Allgemeines

F: Was ist AWS Systems Manager?
Mit AWS Systems Manager können Sie operative Daten aus mehreren AWS-Services zentralisieren und Aufgaben über verschiedene AWS-Ressourcen hinweg automatisieren. Sie können logische Ressourcengruppen wie Anwendungen, verschiedene Ebenen eines Anwendungsstapels oder Produktions- und Entwicklungsumgebungen erstellen. Mit Systems Manager können Sie eine Ressourcengruppe auswählen und deren kürzliche API-Aktivitäten, Änderungen an der Ressourcenkonfiguration, zugehörige Benachrichtigungen, betriebliche Warnungen, Softwareinventare und Patch-Compliance-Status anzeigen. Abhängig von Ihren betrieblichen Erfordernissen können Sie auch Aktionen für die einzelnen Ressourcengruppen ausführen. Systems Manager stellt eine zentrale Schnittstelle zum Anzeigen und Verwalten Ihrer AWS-Ressourcen für umfassende Transparenz und Steuerung Ihrer gesamten Operationen bereit.

F: Wer sollte AWS Systems Manager verwenden?
Wenn Sie mehrere AWS-Services verwenden, bietet Ihnen AWS Systems Manager eine zentralisierte und einheitliche Möglichkeit, operative Einblicke zu erhalten und routinemäßige Verwaltungsaufgaben auszuführen. Mit AWS Systems Manager können Sie Routinevorgänge ausführen, Ihre Entwicklungs-, Test- und Produktionsumgebungen nachverfolgen und proaktiv auf Ereignisse oder operative Zwischenfälle reagieren. Er stellt eine operative Ergänzung zu den stärker auf Entwickler ausgerichteten Tools dar, die Sie verwenden, wie z. B. Code-Editoren und integrierte Entwicklungsumgebungen (IDEs). Ähnlich wie eine IDE integriert AWS Systems Manager eine breite Palette an operativen Tools.

F: Was sind die ersten Schritte?
Die ersten Schritte mit AWS Systems Manager sind einfach. Navigieren Sie mit der AWS Management Console zur AWS Systems Manager Console. Sie können eine Ressourcengruppe mithilfe einer einfachen Tag-Abfrage erstellen und dann mit der Erforschung der integrierten operativen Tools in AWS Systems Manager beginnen.

F: Welche Betriebssysteme werden von AWS Systems Manager unterstützt?
AWS Systems Manager ist für die Verwaltung von Windows- und Linux-Plattformen über eine einzelne, zentrale Erfahrung optimiert. Weitere Informationen zur Verwaltung der lokalen Systeme finden Sie in der Dokumentation.

F: Verwaltet AWS Systems Manager Instances, die vor Ort ausgeführt werden?
Ja, AWS Systems Manager unterstützt die Verwaltung von Instances, die in Rechenzentren vor Ort ausgeführt werden. Im Abschnitt zu den Voraussetzungen für AWS Systems Manager finden Sie weitere Details.

F: Wie unterstützt AWS Systems Manager die Verwaltung von Amazon EC2-Instances auf Servern vor Ort?
AWS Systems Manager umfasst einen Agent für die Ausführung von Aktionen innerhalb von Instances oder Servern. Der Agent ist komplett Open-Source und auf GitHub verfügbar.

F: Kann ich über meine VPC privat ohne öffentliche IP-Adressen auf AWS Systems Manager-APIs zugreifen?
Ja, Sie können privat über Ihre Amazon Virtual Private Cloud (durch Erstellung von VPC-Endpunkten) auf die AWS Systems Manager-APIs zugreifen. Mit VPC-Endpunkten wird das Routing zwischen der VPC und AWS Systems Manager durch das AWS-Netzwerk gesteuert, ohne dass ein Internet-Gateway, ein NAT-Gateway oder eine VPN-Verbindung erforderlich ist. Die neueste Generation der von AWS Systems Manager verwendeten VPC-Endpunkte wird von AWS PrivateLink unterstützt. Diese Technologie ermöglicht die private Konnektivität zwischen AWS-Services, indem Elastic Network Interfaces (ENI) mit privaten IP-Adressen in Ihren VPCs genutzt werden. Weitere Informationen zu PrivateLink erhalten Sie in der PrivateLink-Dokumentation.

F: In welchen Regionen ist AWS Systems Manager verfügbar?
Informationen, in welchen Regionen AWS Systems Manager verfügbar ist, finden Sie in der AWS-Regionstabelle.

F: Kann ich den Amazon EC2 Systems Manager weiterhin über die EC2 Console verwenden?
Ja. Benutzer, die mit dem EC2 Systems Manager in der EC2 Console vertraut sind, finden einen Link zu AWS Systems Manager. Amazon EC2 Systems Manager-Services sind weiterhin einfach zu finden und zu nutzen. AWS Systems Manager bietet ein neues Benutzererlebnis für diese Tools.

