Preguntas frecuentes sobre AWS Systems Manager

P: ¿Qué es el explorador de AWS Systems Manager?
El explorador de AWS Systems Manager es un panel de operaciones personalizable para sus recursos de AWS y de entornos híbridos y multinube. El panel muestra una vista combinada de datos de operaciones pertenecientes a sus regiones y cuentas de AWS. En el panel se provee contexto acerca de la distribución de los errores operativos en sus aplicaciones y unidades empresariales, cuáles son las tendencias a lo largo del tiempo y cómo varían por categoría.

P: ¿Qué es OpsData?
OpsData son datos de operaciones que se muestran en el panel Explorer. Estos datos provienen de una variedad de orígenes que incluyen EC2, OpsCenter y Patch Manager. Puede utilizar la página de configuración de Explorer para ver y administrar los orígenes de OpsData.

P: ¿Cómo se relaciona Explorer con OpsCenter?
Uno de los tipos de datos que se muestra en Explorer son OpsItems de OpsCenter. Los OpsItems lo ayudan a administrar, investigar y resolver errores operativos. Explorer ofrece una vista combinada de los OpsItems junto con otros datos de operaciones relevantes de cuentas y regiones. La administración de OpsItems y la resolución de sus problemas se puede seguir realizando mediante OpsCenter.

P: ¿Cómo puedo ver mis OpsData de cuentas y regiones?
Para ver los OpsData de cuentas y regiones, debe configurar una sincronización de datos de recursos en la página de ajustes de Explorer. La sincronización de datos de recursos recopila todos los OpsData de las cuentas y regiones que especificó y los agrega en una única vista.

P: ¿Cuándo uso AWS Systems Manager y AWS Security Hub?
AWS Systems Manager es el centro de operaciones de AWS que le permite administrar su nube e infraestructura híbrida con facilidad. Systems Manager le permite diagnosticar y resolver problemas operativos relacionados con los recursos de AWS y de entornos multinube e híbridos en una ubicación central (con Systems Manager OpsCenter) y ver un panel con los datos de sus operaciones en todas sus cuentas y regiones de AWS (con el explorador de Systems Manager). Los profesionales de la seguridad y conformidad de AWS Security Hub, así como los ingenieros de DevOps, usan AWS Security Hub para supervisar y mejorar de forma continua la posición de seguridad de sus cuentas y recursos de AWS. Muchos clientes separan sus problemas de seguridad (por ejemplo, buckets de Amazon S3 accesibles al público o minería de criptomonedas detectadas en instancias de Amazon EC2) y problemas operativos (por ejemplo, instancias Amazon Redshift infrautilizadas o instancias de Amazon EC2 utilizadas por encima de su capacidad), pues los problemas de seguridad son delicados y, normalmente, precisan de otros requisitos de acceso. Como resultado, usan Security Hub para comprender, administrar y solucionar los problemas de seguridad; asimismo, usan Systems Manager para comprender, administrar y solucionar los problemas operativos. También le instamos a usar Security Hub para visualizar su posición de seguridad de forma más detallada.

El que los mismos ingenieros trabajen tanto en los problemas de seguridad como operativos es útil para juntarlos en una única ubicación. Esto se consigue activando el envío de los hallazgos al OpsCenter y Explorer de Systems Manager, donde los ingenieros pueden investigar y solucionar tanto los problemas de seguridad como los operativos gracias a los runbooks de Systems Manager Automation.

P: ¿Qué son los paneles de Amazon CloudWatch?
Con los paneles de Amazon CloudWatch, puede crear paneles reutilizables que le permitan supervisar sus recursos de AWS y de entornos multinube e híbridos en un solo lugar. Los datos de las métricas se guardan durante 15 meses, lo que le permite consultar datos recientes y también datos históricos.

P: ¿De qué manera se integran los paneles de Amazon CloudWatch con AWS Systems Manager?
Los paneles de CloudWatch existentes ahora se encuentran disponibles directamente a través de AWS Systems Manager. También puede crear paneles de CloudWatch nuevos directamente desde Systems Manager. Con los paneles de CloudWatch, puede crear sus propios paneles operativos personalizados para mostrar el estado del componente de una aplicación, una capa de aplicación o áreas generales de titularidad operativa.

P: ¿Qué es AWS AppConfig?
AWS AppConfig es una característica de AWS Systems Manager que permite validar e implementar rápidamente las configuraciones a lo largo de cualquier tamaño de aplicación, sin importar si está alojado en instancias de Amazon EC2, contenedores, funciones de AWS Lambda, aplicaciones móviles o dispositivos IoT en una forma controlada y monitoreada. AWS AppConfig permite validar los datos de configuración para asegurarse de que sean sintáctica y semánticamente correctos acorde a sus definiciones antes de implementarlos en su aplicación. AWS AppConfig permite seguir las mejores prácticas de implementación, ya que despliega las configuraciones a un ritmo que usted define mientras monitorea por errores. En caso de errores, AWS AppConfig puede deshacer los cambios para minimizar el impacto en la aplicación de los usuarios.

P: ¿Quiénes deberían utilizar AWS AppConfig?
AWS AppConfig está diseñado para administradores de sistemas, equipos de DevOps y desarrolladores que desean implementar cambios de configuración en sus aplicaciones de una forma administrada y monitoreada, similar a la manera en que administran el código, pero sin la necesidad de implementar un código cuando cambia un valor de configuración y ayudan así a mitigar el riesgo de interrupciones. AWS AppConfig es para cualquier tamaño o tipo de empresa u organización que tenga destinos (hosts, servidores, funciones de AWS Lambda, contenedores, dispositivos móviles, dispositivos IoT, etc.) para las configuraciones.

