity Center 集成,使您可以轻松使用现有身份源管理操作变更。
自动化
问:什么是 AWS Systems Manager Automation?
自动化是 AWS Systems Manager 的一项功能,可让您使用运行册对操作进行编码,从而简化 Amazon EC2、Amazon RDS、Amazon Redshift、Amazon S3 等 AWS 服务的常见维护、部署和修复任务。使用 Systems Manager Automation 的低代码可视化设计器,您可以创建自定义运行手册来指定特定任务列表或使用 AWS 创建的预定义运行手册。这些运行手册可以安排到维护时段内直接通过 AWS 管理控制台、CLI 和 SDK 执行,或者根据 AWS 以及多云和混合环境中的资源更改通过 Amazon CloudWatch Events 触发。您可以跟踪运行手册中每一个步骤的执行情况,还可以为每个步骤请求批准。此外,您还能够以增量方式执行更改并在出现错误时自动停止。
问:我可以自动执行哪些任务?
您可以自动执行涉及与 AWS 和本地资源交互的所有任务。内置的各种操作类型让您可以与 Amazon EC2 实例、AWS CloudFormation 堆栈等资源轻松交互。操作类型可以用于调用 AWS Systems Manager 运行命令、Python 和 PowerShell 脚本以及 AWS Lambda 函数。
问:是否有预定义的 AWS Systems Manager Automation 运行手册?
我们提供超过 370 个预定义的 AWS Systems Manager 运行手册,您可执行以完成各种任务,例如生成黄金 AMI、修补 Amazon EC2 实例和管理实例状态等。
问:是否可以创建自己的 AWS Systems Manager Automation 运行手册?
您可以从控制台上使用 Automation 的低代码可视化设计器创建自己的自定义运行手册。 借助可视化设计器,您可以专注于使用简单的拖放界面定义运行手册的业务逻辑,而不必担心特定领域的语言语法。但是,如果您更喜欢编码运行手册,可视化设计器还提供支持 JSON 或 YAML 的代码编辑器。此外,您还可以使用其他账户共享的 AWS Systems Manager Automation 运行手册,也可以与其他账户共享您的运行手册。
问:AWS Systems Manager Automation 是否有助于批准流程?
可以。内置的批准操作类型可以包含在 AWS Systems Manager Automation 运行手册中。 批准者可以是一个或多个 AWS IAM 用户。运行手册会在达到最低所需审批数量后执行,或者在被拒绝后进行适当处理。
问:是否可以针对整个资源组执行 AWS Systems Manager Automation 运行手册?
可以。您可以确定目标资源组,然后针对特定资源类型执行 AWS Systems Manager Automation 运行手册。您还可以指定安全控制措施来说明组中应同时对其执行的资源数,而且您可以添加错误阈值以阻止运行手册的执行。
问:是否可以一次性执行 AWS Systems Manager Automation 运行手册步骤?
可以。您可以选择一次性执行整个 AWS Systems Manager Automation 运行手册,也可以选择手动执行模式,一次执行一个步骤。
问:是否可以按计划或根据其他事件触发 AWS Systems Manager Automation 运行手册的执行?
可以。您可以计划 AWS Systems Manager Automation 运行手册的执行,使其作为 Amazon CloudWatch Events 的目标触发,也可以使用 AWS Systems Manager Maintenance Windows 或 AWS Systems Manager 状态管理器来触发计划中的运行手册执行。此外,您还可以通过 Amazon CloudWatch Events,根据对 AWS 以及多云和混合环境中的资源更改来触发运行手册的执行。
问:用户如何在 Automation 运行手册中指定脚本?
在自动化中有两种方法可以执行脚本。您可以将脚本内联作为一个步骤包含在运行手册中。您也可以将脚本作为附件添加到运行手册中,并通过从运行手册步骤中引用来执行。
问:Automation 运行手册支持多个脚本吗?
可以。您可以将多个脚本附加到一个 Automation 运行手册中,并从一个步骤中引用一个脚本。脚本可以作为文件或文件夹上传到运行手册中。脚本依赖项(即调用其他脚本的脚本)也受支持,前提是这些脚本都属于同一个运行手册。您可以将脚本运行所需的其他构件附加到运行手册中,如 CloudFormation 或 Serverless Application Model(SAM)模板。
问:脚本步骤的自动化支持哪些脚本语言?
自动化支持 PowerShell Core 和 Python3。 预加载的环境是带有 Boto 的 Python(预加载 AWS API)。使用可视化设计器编写运行手册时,可以对 Python 脚本执行安全扫描。 安全扫描可识别代码中的安全漏洞,并提出建议的修复措施以提高代码的安全性。 安全扫描由 Amazon CodeGuru Security 提供支持。 CodeGuru Security 扫描的自动化支持目前处于预览阶段。
问:对脚本步骤的脚本要求是什么?