F: Welche Art von Einblicken kann ich über AWS Systems Manager erhalten?
AWS Systems Manager überlagert Informationen aus mehreren AWS-Services. Diese serviceübergreifenden Einblicke werden anhand von mehreren nativen Dashboards angezeigt. AWS Systems Manager integriert außerdem Amazon CloudWatch-Dashboards. Sie können Ihre bereits vorhandenen Dashboards erneut verwenden oder neue erstellen.

F: Was sind integrierte Einblicke?
Die integrierten Einblicke von AWS Systems Manager sind Dashboards, auf denen die letzten API-Aufrufe über AWS CloudTrail, die letzten Konfigurationsänderungen über AWS Config und Softwarebestandslisten für die Instance und Compliance-Ansichten für den Instance-Pfad und die Instance-Konfiguration aufgeführt werden. Sie können diese Einblicke auf Kontoebene filtern, um Mitglieder einer bestimmten Ressourcengruppe anzuzeigen. Diese Dashboards zeigen darüber hinaus auch die letzten Ereignisprotokolle über das AWS Personal Health Dashbards und Optimierungsempfehlungen über den AWS Trusted Advisor an.

F: Was ist eine verwaltete Instance?
Eine verwaltete Instance ist ein lokaler Server oder eine Amazon EC2-Instance, der bzw. die über AWS Systems Manager verwaltet werden kann. Eine verwaltete Instance kann dabei eine physischer Server oder eine virtuelle Maschine in Ihrem lokalen Rechenzentrum oder auch bei einem anderen Cloud-Anbieter sein.

F: Wie richte ich eine verwaltete Instance ein?
Sie können eine EC2-Instance als eine verwaltete Instance einrichten, indem Sie den Systems Manager-Agent installieren und ein AWS Identity and Access Management (IAM)-Instance-Profil an die Instance anhängen. Dadurch erhält Systems Manager die Berechtigung, Maßnahmen auf Ihrer Instance durchzuführen. Um Server oder virtuelle Maschinen außerhalb von Amazon EC2 zu registrieren, können Sie eine Aktivierung erstellen.

F: Ist der Systems Manager-Agent bei einigen Betriebssystemen bereits enthalten?
Der Systems Manager-Agent ist standardmäßig bei AWS Windows AMIs, auf dem Linux AMI und dem Amazon Linux-Repository verfügbar. Sie können den Agent außerdem auf anderen unterstützten Betriebssystemen installieren.

F: Was sind AWS Systems Manager-Aktivierungen?
AWS Systems Manager-Aktivierungen ermöglichen die hybride und Cloud-übergreifende Verwaltung. Mithilfe von AWS Systems Manager-Aktivierungen können Sie ganz einfach jeden physischen als auch virtuellen Server für die Verwaltung mit AWS Systems Manager registrieren.

F: Wie registriere ich einen Instance mit einer AWS Systems Manager-Aktivierung?
Sie können über die AWS Systems Manager Console oder API eine AWS Systems Manager-Aktivierung erstellen. Anschließend erhalten Sie einen Aktivierungscode und eine ID. Damit können Sie einen Befehl auf Ihren Servern ausführen und sie so für Systems Manager registrieren.

F: Was ist ein AWS Systems Manager-Dokument?
Ein AWS Systems Manager-Dokument ermöglicht die Konfiguration als Code zur Verwaltung von Ressourcen im großen Umfang. Ein AWS Systems Manager-Dokument definiert eine Reihe von Aktionen, mit deren Hilfe Sie Instances extern verwalten, den gewünschten Status gewährleisten und Abläufe automatisieren können. Ein AWS Systems Manager-Dokument ist plattformübergreifend und kann für sowohl Windows- als auch Linux-Instances verwendet werden.

F: Wo kann ich AWS Systems Manager-Dokumente verwenden?
Sie können Systems Manager-Dokumente zum Ausführen von Befehlen, im Status-Manager oder für Automatisierungsfunktionen verwenden.

F: Gibt es vordefinierte AWS Systems Manager-Dokumente?
Ja. Sie können aus einer Vielzahl von vordefinierten AWS Systems Manager-Dokumenten wählen, die allgemeine Aufgaben automatisieren, wie z.B. das Zusammenstellen des Bestands, das Installieren von Anwendungen, das Verbinden von Instances zu einer Domäne, Instance-Operationen, das Sammeln von Metriken und vieles mehr.

F: Wie erstelle ich mein eigenes AWS Systems Manager-Dokument?
Sie können AWS Systems Manager-Dokumente entsprechend dem definierten Dokumentschema über die AWS Systems Manager Console oder die APIs in JSON oder YAML erstellen.

Ressourcengruppen

F: Welche Beziehung besteht zwischen dem AWS Systems Manager und den AWS-Ressourcengruppen?
Die AWS Systems Manager Console kann in die AWS-Ressourcengruppen integriert werden und bietet neben anderen nativen Integrationen Gruppierungsmöglichkeiten.

