Amazon EC2 Systems Manager

P: ¿Qué es Amazon EC2 Systems Manager?

Amazon EC2 Systems Manager es un servicio de administración flexible y sencillo de utilizar que permite a las empresas administrar y gestionar sus cargas de trabajo ejecutadas on-premise o en AWS de manera segura con una única experiencia de AWS unificada. EC2 Systems Manager está diseñado para tener un alto nivel de concentración en la automatización para hacer posibles la configuración y la administración de instancias a gran escala, al mismo tiempo que logra simplificar la escritura y el mantenimiento de artefactos de automatización.

P: ¿Cómo puedo comenzar con EC2 Systems Manager?

La mejor manera de comenzar es asegurarse de que su instancia cumple los requisitos necesarios consultando la Guía de introducción. Una vez que haya confirmado que cumple los requisitos, puede acceder a las distintas capacidades de EC2 Systems Manager desde la barra de navegación izquierda de la consola de administración de EC2 o utilizar los SDK de AWS y la interfaz de línea de comandos de AWS.

P: ¿Qué sistemas operativos admite EC2 Systems Manager?

EC2 Systems Manager está optimizado para administrar las plataformas Windows y Linux desde una única experiencia unificada. Consulte los sistemas operativos admitidos para obtener más información acerca de la administración de sistemas on-premise.

P: ¿Administra EC2 Systems Manager instancias ejecutadas on-premise?

Sí, EC2 Systems Manager admite la administración de instancias ejecutadas en un centro de datos on-premise. Consulte los requisitos previos de EC2 Systems Manager para obtener más información.

P: ¿En qué regiones de AWS se encuentra disponible EC2 Systems Manager?

EC2 Systems Manager está disponible en numerosas regiones públicas. Consulte regiones y puntos de enlace de AWS para ver una lista completa de las regiones admitidas.

P.: ¿Puedo acceder de manera privada a las API de EC2 Systems Manager desde mi nube virtual privada (VPC) de Amazon sin usar IP públicas?

Sí, puede acceder de manera privada a las API de EC2 Systems Manager desde su nube virtual privada (VPC) de Amazon al crear puntos de enlace de VPC. Con los puntos de enlace de VPC, el enrutamiento entre la VPC y EC2 Systems Manager se maneja mediante la red de AWS sin la necesidad de utilizar una gateway de Internet ni una gateway de NAT. La última generación de puntos de enlace de VPC que usa EC2 System Manager cuentan con la tecnología de AWS PrivateLink, una tecnología que habilita la conectividad privada entre los servicios de AWS al usar Elastic Network Interfaces (ENI) con sus IP privadas en sus VPC. Para obtener más información PrivateLink, visite la documentación de PrivateLink.

P: ¿Cuánto cuesta EC2 Systems Manager?

El uso de EC2 Systems Manager no conlleva ningún cargo.

Run Command

P: ¿Qué es Run Command?

Run Command es una característica de EC2 Systems Manager que proporciona una manera sencilla y segura de ejecutar comandos o scripts en instancias de EC2 o en servidores on-premise de forma remota, desde la API, la CLI o la consola de EC2. Con Run Command, puede realizar comandos que facilitan la realización de tareas administrativas comunes, como instalar software, ejecutar scripts, realizar cambios en la configuración y más.

P: ¿Quién debería utilizar Run Command?

Run Command está diseñado para desarrolladores, administradores de sistemas y otros profesionales de TI que necesitan administrar remotamente sus instancias de EC2 de manera segura, fiable y escalable.

P: ¿Proporciona AWS algún comando predefinido?

Sí. Hay disponibles comandos predefinidos, diseñados para ayudar con la realización de tareas administrativas comunes. Para Windows, puede ejecutar un comando o script PowerShell, configurar los ajustes de Windows Update, implementar una aplicación MSI y más. En cuanto a Linux, puede ejecutar cualquier comando o script Shell y actualizar de forma remota el agente instalado.

P: ¿Puedo crear mis propios comandos?