P: ¿Qué es una configuración?
Una configuración es una recolección de uno o más ajustes de aplicaciones que su aplicación utiliza para modificar su comportamiento en el tiempo de ejecución. Puede almacenar sus configuraciones como documentos o parámetros de AWS Systems Manager.

P: ¿Qué es un verificador?
Un verificador es un esquema o un puntero a una función de AWS Lambda que AWS AppConfig utiliza para permitirle probar que su configuración sea sintáctica o semánticamente correcta de acuerdo con sus definiciones.

P: ¿Qué es una estrategia de implementación?
Una estrategia de implementación es un plan que explica cómo los datos de la configuración se propagan a la aplicación. Una estrategia de implementación incluye controles para definir la velocidad a la que una configuración se despliega, el porcentaje de instancias de aplicaciones que deberían recibir configuración actualizada a varios intervalos, y la cantidad de tiempo que AWS AppConfig debería dedicar a monitorear la aplicación en su totalidad para ayudarle a asegurarse de que los cambios de configuración no hayan provocado un efecto adverso.

P: ¿En qué se diferencia AWS AppConfig de AWS CodeDeploy?
Una configuración de aplicación son datos que influyen en el comportamiento de una aplicación y que no requieren compilación. La configuración es una abstracción que puede cambiar durante el proceso de ejecución. Por ejemplo, podemos controlar el lanzamiento de una característica si completamos un valor de configuración en una fecha y hora específicas. Si se requiere cambiar los valores, como una fecha y hora nuevas, un administrador puede cambiar los valores de la configuración sin la necesidad de compilación, y la aplicación toma los nuevos valores durante el proceso de ejecución. La configuración de la aplicación y el código deberán incluir mecanismos de seguridad para prevenir errores en un entorno de producción. Recomendamos que use AWS AppConfig para aplicar los mecanismos de seguridad cuando implemente configuraciones nuevas y AWS CodeDeploy cuando implemente un código nuevo.

P: ¿Cuándo debo usar AWS Systems Manager Parameter Store y cuando debo usar AWS AppConfig?
AWS Systems Manager Parameter Store es una característica que ofrece la posibilidad de almacenar, recuperar y administrar un valor de configuración secreta o de texto plano. Los casos de uso comunes del almacén de parámetros incluyen el almacenamiento de cadenas de bases de datos y códigos de licencia como valores de parámetros. Si tiene que almacenar y recuperar valores de forma autoadministrada, debe usar el almacén de parámetros. AWS AppConfig es un servicio de administración de configuración de aplicaciones que le permite lanzar de forma segura la configuración actualizada a las aplicaciones en tiempo de ejecución y permite almacenar configuraciones como parámetros. Si necesita modelar un conjunto de configuración de aplicaciones complejas que puedan validarse e implementarse de forma segura en un entorno controlado, con la capacidad de deshacer los cambios bajo ciertas condiciones, debe usar AWS AppConfig.

P: ¿En qué se diferencia AppConfig de AWS Config?
AWS Config permite valorar, auditar y evaluar las configuraciones de sus recursos de AWS mientras que AWS AppConfig permite administrar la configuración de la aplicación. Debe usar AWS Config para obtener una vista detallada de la configuración de recursos de AWS en su cuenta e identificar cómo los recursos fueron configurados en el pasado y cómo las configuraciones han cambiado con el tiempo. AWS AppConfig está destinado para sus aplicaciones que se ejecutan en recursos de AWS o en servidores locales. Con AWS AppConfig puede validar cambios en la configuración de la aplicación y ajustar las estrategias de implementación para implementar configuraciones actualizadas de forma segura en aplicaciones en tiempo de ejecución.

P: ¿Qué es el almacén de parámetros de AWS Systems Manager?
AWS Systems Manager provee un almacén centralizado para administrar sus datos de configuración, independientemente de si son datos en texto plano, como cadenas de bases de datos, o información confidencial, como contraseñas. Este le permite separar la información confidencial y los datos de configuración del código. Los parámetros se pueden etiquetar y organizar en jerarquías, lo que ayuda a administrar parámetros con mayor facilidad. Por ejemplo, puede usar el mismo nombre de parámetro, "db-string", con una ruta jerárquica diferente, "dev/db-string" o "prod/db-string", para almacenar valores diferentes. Systems Manager se integra con AWS Key Management Service (KMS), lo que le permite cifrar automáticamente los datos que almacene. También puede controlar el acceso a recursos y de usuarios a parámetros mediante AWS Identity and Access Management (IAM). Es posible hacer referencia a los parámetros mediante otros servicios de AWS, como Amazon Elastic Container Service (ECS), AWS Lambda y AWS CloudFormation.

P: ¿Por qué debería usar AWS Systems Manager Parameter Store?
Es una práctica recomendada para almacenar información confidencial y datos de configuración de su código. Puede utilizar el almacén de parámetros de AWS Systems Manager para almacenar y hacer referencia a configuraciones e información confidencial con rapidez. En lugar de almacenar datos en archivos de configuración y hacer referencia a ellos con texto sin formato, puede almacenar y obtener esta información en sus aplicaciones o scripts. Además, puede controlar quién dispone de acceso a los parámetros, de manera que sólo los usuarios correctos puedan acceder a la información adecuada.

