Общие вопросы

Вопрос: Что такое AWS Systems Manager?
AWS Systems Manager позволяет выполнять централизованный сбор операционных данных из различных сервисов AWS и автоматизировать задачи, связанные с используемыми ресурсами AWS. Ресурсы можно сгруппировать логически, например по приложениям или уровням приложений, по принадлежности к среде разработки или рабочей среде. Благодаря Systems Manager для выбранной группы ресурсов можно просматривать последние действия с API, изменения в конфигурации ресурсов, связанные уведомления, рабочие оповещения, реестр программного обеспечения и статус соответствия требованиям для пакетов исправлений. Кроме того, с любыми группами ресурсов можно выполнять необходимые действия. Systems Manager предоставляет возможность централизованного просмотра и управления ресурсами на AWS, благодаря чему обеспечивается полная прозрачность и контроль выполняемых действий.

Вопрос: Кому следует использовать AWS Systems Manager?
Если вы используете различные сервисы AWS, AWS Systems Manager обеспечит возможность единообразного и централизованного сбора операционной аналитики и выполнения рутинных задач управления. AWS Systems Manager можно использовать для выполнения регулярных операций, наблюдения за средой разработки, средой тестирования и рабочей средой, а также для своевременного реагирования на события и другие операционные проблемы. AWS Systems Manager может стать дополнением к используемым инструментам, если они ориентированы прежде всего на разработку, как редакторы кода и интегрированные среды разработки (IDE). Как и IDE, AWS Systems Manager объединяет в себе целый ряд операционных инструментов.

Вопрос: Как начать работу с сервисом?
Начать работу с AWS Systems Manager совсем не сложно. С помощью Консоли управления AWS перейдите в консоль AWS Systems Manager. Чтобы создать группу ресурсов, можно выполнить простой запрос тега. После этого можно начать знакомство со встроенным набором операционных инструментов AWS Systems Manager.

Вопрос: Какие операционные системы поддерживает AWS Systems Manager?
AWS Systems Manager оптимизирован для управления платформами Windows и Linux с использованием общих универсальных инструментов. Подробные сведения об управлении локальными системами см. в документации.

Вопрос: Может ли сервис AWS Systems Manager управлять локальными инстансами?
Да, AWS Systems Manager поддерживает управление инстансами, работающими в локальных ЦОД. Подробнее см. в разделе Предварительные требования AWS Systems Manager.

Вопрос: Каким образом AWS Systems Manager помогает в управлении инстансами Amazon EC2 и локальными серверами?
AWS Systems Manager предлагает установить агент, который будет выполнять действия на инстансах или серверах. Агент представляет собой решение с открытым исходным кодом, который можно посмотреть на GitHub.

Вопрос: Можно ли получить частный доступ к API AWS Systems Manager из VPC, не используя публичный IP-адрес?
Да, частный доступ к API AWS Systems Manager можно получить из облака Amazon Virtual Private Cloud, создав соответствующие адреса VPC. При использовании адресов VPC маршрутизация между VPC и AWS Systems Manager осуществляется сетью AWS без необходимости использования интернет-шлюза, шлюза NAT или VPN-подключения. Последнее поколение адресов VPC, используемое AWS Systems Manager, работает на основе AWS PrivateLink – технологии, которая обеспечивает частное соединение между сервисами AWS, используя в VPC эластичные сетевые интерфейсы (ENI) с частными IP-адресами. Подробнее об AWS PrivateLink см. в документации PrivateLink.

Вопрос: В каких регионах доступен сервис AWS Systems Manager?
Актуальные сведения о доступности AWS Systems Manager по регионам см. в Таблице регионов AWS.

Вопрос: Можно ли по-прежнему работать с Amazon EC2 Systems Manager в консоли EC2?
Да. Пользователи, которые привыкли работать с EC2 Systems Manager из консоли EC2, найдут там ссылку на AWS Systems Manager. Сервисы Amazon EC2 Systems Manager по-прежнему просто найти и использовать. AWS Systems Manager предлагает пользователям новый механизм работы с этими инструментами.

