Вопросы и ответы по AWS Systems Manager

Вопрос. Что представляет собой Обозреватель Менеджера систем AWS?
Обозреватель Менеджера систем AWS – это настраиваемая панель управления ресурсами в AWS, многооблачных и гибридных средах. Обозреватель отображает агрегированное представление операционных данных по всем доступным аккаунтам и регионам AWS. Explorer позволяет оценить контекст проявления операционных проблем в разных подразделениях и (или) приложениях вашей организации, их распределение по периодам времени и категориям.

Вопрос. Что такое OpsData?
OpsData обозначает операционные данные, которые отображаются на панели управления Explorer. OpsData поступают из множества разных источников, в том числе EC2, OpsCenter и менеджера исправлений. Источники данных OpsData можно просматривать и изменять на странице параметров Explorer.

Вопрос. Как связаны между собой Explorer и OpsCenter?
Одним из типов данных, отображаемых в Explorer, являются OpsItems из OpsCenter. OpsItems помогают вам контролировать, расследовать и исправлять операционные проблемы. Explorer предоставляет агрегированное представление всех OpsItems наряду с другими важными операционными данными по всем аккаунтам и регионам. При этом OpsItems можно по-прежнему контролировать и исправлять через OpsCenter.

Вопрос. Как можно просмотреть данные OpsData по разным аккаунтам и регионам?
Вы сможете просматривать OpsData по всем аккаунтам и регионам, настроив синхронизацию данных по ресурсам на странице параметров Explorer. Синхронизация данных по ресурсам собирает все OpsData из всех указанных аккаунтов и регионов и агрегирует их в одно представление.

Вопрос. Когда мне стоит использовать AWS Systems Manager и AWS Security Hub?
Менеджер систем AWS – это операционный центр AWS, который обеспечивает простое управление облачной и гибридной инфраструктурой. С помощью Менеджера систем можно из одного центрального местоположения (через Центр операций Менеджера систем) диагностировать и устранять операционные проблемы, связанные с ресурсами AWS, многооблачными и гибридными средами, и просматривать панель управления операционными данными аккаунтов и регионов AWS (через Обозреватель Менеджера систем). Центр безопасности AWS используют специалисты по безопасности и соблюдению требований, а также инженеры DevOps для постоянного наблюдения и наладки безопасности аккаунтов и ресурсов AWS. Большинство клиентов отделяют проблемы безопасности (например, общедоступные корзины Amazon S3 или крипто-майнинг на инстансах Amazon EC2) от операционных проблем (например, недостаточное использование инстансов Amazon Redshift или чрезмерное использование инстансов Amazon EC2), так как проблемы безопасности требуют особой конфиденциальности и других уровней доступа. В итоге, Security Hub используется, чтобы понимать, управлять и устранять проблемы безопасности, а Systems Manager – для сходной работы с операционными проблемами. Мы также рекомендуем задействовать Security Hub, чтобы составить специализированные представления об уровне безопасности.

Эти сервисы помогают объединить в одном месте работу инженеров, занимающихся и вопросами безопасности, и операционными проблемами. Начните с того, что выберите результаты, которые отправите в Systems Manager OpsCenter и Explorer, где инженеры смогут исследовать и устранить проблемы безопасности наряду с операционными проблемами с помощью руководств по автоматизации Systems Manager.

Вопрос. Что такое панели управления Amazon CloudWatch?
С помощью панелей Amazon CloudWatch можно создавать многоразовые панели управления, позволяющие отслеживать ресурсы на AWS, в многооблачных и гибридных средах в одном месте. Данные метрик хранятся в течение пятнадцати месяцев. Это позволяет просматривать как самые свежие данные, так и историю изменений.

Вопрос. Как панели управления Amazon CloudWatch интегрированы с AWS Systems Manager?
Доступ к существующим панелям управления CloudWatch можно получить непосредственно из AWS Systems Manager. Кроме того, новые панели управления CloudWatch можно создавать прямо в Systems Manager. С помощью панелей управления CloudWatch можно создавать собственные информационные панели для отображения состояния компонентов приложения, уровня приложения или сфер владения операциями.

Вопрос. Что такое AWS AppConfig?
AWS AppConfig – это функция AWS Systems Manager, которая позволяет оперативно выполнять проверку правильности и развертывать управляемым и контролируемым образом новые конфигурации для размещенных в контейнерах или инстансах Amazon EC2 приложений любого размера, функций AWS Lambda, мобильных приложений и устройств IoT. AWS AppConfig обеспечивает возможность проверять данные конфигурации, контролируя соответствие их синтаксиса и семантики заданным определениям еще до развертывания этой конфигурации для приложения пользователя. Благодаря AWS AppConfig пользователь сможет воспользоваться наилучшими методами развертывания приложений, вводя конфигурацию в эксплуатацию в удобном для себя темпе и постоянно отслеживая появление ошибок. В случае возникновения ошибок AWS AppConfig поможет откатить изменения для минимизации воздействия ошибок на приложения пользователя.