P: ¿Cómo se almacena la información confidencial?
Una cadena segura es cualquier dato confidencial que deba almacenarse y referenciarse de manera segura. Si posee datos a los cuales no desea que los usuarios hagan referencia con texto sin cifrar o que tengan acceso a datos que se pueden modificar o usar de forma indebida, debería usar cadenas seguras en AWS Systems Manager Parameter Store. Puede cifrar la información confidencial con su propia clave de AWS KMS o su clave de cuenta de usuario predeterminada proporcionada por AWS KMS.

P: ¿En qué servicios puedo hacer referencia a mis parámetros?
Puede hacer referencia fácilmente a sus parámetros en servicios de AWS como Amazon ECS, AWS Lambda y AWS Systems Manager, o en cualquier servicio a través del cual pueda usar las API de AWS Systems Manager Parameter Store.

P: ¿Cómo puedo monitorear el uso y proporcionar control del acceso a parámetros específicos?
Sí. Puede proporcionar control del acceso pormenorizado a través de permisos personalizados a usuarios y recursos (como instancias) para acceder a parámetros mediante AWS IAM. Eso significa que puede controlar quién es capaz de acceder a qué parámetro de qué recurso. También puede configurar reglas de Amazon CloudWatch Events en función de eventos de modificación de parámetros. Además, también puede hacer un seguimiento y auditar las llamadas a la API de parámetros con AWS CloudTrail.

P: ¿Puedo monitorear cambios realizados en parámetros?
Sí, puede ver un historial de cambios realizados en parámetros. También puede usar versiones que se implementan automáticamente al cambiar para buscar el valor de un parámetro específico en base a su versión.

P: ¿Puedo almacenar datos jerárquicos como parámetros?
Sí, puede usar una estructura jerárquica para almacenar parámetros. También puede controlar y auditar el acceso a cada nivel de la jerarquía.

P: ¿Puedo recibir notificaciones sobre cambios hechos en valores de parámetros?
Sí, puede configurar las notificaciones de Amazon CloudWatch y Amazon Simple Notification Service (SNS) para valores de parámetros individuales y recibir notificaciones relacionadas con cambios.

P: ¿Cuál es la diferencia entre Secrets Manager y Parameter Store?
AWS Secrets Manager es un servicio que le permite administrar el ciclo de vida de los secretos utilizados en su organización a nivel central, como la rotación, las auditorías y el control del acceso. Secrets Manager le ayuda a cumplir con sus requisitos de seguridad y conformidad el permitirle rotar los secretos de manera automática. Secrets Manager le ofrece integración con MySQL, PostgreSQL y Amazon Aurora en Amazon RDS que se puede ampliar a otros tipos de secretos mediante la personalización de funciones Lambda.

AWS Systems Manager Parameter Store proporciona almacenamiento seguro y jerárquico para la administración de datos de configuración, que pueden incluir secretos. Los datos, como cadenas de conexión de bases de datos, contraseñas y códigos de licencia, se pueden almacenar como valores de parámetros y es posible auditarlos y controlar su acceso. Los valores almacenados pueden encontrarse en texto sin formato o en datos cifrados. A continuación, puede referenciar valores usando el nombre único del parámetro. Puede mencionar los parámetros de Systems Manager para crear scripts genéricos de configuración y automatización a fin de usarlos en diversos servicios de AWS, como Amazon ECS y AWS CloudFormation.

P: ¿Debería usar Parameter Store o Secrets Manager?
Si desea un único almacén para su configuración y sus secretos, use Parameter Store. Si prefiere un almacén dedicado para sus secretos con administración de ciclo de vida, use Secrets Manager. Parameter Store se encuentra disponible sin cargo adicional, con un límite de 10 000 parámetros. Consulte la página de información sobre precios de Secrets Manager para obtener información relacionada.

P: ¿Existe alguna diferencia en el modelo de seguridad de Parameter Store y Secrets Manager?
No. Secrets Manager y Parameter Store son igual de seguros. Ambos servicios admiten el cifrado en reposo con claves KMS propiedad del cliente. Para obtener más información sobre cómo Parameter Store usa KMS, consulte la sección correspondiente de la guía para desarrolladores de AWS KMS.

P: ¿Puedo usar Secrets Manager con Parameter Store?
Sí. Puede hacer referencia a un secreto de Secrets Manager con Parameter Store.

P: ¿Qué son los parámetros avanzados?
Los parámetros avanzados proporcionan capacidades mejoradas, como la capacidad de almacenar más de 10,000 parámetros, un tamaño de valor de parámetro más grande (hasta 8 KB) y políticas de parámetros tales como notificaciones de vencimiento y sin cambios. La política de vencimiento ofrece la posibilidad de especificar un día y horario de vencimiento. La política de ausencia de cambios lo ayuda a realizar un seguimiento de los parámetros que no se han modificado durante un período de tiempo especificado. Los precios de los parámetros avanzados son por almacenamiento mensual y por interacción con API. Consulte la página de precios para obtener más detalles.

P: ¿Puedo convertir entre tipos de parámetros estándar y avanzados?
Un parámetro estándar puede convertirse en un parámetro avanzado en cualquier momento. Los parámetros avanzados no se pueden convertir en parámetros estándar. Si las capacidades mejoradas de un parámetro avanzado ya no son necesarias o si ya no desea incurrir en cargos por ese parámetro, debe eliminar el parámetro avanzado y, luego, crear uno nuevo como parámetro estándar.