Automation 支持为运行手册指定的输入。脚本所需的参数可以作为 Automation 运行手册输入参数、上一步的输出或运行时从其他来源(如数据库)收集。脚本输出可作为 JSON 对象供后续步骤使用。现有的自动化功能(例如引用步骤输出、自动化变量、Systems Manager Parameter Store 参数)可用于在运行手册中传递输出以供使用。
维护时段
问:什么是 AWS Systems Manager 维护时段?
借助 AWS Systems Manager,您可以计划跨实例运行管理任务和维护任务的时间段。这样可以确保您能够选择一个方便而安全的时间来安装补丁和更新或进行其他配置更改,从而提高服务和应用程序的可用性和可靠性。
问:为什么应该使用 AWS Systems Manager 维护时段?
AWS Systems Manager 维护时段可以在明确定义的时段内自动执行任务,显著降低任何运行故障或基础设施故障造成的影响,从而提高工作负载的可用性和可靠性。
问:使用 AWS Systems Manager 维护时段可以执行哪些任务?
您可以执行以下任务:
- 安装应用程序、更新补丁、安装或更新 AWS Systems Manager 代理,或执行 PowerShell 命令和 Linux Shell 脚本。
- 构建 Amazon Machine Images (AMI)、启动软件和配置实例。
- 执行触发其他操作(例如扫描您的实例是否有补丁更新)的 AWS Lambda 函数。
- 运行 AWS StepFunctions 状态机以执行任务,例如从 Elastic Load Balancing (ELB) 环境中删除实例,修补实例,然后将实例添加回 ELB 环境。
问:可以在 AWS Systems Manager 维护时段计划哪些类型的任务?
您可以创建和计划任何 AWS Systems Manager 运行命令的执行、AWS Systems Manager Automation 文档的执行、AWS Step Functions 或 AWS Lambda 函数任务。
问:可以为 AWS Systems Manager 维护时段选择哪些计划类型?
您可以为 AWS Systems Manager 维护时段计划一个循环日期(例如每个星期二 22:00:00 或每月第一个星期日 22:00:00)。您可以使用 Cron 或 Rate 表达式来定义计划。
Fleet Manager
问:什么是 AWS Systems Manager Fleet Manager?
借助 AWS Systems Manager Fleet Manager,您可以简化远程服务器管理流程。Fleet Manager 可帮助您轻松管理在 AWS 和本地运行的服务器群,并对其进行故障排除。您可以深入到单个服务器来执行各种系统管理任务,包括磁盘和文件浏览、日志管理、Windows 注册表操作和用户管理,而无需远程连接到虚拟机。
问:为什么要使用 Fleet Manager?
AWS Systems Manager Fleet Manager 通过以下方式简化了远程服务器管理流程:
- 借助 Fleet Manager 的集中式图形用户界面 (GUI),您可以轻松管理在 AWS 和本地运行的服务器群。
- Fleet Manager 与操作系统 (OS) 无关。您可以使用 Fleet Manager 在基于 Windows、Linux 和 Mac 的服务器上执行常见的 OS 操作。
- 有了 Fleet Manager,您可以选择预构建的自动化运行手册或自带自动化运行手册,通过 Systems Manager 控制台无缝运行这些 OS 操作。
问:Fleet Manager 提供哪些功能?
AWS Systems Manager Fleet Manager 提供以下功能来远程管理服务器:
- 文件系统和日志浏览:使用 Systems Manager 控制台浏览服务器上的磁盘、文件夹和文件,包括基于文件的日志。
- 性能计数器监控:监控常见的服务器性能指标,例如 CPU 使用率、网络流量、磁盘使用率和内存使用率。
- Windows 事件管理:无需安装其他代理即可查看 Windows 事件日志并进行故障排除。
- 用户和组管理:查看具有服务器访问权限的用户和/或组的列表并更改其权限。
- 注册表操作:查看和修改 Windows 服务器上的注册表值。
问:我可以使用 Fleet Manager 管理哪些类型的环境?
在您的 AWS 和本地环境中使用 AWS Systems Manager Fleet Manager 来管理基于 Windows、Linux 和 Mac 的虚拟机。
问:如何开始使用 Fleet Manager?
开始使用 AWS Systems Manager Fleet Manager 的最快捷的方式是使用 AWS 管理控制台。您只需单击几下即可打开 Fleet Manager。有关其他详细信息,请参阅入门文档。
问:使用 Fleet Manager 的费用是多少?