F: Kann ich über AWS Systems Manager Ressourcengruppen erstellen?
Sie können die AWS Systems Manager Console verwenden, um anhand einer Tag-Abfrage Ihre eigenen heterogenen Ressourcengruppen zu erstellen. Diese Abfrage enthält alle markierten AWS-Ressourcen, die mit einer bestimmten Tag-Abfrage übereinstimmen. Durch die Erstellung Ihrer eigenen Ressourcengruppen, können Sie AWS Systems Manager-Ansichten generieren, die Ihre Meinung über Ihre Ressourcen wiederspiegeln. Beispielsweise können Sie Ressourcengruppen nach Anwendungskomponenten, Anwendungsebenen oder Bereichen mit operativer Verantwortung anlegen.

F: Was sind Ressourcengruppeneinblicke in AWS Systems Manager?
AWS Systems Manager bietet eine Reihe von Einblicken für spezifische Ressourcengruppen. Diese Einblicke führen die letzten API-Aufrufe über AWS CloudTrail, die letzten Konfigurationsänderungen über AWS Config und Softwarebestandslisten für die Instance und Compliance-Ansichten für den Instance-Pfad und die Instance-Konfiguration auf. Sie können diese Einblicke auf Kontoebene filtern, um Mitglieder einer bestimmten Ressourcengruppe anzuzeigen.

F: Was sind Ressourcengruppenaktionen in AWS Systems Manager?
Mit AWS Systems Manager können Sie Automatisierungsdokumente von AWS Systems Manager direkt für eine Ressourcengruppe ausführen. Die Mitglieder der Ressourcengruppe selbst werden als Eingabe an das Automatisierungsdokument von AWS Systems Manager weitergegeben. Automatisierungsdokumente von AWS Systems Manager bieten eine Vielzahl an Beispielaktionen, wie z. B. den Neustart von Instances in einer Ressourcengruppe nach der Genehmigung oder dem Patching von Amazon EC2 Instances (drei gleichzeitig).

CloudWatch Dashboards

F: Was sind CloudWatch Dashboards?
Mit Amazon CloudWatch Dashboards können Sie wiederverwendbare Dashboards erstellen, mit denen Sie Ihre AWS-Ressourcen von einer zentralen Stelle aus überwachen können. Metrikdaten werden 15 Monate lang aufbewahrt und ermöglichen Ihnen so das Sichten minutenaktueller Daten und von Verlaufsdaten.

F: Wie werden Amazon CloudWatch Dashboards in AWS Systems Manager integriert?
Ihre bereits vorhandenen CloudWatch Dashboards sind jetzt direkt über AWS Systems Manager verfügbar. Sie können auch neue CloudWatch Dashboards direkt über Systems Manager erstellen. Mithilfe von CloudWatch Dashboards können Sie Ihre eigenen benutzerdefinierten operativen Dashboards erstellen, um den Status einer Anwendungskomponente, Anwendungsebene oder eines Bereichs mit operativer Verantwortung anzuzeigen.

Inventory

F: Was ist AWS Systems Manager Inventory?
AWS Systems Manager sammelt Informationen über Ihre Instances und der darauf installierten Software, sodass Sie ein besseres Verständnis für Ihre Systemkonfigurationen und die installierten Anwendungen erhalten. Sie können Daten über Anwendungen, Dateien, Netzwerkkonfigurationen, Windows-Services, Registrys, Serverrollen, Updates und viele weitere Systemeigenschaften sammeln. Anhand der erfassten Daten können Sie die Anwendungs-Assets verwalten, Lizenzen nachverfolgen, die Dateiintegrität überwachen, Anwendungen erkennen, die von einem herkömmlichen Installationsprogramm nicht installiert wurden usw.

F: Kann ich kundenspezifische Informationen aus einer Amazon EC2-Instance oder einer Instance vor Ort sammeln?
Ja. Sie können Typen eines benutzerdefinierten Inventory erstellen, um zusätzliche Systemeigenschaften zu sammeln, die von der Instance selbst erfasst oder mithilfe der API aufgezeichnet werden. Dazu zählen z. B. Ergebnisse aus PowerShell sowie anderen Anwendungen im JSON-Format und statisch in JSON-Dateien gespeicherte Daten wie Rack-Informationen.

F: Wie kann ich Änderungen meiner Konfiguration im Lauf der Zeit verfolgen?
Mit AWS Config können Sie die Compliance einer Instance mit einer gewünschten Konfiguration anhand von AWS-Konfigurationsregeln überwachen. Diese Funktion versetzt Sicherheitsexperten und Compliance-Prüfer in die Lage, einen kompletten Überwachungspfad von Konfigurationsänderungen einer Instance zu erhalten und bei einer Nichteinhaltung durch proaktive Benachrichtigungen informiert zu werden.

