Amazon EC2 Systems Manager

D: Che cos'è Amazon EC2 Systems Manager?

Amazon EC2 Systems Manager è un servizio di gestione flessibile e facile da usare che consente alle aziende di grandi dimensioni di gestire e amministrare in tutta sicurezza i propri carichi di lavoro, eseguiti in locale o in AWS, attraverso un'esperienza AWS unificata. EC2 Systems Manager è un servizio incentrato sull'automazione che è stato progettato per consentire la configurazione e la gestione di istanze su vasta scala e semplificare la scrittura e la manutenzione degli elementi di automazione.

D: Come si inizia a usare EC2 Systems Manager?

Il miglior modo per iniziare è verificare che l'istanza in uso soddisfi i requisiti elencati nella Getting Started Guide. Una volta verificato di aver soddisfatto i requisiti, puoi accedere alle diverse funzionalità di EC2 Systems Manager dalla barra di spostamento sinistra nella Console di gestione EC2 oppure usare gli SDK AWS e l'interfaccia a riga di comando AWS.

D: Quali sistemi operativi sono supportati da EC2 Systems Manager?

EC2 Systems Manager è ottimizzato per gestire piattaforme Windows e Linux tramite un'esperienza unificata. Per maggiori informazioni sulla gestione di sistemi locali, consulta l'elenco dei sistemi operativi supportati.

D: EC2 Systems Manager gestisce le istanze eseguite in locale?

Sì, EC2 Systems Manager supporta la gestione di istanze eseguite in un data center locale. Per maggiori informazioni, consulta i prerequisiti di EC2 Systems Manager.

D: In quali regioni AWS è disponibile EC2 Systems Manager?

EC2 Systems Manager è disponibile in più regioni pubbliche. Per un elenco completo delle regioni supportate, consulta la pagina relativa a regioni ed endpoint AWS.

D: È possibile accedere privatamente alle API EC2 Systems Manager da un cloud privato virtuale di Amazon VPC senza usare IP pubblici?

Sì, è possibile accedere privatamente alle API EC2 Systems Manager da un cloud privato virtuale di Amazon VPC creando un endpoint VPC. Grazie agli endpoint VPC, l'instradamento tra il cloud privato virtuale ed EC2 Systems Manager viene gestito dalla rete AWS senza chiamare in causa gateway Internet, gateway NAT o connessioni VPN. La generazione più recente di endpoint VPC utilizzata da EC2 Systems Manager è basata su AWS PrivateLink, una tecnologia che permette connessioni private tra servizi AWS con interfacce ENI (Elastic Network Interface) e IP privati in un cloud privato virtuale. Per ulteriori informazioni su AWS PrivateLink, consulta la relativa documentazione.

D: Quanto costa EC2 Systems Manager?

Non è previsto alcun addebito per EC2 Systems Manager.

Run Command

D: Che cos'è Run Command?

Run Command è una caratteristica di EC2 che fornisce un modo semplice e sicuro di eseguire comandi o script in remoto su istanze EC2 o server locali utilizzando API, interfaccia a riga di comando o console di EC2. I comandi eseguibili con Run Command di permettono di automatizzare attività di amministrazione comuni, ad esempio l'installazione di software, l'esecuzione di script, la modifica di configurazioni.

D: A chi è rivolto Run Command?

Run Command è una caratteristica ideata per sviluppatori, amministratori di sistema e altri professionisti IT che devono gestire in remoto le loro istanze EC2 in modo sicuro, affidabile e scalabile.

D: AWS fornisce comandi predefiniti?

Sì. Sono presenti comandi predefiniti ideati per aiutare nelle attività di amministrazione più comuni. Per Windows puoi eseguire uno script o un comando PowerShell, configurare le impostazioni di Windows Update, distribuire un'applicazione MSI e molto altro. Per Linux puoi eseguire script o comandi Shell e aggiornare da remoto l'agente installato.

D: È possibile creare comandi personalizzati?

Sì. Run Command ti permette di creare comandi personalizzati in tutta semplicità per eseguire le attività comuni necessarie per il tuo ambiente.