对于在 AWS 上运行的服务器,无需额外付费即可使用 AWS Systems Manager Fleet Manager。对于使用 AWS Systems Manager Agent 的本地实例管理,将根据公共定价向您收取费用。
合规性
问:什么是 AWS Systems Manager 配置合规性?
借助 AWS Systems Manager,您可以扫描托管实例以便了解补丁合规性和配置不一致性。您可以收集并聚合来自多个 AWS 账户和区域的数据,然后深入了解不合规的具体资源。默认情况下,AWS Systems Manager 会显示有关修补和关联的数据。您也可以根据自己的要求自定义服务并创建自己的合规性类型。
问:能否跟踪一段时间内的配置更改?
借助与 AWS Config 的集成,您可以通过 AWS Config 规则来监控实例对期望配置的符合性。这一功能让安全专家和合规性审核人员能够对实例配置更改进行全面的审核跟踪,并在不合规时收到主动通知。
问:如何查看我的实例的合规程度?
借助 AWS Systems Manager,您可以查看补丁合规性信息,其中会指出修补过程的详细结果。您可以轻松获取所有实例合规性的详细信息汇总。此外,您还可以深入了解更多信息,并针对每个实例确定其已安装、缺少、不适用和无法安装的补丁。
问:我是否可以创建自己的合规性检查?
是的。您可以创建自己的、可以通过 API 记录的合规性类型。您可以根据自己的业务要求创建自己的检查,然后通过 AWS Systems Manager 来记录合规性以便跟踪不合规的实例。您还可以创建资源数据同步,以便查看不同账户和区域中的这一合规性信息。
清单
问:什么是 AWS Systems Manager 清单?
AWS Systems Manager 可以收集有关实例及实例上安装的软件的信息,从而帮助您了解自己的系统配置和安装的应用程序。您可以收集应用程序、文件、网络配置、Windows 服务、注册表、服务器角色、更新和任何其他系统属性的相关数据。利用收集的数据,您可以管理应用程序资产、跟踪许可证、监控文件完整性、发现不是由传统安装程序安装的应用程序等。
问:我是否可以从 Amazon EC2 实例或本地实例收集自定义信息?
可以,您可以创建各类自定义清单来收集更多系统属性信息,这些信息可以由实例本身收集,也可以用 API 记录。例如,这些信息可以是来自 PowerShell 或其他应用程序的 JSON 格式的结果,也可以是机架信息等以 JSON 文件格式静态存储的信息。
问:如何跟踪一段时间内的配置更改?
使用 AWS Config,您可以通过 AWS Config 规则来监控实例对期望配置的符合性。这一功能让安全专家和合规性审核人员能够对实例配置更改进行全面的审核跟踪,并在不合规时收到主动通知。
问:是否可以跨 AWS 账户或区域查看或查询清单数据?
可以,您可以将来自多个账户和区域的清单数据同步到一个 Amazon S3 存储桶。然后,您可以使用 Amazon Athena、Amazon QuickSight 或自己的商业智能 (BI) 工具跨账户和区域查询清单数据。
问:是否可以对清单数据执行分析和可视化?
可以,除了内置清单控制面板之外,您还可以使用 Amazon Athena 和 Amazon QuickSight 对清单数据执行高级分析和可视化。
会话管理器
问:什么是会话管理器?
会话管理器是一个完全托管式服务,为您提供基于浏览器的交互式 shell 和 CLI 体验。它有助于提供安全且可审计的实例管理,而无需打开入站端口,维护防御主机和管理 Secure Shell (SSH) 密钥。会话管理器有助于实现对要求受控访问实例的公司策略的遵从性,提高实例访问的安全性和可审计性,同时为最终用户提供简单性和跨平台实例访问。
问:使用会话管理器有哪些好处?
会话管理器不要求您打开入站端口或在实例上维护 SSH 密钥或证书,从而改善您的安全状态。它还使用 AWS IAM 集中控制对实例的访问。启用会话管理器后,您可以连接到任何 Linux 或 Windows EC2 实例,并跟踪在每个实例上启动会话的每个用户。您可以使用 AWS CloudTrail 审计哪些用户访问了实例以及何时访问,还可以将对实例执行的每个命令记录到 Amazon S3 或 Amazon CloudWatch Logs。最后,使用会话管理器,您无需预先投资即可运行和维护堡垒主机。
问:哪些人应使用会话管理器?