Вопрос. Для кого предназначена функция AWS AppConfig?
Основными пользователями AWS AppConfig являются системные администраторы, команды DevOps и разработчики, которые нуждаются в возможности изменения конфигураций для своих приложений управляемым и контролируемым образом: методика эксплуатации AWS AppConfig подобна управлению программным кодом, но не предполагает выполнять развертывание кода при изменении значений конфигурации, что снижает риск возникновения сбоев приложения. Функция AWS AppConfig предназначена для компаний или организаций любых типов и размеров, которым доводится работать с изменением конфигураций объектов хостинга, серверов, функций AWS Lambda, контейнеров, мобильных устройств, устройств IoT и т. д.

Вопрос. Что такое конфигурация?
Конфигурация – это объединенные в набор один или несколько параметров приложения, которые используются для изменения поведения приложения в процессе его функционирования. Файлы конфигурации можно сохранять в виде документов или параметров AWS Systems Manager.

Вопрос. Что такое средство проверки?
Средство проверки – это схема функции AWS Lambda (или указатель на нее), используемая в AWS AppConfig для проверки синтаксического или семантического соответствия конфигурации приложения заданным вами определениям.

Вопрос. Что такое стратегия развертывания?
Стратегия развертывания – это план, описывающий характер внедрения данных конфигурации в приложение. Стратегия развертывания контролирует скорость, с которой вводится в эксплуатацию конфигурация, процентную долю инстансов приложения, которые должны получить обновленную конфигурацию в различные интервалы времени, а также продолжительность времени, в течение которого функция AWS AppConfig должна выполнять наблюдение за приложением в целях обнаружения потенциальных негативных эффектов, вызванных изменением конфигурации.

Вопрос. Чем AWS AppConfig отличается от AWS CodeDeploy?
Конфигурация приложения – это данные, которые влияют на поведение приложения и не требуют компиляции; конфигурация представляет собой абстрактную информацию, которая может изменяться прямо в процессе выполнения программы. Например, выпуск новых функций можно реализовать простым изменением значения конфигурации в выбранную дату и время. Если значение понадобится изменить (например на другую дату и время), администратор может поменять его без повторной компиляции приложения: все изменения конфигурации вступят в силу прямо в процессе выполнения программы. И в конфигурации приложения, и в его коде должны присутствовать механизмы защиты от ошибок, предотвращающие их возникновение в рабочей среде. Мы рекомендуем использовать AWS AppConfig для реализации механизмов защиты при развертывании новых конфигураций, а AWS CodeDeploy следует применять при развертывании нового программного кода.

Вопрос. В каких случаях следует использовать AWS Systems Manager Parameter Store, а в каких – AWS AppConfig?
AWS Systems Manager Parameter Store – это функция, которая позволяет сохранять, извлекать и контролировать значения конфигурации в зашифрованном или открытом текстовом формате. Parameter Store зачастую используется для сохранения строк из баз данных и кодов лицензии в виде значений параметров. При необходимости сохранять и извлекать значения с помощью самоуправляемых методов следует воспользоваться хранилищем параметров. AWS AppConfig представляет собой сервис управления конфигурациями приложений, позволяющий пользователю безопасно вводить в эксплуатацию обновленные данные конфигурации прямо во время выполнения приложения, а также сохранять данные конфигурации в виде параметров. При необходимости смоделировать сложный набор конфигураций приложений, которые можно будет проверять и безопасно развертывать в управляемой среде, отказываясь от внесения изменений в случае возникновения определенных условий, следует воспользоваться AWS AppConfig.

Вопрос. Чем AWS AppConfig отличается от AWS Config?
AWS Config обеспечивает возможности оценки, аудита и проведения расчетов для конфигураций ресурсов AWS, а функция AWS AppConfig предназначена для управления конфигурациями приложений. AWS Config следует использовать для получения подробного представления о конфигурациях имеющихся в аккаунте пользователя ресурсов AWS, а также для изучения предыдущих конфигураций ресурсов и исследования изменений в различных их версиях. Функция AWS AppConfig используется в тех случаях, когда приложения запущены на ресурсах AWS или локальных серверах. С помощью AWS AppConfig можно проверять правильность внесенных в конфигурации приложений изменений и задавать стратегии развертывания для безопасного ввода в эксплуатацию обновленных конфигураций без необходимости прерывать работу приложения.