F: Kann ich Inventory-Daten aus mehreren AWS-Konten oder -Regionen ansehen oder abfragen?
Ja. Sie können Inventory-Daten synchronisieren – und zwar aus mehreren Konten und Regionen hin zu ein und demselben Amazon S3-Bucket. Sie können dann Amazon Athena, Amazon QuickSight oder Ihre eigenen Business Intelligence-Tools (BI) verwenden, um Inventory-Daten aus mehreren Konten oder Regionen abzufragen.

F: Kann ich Analyse- und Visualisierungsprozesse auf Inventory-Daten anwenden?
Ja. Zusätzlich zum integrierten Inventory-Dashboard können Sie mit Amazon Athena und Amazon QuickSight erweiterte Analyse- und Visualisierungsprozesse für Inventory-Daten entwickeln.

Konfigurations-Compliance

F: Was ist eine Konfigurations-Compliance von AWS Systems Manager?
AWS Systems Manager erlaubt es Ihnen, Ihre verwalteten Instances auf Patch-Compliance und Inkonsistenzen in der Konfiguration hin zu prüfen. Sie können Daten aus mehreren AWS-Konten und -Regionen sammeln und aggregieren und sich dann detaillierter speziellen, nicht konformen Ressourcen widmen. In AWS Systems Manager werden standarmäßig Daten zu Patching und Verbindungen angezeigt. Sie können den Service auch anpassen und je nach Ihren Anforderungen eigene Compliance-Typen erstellen. 

F: Wie kann ich Änderungen meiner Konfiguration im Lauf der Zeit verfolgen?
Durch eine Integration mit AWS Config können Sie die Compliance einer Instance mit einer gewünschten Konfiguration anhand von AWS-Konfigurationsregeln überwachen. Diese Funktion versetzt Sicherheitsexperten und Compliance-Prüfer in die Lage, einen kompletten Überwachungspfad von Konfigurationsänderungen einer Instance zu erhalten und bei einer Nichteinhaltung durch proaktive Benachrichtigungen informiert zu werden.

F: Wie kann ich die Compliance-Stufen meiner Instances anzeigen?
Mit AWS Systems Manager können Sie sich Informationen zur Patch-Compliance ansehen, in denen detaillierte Ergebnisse des Patch-Prozesses enthalten sind. Für eine einzelne Instance lassen sich leicht aggregierte Compliance-Details erhalten. Außerdem können Sie weitere Details anzeigen lassen und für jede einzelne Instance ermitteln, welche Patches installiert wurden, fehlen, nicht anwendbar sind oder nicht installiert werden konnten.

F: Kann ich meine eigenen Compliance-Tests erstellen?
Ja. Sie können Ihre eigenen Compliance-Typen erstellen, die über die API aufgezeichnet werden können. Je nach Ihren Geschäftsanforderungen können Sie Ihre eigenen Tests erstellen und die Compliance dann über AWS Systems Manager aufzeichnen, um nicht konforme Instances nachzuverfolgen. Sie können sich diese Compliance-Informationen auch in mehreren Konten und Regionen ansehen, indem Sie eine Synchronisierung von Ressourcendaten einrichten.

Automatisierung

F: Was ist AWS Systems Manager-Automatisierung?
Mit AWS Systems Manager können Sie innerhalb von mehreren AWS-Ressourcen sicher allgemeine und wiederkehrende IT-Vorgänge und Verwaltungsaufgaben ausführen. Systems Manager lässt Sie außerdem JSON-Dokumente erstellen, in denen eine bestimmte Liste mit Aufgaben festgelegt ist, oder in der Community veröffentlichte Dokumente verwenden. Diese Dokumente können direkt über die AWS Management Console, CLIs und SDKs ausgeführt, in einem Wartungsfenster geplant oder basierend auf Änderungen an AWS-Ressourcen über Amazon CloudWatch-Ereignisse ausgelöst werden. Sie können in den Dokumenten die Ausführung aller Schritte nachverfolgen und für jeden von ihnen eine Genehmigung anfordern. Außerdem können Sie schrittweise Änderungen einführen und beim Auftreten von Fehlern automatisch angehalten werden.

F: Welche Aufgaben kann ich automatisieren?
Sie können jede Aufgabe automatisieren, die eine Interaktion mit AWS und Ressourcen vor Ort beinhaltet. Integrierte Aktionstypen lassen Sie u. a. problemlos mit Amazon EC2-Instances und AWS CloudFormation-Stacks interagieren. Mithilfe verfügbarer Aktionstypen lassen sich AWS Systems Manager Run Command, PowerShell-Skripte und AWS Lambda-Funktionen aufrufen.

F: Gibt es vordefinierte AWS Systems Manager-Automatisierungsdokumente?
Es gibt über 20 vordefinierte AWS Systems Manager-Automatisierungsdokumente, die sich anklicken und ausführen lassen, um so eine ganze Reihe von Aufgaben zu erfüllen, u. a. das Brennen goldener AMIs, das Patching von Amazon EC2-Instances und das Verwalten von Instance-Status.