Вопрос: Какую аналитическую информацию можно собирать с помощью AWS Systems Manager?
AWS Systems Manager объединяет информацию из различных сервисов AWS. Эта сводная информация по сервисам отображается на встроенных панелях управления. В AWS Systems Manager также входят панели управления Amazon CloudWatch, что позволяет использовать существующие панели управления или создавать новые.

Вопрос: Что представляет собой встроенная аналитика?
Встроенная аналитика AWS Systems Manager представляет собой панели управления, на которых отображаются последние вызовы API в AWS CloudTrail, последние изменения конфигурации в AWS Config, реестры программного обеспечения инстансов, а также статусы соответствия требованиям для пакетов исправлений и конфигурации инстансов. Эту информацию на уровне аккаунта можно фильтровать таким образом, чтобы отображались только сведения о конкретной группе ресурсов. Кроме того, на панелях управления сервиса отображаются последние журналы событий AWS Personal Health Dashboard и рекомендации по оптимизации, предоставляемые AWS Trusted Advisor.

Вопрос: Что такое управляемый инстанс?
Управляемый инстанс – это любой локальный сервер или инстанс Amazon EC2, которым можно управлять с помощью AWS Systems Manager. Управляемым инстансом может быть физический сервер, виртуальная машина в локальном ЦОД или даже другой поставщик облачных услуг.

Вопрос: Как настроить управляемый инстанс?
Чтобы настроить инстанс EC2 в качестве управляемого инстанса, необходимо установить агент Systems Manager и присоединить к инстансу профиль инстанса AWS Identity and Access Management (IAM), который предоставляет Systems Manager разрешение на выполнение действий с инстансом. Чтобы зарегистрировать серверы или виртуальные машины за пределами Amazon EC2, можно создать активацию.

Вопрос: Предустановлен ли агент Systems Manager в каких-либо операционных системах?
Агент Systems Manager по умолчанию установлен на образы AWS Windows AMI и Amazon Linux AMI, а также доступен в репозитории Amazon Linux. Кроме того, агент можно установить на другие поддерживаемые операционные системы.

Вопрос: Что такое активации AWS Systems Manager?
Активации AWS Systems Manager обеспечивают гибридное и межоблачное управление. С помощью активаций AWS Systems Manager можно без труда зарегистрировать как физический, так и виртуальный сервер для управления AWS Systems Manager.

Вопрос: Как зарегистрировать инстанс с помощью активации AWS Systems Manager?
Активацию AWS Systems Manager можно создать в консоли AWS Systems Manager или с помощью API, получив в результате код активации и ID. С помощью кода активации и ID на серверах можно выполнить команду, в результате которой выполняется их регистрация в Systems Manager.

Вопрос: Что такое документ AWS Systems Manager?
Документ AWS Systems Manager содержит конфигурацию в виде кода, что позволяет управлять ресурсами при любом масштабе. Документ AWS Systems Manager задает последовательность действий, благодаря которым можно удаленно управлять инстансами, поддерживать требуемое состояние, а также автоматизировать операции. Формат документов AWS Systems Manager является кросс-платформенным, что позволяет использовать их как для инстансов Windows, так и для инстансов Linux.

Вопрос: Где можно использовать документы AWS Systems Manager?
Документы Systems Manager можно использовать вместе с командой run, менеджером состояний или возможностями автоматизации.

Вопрос: Существуют ли готовые документы AWS Systems Manager?
Да. Можно выбрать документ из целого ряда готовых документов AWS Systems Manager, которые автоматизируют стандартные задачи, в том числе сбор данных реестра, установку приложений, присоединение инстансов к домену, операции с инстансами, сбор метрик и т. д.

Вопрос: Как создать собственный документ AWS Systems Manager?
Чтобы документы AWS Systems Manager соответствовали заданной схеме, их можно создавать с помощью JSON или YAML в консоли AWS Systems Manager или посредством API.