P: ¿Puedo aumentar el rendimiento de la API para Parameter Store?
Sí, el rendimiento de la API se puede elevar a un límite superior a través de la pestaña de configuración del Parameter Store. Los límites de rendimiento de la API se aplican por región y por cuenta. El límite de rendimiento incrementado incurre en cargos. Consulte la página de precios para obtener más detalles. Si ya no necesita un mayor rendimiento, puede restablecer el límite en cualquier momento desde la pestaña de configuración.

P: ¿Qué es la Automatización de AWS Systems Manager?
Automatización, una capacidad de AWS Systems Manager, simplifica las tareas comunes de mantenimiento, implementación y corrección para los servicios de AWS, como Amazon EC2, Amazon RDS, Amazon Redshift, Amazon S3 y muchos más, al permitirle codificar sus operaciones mediante runbooks. Con el diseñador visual de bajo código de Automatización de Systems Manager, puede crear runbooks personalizados que especifiquen una lista específica de tareas o utilizar runbooks predefinidos creados por AWS. Estos runbooks se pueden ejecutar directamente mediante la Consola de administración de AWS, las CLI y los SDK de AWS, programados en un período de mantenimiento o activados en función de cambios realizados en recursos de AWS a través de Eventos de Amazon CloudWatch. Puede supervisar la ejecución de cada paso en los runbooks, así como también solicitar aprobaciones para cada paso. Puede implementar cambios gradualmente y detenerlos automáticamente cuando ocurran errores.

P: ¿Qué tareas puedo automatizar?
Puede automatizar cualquier tarea que incluya una interacción con AWS y con recursos locales. Los tipos de acción integrados le permiten interactuar fácilmente con instancias de Amazon EC2, pilas de AWS CloudFormation, etc. Existen tipos de acción disponibles para invocar AWS Systems Manager Run Command, los scripts de Python y PowerShell y las funciones de AWS Lambda.

P: ¿Existen runbooks predefinidos de Automatización de AWS Systems Manager?
Hay más de 370 runbooks predefinidos de AWS Systems Manager que puede ejecutar para realizar una amplia gama de tareas, como incluir AMI sin defectos, implementar parches en instancias de Amazon EC2, administrar estados de instancias, entre otras.

P: ¿Puedo crear mis propios runbooks de Automatización de AWS Systems Manager?
Puede crear sus propios runbooks personalizados desde la consola con el diseñador visual de bajo código de Automation. Con el diseñador visual, puede centrarse en definir la lógica empresarial de sus runbooks mediante una sencilla interfaz de arrastrar y soltar y sin tener que preocuparse por la sintaxis del idioma específico del dominio. Sin embargo, si prefiere codificar sus runbooks, el diseñador visual también tiene un editor de código que admite JSON o YAML. También puede usar los runbooks de Automatización de AWS Systems Manager compartidos por otra cuenta y compartir los suyas con otros.

P: ¿Automatización de AWS Systems Manager puede ayudar en el proceso de aprobación?
Sí. Los tipos de acción de aprobación integrados se pueden incluir en los runbooks de Automatización de AWS Systems Manager. La persona que aprueba puede ser uno o más usuarios de AWS IAM. La ejecución de runbooks esperará hasta que se reciba o rechace el número mínimo de aprobaciones necesarias y procederá según corresponda.

P: ¿Puedo ejecutar runbooks de Automatización de AWS Systems Manager en un grupo de recursos entero?
Sí. Puede enfocarse en grupos de recursos y ejecutar runbooks de Automatización de AWS Systems Manager en tipos de recursos específicos. También puede especificar controles de seguridad para indicar el número de recursos del grupo que se debería ejecutar simultáneamente. Además, puede agregar umbrales de error que detendrán la ejecución de runbooks.

P: ¿Puedo ejecutar los pasos de los runbooks de Automatización de AWS Systems Manager uno a uno?
Sí. Puede optar por ejecutar el runbook de Automatización de AWS Systems Manager completo de una sola vez o utilizar el modo de ejecución manual para ejecutar un paso por vez.

P: ¿Puedo activar la ejecución de runbooks de Automatización de AWS Systems Manager en función de un cronograma o de otros eventos?
Sí. Puede programar la ejecución de runbooks de Automatización de AWS Systems Manager para que se active como un destino de Eventos de Amazon CloudWatch, o puede usar Ventanas de mantenimiento de AWS Systems Manager o AWS Systems Manager State Manager para activar la ejecución de runbooks en función de un cronograma. También puede activar la ejecución de runbooks en función de los cambios en sus recursos de AWS y de entornos multinube e híbridos a través de Eventos de Amazon CloudWatch.

P: ¿De qué manera un usuario especifica un script en un runbook de Automatización?
Existen dos métodos mediante los cuales puede ejecutar un script en Automatización. Puede incluir un script insertado como un paso en un runbook. De manera opcional, puede agregar scripts como elementos adjuntos de un runbook y ejecutarlos mediante una referencia a partir de un paso del runbook.