Sí. Run Command le permite crear comandos personalizados de manera sencilla para realizar tareas comunes necesarias para su entorno.

P: ¿Qué otros tipos de comandos o scripts puedo ejecutar?

Puede ejecutar cualquier comando o script que pueda escribir en una ventana de comandos de sus instancias de EC2.

P: ¿Puedo enviar el mismo comando a varias instancias de EC2 a la vez?

Sí. Puede enviar un comando a una flota de instancias con facilidad si proporciona una lista de instancias cuando lo emita.

P: ¿Puedo recuperar el historial de comandos ejecutados en mis instancias?

Sí. Run Command guarda los resultados de cada comando durante 30 días. Además, puede hacer que Run Command almacene una copia de todos los archivos de logs en Amazon S3 o recoja los resultados de los comandos con AWS CloudTrail.

P: ¿Puedo controlar quién es capaz de ejecutar un comando?

Sí. Con los permisos y políticas publicados de AWS Identity and Access Management (IAM), puede controlar quién es capaz de ejecutar comandos o documentos en instancias específicas. Por ejemplo, puede especificar que un usuario de IAM sea capaz de ejecutar comandos PowerShell, pero no pueda asignar una instancia a un dominio. También podría dar permiso a un usuario de IAM para que ejecute un comando específico, como reiniciar servicios, lo que le brinda gran flexibilidad a la hora de especificar el nivel de acceso de cada usuario.

P: ¿Puedo comprobar el estado de un comando en ejecución?

Run Command le proporciona el estado de un comando para cada instancia en la que se está ejecutando. Puede recuperar la información a través de la CLI o el SDK de AWS, o la consola de administración de EC2.

State Manager

P: ¿Qué es State Manager?

State Manager automatiza el proceso de definir y mantener una configuración uniforme de sistemas operativos y aplicaciones en toda su flota de sistemas. Por ejemplo, configurar e imponer políticas de firewall o mantener las definiciones de anti-malware actualizadas. Mediante la reaplicación de las políticas de configuración, State Manager garantiza que sus sistemas siempre cumplan las políticas de su empresa.

P: ¿Por qué debería utilizar State Manager?

Las empresas están avanzando hacia la TI automatizada con aplicaciones que abarcan varios entornos y ubicaciones, como AWS y centros de datos on-premise. No obstante, asegurarse de que la infraestructura que abastece las aplicaciones sea uniforme supone un reto. State Manager le permite crear políticas, reaplicarlas para evitar las desviaciones de la configuración y monitorizar si se ha adoptado el estado deseado.

P: ¿Cómo puedo crear políticas?

Puede crear políticas con facilidad a través de los documentos de Systems Manager. Además, también dispone de configuraciones predefinidas que puede utilizar para instalar aplicaciones, adjuntar instancias al dominio, etc.

P: ¿Qué destinos se pueden configurar?

Tiene la flexibilidad de poder usar instancias o etiquetas como destinos. Eso significa que dispone de la flexibilidad de poder determinar configuraciones específicas para grupos de instancias como webserver.

Patch Manager

P: ¿Qué es Patch Manager?

Patch Manager es un nuevo servicio de parches centrado en la automatización que permite a los clientes mantener actualizadas las instancias de Windows de manera sencilla. Patch Manager le ayuda a simplificar el proceso de parches mediante la implementación de prácticas recomendadas integradas, como ventanas de mantenimiento y políticas de aprobación de parches dinámicas. 

P: ¿Cómo puedo especificar cuando me gustaría añadir un parche a una instancia?

Puede usar Maintenance Windows para definir cuándo se añade un parche nuevo. Maintenance Windows es una nueva característica de EC2 que le proporciona la capacidad de definir una o más ventanas de tiempo periódicas durante las que es aceptable realizar tareas de mantenimiento. Al definir estas ventanas y asociar sus instancias con ellas, le resulta más sencillo asegurarse de que cualquier tarea de mantenimiento realizada en las instancias que pudiera afectar la disponibilidad de una carga de trabajo se efectúa durante una ventana de tiempo bien definida. Las ventanas hacen que sea sencillo programar cuando desea que se ejecuten las tareas de Run Command.