Группы ресурсов

Вопрос: Какая связь существует между AWS Systems Manager и группами ресурсов AWS?
Консоль AWS Systems Manager интегрирована с группами ресурсов AWS и в дополнение к другим встроенным интеграциям предлагает возможности группировки.

Вопрос: Можно ли создавать группы ресурсов с помощью AWS Systems Manager?
Создавать свои собственные разнородные группы ресурсов можно с помощью запроса тега в консоли AWS Systems Manager. Ответ на этот запрос будет содержать все ресурсы AWS, теги которых совпадают с тегом из запроса. Создавая свои группы ресурсов, можно обеспечить в AWS Systems Manager представление ресурсов, которое будет отражать актуальные для клиента схемы распределения. Например, группы ресурсов можно создавать по компонентам приложения, уровням приложения или сферам владения операциями.

Вопрос: Какая информация о группах ресурсов доступна в AWS Systems Manager?
AWS Systems Manager предлагает подборку аналитики о группах ресурсов. Такая аналитика включает последние вызовы API в AWS CloudTrail, последние изменения конфигурации в AWS Config, реестры программного обеспечения инстансов, а также статусы соответствия требованиям для пакетов исправлений и конфигурации инстансов. Эту информацию на уровне аккаунта можно фильтровать таким образом, чтобы отображались только сведения о конкретной группе ресурсов.

Вопрос: Какие действия с группами ресурсов можно выполнять в AWS Systems Manager?
AWS Systems Manager позволяет применять документы автоматизации AWS Systems Manager к группам ресурсов. Всех участников группы ресурсов можно передавать документу автоматизации AWS Systems Manager в качестве входных данных. Документы автоматизации AWS Systems Manager предлагают в качестве примеров целый ряд таких действий, как одновременный перезапуск трех инстансов в группе ресурсов после подтверждения или применение исправлений к инстансам Amazon EC2.

Панели управления CloudWatch

Вопрос: Что такое панели управления CloudWatch?
С помощью панелей управления Amazon CloudWatch можно создавать многократно используемые информационные панели, позволяющие осуществлять централизованный мониторинг ресурсов AWS. Данные метрик хранятся в течение пятнадцати месяцев. Это позволяет просматривать как самые свежие данные, так и историю изменений.

Вопрос: Как панели управления Amazon CloudWatch интегрированы с AWS Systems Manager?
Доступ к существующим панелям управления CloudWatch можно получить непосредственно из AWS Systems Manager. Кроме того, новые панели управления CloudWatch можно создавать прямо в Systems Manager. С помощью панелей управления CloudWatch можно создавать собственные информационные панели для отображения состояния компонентов приложения, уровня приложения или сфер владения операциями.

Реестр

Вопрос: Что такое реестр AWS Systems Manager?
AWS Systems Manager собирает информацию об инстансах и установленном на них программном обеспечении, что упрощает понимание конфигурации системы и установленных приложений. Собирать данные можно о приложениях, файлах, сетевых конфигурациях, сервисах Windows, регистрах, ролях серверов, обновлениях, а также о любых других свойствах системы. Благодаря собранным данным можно управлять ресурсами приложений, отслеживать лицензии и целостность файлов, обнаруживать приложения, которые не были установлены с помощью традиционного установщика, и т. д.

Вопрос: Можно ли собирать настраиваемую информацию с инстанса Amazon EC2 или локального инстанса?
Да, можно создавать настраиваемые типы реестра и собирать дополнительные сведения о свойствах системы. Такой сбор можно выполнять с помощью самого инстанса или записывать с помощью API. В качестве примера можно привести результаты работы PowerShell или других приложений в формате JSON, а также информацию, которая статически хранится в файлах JSON, например информацию уровня стойки.

Вопрос: Как отслеживать изменения конфигурации с течением времени?
AWS Config позволяет осуществлять мониторинг соответствия требованиям для инстанса с заданной конфигурацией с помощью правил AWS Config. Данная возможность позволяет экспертам по безопасности и аудиторам в сфере соответствия требованиям получить полный журнал аудита изменений конфигурации инстанса, а также настроить упреждающие уведомления при несоответствии требованиям.