D: Quali altri tipi di comandi è possibile eseguire?

Puoi eseguire qualsiasi comando o script che puoi anche immettere in una finestra di comando nelle istanze EC2.

D: È possibile inviare lo stesso comando a più istanze EC2 simultaneamente?

Sì. Per inviare un comando a un parco istanze è sufficiente fornire l'elenco di istanze a cui il comando va applicato.

D: È possibile recuperare lo storico dei comandi eseguiti sulle istanze?

Sì. Run Command conserva l'output di ciascun comando per 30 giorni. Inoltre, puoi fare in modo che Run Command archivi una copia di tutti i file di log in Amazon S3 o acquisisca l'output dei comandi tramite AWS CloudTrail.

D: È possibile controllare chi ha eseguito un determinato comando?

Sì. Usando le autorizzazioni e le policy di AWS Identity and Access Management (IAM) pubblicate, puoi determinare chi ha accesso per l'esecuzione di comandi o documenti in istanze specifiche. Ad esempio, puoi scegliere che un determinato utente IAM potrà eseguire comandi PowerShell, ma non inoltrare un'istanza in un dominio. Un altro utente IAM specifico potrà invece, ad esempio, eseguire un determinato comando, ad esempio il riavvio dei servizi; per ogni utente possono essere specificate autorizzazioni personalizzate.

D: È possibile verificare lo stato di un comando in esecuzione?

Run Command fornisce lo stato di un comando per ogni istanza in cui è in esecuzione. Per consultare queste informazioni, consulta interfaccia a riga di comando, kit SDK o console di gestione di AWS.

State Manager

D: Che cos'è State Manager?

State Manager automatizza il processo di definizione e gestione di una configurazione coerente del sistema operativo e delle applicazioni in tutto il tuo gruppo di sistemi, ad esempio per la configurazione e l'applicazione di policy per il firewall e l'aggiornamento delle definizioni antimalware. Attraverso la riapplicazione delle policy di configurazione, State Manager garantisce che i tuoi sistemi siano sempre conformi alle policy aziendali.

D: Perché usare State Manager?

Le aziende stanno adottando un IT di tipo automatico con applicazioni distribuite tra diversi ambienti e località, tra cui AWS e data center locali. Tuttavia, la capacità di garantire la coerenza dell'infrastruttura alla base della tua applicazione è una sfida impegnativa. State Manager ti consente di creare policy, di riapplicarle per impedire deviazioni di configurazione e di monitorare lo stato delle configurazioni che hai definito.

D: Come si creano le policy?

I documenti di Systems Manager consentono di creare policy in tutta semplicità. Sono inoltre disponibili configurazioni predefinite che puoi usare per installare applicazioni, aggiungere istanze al dominio e così via.

D: Quali destinazioni è possibile configurare?

Hai la flessibilità di definire istanze o tag come destinazioni, ovvero la flessibilità necessaria per definire configurazioni specifiche per gruppi di istanze, ad esempio i server Web.

Patch Manager

D: Che cos'è Patch Manager?

Patch Manager è un nuovo servizio per l'applicazione di patch incentrato sull'automazione che consente ai clienti di mantenere aggiornate le proprie istanze Windows con la massima semplicità. Con Patch Manager puoi uniformare il processo di applicazione di patch attraverso l'implementazione di best practice predefinite, come finestre di manutenzione e policy di approvazione delle patch dinamiche. 

D: Come si specifica quando applicare una patch a un'istanza?

Per definire i momenti in cui applicare le patch, puoi usare le finestre di manutenzione. Le finestre di manutenzione sono una nuova caratteristica di EC2 che consente di definire uno o più intervalli di tempo ricorrenti durante i quali sono consentite attività di manutenzione. Definendo queste finestre e associandovi le istanze, è possibile eseguire le attività di manutenzione delle istanze che possono influire sulla disponibilità dei carichi durante intervalli di tempo prestabiliti. Le finestre di manutenzione semplificano la pianificazione delle tempistiche in cui preferisci svolgere le attività basate su Run Command.