P: ¿Cómo puedo personalizar el proceso de parches?

Patch Manager aprovecha Run Command para proporcionar un proceso de parches totalmente automatizado. Mientras que Patch Manager proporciona un documento de Run Command preintegrado, puede personalizar el proceso de agregación de parches de manera sencilla escribiendo su propio documento de Run Command. Por ejemplo, puede detener un servicio NT antes de implementar los parches.

P: ¿Qué tipo de parches puedo instalar con Patch Manager?

Patch Manager admite los parches de instancias basadas en Windows y Linux. Para ver las versiones que se admiten en la actualidad, consulte nuestra documentación.

P: ¿Cómo puedo elegir los parches que deseo instalar?

Patch Manager le permite crear referencias de parches, que definen el conjunto de parches que ha aprobado o bloqueado para sus instancias. En una referencia de parches, puede seleccionar parches por producto (p. ej., Windows Server 2008, Windows Server 2012, etc.), categoría (p. ej., actualizaciones críticas, actualizaciones de seguridad, etc.) y gravedad que le gustaría examinar para su implementación. En cada categoría seleccionada, puede definir un programa de acuerdo con el cual los parches contenidos se aprobarán automáticamente para su distribución. Además de las reglas, también puede especificar una lista blanca y una lista negra de parches, que indican qué parches se pueden instalar o se deben bloquear, respectivamente. En el momento de distribuir el parche, Patch Manager evaluará las instancias objetivo únicamente para los parches que se han aprobado anteriormente.

P: ¿Cómo puedo monitorizar los niveles de conformidad de mis instancias?

Con Patch Manager, puede ver información de conformidad de parches, que le presenta resultados detallados del proceso de instalación del parche. Desde la consola de administración o la API de EC2 puede obtener detalles agregados de conformidad por instancia de manera sencilla. Además, puede examinar la información en mayor profundidad y determinar para cada instancia qué partes se han instalado, cuáles faltan, cuáles no son aplicables, y cuáles no se han instalado correctamente.

Inventory

P: ¿Qué es Inventory?

La capacidad Inventory de EC2 Systems Manager proporciona visibilidad en el catálogo y la configuración de software de una instancia. Puede configurar Inventory para que recopile detalles sobre varios atributos de instancias, como aplicaciones instaladas, componentes y agentes de AWS, configuración de red, detalles del sistema operativo y más. A continuación, utilice la característica potente de consultas para evaluar la conformidad e identificar instancias con problemas por resolver en su flota.

P: ¿Quién debería usar Inventory?

Esta capacidad les resultará útil a los administradores de TI y profesionales de operaciones de desarrollo para entender la configuración y composición de sus flotas. Los usuarios pueden determinar con rapidez a qué instancias les falta un parche o están ejecutando una versión de la aplicación obsoleta. Del mismo modo, los administradores pueden ejecutar auditorías de licencias para entender el uso del software. Como resultado, los administradores de sistemas tienen una mayor capacidad para resolver problemas y evaluar la seguridad.

P: ¿Puedo personalizar la información recogida por Inventory?

Sí, puede crear sus propios tipos de Inventory personalizados y ampliar el esquema de Inventary de manera eficaz. Por ejemplo, puede configurar su instancia de manera que recopile datos del sistema operativo y CIM adicionales o que registre elementos como la ubicación de la estantería y la fecha de servicio de los servidores on-premise.

P: ¿Cómo puedo monitorizar los cambios realizados en mi configuración con el tiempo?

Con AWS Config, puede monitorizar la conformidad de una instancia con una configuración deseada a través de Config Rules. Esta capacidad permite a expertos en seguridad y auditores de conformidad disponer de un rastro de auditoría completo de los cambios en la configuración de la instancia, así como recibir notificaciones proactivas en caso de no conformidad.

Automation

P: ¿Qué es Automation?