F: Kann ich meine eigenen AWS Systems Manager-Automatisierungsdokumente erstellen?
Sie können bereits vorhandene AWS Systems Manager-Automatisierungsdokumente anpassen oder Ihre eigenen unter Verwendung von JSON oder YAML erstellen. Außerdem haben Sie die Möglichkeit, über ein anderes Konto freigegebene AWS Systems Manager-Automatisierungsdokumente zu verwenden und Ihr Dokument für andere freizugeben.

F: Kann AWS Systems Manager-Automatisierung beim Genehmigungsprozess helfen?
Ja. Ihren AWS Systems Manager-Automatisierungsdokumenten lassen sich integrierte Genehmigungsaktionstypen hinzufügen. Bei der genehmigenden Person kann es sich um einen oder mehrere Benutzer des AWS Identity and Access Management (IAM) handeln. Die Ausführung von AWS Systems Manager-Automatisierungsdokumenten erfolgt erst dann in angemessener Form, wenn die Mindestanzahl erforderlicher Genehmigungen erfolgt bzw. verweigert wurde.

F: Kann ich AWS Systems Manager-Automatisierungsdokumente gegen eine ganze Ressourcengruppe ausführen?
Ja. Sie können Ressourcengruppen als Ziele verwenden und AWS Systems Manager-Automatisierungsdokumente gegen bestimmte Ressourcengruppentypen ausführen. Außerdem haben Sie die Möglichkeit, Sicherheitskontrollen festzulegen, um so die Zahl der Ressourcen in der Gruppe anzuzeigen, gegen die eine gleichzeitige Ausführung erfolgen sollte, und Sie können Fehlerschwellen hinzufügen, aufgrund derer die Ausführung von AWS Systems Manager-Automatisierungsdokumenten gestoppt wird.

F: Kann ich Schritte von AWS Systems Manager-Automatisierungsdokumenten einzeln ausführen?
Ja. Sie können ein ganzes AWS Systems Manager-Automatisierungsdokument auf ein­mal oder in mehreren Schritten ausführen.

F: Kann ich die Ausführung von AWS Systems Manager-Automatisierungsdokumenten gemäß einem Plan oder basierend auf anderen Ereignissen auslösen?
Ja. Sie können die Ausführung von AWS Systems Manager-Automatisierungsdokumenten so planen, dass sie als ein Amazon CloudWatch Events-Ziel ausgelöst werden, oder Sie können AWS Systems Manager-Wartungsfenster verwenden, um die Ausführung von AWS Systems Manager-Automatisierungsdokumenten gemäß einem Plan auszulösen. Außerdem haben Sie die Möglichkeit, die Ausführung von AWS Systems Manager-Automatisierungsdokumenten basierend auf Änderungen an AWS-Ressourcen über Amazon CloudWatch Events auszulösen.

Run Command

F: Was ist AWS Systems Manager Run Command?
AWS Systems Manager bietet Ihnen die Möglichkeit einer geschützten, sicheren Remote-Verwaltung Ihrer Instances im großen Umfang, ohne dass Sie sich in Ihre Server einloggen müssen, wodurch Bastion Hosts, SSH oder Remote-PowerShell überflüssig werden. Dadurch entsteht eine einfache Art, allgemeine administrative Aufgaben über Instance-Gruppen hinweg zu automatisieren, z. B. das Bearbeiten von Registrierungen, die Benutzerverwaltung und Software- sowie Patch-Installationen. Über die Integration mit AWS Identity and Access Management (IAM) können Sie detailliert Berechtigungen erteilen, um die Aktionen zu steuern, die ein Benutzer auf den jeweiligen Instances ausführen darf. Alle mit Systems Manager ausgeführten Aktionen werden von AWS CloudTrail aufgezeichnet. Dadurch können Sie die in Ihrer Umgebung vorgenommenen Änderungen überwachen.

F: Enthält AWS vordefinierte Befehle?
Ja. Es stehen vordefinierte Befehle zur Verfügung, die für allgemeine administrative Aufgaben konzipiert wurden. Unter Windows können Sie PowerShell- bzw. Shell-Befehle oder -Skripte ausführen, Windows Update-Einstellungen konfigurieren, eine MSI-Anwendung bereitstellen und vieles mehr. Unter Linux können Sie beliebige Shell-Befehle oder -Skripte ausführen und den installierten Agent remote aktualisieren. Sie können auch benutzerdefinierte Befehle erstellen, um für Ihre Umgebung erforderliche allgemeine Aufgaben auszuführen.

F: Kann ich Bulk-Änderungen über mehrere meiner Umgebungen hinweg vornehmen?
Ja. Sie können gegen große Instance-Gruppen agieren, indem Sie Ziele mithilfe von Tag-basierten Abfragen wählen. Sie können Änderungen sicher über Ihre Umgebungen hinweg anwenden, indem Sie die Tarifsteuerung einrichten, die Ihnen die Festlegung gleichzeitiger Ausführungsstapel mit Fehlerschwellen gestattet.