D: Come si personalizza il processo di applicazione di patch?

Patch Manager sfrutta la funzionalità Run Command per offrire un processo di applicazione di patch completamente automatico. Benché Patch Manager offra un documento Run Command predefinito, puoi personalizzare il processo di applicazione di patch in tutta semplicità scrivendo il tuo documento Run Command. Ad esempio, puoi interrompere un servizio NT prima di implementare le patch.

D: Quali tipi di patch è possibile installare con Patch Manager?

Patch Manager supporta l’applicazione delle patch delle istanze basate su Windows e su Linux. Per vedere le versioni attualmente supportate, consulta la nostra documentazione.

D: Come si selezionano le patch da installare?

Patch Manager ti permette di creare baseline per le patch, che definiscono il set di patch di cui hai approvato o bloccato la distribuzione nelle istanze. In una baseline per le patch puoi selezionare le patch in base ai prodotti, ad esempio Windows Server 2008, Windows Server 2012 e così via, e alle categorie, ad esempio aggiornamenti critici, aggiornamenti di sicurezza e così via. e gravità. Per ogni categoria selezionata, puoi definire una pianificazione in base alla quale le patch incluse vengono automaticamente approvate per la distribuzione. Oltre a queste regole, è possibile definire una whitelist e una blacklist delle patch in cui vengono indicate, rispettivamente, le patch da installare o da bloccare. Al momento dell'applicazione delle patch, Patch Manager valuterà per le istanze target solo le patch approvate prima di quel momento.

D: Come si tiene traccia dei livelli di conformità delle istanze?

Con Patch Manager puoi visualizzare le informazioni sulla conformità delle patch, che indicano i risultati dettagliati del processo di applicazione di patch. Dall'API o dalla Console di gestione EC2 puoi ottenere facilmente dati aggregati sulla conformità per ogni istanza. Puoi anche approfondire ulteriormente l'analisi, determinando per ogni istanza le patch installate, mancanti, non applicabili e la cui installazione non è riuscita.

Inventory

D: Che cos'è Inventory?

La funzionalità Inventory di EC2 Systems Manager favorisce la visibilità della configurazione e del catalogo software di un'istanza. Puoi configurare Inventory in modo da raccogliere dettagli su un'ampia gamma di attributi dell'istanza, come le applicazioni installate, i componenti e gli agenti AWS, la configurazione di rete, i dettagli del sistema operativo e altro ancora. Puoi quindi usare la potente funzionalità di query per valutare la conformità e identificare le istanze che devono essere corrette all'interno del tuo parco istanze.

D: Chi deve usare Inventory?

Gli amministratori IT e i professionisti DevOps troveranno utile questa funzionalità per identificare la configurazione e la composizione del proprio parco istanze. Gli utenti possono determinare rapidamente le istanze prive di una patch o che eseguono una versione di applicazione obsoleta. Analogamente, gli amministratori possono eseguire controlli delle licenze per comprendere l'utilizzo del software. Il risultato finale è che gli amministratori di sistema sono in grado di risolvere i problemi e a valutare l'assetto di sicurezza in modo più accurato.

D: È possibile personalizzare il tipo di informazioni raccolte tramite Inventory?

Sì, puoi creare tipi di Inventory personalizzati ed estendere in modo efficace lo schema di Inventory. Ad esempio, puoi configurare la tua istanza in modo da raccogliere maggiori informazioni su sistema operativo e CIM oppure registrare voci come la posizione dei rack e la data di manutenzione per i server locali.

D: Come si tiene traccia delle modifiche apportate alla configurazione nel tempo?

Usando AWS Config, puoi monitorare la conformità di un'istanza in base a una configurazione desiderata tramite la funzionalità Config Rules. Questa funzionalità offre a esperti di sicurezza e revisori della conformità un audit trail completo delle modifiche di configurazione delle istanze e permette di ricevere notifiche proattive in caso di mancata conformità.

Automazione

D: Che cos'è Automation?