P: ¿Los runbooks de Automatización admiten varios scripts?
Sí. Puede adjuntar varios scripts a un runbook de Automatización y hacer referencia a un script desde un paso. Los scripts se pueden cargar a un runbook como archivos o como una carpeta. Las dependencias de los scripts, es decir, scripts que llaman a otros scripts, también se admiten siempre que los scripts formen parte del mismo runbook. Se pueden adjuntar a los runbooks otros artefactos necesarios para que los scripts se ejecuten, como las plantillas de CloudFormation o Serverless Application Model (SAM).

P: ¿Qué lenguajes de script admite Automatización para el paso del script?
Automatización es compatible con PowerShell Core y Python3. Los entornos precargados son Python con Boto (precargados con API de AWS). Puede realizar análisis de seguridad en los scripts de Python cuando utilice el diseñador visual para crear runbooks. Los análisis de seguridad identifican las vulnerabilidades de seguridad en el código y sugieren soluciones para mejorar la seguridad del código. Los análisis de seguridad funcionan con Amazon CodeGuru Security. La compatibilidad de Automatización para los análisis de CodeGuru Security se encuentra actualmente en versión preliminar.

P: ¿Cuáles son los requisitos del script para un paso de script?
Automatización admite contenido de entrada que debe especificarse para un runbook. Los parámetros que necesitan los scripts se pueden recopilar como parámetros de contenido de entrada para runbooks de Automatización, como contenido de salida de un paso anterior o se pueden recopilar durante el tiempo de ejecución a partir de otros orígenes, como bases de datos. El contenido de salida del script se encuentra disponible para consumo de los pasos siguientes como objeto JSON. Algunas características de Automatización existentes, como las referencias a contenido de salida de pasos, las variables de automatización y los parámetros del Almacén de parámetros de Systems Manager se pueden utilizar con la finalidad de enviar contenido de salida para consumo en el runbook.

P: ¿Qué es un período de mantenimiento de AWS Systems Manager?
AWS Systems Manager le permite programar períodos de tiempo para ejecutar tareas administrativas y de mantenimiento en las instancias. De esta manera, se garantiza que pueda seleccionar un momento conveniente y seguro para instalar parches y actualizaciones o para realizar otros cambios de configuración, lo que mejora la disponibilidad y fiabilidad de sus servicios y aplicaciones.

P: ¿Por qué debería usar los periodos de mantenimiento de AWS Systems Manager?
Los períodos de mantenimiento de AWS Systems Manager ayudan a mejorar la disponibilidad y fiabilidad de sus cargas de trabajo al realizar tareas automáticamente en un periodo de tiempo bien definido, lo que reduce significativamente el impacto de cualquier error operativo o de infraestructura.

P: ¿Qué tareas puedo hacer durante los periodos de mantenimiento de AWS Systems Manager?
Puede realizar tareas como las siguientes:

• Instalar aplicaciones, actualizar parches, instalar o actualizar agentes de AWS Systems Manager, o ejecutar comandos de PowerShell y scripts de shell de Linux.
  
• Crear imágenes de máquina de Amazon (AMI), instalar software y configurar instancias.
  
• Ejecutar funciones de AWS Lambda que desencadenen acciones adicionales, como analizar instancias para verificar la necesidad de instalar actualizaciones de revisiones.
  
• Ejecutar máquinas de estado de AWS Step Function para hacer tareas como quitar una instancia de un entorno de Elastic Load Balancing (ELB), instalar revisiones en la instancia y, a continuación, devolver la instancia al entorno de ELB.
  
  

P: ¿Qué tipos de tareas puedo programar durante un periodo de mantenimiento de AWS Systems Manager?
Puede crear y programar cualquier ejecución AWS Systems Manager Run Command, ejecución de documento AWS Systems Manager Automation, AWS Step Functions o funciones de AWS Lambda como tareas.

P: ¿Qué tipos de cronogramas puedo elegir para los periodos de mantenimiento de AWS Systems Manager?
Los períodos de mantenimiento de AWS Systems Manager se pueden programar en una fecha repetida (p. ej., todos los martes a las 22:00:00 h o el primer domingo del mes a las 22:00:00 h). Puede definir el cronograma con la expresión cron o rate.

P: ¿Qué es la conformidad de configuración de AWS Systems Manager?
AWS Systems Manager le permite analizar instancias administradas para controlar la conformidad con parches y detectar configuraciones inconsistentes. Puede recopilar y añadir datos a partir de varias regiones y cuentas de AWS y, a continuación, examinar recursos específicos no conformes. De manera predeterminada, AWS Systems Manager muestra datos de parches y asociaciones. También puede personalizar el servicio y crear tipos de conformidad en función de sus requisitos. 

P: ¿Puedo monitorear los cambios realizados en mi configuración a lo largo del tiempo?
Mediante una integración con AWS Config, puede monitorear la conformidad de una instancia con una configuración deseada a través de reglas de AWS Config. Esta capacidad permite a expertos en seguridad y auditores de conformidad disponer de un rastro de auditoría completo de los cambios realizados en la configuración de la instancia, así como recibir notificaciones proactivas en caso de no conformidad.

P: ¿Cómo puedo ver los niveles de conformidad de mis instancias?
Con AWS Systems Manager, puede ver información de conformidad de parches, que le presenta resultados detallados del proceso de instalación de parches. Puede añadir fácilmente detalles de conformidad por instancia. Además, puede examinar la información en mayor profundidad y determinar qué parches se instalaron, cuáles faltan, cuáles no proceden y cuáles no se instalaron correctamente en una instancia.