Вопрос: Можно ли просматривать данные реестров в нескольких аккаунтах или регионах AWS, а также выполнять запросы к таким данным?
Да, сервис позволяет синхронизировать данные реестров из нескольких аккаунтов и регионов в одну корзину Amazon S3. После этого можно выполнять запросы к данным из разных аккаунтов и регионов с помощью Amazon Athena, Amazon QuickSight или собственных инструментов бизнес-аналитики.

Вопрос: Можно ли выполнять анализ данных реестра и визуализировать их?
Да, в дополнение к встроенной панели управления реестром можно выполнять расширенный анализ и визуализацию данных реестра с помощью Amazon Athena или Amazon QuickSight.

Соответствие требованиям для конфигурации

Вопрос: Что такое соответствие требованиям для конфигурации AWS Systems Manager?
AWS Systems Manager позволяет сканировать управляемые инстансы и проверять соответствие требованиям для исправлений, а также выявлять несоответствия конфигураций. Сервис позволяет собирать и агрегировать данные из различных аккаунтов и регионов AWS, а потом подробно анализировать конкретные ресурсы, в которых обнаружены несоответствия. По умолчанию AWS Systems Manager отображает сведения об исправлениях и ассоциациях. Кроме того, при необходимости можно настраивать сервис и создавать собственные типы соответствия требованиям.

Вопрос: Можно ли отслеживать изменения конфигурации с течением времени?
Интеграция с AWS Config позволяет осуществлять мониторинг соответствия требованиям для инстанса с необходимой конфигурацией с помощью правил AWS Config. Данная возможность позволяет экспертам по безопасности и аудиторам в сфере соответствия требованиям получить полный журнал аудита изменений конфигурации инстанса, а также настроить упреждающие уведомления при несоответствии требованиям.

Вопрос: Как можно отслеживать уровень соответствия требованиям для инстансов?
AWS Systems Manager позволяет просматривать информацию о соответствии требованиям для выполненных исправлений, которая также содержит подробные сведения о процессе их установки. Таким образом, можно легко получить агрегированную информацию о соответствии требованиям по каждому инстансу. Кроме того, можно пойти дальше и определить установленные, отсутствующие и неприменимые исправления для каждого из инстансов, а также исправления, которые не удалось установить.

Вопрос: Поддерживается ли создание собственных проверок на соответствие требованиям?
Да. Можно создавать собственные типы соответствия требованиям и записывать их посредством API. В зависимости от потребностей бизнеса можно создавать собственные проверки и затем регистрировать соответствие требованиям через AWS Systems Manager для отслеживания инстансов, не соответствующих требованиям. Кроме того, можно синхронизировать данные ресурсов и просматривать информацию о соответствии требованиям по различным аккаунтам и регионам.

Автоматизация

Вопрос: Что представляет собой автоматизация в AWS Systems Manager?
AWS Systems Manager позволяет безопасно автоматизировать стандартные и повторяющиеся ИТ-операции и задачи управления ресурсами AWS. С помощью Systems Manager можно создавать свои документы JSON, содержащие конкретный список задач, или использовать документы, опубликованные в сообществе. Эти документы можно выполнять непосредственно в Консоли управления AWS, с помощью интерфейса командной строки или SDK, планировать в окне обслуживания или запускать при установке изменений в ресурсах на AWS с помощью Amazon CloudWatch Events. Можно отслеживать выполнение каждого шага в документах, а также требовать подтверждение для каждого шага. Кроме того, сервис позволяет постепенно развертывать новые изменения и автоматически останавливать развертывание при возникновении ошибок.

Вопрос: Какие задачи можно автоматизировать?
Автоматизировать можно все задачи, при выполнении которых требуется взаимодействие с ресурсами на AWS и локальными ресурсами. Встроенные типы действий обеспечивают простое взаимодействие с инстансами Amazon EC2, стеками AWS CloudFormation и т. д. С помощью типов действий можно вызывать в AWS Systems Manager команду run, скрипты PowerShell и функции AWS Lambda.