Вопрос. Что представляет собой хранилище параметров AWS Systems Manager?
AWS Systems Manager предоставляет централизованное хранилище для управления конфигурационными данными, будь то обычный текст, например строки базы данных, или секретные данные, такие как пароли. Это позволяет изолировать секретные и конфигурационные данные от кода. Параметрам можно присваивать теги, их также можно организовывать в иерархические структуры, что облегчает управление параметрами. Например, можно использовать одно и то же имя параметра "db-string", но различные иерархические пути ("dev/db-string" или "prod/db-string") для хранения различных значений. Systems Manager интегрирован с AWS Key Management Service (KMS), что позволяет автоматически шифровать сохраняемые данные. Кроме того, можно контролировать доступ пользователей и ресурсов к параметрам с помощью AWS Identity and Access Management (IAM). Ссылаться на параметры можно с помощью других сервисов AWS, таких как Amazon Elastic Container Service (ECS), AWS Lambda и AWS CloudFormation.

Вопрос. Почему следует использовать хранилище параметров AWS Systems Manager?
Секретные и конфигурационные данные рекомендуется хранить отдельно от кода. Хранилище параметров AWS Systems Manager можно использовать для быстрого сохранения конфигурации и служебной информации с возможностью последующих ссылок на нее. Вместо хранения данных в файлах конфигурации или их передачи в виде простого текста можно хранить и получать эту информацию в приложениях или скриптах. Кроме того, сервис позволяет управлять списком пользователей, имеющих доступ к параметрам, чтобы предоставить доступ к информации только соответствующей группе.

Вопрос. Как хранятся конфиденциальные данные?
Защищенные строки – это любые конфиденциальные данные, которые необходимо сохранять и передавать с соблюдением правил безопасности. Если у пользователя есть данные, которые не следует передавать в виде обычного текста, или доступ к данным, которые могут быть использованы во вред или не по назначению, необходимо использовать защищенные строки в хранилище параметров AWS Systems Manager. Конфиденциальные данные можно зашифровать с помощью собственного ключа AWS KMS или пользовательского ключа по умолчанию, предоставленного AWS KMS.

Вопрос. Какие сервисы могут ссылаться на мои параметры?
Параметры могут запрашивать такие сервисы AWS, как Amazon ECS, AWS Lambda и AWS Systems Manager, а также любые сервисы, которые могут обращаться к API хранилища параметров AWS Systems Manager.

Вопрос. Можно ли отслеживать использование отдельных параметров и управлять доступом к ним?
Да. Можно установить точный контроль доступа с помощью персонализированных прав для пользователей и ресурсов (например, инстансов), осуществляющих доступ к параметрам, с помощью AWS IAM. Это позволяет управлять списком пользователей, осуществляющих доступ к определенным параметрам определенного ресурса. Кроме того, можно настроить правила событий Amazon CloudWatch Events на основе событий изменения параметров. Дополнительно можно отслеживать и выполнять аудит вызовов API параметров с помощью AWS CloudTrail.

Вопрос. Можно ли отслеживать изменения параметров?
Да, можно просматривать историю изменений параметров. Кроме того, можно использовать версии, номера которых автоматически появляются при изменении, чтобы посмотреть значение конкретного параметра в зависимости от версии.

Вопрос. Можно ли хранить иерархически структурированные данные как параметры?
Да, для хранения параметров можно использовать иерархическую структуру. Кроме того, на всех уровнях иерархии можно контролировать и проверять доступ.

Вопрос. Поддерживается ли отправка уведомлений при изменении значений параметров?
Да, можно настроить оповещения Amazon CloudWatch и Amazon Simple Notification Service (SNS) для отдельных значений параметров и получать оповещения при их изменении.

Вопрос. В чем разница между Secrets Manager и хранилищем параметров в AWS Systems Manager?
AWS Secrets Manager – это сервис централизованного управления жизненным циклом используемых в компании конфиденциальных данных, который обеспечивает ротацию, возможности аудита и управление доступом. Secrets Manager помогает обеспечить соответствие нормативным требованиям, а также требованиям безопасности, с помощью автоматической ротации конфиденциальных данных. Secrets Manager предлагает встроенную интеграцию с MySQL, PostgreSQL и Amazon Aurora в Amazon RDS, которую можно расширить на другие типы конфиденциальных данных, настроив для этого соответствующие функции Lambda.