La funzionalità Automation di EC2 Systems Manager semplifica il processo di creazione e gestione di Amazon Machine Image (AMI). In questo modo, offre un processo ripetibile per applicare patch, aggiornamenti delle applicazioni e altre modifiche alle AMI.

D: Quali attività è possibile automatizzare?

La manutenzione delle AMI risulta notevolmente semplificata dalla funzionalità Automation di Systems Manager, che ti permette di applicare patch, aggiornare agenti o integrare applicazione tramite un processo semplificato, ripetibile e verificabile. In alternativa, puoi usare Run Command e AWS Lambda nei tuoi flussi di lavoro per orchestrare la configurazione e la gestione delle istanze e di altre risorse AWS a qualsiasi livello.

Parameter Store

D: Che cos'è Parameter Store?

Parameter Store ti permette di archiviare, fare riferimento e controllare l'accesso ai parametri di configurazione e alle informazioni sensibili, come stringhe di connessione e password dell'amministratore, in tutta semplicità.

D: Perché usare Parameter Store?

Puoi usare Parameter Store per archiviare informazioni sensibili e di configurazione e farvi riferimento rapidamente. Invece di archiviare dati in file di configurazione o di farvi riferimento in formato di testo semplice, puoi ricorrere a Parameter Store per ottenere queste informazioni nelle applicazioni o negli script. Puoi inoltre determinare le persone che hanno accesso ai parametri in modo che solo il gruppo di utenti corretto abbia accesso alle informazioni appropriate.

D: Come si archiviano i dati sensibili?

Una stringa sicura è costituita da dati sensibili che devono essere archiviati e cui è necessario fare riferimento in modo sicuro. Se non vuoi che gli utenti facciano riferimento ai tuoi dati in formato di testo semplice o abbiano accesso a dati che possono essere manomessi o usati in modo incorretto, devi usare stringhe sicure in Parameter Store. Puoi crittografare i dati sensibili usando la tua chiave AWS Key Management Service (KMS) o la chiave predefinita del tuo account utente fornita da KMS.

D: In quali servizi è possibile fare riferimento ai parametri?

Puoi fare riferimento ai tuoi parametri in modo semplice in tutti i servizi EC2 Systems Manager, come Run Command, State Manager e Automation.

D: È possibile tenere traccia dell'utilizzo e fornire il controllo degli accessi a parametri specifici?

Sì, puoi fornire controllo granulare degli accessi tramite autorizzazioni personalizzate a utenti e risorse (ad esempio, istanze) per l'accesso ai parametri usando AWS IAM. Questo significa che puoi determinare le persone autorizzate ad accedere a determinati parametri in risorse specifiche. Puoi inoltre monitorare e controllare le chiamate API ai parametri usando AWS CloudTrail.

Finestre di manutenzione

D: Che cos'è una finestra di manutenzione?

Le finestre di manutenzione sono una caratteristica di EC2 Systems Manager che consente di definire uno o più intervalli di tempo ricorrenti durante i quali sono consentite attività che potrebbero provocare interruzioni. Definendo queste finestre e associandovi le istanze, è possibile eseguire le attività di manutenzione delle istanze che possono influire sulla disponibilità dei carichi durante intervalli di tempo prestabiliti.

D: Qual è il vantaggio di utilizzare le finestre di manutenzione?

Le finestre di manutenzione contribuiscono a migliorare la disponibilità e l'affidabilità dei carichi di lavoro mediante l'esecuzione automatizzata di attività in un intervallo di tempo prestabilito, riducendo significativamente l'impatto di qualsiasi errore operativo o dell'infrastruttura.

D: Quali tipi di attività è possibile pianificare in una finestra di manutenzione?

È possibile creare e programmare come attività qualsiasi Run Command, Amazon EC2 Systems Manager Automation, AWS Step Functions, o funzioni AWS Lambda.

D: Quali tipi di pianificazione è possibile scegliere per le finestre di manutenzione?

Le finestre di manutenzione possono essere pianificate in base a una data ricorrente, ad esempio ogni martedì alle 22.00 o la prima domenica di ogni mese alle 22.00. Puoi definire la tua pianificazione usando un'espressione cron o rate.