Вопрос: Существуют ли для AWS Systems Manager преднастроенные документы автоматизации?
Существует более 20 преднастроенных документов автоматизации для AWS Systems Manager, с помощью которых можно выполнить целый ряд задач, в том числе добавление «золотых» образов AMI, установку исправлений на инстансы Amazon EC2, управление состояниями инстансов и т. д.

Вопрос: Поддерживается ли в AWS Systems Manager создание собственных документов автоматизации?
Сервис позволяет настраивать существующие документы автоматизации AWS Systems Manager, а также создавать собственные с помощью JSON или YAML. Кроме того, можно использовать документы автоматизации для AWS Systems Manager, доступ к которым предоставили другие аккаунты, и предоставлять доступ к своему документу другим аккаунтам.

Вопрос: Может ли автоматизация AWS Systems Manager помочь в процессе утверждения?
Да. В документы автоматизации AWS Systems Manager можно включить встроенные типы действий по утверждению. В качестве подтверждающих лиц могут выступать один или несколько пользователей AWS Identity and Access Management (IAM). Исполнение документа автоматизации AWS Systems Manager приостанавливается до тех пор, пока не будет получено или отклонено минимальное количество требуемых утверждений, после чего продолжается в соответствии с результатами.

Вопрос: Можно ли применять документы автоматизации AWS Systems Manager к группе ресурсов?
Да. Можно выделять группы ресурсов и исполнять документы автоматизации AWS Systems Manager на указанных типах ресурсов. Кроме того, можно указать средства контроля безопасности, чтобы задать количество ресурсов в группе, которые можно обрабатывать одновременно, а также добавить пороговые значения ошибок, при достижении которых исполнение документа автоматизации AWS Systems Manager будет остановлено.

Вопрос: Можно ли настроить пошаговое исполнение документов автоматизации AWS Systems Manager?
Да. Документ автоматизации AWS Systems Manager можно выполнить одним действием или настроить пошаговое исполнение.

Вопрос: Можно ли вызывать исполнение документа автоматизации AWS Systems Manager по расписанию или на основании других событий?
Да. Можно запланировать запуск документа автоматизации AWS Systems Manager в ответ на события Amazon CloudWatch Events, а также использовать окна обслуживания AWS Systems Manager для запуска документа автоматизации AWS Systems Manager по расписанию. Кроме того, запускать документ автоматизации AWS Systems Manager можно в ответ на изменения в ресурсах на AWS через события Amazon CloudWatch Events.

Запуск команд

Вопрос: Что представляет собой запуск команд в AWS Systems Manager?
AWS Systems Manager предоставляет безопасное и защищенное удаленное управление инстансами в нужном масштабе без необходимости входа на серверы и устраняет необходимость в узлах-бастионах, SSH или удаленной платформе PowerShell. Этот сервис предлагает простой способ автоматизации административных операций с группами инстансов, в том числе внесение изменений в регистр, управление пользователями, а также установку программного обеспечения и исправлений. Интеграция с AWS Identity and Access Management (IAM) позволяет использовать подробные разрешения для управления действиями пользователей на всех инстансах. Все действия Systems Manager записываются сервисом AWS CloudTrail, что позволяет просматривать изменения любой конфигурации.

Вопрос: Есть ли в сервисе преднастроенные команды?
Да. Сервис предлагает предварительно настроенные команды, предназначенные для автоматизации стандартных административных задач. Для Windows доступен запуск команд и скриптов в PowerShell или Shell, настройка конфигурации обновлений Windows, развертывание приложений MSI и многое другое. Для Linux доступен запуск команд и скриптов Shell и удаленное обновление установленного агента. Кроме того, можно создавать пользовательские команды для выполнения стандартных задач, которые требуются в конкретной среде.

Вопрос: Можно ли вносить в среду пакетные изменения?
Да. Можно выполнять операции с большими группами инстансов, используя запросы на основе тегов. Задав количество инстансов, операции с которыми можно выполнять одновременно, и пороговые значения ошибок, можно безопасно вносить изменения в свои среды.