F: Kann ich steuern, wer einen Befehl ausführen darf?
Ja. Mithilfe der veröffentlichten Berechtigungen und Richtlinien zu AWS Identity and Access Management (IAM) können Sie Tag-basierte Berechtigungen verwenden, um zu steuern, wer Befehle oder Dokumente auf bestimmten Instances ausführen darf. Beispielweise können Sie angeben, dass ein IAM-Benutzer PowerShell-Befehle ausführen, aber keine Instance mit einer Domain verbinden darf. Oder ein anderer IAM-Benutzer wird berechtigt, nur einen bestimmten Befehl (wie den Neustart von Services) auszuführen. Sie sind flexibel, jedem Benutzer so viele Zugriffsrechte zu erteilen, wie Sie möchten.

Patch Manager

F: Was ist AWS Systems Manager-Patch-Manager?
AWS Systems Manager hilft Ihnen bei der automatischen Auswahl und Bereitstellung von Patches für Betriebssysteme und Software innerhalb großer Gruppen von Amazon EC2- oder On-Premise-Instances. Über Patch Baselines können Sie Regeln festlegen, mit denen die Installation ausgewählter Patch-Kategorien – z. B. Patches für Betriebssysteme oder äußerst kritische Patches – automatisch genehmigt wird. Außerdem besteht die Möglichkeit, eine Liste mit Patches festzulegen, die diese Regeln überschreiben und automatisch genehmigt oder abgelehnt werden. Sie können auch Wartungsfenster für Ihre Patches planen, sodass sie nur zu vorgegebenen Zeiten angewendet werden. Systems Manager hilft Ihnen sicherzustellen, dass Ihre Software stets auf dem neuesten Stand ist und Ihre Compliance-Richtlinien erfüllt.

F: Wie kann ich festlegen, wann ich einen Patch einer Instance durchführen möchte?
Sie können mithilfe eines AWS Systems Manager-Wartungsfensters den Patching-Zeitpunkt bestimmen. AWS Systems Manager bietet Ihnen die Möglichkeit, ein oder mehrere wiederkehrende Zeitfenster zu definieren, in denen die Durchführung Ihrer Wartungsarbeiten für Sie akzeptabel ist. Durch die Definition dieser Fenster und deren Verknüpfung mit Ihren Instances ist es einfacher für Sie sicherzustellen, dass all Ihre Wartungsaktivitäten, die sich auf die Verfügbarkeit einer Arbeitslast auswirken könnten, nur in einem genau definierten Zeitfenster durchgeführt werden.

F: Wie kann ich den Patch-Prozess anpassen?
AWS Systems Manager bietet einen vollständig automatisierten Patch-Prozess. Dieser lässt sich leicht anpassen, indem Sie Ihre eigenen AWS Systems Manager-Befehle oder Automatisierungsdokumente schreiben.

F: Welche Patch-Typen kann ich installieren?
AWS Systems Manager unterstützt das Patching von Windows- und Linux-basierten Instances. Die aktuell unterstützten Versionen finden Sie in unserer Dokumentation.

F: Wie kann ich die zu installierenden Patches auswählen?
Mit Patch Baselines benennen Sie Patch-Gruppen, die Sie entweder freigegeben haben oder die nicht auf Ihren Instances bereitgestellt werden dürfen. In einer Patch Baseline können Sie Patches nach den Produkten (z. B. Windows Server 2008, Windows Server 2012 usw.), Kategorien (z. B. kritische Updates, Sicherheits-Updates usw.) und Schweregrad auswählen, für die bzw. den Sie Patches für die Bereitstellung überprüfen möchten. Für jede ausgewählte Kategorie können Sie dann einen Plan festlegen, der die Patches enthält, die automatisch für die Verteilung genehmigt werden. Zusätzlich zu den Regeln können Sie auch eine Whitelist und eine Blacklist mit Patches festlegen, in denen die Patches enthalten sind, die installiert oder blockiert werden sollen. Während des Patching prüft Patch Manager die jeweiligen Instances und wählt nur diejenigen Patches aus, die bis zu diesem Zeitpunkt genehmigt wurden.

F: Wie kann ich die Compliance-Stufen meiner Instances anzeigen?
Sie können sich Informationen zur Patch-Compliance ansehen, in denen detaillierte Ergebnisse des Patchprozesses enthalten sind. Über die AWS Systems Manager Console oder die APIs können Sie auf einfache Art Details zur Richtlinieneinhaltung der Instances erhalten. Außerdem können Sie weitere Details anzeigen lassen und für jede einzelne Instance ermitteln, welche Patches installiert wurden, fehlen, nicht anwendbar sind oder nicht installiert werden konnten.

Maintenance Windows

F: Was ist ein AWS Systems Manager Maintenance Window?
Mit AWS Systems Manager können Sie Zeitfenster planen, in denen administrative und verwalterische Aufgaben für all Ihre Instances durchgeführt werden. So können Sie Patches und Updates zu einer für Sie passenden und sicheren Zeit durchführen bzw. Konfigurationsänderungen vornehmen und verbessern die Verfügbarkeit und Zuverlässigkeit Ihrer Services und Anwendungen.