P: ¿Puedo crear mis propias verificaciones de conformidad?
Sí. Puede crear sus propios tipos de conformidad que se pueden registrar mediante la API. En función de sus requisitos empresariales, puede crear sus propias verificaciones y, a continuación, registrar la conformidad mediante AWS Systems Manager para monitorear las instancias no conformes. También puede ver esta información de conformidad en diferentes cuentas y regiones mediante la creación de una sincronización de datos de recursos.

P: ¿Qué es el inventario de AWS Systems Manager?
AWS Systems Manager recopila información acerca de sus instancias y del software instalado en ellas, lo que lo ayuda a conocer las configuraciones de sistema y las aplicaciones instaladas. Puede recopilar datos sobre aplicaciones, archivos, configuraciones de red, servicios de Windows, registros, roles de servidor, actualizaciones y otras propiedades del sistema. Los datos recopilados le permiten administrar recursos de aplicaciones, monitorear licencias, monitorear la integridad de los archivos y detectar aplicaciones no instaladas por un instalador tradicional, entre otras acciones.

P: ¿Puedo recopilar información personalizada a partir de una instancia Amazon EC2 o una instancia en las instalaciones?
Sí, puede crear tipos de inventario personalizados para recopilar propiedades adicionales del sistema, que la instancia misma puede reunir o que se pueden registrar con la API. Algunos ejemplos incluyen resultados en formato JSON de PowerShell u otras aplicaciones, e información almacenada estadísticamente en archivos JSON, como información de bastidor.

P: ¿Cómo puedo monitorear los cambios hechos en mi configuración a lo largo del tiempo?
Con AWS Config, puede monitorear la conformidad de una instancia con una configuración deseada a través de reglas de AWS Config. Esta capacidad permite a expertos en seguridad y auditores de conformidad disponer de un rastro de auditoría completo de los cambios hechos en la configuración de la instancia, así como recibir notificaciones proactivas en caso de no conformidad.

P: ¿Puedo ver o consultar datos del inventario a partir de diferentes regiones o cuentas de AWS?
Sí, puede sincronizar datos de inventario a partir de varias cuentas y regiones con el mismo bucket de Amazon S3. A continuación, puede usar Amazon Athena, Amazon QuickSight o sus propias herramientas de inteligencia de negocio (BI) para realizar consultas en datos de inventario en diferentes cuentas y regiones.

P: ¿Puedo hacer análisis y visualizaciones en datos del inventario?
Sí, además del panel de inventario integrado, puede crear análisis y visualizaciones avanzadas en datos del inventario con Amazon Athena y Amazon QuickSight.

P: ¿Qué es el Administrador de sesiones?
El Administrador de sesiones es un servicio completamente administrado que ofrece una experiencia de CLI y de shell interactiva basada en un navegador. Ayuda a proporcionar una administración de instancias segura y auditable sin que sea necesario abrir puertos de entrada, mantener hosts bastión y administrar claves de Secure Shell (SSH). El Administrador de sesiones contribuye a permitir el cumplimiento de las políticas corporativas que requieren acceso controlado a las instancias, aumenta la seguridad y la auditabilidad del acceso a las instancias y proporciona la sencillez y el acceso a instancias entre plataformas a los usuarios finales.

P: ¿Qué beneficios aporta el uso del administrador de sesiones?
El Administrador de sesiones mejora su posición de seguridad, ya que no necesita que abra puertos de entrada ni mantener claves de SSH o certificados en sus instancias. También centraliza el acceso a las instancias mediante AWS IAM. Cuando habilite el Administrador de sesiones, puede conectar a cualquier instancia EC2 de Windows o Linux y hacer un seguimiento de cada usuario que haya iniciado una sesión en cada instancia. Puede auditar qué usuario ha accedido a una instancia y cuándo con AWS CloudTrail y registrar todos los comandos ejecutados en una instancia en los registros de Amazon S3 o Amazon CloudWatch Logs. Por último, con el administrador de sesiones no tiene que realizar inversiones previas para utilizar y mantener hosts de bastión.

P: ¿Quiénes deberían usar el administrador de sesiones?
Cualquier cliente de AWS que quiera mejorar su posición de seguridad y auditoría, reducir los costos operativos mediante la centralización del control de accesos de las instancias y reducir el acceso de entrada de las instancias se beneficiará del Administrador de sesiones. Los expertos en seguridad de la información que quieran monitorear y realizar un seguimiento de la actividad y el acceso de las instancias y cerrar los puertos de entrada en las instancias o permitir la conexión a instancias sin una IP pública se beneficiarán del Administrador de sesiones. Los administradores que deseen otorgar y revocar el acceso desde un único lugar y que quieran proporcionar una solución a los usuarios para las instancias de Windows y Linux se beneficiarán también. Por último, los operadores pueden comenzar rápidamente utilizando el navegador para hacer clic e iniciar una sesión y, a continuación, seleccionar una instancia, o utilizar la CLI, sin tener que proporcionar claves de SSH.

P: ¿Qué características ofrece el administrador de sesiones?
Puede iniciar sesión en una instancia EC2 de Windows o Linux desde la consola de administración de AWS, AWS CLI o cualquier otro AWS SDK. Puede otorgar y revocar el acceso de los usuarios a las instancias utilizando permisos basados en etiquetas de AWS IAM y, a continuación, puede auditar quién inició o finalizó una sesión con AWS CloudTrail. Todas las acciones realizadas en una instancia se pueden registrar en Amazon S3 o Amazon CloudWatch Logs para un análisis posterior.