Вопрос: Можно ли контролировать права на выполнение команд?
Да. С помощью опубликованных разрешений и политик AWS Identity and Access Management (IAM) можно указать, кому будет предоставлен доступ и права на запуск команд и документов на конкретных инстансах, выполнив запрос на основе тега. Например, пользователю IAM можно разрешить запускать команды в PowerShell, но запретить объединять инстансы в домены. Другому пользователю IAM можно разрешить запускать только определенные команды, например на перезапуск сервисов. Это позволяет гибко регулировать уровень доступа любого пользователя.

Менеджер исправлений

Вопрос: Что представляет собой менеджер исправлений в AWS Systems Manager?
AWS Systems Manager помогает автоматически выбирать и развертывать исправления операционной системы и программного обеспечения на больших группах инстансов Amazon EC2 или локальных инстансов. В наборах исправлений можно задавать правила автоматического утверждения установки исправлений, относящихся к избранным категориям, например исправлений операционной системы или исправлений высокой степени серьезности. Кроме того, можно определить список исправлений, которые имеют приоритет над этими правилами и утверждаются или отклоняются автоматически. Сервис также позволяет планировать окна обслуживания, чтобы исправления применялись только в заданное время. Systems Manager позволяет убедиться в том, что программное обеспечение находится в актуальном состоянии и соответствует требованиям политик.

Вопрос: Как можно указать время установки исправления инстанса?
Время установки исправления можно указать с помощью окна обслуживания AWS Systems Manager. AWS Systems Manager предоставляет возможность определить один или несколько повторяющихся периодов времени, в течение которых можно производить обслуживание. За счет определения этих периодов и установления связи между ними и инстансами можно гарантировать, что мероприятия по техническому обслуживанию инстансов, способные повлиять на доступность рабочих нагрузок, выполняются в четко указанные периоды времени.

Вопрос: Как настроить процесс установки исправлений?
AWS Systems Manager предлагает полностью автоматизированный процесс установки исправлений. Процесс установки исправлений можно настроить, написав собственную команду или документ автоматизации AWS Systems Manager.

Вопрос: Исправления каких типов можно устанавливать?
AWS Systems Manager поддерживает установку исправлений для инстансов на основе Windows и Linux. Перечень поддерживаемых версий см. в документации.

Вопрос: Как выбрать исправления для установки?
Базовые комплекты исправлений содержат набор утвержденных или отклоненных исправлений для инстансов. Исправления в наборе можно выбирать по продукту (например, Windows Server 2008, Windows Server 2012 и т. д.), категории (например, критические обновления, обновления компонентов безопасности и т. д.) и степени важности, по которой будет проводиться утверждение исправлений для развертывания. Для каждой из выбранных категорий можно задать расписание, по которому будет автоматически утверждаться развертывание связанных исправлений. Помимо правил можно также указать белый и черный список исправлений, в которых будут находиться устанавливаемые или заблокированные исправления соответственно. При установке исправлений AWS Systems Manager выполнит оценку целевых инстансов с учетом утвержденных исправлений на момент времени.

Вопрос: Как можно отслеживать уровень соответствия требованиям для инстансов?
Можно просматривать информацию о соответствии требованиям для исправлений, которая также содержит подробные сведения о процессе их установки. Консоль управления AWS Systems Manager или API позволяют просто получить агрегированную информацию о соответствии требованиям по каждому инстансу. Кроме того, можно пойти дальше и определить установленные, отсутствующие и неприменимые исправления для каждого из инстансов, а также исправления, которые не удалось установить.

Окна обслуживания

Вопрос: Что такое окно обслуживания AWS Systems Manager?
AWS Systems Manager позволяет планировать периоды времени для выполнения административных задач и технического обслуживания на инстансах. Благодаря этому можно выбрать удобное и безопасное время для установки исправлений и обновлений, а также для внесения изменений в конфигурацию, чтобы повысить доступность и надежность сервисов и приложений.