任何希望改善其安全性和审计状态,通过集中控制实例访问来减少运营开销,以及减少入站实例访问权限的 AWS 客户都将受益于会话管理器。希望监视和跟踪实例访问和活动,关闭实例上的入站端口或允许连接到没有公共 IP 的实例的信息安全专家将受益于会话管理器。想要从一个位置授予和撤消访问权限并希望为用户提供一个 Windows 和 Linux 实例解决方案的管理员也将受益。最后,通过使用浏览器单击以启动会话,然后选择实例,或者使用 CLI,操作员可以快速开始使用,而无需提供 SSH 密钥。
问:会话管理器提供哪些功能?
您可以从 AWS 管理控制台、AWS CLI 或任何其他 AWS 开发工具包启动与 Linux 或 Windows EC2 实例的会话。您可以使用 AWS IAM 的基于标签的权限授予和撤消用户对实例的访问权限,然后可以使用 AWS CloudTrail 审核谁开始或结束了会话。可以将对实例执行的所有操作记录到 Amazon S3 或 Amazon CloudWatch Logs 以供以后分析。
问:会话管理器的费用是多少?
使用会话管理器管理 Amazon EC2 实例无需额外费用。
问:如何开始使用?
开始使用会话管理器的最快方式是使用 AWS 管理控制台。您只需单击几下即可打开会话管理器。有关其他详细信息,请参阅入门文档。
问:会话管理器是否需要使用 AWS Systems Manager 代理?
是的。需要有最新版本的 SSM Agent 才能使用会话管理器。SSM Agent 是开源软件,位于 GitHub 上。
问:我是否可以对账户开启日志记录?
是的。您可以通过设置会话管理器首选项来强制对账户执行日志记录。
运行命令
问:什么是 AWS Systems Manager 运行命令?
借助 AWS Systems Manager,您能够以安全可靠的方式大规模远程管理实例,无需登录服务器,也无需使用堡垒主机、SSH 或远程 PowerShell。通过它,您可以跨实例组轻松自动执行常见管理任务,例如注册表编辑、用户管理以及软件和补丁安装。通过与 AWS IAM 集成,您可以应用精细权限来控制用户可以对实例执行的操作。AWS CloudTrail 会记录 Systems Manager 执行的所有操作,便于您审核自己环境中出现的更改。
问:AWS 是否提供任何预定义命令?
是的。AWS 提供有预定义命令,旨在帮助执行常用的管理任务。对于 Windows,您可以运行 PowerShell 或 Shell 命令或脚本、配置 Windows Update 设置以及部署 MSI 应用程序等。对于 Linux,您可以运行任何 Shell 命令或脚本,还可以远程更新安装的代理。此外,您还可以创建自定义命令来执行环境所需的常见任务。
问:是否可以跨环境进行批量更改?
是的。您可以使用基于标签的查询来确定目标,从而对大量实例执行操作。您可以设置速率控制,通过错误阈值来指定同时执行的批次,从而安全地跨不同环境传播更改。
问:我能否控制哪些人可以执行命令?
是。利用已发布的 AWS IAM 权限和策略,您可以使用基于标签的权限来控制谁有权对特定实例执行命令或文档。例如,您可以允许某一 IAM 用户运行 PowerShell 命令,但禁止其将实例加入域。对于另一 IAM 用户,则可以仅允许其运行非常具体的命令,例如重启服务。这样,您就可以灵活地指定任何给定用户能够获得多少权限。
状态管理器
问:什么是 AWS Systems Manager 状态管理器?
AWS Systems Manager 提供配置管理功能,可以帮助您保持 Amazon EC2 或本地实例的配置一致性。借助 Systems Manager,您可以控制服务器配置、防病毒定义、防火墙设置等配置详细信息。您可以通过 AWS 管理控制台、现有脚本、PowerShell 模块或者直接来自 GitHub 或 Amazon S3 存储桶的 Ansible 运行手册为服务器定义配置策略。Systems Manager 可以按照您定义的时间和频率自动跨实例应用配置。您可以随时查询 Systems Manager 以便查看实例配置的状态,从而根据需要了解合规性状态。
问:为什么应该使用 AWS Systems Manager 状态管理器?
确保支持应用程序的基础设施的一致性非常困难。借助 AWS Systems Manager,您可以创建策略、重新应用这些策略以防止配置偏差,还可以监控预期状态的实现。
问:如何创建策略?
您可以通过 AWS Systems Manager 文档轻松创建策略。此外,您还会获得预定义的配置,可用于安装应用程序、将实例加入域等。
问:可以配置的目标是什么?
您可以灵活地确定实例或标签目标。这意味着您可以灵活地将特定配置应用于 Web 服务器等实例组。
问:是否可以将现有配置管理工具与 AWS Systems Manager 状态管理器结合使用?