F: Warum sollte ich AWS Systems Manager Maintenance Windows verwenden?
Maintenance Windows hilft beim Verbessern von Verfügbarkeit und Zuverlässigkeit Ihrer Arbeitslasten, indem Aufgaben automatisch in einem genau definierten Zeitfenster durchgeführt werden, was zu einer beträchtlichen Reduzierung der Auswirkungen von Ausfällen in Betrieb oder Infrastruktur führt.

F: Welche Aufgaben kann ich mithilfe eines AWS Systems Manager Maintenance Window ausführen?
Sie können beispielsweise folgende Aufgaben durchführen:

  • Installieren von Anwendungen, Aktualisieren von Patches, Installieren und Aktualisieren von AWS Systems Manager Agents oder das Ausführen von PowerShell-Befehlen und Linux-Shell-Skripten.
  • Erstellen von Amazon Machine Images (AMIs), Bootstrapping-Software und Konfigurieren von Instances.
  • Ausführen von AWS Lambda-Funktionen, die zusätzliche Aktionen auslösen, wie z. B. das Scannen Ihrer Instances hinsichtlich Patch-Updates.
  • Ausführen der AWS Step Function-Zustandsautomaten zur Durchführung von Aufgaben wie das Entfernen einer Instance aus einer Elastic Load Balancing-Umgebung, Patchen der Instance und anschließend erneutes Hinzufügen der Instance zur Elastic Load Balancing-Umgebung.

F: Welche Art von Aufgaben kann ich in einem AWS Systems Manager Maintenance Window planen?
Sie können eine beliebige AWS Systems Manager Run Command-Ausführung, die Ausführung eines AWS Systems Manager-Automatisierungsdokuments und von AWS Step Function- oder AWS Lambda-Funktionen erstellen und planen.

F: Welche Arten von Plänen kann ich für meine Maintenance Windows auswählen?
Maintenance Windows können für wiederholende Zeitfenster geplant werden (beispielsweise wöchentlich dienstags um 22:00 Uhr oder am ersten Sonntag eines Monats um 22:00 Uhr). Sie können Ihren Plan mithilfe eines Cron- oder Rate-Ausdrucks definieren.

State Manager

Q: Was ist AWS Systems Manager State Manager?
AWS Systems Manager ermöglich die Verwaltung der Konfiguration, sodass Sie für Ihre Amazon EC2- oder lokalen Instances einheitliche Konfigurationen verwenden können. Mithilfe von State Manager behalten Sie den Überblick über verschiedene Konfigurationsdetails, z. B. Serverkonfigurationen, Virenschutzdefinitionen, Firewall-Einstellungen usw. Sie können über die AWS Management Console Konfigurationsrichtlinien für Ihre Server definieren oder dafür vorhandene Skripte, PowerShell-Module oder Ansible-Playbooks direkt von GitHub oder Amazon S3-Buckets verwenden. Systems Manager wendet Ihre Konfigurationen dann in einer von Ihnen festgelegten Zeit und Häufigkeit für alle Instances an. Sie können jederzeit eine Abfrage für Systems Manager durchführen, um den Status Ihrer Instances-Konfiguration anzuzeigen, sodass Sie on-demand Einblicke in Ihren Compliance-Status erhalten.

F: Warum sollte ich den AWS Systems Manager State Manager verwenden?
Es ist eine Herausforderung, sicherzustellen, dass die Infrastruktur, die Ihren Anwendungen zu Grunde liegt, einheitlich ist. AWS Systems Manager ermöglicht Ihnen das Erstellen von Richtlinien, das erneute Anwenden dieser Richtlinien zum Vermeiden von Konfigurationsveränderungen und das Überwachen des Status Ihres beabsichtigten Zustands.

F: Wie kann ich meine Richtlinien erstellen?
Richtlinien können mithilfe von AWS Systems Manager-Dokumenten ganz einfach erstellt werden. Darüber hinaus stehen Ihnen vordefinierte Konfigurationen zur Verfügung, die Sie zum Installieren von Anwendungen, für das Verknüpfen von Instances mit Domänen usw. verwenden können.

F: Welche Ziele können konfiguriert werden?
Sie haben die Flexibilität, Instances oder Tags als Ziele zu verwenden. Dies bedeutet, dass Sie die Flexibilität haben, spezielle Konfigurationen für Gruppen von Instances wie beispielsweise Webserver zu verwenden.

F: Kann ich meine bereits vorhandenen Tools für die Konfigurationsverwaltung in Kombination mit AWS Systems Manager State Manager verwenden?
Ja. AWS bietet Ihnen vordefinierte AWS Systems Manager-Dokumente zur Ausführung von Ansible-Playbooks oder Salt States und Sie können PowerShell DSC mit AWS Systems Manager State Manager verwenden, um Konfigurationsveränderungen zu minimieren. Darüber hinaus können Sie jegliche Konfigurationsskripte direkt über Ihr öffentliches oder privates GitHub-Repository ausführen.