Вопрос: Почему следует использовать окна обслуживания AWS Systems Manager?
Окна обслуживания AWS Systems Manager позволяют повысить доступность и надежность рабочих нагрузок за счет автоматизированного выполнения заданий в четко указанный период времени, что значительно снижает негативный эффект от любых эксплуатационных или инфраструктурных сбоев.

Вопрос: Какие задачи можно выполнять с помощью окон обслуживания AWS Systems Manager?
Ниже приведены примеры задач, которые можно выполнять.

  • Установка приложений и новых пакетов исправлений, установка или обновление агентов AWS Systems Manager, выполнение команд PowerShell и скриптов оболочки Linux.
  • Создание образов Amazon Machine Image (AMI), начальная загрузка программного обеспечения и конфигурирование инстансов.
  • Выполнение функций AWS Lambda, которые вызывают дополнительные действия, например проверку, не требуется ли обновить исправления для инстансов.
  • Запуск конечных автоматов AWS Step Function, которые выполняют такие задачи, как удаление инстанса из среды Elastic Load Balancing, установка исправлений для инстанса и затем повторное добавление инстанса в среду Elastic Load Balancing.

Вопрос: Выполнение задач каких типов можно запланировать в течение окна обслуживания AWS Systems Manager?
Можно создать и запланировать выполнение любой команды run в AWS Systems Manager, документа автоматизации AWS Systems Manager, конечных автоматов AWS Step Functions или функций AWS Lambda в качестве задач.

Вопрос: Какие типы расписания можно выбрать для периодов обслуживания AWS Systems Manager?
Периоды обслуживания AWS Systems Manager можно запланировать на повторяющуюся дату (например, еженедельно по вторникам в 22:00:00 или в первое воскресенье каждого месяца в 22:00:00). Расписание можно задать с помощью выражений cron или rate.

Менеджер состояний

Вопрос: Что представляет собой менеджер состояний в AWS Systems Manager?
AWS Systems Manager предоставляет управление конфигурациями, что помогает обеспечить единообразие конфигураций инстансов Amazon EC2 или локальных инстансов. С помощью Systems Manager можно управлять конфигурационной информацией, например конфигурациями серверов, антивирусными определениями, параметрами брандмауэра и т. д. Можно задавать политики конфигураций для серверов из Консоли управления AWS или использовать существующие скрипты, модули PowerShell или схемы Ansible прямо в GitHub или корзинах Amazon S3. Systems Manager автоматически применяет конфигурации ко всем инстансам в заданное время и с заданной частотой. Чтобы просмотреть состояние конфигураций инстансов, можно в любой момент выполнить запрос к Systems Manager, который предоставляет просмотр состояния соответствия требованиям по запросу.

Вопрос: Почему следует использовать менеджер состояний в AWS Systems Manager?
Обеспечение единообразия инфраструктуры, на базе которой работает приложение, представляет собой достаточно сложную задачу. AWS Systems Manager позволяет создавать политики, повторно применять эти политики, чтобы предотвратить возникновение отклонений в конфигурации, и осуществлять мониторинг предполагаемого состояния.

Вопрос: Как создаются политики?
Политики можно просто создать с помощью документов AWS Systems Manager. Кроме того, доступны предопределенные конфигурации, которые можно использовать для установки приложений, присоединения инстансов к домену и т. д.

Вопрос: Какие целевые объекты можно конфигурировать?
Сервис позволяет использовать в качестве целевых объектов инстансы или теги. Это означает возможность указать отдельные конфигурации для групп инстансов, например для веб-серверов.

Вопрос: Можно ли использовать существующие инструменты управления конфигурациями совместно с менеджером состояний AWS Systems Manager?
Да. AWS предоставляет предопределенные документы AWS Systems Manager для запуска схем Ansible или Salt States, и на инстансах можно использовать PowerShell DSC совместно с менеджером состояний AWS Systems Manager, чтобы предотвратить нежелательные изменения конфигурации. Кроме того, можно запускать любые сценарии конфигурации из частного или публичного репозитория GitHub.