La capacidad Automation de EC2 Systems Manager simplifica el proceso de crear y mantener imágenes de máquina de Amazon (AMI). Eso le proporciona un proceso repetible para aplicar parches, actualizaciones de aplicaciones y otros cambios a sus AMI.

P: ¿Qué tareas puedo automatizar?

El mantenimiento de AMI se simplifica significativamente gracias a la característica Automation de Systems Manager, que le permite añadir parches, agentes de actualización o aplicaciones de estado con un proceso simplificado, repetible y auditable. De manera alternativa, puede utilizar Run Command y AWS Lambda en sus flujos de trabajo para organizar la configuración y administración de instancias y otros recursos de AWS a escala.

Parameter Store

P: ¿Qué es Parameter Store?

Parameter Store le permite almacenar, referenciar y controlar de manera sencilla el acceso a los parámetros de su configuración y a información confidencial, como cadenas de conexión y contraseñas de administrador.

P: ¿Por qué debería usar Parameter Store?

Puede utilizar Parameter Store para almacenar y referenciar configuraciones e información confidencial con rapidez. En lugar de almacenar datos en archivos de configuración y referenciarlos con texto sin formato, puede utilizar Parameter Store para obtener esta información en sus aplicaciones o scripts. Además, puede controlar quién dispone de acceso a los parámetros, de manera que solo los usuarios adecuados puedan acceder a la información adecuada.

P: ¿Cómo se almacenan los datos confidenciales?

Una cadena segura es cualquier dato confidencial que deba almacenarse y referenciarse de manera segura. Si posee datos que no desea que los usuarios referencien con texto sin cifrar o tiene acceso a datos que se pueden modificar o usar de forma indebida, debería proteger las cadenas con Parameter Store. Puede cifrar los datos confidenciales con su propia clave de AWS Key Management Service (KMS) o su clave de cuenta de usuario predeterminada proporcionada por KMS.

P: ¿En qué servicios puedo referenciar mis parámetros?

Puede referenciar sus parámetros de manera sencilla en los servicios de EC2 Systems Manager, como Run Command, State Manager y Automation.

P: ¿Cómo puedo monitorizar el uso y proporcionar control del acceso a parámetros específicos?

Sí, puede proporcionar control del acceso minucioso a través de permisos personalizados a usuarios y recursos (como instancias) para acceder a parámetros mediante AWS IAM. Eso significa que puede controlar quién es capaz de acceder a qué parámetro de qué recurso. Además, también puede monitorizar y auditar las llamadas a la API de parámetros con AWS CloudTrail.

Maintenance Windows

P: ¿Qué es Maintenance Windows?

Maintenance Windows es una característica de EC2 Systems Manager que le proporciona la capacidad para definir una o más ventanas de tiempo periódicas durante las cuales es posible realizar tareas que incluyan interrupción del servicio. Al definir estas ventanas y asociar las instancias con ellas, le resultará más sencillo asegurarse de que cualquier tarea de mantenimiento realizada en las instancias que pudiera afectar la disponibilidad de una carga de trabajo se efectúe durante una ventana de tiempo bien definida.

P: ¿Por qué debería usar Maintenance Windows?

Maintenance Windows le ayuda a mejorar la disponibilidad y fiabilidad de sus cargas de trabajo al realizar tareas automáticamente en una ventana de tiempo bien definida, lo que reduce significativamente el impacto de cualquier error operativo o de infraestructura.

P: ¿Qué tipos de tareas puedo programar en una ventana de mantenimiento?

Puede crear y programar cualquier comando de ejecución o funciones de Amazon EC2 Systems Manager Automation, AWS Step Functions o AWS Lambda como tareas.

P: ¿Qué tipos de programas puedo elegir para mis ventanas de mantenimiento?

Las ventanas de mantenimiento se pueden programar en una fecha repetida (p. ej., todos los martes a las 22:00:00 o el primer domingo del mes a las 22:00:00). Puede definir el programa con la expresión cron o rate.