Parameter Store

F: Was ist AWS Systems Manager Parameter Store?
AWS Systems Manager bietet einen zentralisierten Speicher zur Verwaltung Ihrer Konfigurationsdaten, ob Nur-Text (z. B. Datenbankzeichenfolgen) oder geheime Daten (Passwörter). So können Sie Ihre geheimen und Konfigurationsdaten von Ihrem Code trennen. Parameter können markiert und in Hierarchien eingeordnet werden und sind so einfacher zu verwalten. Zum Beispiel können Sie denselben Parameternamen, "db-string", mit einem anderen hierarchischen Pfad, "dev/db-string" oder "prod/db-string" verwenden, um so verschiedene Werte zu speichern. Systems Manager ist in AWS Key Management Service (KMS) integriert, sodass die von Ihnen gespeicherten Daten automatisch verschlüsselt werden. Mit AWS Identity and Access Management (IAM) können Sie darüber hinaus den Zugriff von Benutzern und Ressourcen auf Parameter steuern. Parameter können über andere AWS-Services abgerufen werden, wie z. B. Amazon Elastic Container Service, AWS Lambda und AWS CloudFormation.

F: Warum sollte ich AWS Systems Manager Parameter Store verwenden?
Es ist eine bewährte Methode, Konfigurationsdaten und geheime Daten von Ihrem Code getrennt zu speichern. Sie können AWS Systems Manager Parameter Store verwenden, um Konfigurationsdaten und vertrauliche Informationen schnell zu speichern und abzurufen. Statt Daten in Konfigurationsdateien zu speichern oder sie als einfachen Text abzurufen, können Sie diese Informationen in Ihren Anwendungen oder Skripten speichern und abrufen. Außerdem können Sie kontrollieren, wer auf Parameter zugreifen kann, sodass nur die beabsichtigte Benutzergruppe Zugriff auf die entsprechenden Informationen hat.

F: Wie kann ich vertrauliche Daten speichern?
Bei einer sicheren Zeichenfolge handelt es sich um vertrauliche Daten, die auf abgesicherte Art und Weise gespeichert und abgerufen werden müssen. Falls Sie Daten haben, die von den Benutzern nicht als Klartext abgerufen werden sollen, oder wenn Benutzer keinen Zugriff auf Daten haben sollen, die manipuliert oder missbraucht werden könnten, sollten Sie in AWS Systems Manager Parameter Store sichere Zeichenfolgen verwenden. Sie können Ihre vertraulichen Daten mithilfe Ihres eigenen AWS Key Management Service-Schlüssels (KMS) oder dem Standardschlüssel Ihres Benutzerkontos, den sie von AWS KMS erhalten haben, verschlüsseln.

F: Mit welchen Services kann ich meine Parameter abrufen?
Sie können Ihre Parameter für alle AWS-Services wie Amazon Elastic Container Service, AWS Lambda und AWS Systems Manager oder auch für einen anderen Service abrufen, über den Sie die AWS Systems Manager Parameter Store-APIs verwenden.

F: Kann ich die Nutzung verfolgen und Zugriffskontrolle für bestimmte Parameter bieten?
Ja. Sie können eine detaillierte Zugriffskontrolle für Benutzer und Ressourcen wie beispielsweise Instances bereitstellen, indem Sie AWS Identity and Access Management (IAM) verwenden. Damit können Sie kontrollieren, wer auf welche Parameter auf welchen Ressourcen zugreifen kann. Sie können auch Amazon CloudWatch-Ereignisregeln basierend auf Parameteränderungen einrichten. Außerdem können Sie Parameter-API-Aufrufe mithilfe von AWS CloudTrail verfolgen und überprüfen.

F: Kann ich Änderungen an Parametern nachverfolgen?
Ja. Sie können den Verlauf der Parameteränderungen anzeigen. Sie können auch Versionen verwenden, die bei Änderungen automatisch inkrementiert werden, um bestimmte Parameterwerte anhand ihrer Version zu ermitteln.

F: Kann ich hierarchische Daten als Parameter speichern?
Ja. Sie können zum Speichern von Parametern eine hierarchische Struktur verwenden. Zudem können den Zugriff auf jeder Hierarchiestufe steuern und überprüfen.

F: Kann ich Benachrichtigungen bei Änderungen an Parameterwerten erhalten?
Ja. Sie können Amazon CloudWatch- und Amazon Simple Notification Service (SNS)-Benachrichtigungen für einzelne Parameterwerte einrichten und bei Änderungen eine entsprechende Benachrichtigung erhalten.

Weitere Informationen zu den AWS Systems Manager-Partnern

Besuchen Sie die Partnerseite
Sind Sie startbereit?
Anmelden
Haben Sie Fragen?
Kontakt