Хранилище параметров

Вопрос: Что представляет собой хранилище параметров AWS Systems Manager?
AWS Systems Manager предоставляет централизованное хранилище для управления конфигурационными данными, будь то обычный текст, например строки базы данных, или секретные данные, такие как пароли. Это позволяет изолировать секретные и конфигурационные данные от кода. Параметрам можно присваивать теги, их также можно организовывать в иерархические структуры, что облегчает управление параметрами. Например, можно использовать одно и то же имя параметра "db-string", но различные иерархические пути ("dev/db-string" или "prod/db-string") для хранения различных значений. Systems Manager интегрирован с AWS Key Management Service (KMS), что позволяет автоматически шифровать сохраняемые данные. Кроме того, можно контролировать доступ пользователей и ресурсов к параметрам с помощью AWS Identity and Access Management (IAM). Ссылаться на параметры можно с помощью других сервисов AWS, таких как Amazon Elastic Container Service, AWS Lambda и AWS CloudFormation.

Вопрос: Почему следует использовать хранилище параметров AWS Systems Manager?
Секретные и конфигурационные данные рекомендуется хранить отдельно от кода. Хранилище параметров можно использовать для быстрого сохранения конфигурации и служебной информации с возможностью последующих ссылок на нее. Вместо хранения данных в файлах конфигурации или их передачи в виде простого текста можно хранить и получать эту информацию в приложениях или скриптах. Кроме того, сервис позволяет управлять списком пользователей, имеющих доступ к параметрам, чтобы предоставить доступ к информации только соответствующей группе.

Вопрос: Как хранятся конфиденциальные данные?
Защищенные строки – это любые конфиденциальные данные, которые необходимо сохранять и передавать с соблюдением правил безопасности. Если у пользователя есть данные, которые не следует передавать в виде обычного текста, или доступ к данным, которые могут быть использованы во вред или не по назначению, необходимо использовать защищенные строки в хранилище параметров. Конфиденциальные данные можно зашифровать с помощью собственного ключа AWS Key Management Service (KMS) или пользовательского ключа по умолчанию, предоставленного AWS KMS.

Вопрос: Какие сервисы могут ссылаться на мои параметры?
Параметры могут запрашивать такие сервисы AWS, как Amazon Elastic Container Service, AWS Lambda и AWS Systems Manager, а также любые сервисы, которые могут обращаться к API хранилища параметров AWS Systems Manager.

Вопрос: Можно ли отслеживать использование отдельных параметров и управлять доступом к ним?
Да. Можно установить точный контроль доступа с помощью специальных прав для пользователей и ресурсов (например, инстансов), осуществляющих доступ к параметрам, с помощью AWS Identity and Access Management (IAM). Это позволяет управлять списком пользователей, осуществляющих доступ к определенным параметрам определенного ресурса. Кроме того, можно настроить правила событий Amazon CloudWatch Events на основе событий изменения параметров. Дополнительно можно отслеживать и выполнять аудит вызовов API параметров с помощью AWS CloudTrail.

Вопрос: Можно ли отслеживать изменения параметров?
Да, можно просматривать историю изменений параметров. Кроме того, можно использовать версии, номера которых автоматически увеличиваются при изменении, чтобы посмотреть значение конкретного параметра в зависимости от версии.

Вопрос: Можно ли хранить иерархически структурированные данные как параметры?
Да, для хранения параметров можно использовать иерархическую структуру. Кроме того, на всех уровнях иерархии можно контролировать и проверять доступ.

Вопрос: Поддерживается ли отправка уведомлений при изменении значений параметров?
Да, можно настроить оповещения Amazon CloudWatch и Amazon Simple Notification Service (SNS) для отдельных значений параметров и получать оповещения при их изменении.

Подробнее о партнерах AWS Systems Manager

Перейти на страницу партнеров
Готовы начать работу?
Войти
Есть вопросы?
Свяжитесь с нами