可以。AWS 提供预定义的 AWS Systems Manager 文档来运行 Ansible 运行手册或 Salt States,您还可以在使用 AWS Systems Manager 状态管理器的实例上使用 PowerShell DSC 来减少配置偏差。此外,您还可以直接运行来自公开或私有 GitHub 存储库的任何配置脚本。
补丁管理器
问:什么是 AWS Systems Manager 补丁管理器?
AWS Systems Manager 可以帮助在大量 Amazon EC2 或本地实例中自动选择并部署操作系统和软件补丁。通过补丁基准,您可以设置规则以便自动批准安装选定类别的补丁 (例如操作系统补丁或高严重性补丁),并且您可以指定忽略这些规则并自动批准或拒绝的补丁。此外,您还可以为补丁安排维护时段,让补丁只在预设的时段内应用。Systems Manager 有助于确保您的软件处于最新状态并符合合规性策略。
问:如何指定希望修补实例的时间?
您可以用 AWS Systems Manager 维护时段来指定修补时间。借助 AWS Systems Manager,您可以指定一个或多个循环维护时段。通过指定这些时段并将您的实例与其关联,您可以更轻松地确保在明确指定的时段内完成您对实例执行的、可能影响工作负载可用性的任何维护活动。
问:如何自定义补丁安装过程?
AWS Systems Manager 可以实现完全自动化的修补过程。您可以通过编写自己的 AWS Systems Manager 命令或自动化文档来轻松自定义修补过程。
问:可以安装哪些类型的补丁?
AWS Systems Manager 支持修补基于 Windows 和 Linux 的实例。请查看我们的文档了解目前受支持的版本。
问:如何选择要安装的补丁?
补丁基准可以定义您批准或阻止部署到实例上的补丁。在补丁基准中,您可以按产品 (如 Windows Server 2008、Windows Server 2012 等)、类别 (如重要更新、安全更新等) 和严重程度来选择需要审核才能部署的补丁。然后,针对所选的每个类别,您可以定义一个计划,让其中包含的补丁能够被自动批准部署。除了规则以外,您还可以指定补丁白名单和黑名单,说明哪些补丁要安装,哪些补丁要阻止。进行修补时,AWS Systems Manager 只针对在该时间点前获得批准的补丁来评估目标实例。
问:如何查看我的实例的合规程度?
您可以查看补丁合规性信息,其中会指出修补过程的详细结果。通过 AWS Systems Manager 控制台或 API,您可以轻松获取所有实例合规性的详细信息汇总。此外,您还可以深入了解更多信息,并针对每个实例确定其已安装、缺少、不适用或无法安装的补丁。
Distributor
问:什么是 AWS Systems Manager Distributor?
Distributor 是一项 AWS Systems Manager 功能,可让您在组织中安全地存储和分发软件包。您可以将 Distributor 与现有的 Systems Manager 功能(如 Run Command 和 State Manager)结合使用,以控制实例中运行的软件包的生命周期。
问:使用 Distributor 有哪些好处?
Distributor 支持软件包分发的标准化,通过这种方式帮助您扩展软件包部署。通过将 Distributor 与 AWS Systems Manager Run Command 和 State Manager 结合使用,您无需构建和维护自己的软件包分发与安装工具。Distributor 还对所有软件包使用集中存储库,从而简化软件包的管理。Distributor 支持使用 IAM 策略,让您可以完全控制哪些人可以创建和更新软件包。Distributor 还帮助实现安全的软件包分发,因为软件包在存储中是加密的,而且 Distributor 与实例之间的所有通信也会签名并加密。
问:哪些人应该使用 Distributor?
定期分发软件包并希望通过安全方式扩展软件包管理、对软件包使用集中存储库或不希望自行维护分发工具的任何 AWS 客户都应该使用 Distributor。希望控制哪些人可以创建或更新软件包以及要将哪些版本分发给每个 AWS 账户的 IT 专业人员也能受益于 Distributor。
问:Distributor 的费用是多少?
Distributor 的定价可以在 Systems Manager 定价页面找到。
问:如何开始使用?
您可以使用 AWS 管理控制台来打开 Distributor,只需单击几下即可。有关更多信息,请参阅入门文档。
问:Distributor 是否需要使用 SSM Agent?
是的。需要有最新版本的 SSM Agent 才能使用 Distributor。SSM Agent 是开源的,可从 GitHub 上获取。默认情况下,SSM Agent 已安装在 Amazon Linux、Amazon Linux 2、Windows 和 Ubuntu AMI 上。