P: ¿Cuánto cuesta el administrador de sesiones?
El administrador de sesiones está disponible sin costo adicional para administrar las instancias Amazon EC2.

P: ¿Cómo puedo comenzar?
La forma más rápida para empezar con el Administrador de sesiones es utilizar la consola de administración de AWS. Puede activar el Administrador de sesiones con unos cuantos clics. Para obtener más detalles, consulte la documentación de introducción.

P: ¿El administrador de sesiones necesita utilizar de AWS Systems Manager Agent?
Sí. Para empezar con el Administrador de sesiones se necesita utilizar la versión más reciente del SSM Agent. El SSM Agent es de código abierto y se encuentra disponible en GitHub.

P: ¿Puedo activar el inicio de sesión a través de una cuenta?
Sí. Puede establecer el inicio de sesión a través de una cuenta si define las preferencias del administrador de sesiones.

P: ¿Qué es el comando ejecutar de AWS Systems Manager?
AWS Systems Manager le ofrece la posibilidad de administrar de manera remota y segura las instancias a escala sin tener que iniciar sesión en servidores, lo que reemplaza la necesidad de contar con hosts bastión, SSH o PowerShell remoto. Ofrece una manera sencilla de automatizar tareas administrativas comunes en grupos de instancias, como ediciones en registros, administración de usuarios e instalaciones de software y revisiones. Mediante la integración con AWS IAM, puede aplicar permisos pormenorizados para controlar las acciones que los usuarios pueden hacer en relación con las instancias. AWS CloudTrail registra todas las acciones hechas por Systems Manager, lo que permite auditar cambios en la totalidad del entorno.

P: ¿AWS proporciona algún comando predefinido?
Sí. Hay disponibles comandos predefinidos, diseñados para ayudar con la realización de tareas administrativas comunes. Para Windows, puede ejecutar un comando o script PowerShell o Shell, configurar los ajustes de Windows Update, implementar una aplicación MSI y más. En cuanto a Linux, puede ejecutar cualquier comando o script Shell y actualizar de forma remota un agente instalado. También puede crear comandos personalizados para realizar tareas comunes necesarias en el entorno.

P: ¿Puedo realizar cambios masivos en los entornos?
Sí. Puede realizar acciones en grupos de instancias grandes con focalización mediante el uso de consultas basadas en etiquetas. Puede propagar los cambios de manera segura en los entornos mediante la configuración de un control de velocidad, que le permite especificar lotes de ejecución simultánea con umbrales de error.

P: ¿Puedo controlar quién es capaz de ejecutar un comando?
Sí. Con las políticas y los permisos publicados de AWS IAM, es posible usar permisos basados en etiquetas para controlar quién tiene acceso para ejecutar comandos o documentos en instancias específicas. Por ejemplo, puede especificar que un usuario de IAM sea capaz de ejecutar comandos PowerShell, pero no pueda asignar una instancia a un dominio. También podría dar permiso a un usuario de IAM para que ejecute un comando muy específico, como reiniciar servicios, lo que le brinda flexibilidad a la hora de especificar el nivel de acceso de cada usuario.

P: ¿Qué es el administrador de estados de AWS Systems Manager?
AWS Systems Manager ofrece administración de configuración, lo que ayuda a mantener una configuración coherente de sus instancias locales o de Amazon EC2. Con Systems Manager, puede controlar detalles de configuración como parámetros de servidor, definiciones de antivirus, ajustes de firewall y mucho más. Puede definir políticas de configuración para los servidores mediante la Consola de administración de AWS o usar scripts existentes, módulos de PowerShell o runbooks de Ansible directamente desde GitHub o buckets de Amazon S3. Systems Manager implementa automáticamente las configuraciones en las instancias en el momento y con la frecuencia que usted defina. Puede realizar consultas en Systems Manager en cualquier momento para ver el estado de las configuraciones de las instancias, lo que le brinda visibilidad bajo demanda del estado de conformidad.

P: ¿Por qué debería usar el administrador de estados de AWS Systems Manager?
Garantizar que la infraestructura que respalda las aplicaciones sea estable supone un reto. AWS Systems Manager le permite crear políticas, volver a aplicarlas para evitar desviaciones de configuración y monitorear el estatus del estado deseado.

P: ¿Cómo puedo crear políticas?
Puede crear políticas con facilidad a través de los documentos de AWS Systems Manager. Además, también dispone de configuraciones predefinidas que puede utilizar para instalar aplicaciones, adjuntar instancias al dominio, etc.

P: ¿Qué destinos se pueden configurar?
Tiene la flexibilidad de poder usar instancias o etiquetas como destinos. Eso significa que dispone de la flexibilidad de poder determinar configuraciones específicas para grupos de instancias, como servidores web.

P: ¿Puedo usar mis herramientas de administración de configuración existentes con el administrador de estados de AWS Systems Manager?
Sí. AWS provee documentos de AWS Systems Manager predefinidos para ejecutar runbooks de Ansible o Salt States, y puede usar PowerShell DSC en sus instancias mediante AWS Systems Manager State Manager para reducir las desviaciones de configuración. Además, también puede ejecutar directamente cualquier script de configuración a partir de su repositorio de GitHub público o privado.

P: ¿Qué es el administrador de parches de AWS Systems Manager?
AWS Systems Manager lo ayuda a seleccionar e implementar parches de sistema operativo y software automáticamente en grupos grandes de instancias de Amazon EC2 u on-premise. Mediante referencias de parches, puede definir reglas para aprobar automáticamente determinadas categorías de parches con el objetivo de que se instalen, como parches de sistema operativo o de severidad alta. Además, puede especificar una lista de parches que anulen estas reglas y se aprueben o rechacen automáticamente. También puede programar períodos de mantenimiento para sus parches con el objetivo de que solo se apliquen en momentos predefinidos. Systems Manager le ayuda a garantizar que el software esté actualizado y que cumpla con las políticas de conformidad.

P: ¿Cómo puedo especificar el momento de aplicación de parches en una instancia?
Puede usar un período de mantenimiento de AWS Systems Manager para definir el momento en el que se aplicarán parches. AWS Systems Manager le ofrece la posibilidad de definir uno o más períodos de tiempo recurrentes durante los cuales es aceptable que ocurra el mantenimiento. Al definir estos períodos y asociar las instancias con ellos, le resultará más sencillo asegurarse de que cualquier tarea de mantenimiento que realice en las instancias que pueda afectar la disponibilidad de una carga de trabajo se efectúe durante un periodo de tiempo bien definido.

P: ¿Cómo puedo personalizar el proceso de parches?
AWS Systems Manager ofrece un proceso de aplicación de parches completamente automatizado. Puede personalizar fácilmente el proceso de aplicación de parches mediante la escritura de su propio comando o documento de automatización de AWS Systems Manager.

P: ¿Qué tipos de parches se pueden instalar?
AWS Systems Manager admite la aplicación de parches de instancias basadas en Windows y Linux. Para ver las versiones que se admiten en la actualidad, consulte nuestra documentación.

P: ¿Cómo selecciono los parches que deseo instalar?
Las referencias de parches definen un conjunto de parches que usted aprobó o bloqueó para la implementación en sus instancias. En una referencia de parches, usted selecciona parches por productos (por ej., Windows Server 2008, Windows Server 2012, etc.), categorías (por ej., actualizaciones críticas, de seguridad, etc.) y severidades en las que desea revisar la existencia de parches para implementar. En cada categoría seleccionada, puede definir un cronograma de acuerdo con el cual los parches contenidos se aprobarán automáticamente para su implementación. Además de las reglas, también puede especificar una lista blanca y una lista negra de parches que indican los parches que se deben instalar o bloquear respectivamente. Durante la implementación de parches, AWS Systems Manager evaluará las instancias focalizadas solo para los parches que se hayan aprobado antes de ese momento.

P: ¿Cómo puedo ver los niveles de conformidad de mis instancias?
Puede ver información de conformidad de parches, que le presenta resultados detallados del proceso de instalación de parches. Desde la consola o la API de AWS Systems Manager puede obtener de manera sencilla detalles de cumplimiento adicionales por instancia. Además, puede examinar la información en mayor profundidad y determinar para cada instancia qué parches se instalaron, cuáles faltan o no corresponden y cuáles no se instalaron correctamente.

P: ¿Qué es AWS Systems Manager Distributor?
Distributor es una característica de AWS Systems Manager que le permite almacenar y distribuir de forma segura paquetes de software en su organización. Puede usar el distribuidor con características existentes de Systems Manager como Run Command y el administrador de estados para controlar el ciclo de vida de los paquetes que se ejecutan en sus instancias.

P: ¿Qué beneficios aporta el uso del distribuidor?
Distributor le ayuda a escalar sus despliegues de paquetes de software al permitir la estandarización de la distribución de paquetes. El uso de Distributor con las características Run Command y State Manager de AWS Systems Manager elimina la necesidad de crear y mantener sus propias herramientas de distribución e instalación de paquetes. Distributor simplifica también la administración de paquetes de software mediante el uso de un repositorio centralizado para todos sus paquetes. Distributor admite el uso de políticas de IAM, lo que le proporciona control total sobre quién puede crear y actualizar paquetes. El distribuidor también le ayuda también a proteger la distribución de paquetes de software, ya que los paquetes están cifrados en el almacenamiento y todas las comunicaciones entre el distribuidor y su instancia están firmadas y cifradas.

P: ¿Quién debería utilizar el distribuidor?
Cualquier cliente de AWS que distribuya periódicamente paquetes de software y desee disponer de una forma segura de escalar la administración de paquetes y de un repositorio centralizado para los paquetes, o desee eliminar la necesidad de usar herramientas de distribución mantenidas por él mismo debería usar Distributor. Los profesionales de TI que deseen controlar quién puede crear o actualizar paquetes de software y qué versiones se distribuyen a cada cuenta de AWS se beneficiarán del distribuidor.

P: ¿Cuánto cuesta el distribuidor?
Los precios del distribuidor se pueden encontrar en la página de precios de Systems Manager.

P: ¿Cómo puedo comenzar?
Puede utilizar la consola de administración de AWS para activar Distributor con unos pocos clics. Para obtener más información, consulte la documentación de introducción.

P: ¿Necesita el distribuidor utilizar el SSM Agent?
Sí. Para empezar a usar Distributor se necesita utilizar la versión más reciente del SSM Agent. El SSM Agent es de código abierto y se encuentra disponible en GitHub. El SSM Agent está instalado de forma predeterminada en las AMI de Amazon Linux, Amazon Linux 2, Windows y Ubuntu.