Хранилище параметров в AWS Systems Manager предоставляет безопасное иерархическое хранилище для управления данными конфигурации, которые могут включать в себя конфиденциальные данные. Такие данные, как команды подключения к базам данных, пароли и лицензионные коды, могут храниться в виде значений параметров с возможностью аудита и управления доступом. Хранимые значения могут представлять собой простой текст или зашифрованные данные. На эти значения можно ссылаться, используя уникальное имя соответствующего параметра. На параметры Systems Manager можно ссылаться для создания скриптов стандартного конфигурирования и автоматизации, которые затем можно использовать во многих сервисах AWS, например в Amazon ECS или AWS CloudFormation.

Вопрос. Когда следует использовать Secrets Manager, а когда – хранилище параметров?
Если требуется единое хранилище для конфигурации и конфиденциальных данных, можно использовать хранилище параметров в AWS Systems Manager. Если же требуется выделенное хранилище конфиденциальных данных с системой управления жизненным циклом, следует предпочесть Secrets Manager. Хранилище параметров предоставляется бесплатно, но имеет ограничение в 10 000 хранимых параметров. Более подробную информацию см. на странице цен на Secrets Manager.

Вопрос. Есть ли разница в моделях безопасности, используемых в Secrets Manager и хранилище параметров?
Нет. И Secrets Manager, и хранилище параметров в AWS Systems Manager одинаково безопасны. Оба сервиса поддерживают шифрование при хранении с использованием пользовательских ключей KMS. Подробные сведения об использовании KMS для хранилища параметров см. в Руководстве по KMS для разработчиков, в разделе, посвященном использованию AWS KMS для хранилища параметров.

Вопрос: Можно ли использовать Secrets Manager вместе с хранилищем параметров?
Да. Можно ссылаться на данные, хранимые в Secrets Manager, с помощью хранилища параметров.

Вопрос: Что такое расширенные параметры?
Расширенные параметры обеспечивают дополнительные возможности, например хранение более 10 000 параметров, увеличенный размер значения параметра (до 8 КБ) и политики параметров, такие как уведомления об окончании срока действия и об отсутствии изменений. Политика окончания срока действия обеспечивает возможность указать дату и время окончания срока действия. Политика уведомления об отсутствии изменений помогает отслеживать параметры, которые не изменились за указанный период времени. Цена на расширенные параметры устанавливается за размер хранилища за месяц и за взаимодействие с API. Подробнее см. на странице цен.

Вопрос: Возможна ли конвертация между стандартными и расширенными параметрами?
Стандартный параметр можно в любой момент конвертировать в расширенный. Расширенные параметры нельзя конвертировать в стандартные. Если дополнительные возможности расширенного параметра больше не нужны или вы больше не желаете оплачивать такой параметр, необходимо удалить расширенный параметр, а затем создать новый стандартный параметр.

Вопрос: Можно ли увеличить пропускную способность API для хранилища параметров?
Да. Для пропускной способности API можно задать более высокий лимит на вкладке настроек хранилища параметров. Лимит пропускной способности API применяется для каждого региона в каждом аккаунте. За повышение лимита пропускной способности взимается плата. Подробнее см. на странице цен. Если повышенная пропускная способность вам больше не нужна, можно в любой момент сбросить лимит на вкладке «Настройки».

Вопрос. Что представляет собой Автоматизация менеджера систем AWS?
Автоматизация менеджера систем AWS упрощает выполнение стандартных задач по обслуживанию, развертыванию и устранению неполадок для таких сервисов AWS, как Amazon EC2, Amazon RDS, Amazon Redshift, Amazon S3 и многих других, позволяя кодифицировать операции с помощью руководств по эксплуатации. Благодаря малокодовому визуальному конструктору Автоматизации менеджера систем можно создавать собственные руководства по эксплуатации, в которых указан определенный список задач, или использовать стандартные руководства по эксплуатации AWS. Эти руководства по эксплуатации можно запускать непосредственно из Консоли управления AWS, с помощью интерфейса командной строки или SDK, планировать в окне обслуживания либо запускать при установке изменений в ресурсах на AWS, а также в многооблачных и гибридных средах с помощью Событий Amazon CloudWatch. Можно отслеживать выполнение каждого шага в руководствах по эксплуатации, а также требовать подтверждение для каждого шага. Кроме того, можно постепенно развертывать новые изменения и автоматически останавливать развертывание при возникновении ошибок.

Вопрос. Какие задачи можно автоматизировать?
Автоматизировать можно все задачи, при выполнении которых требуется взаимодействие с ресурсами на AWS и локальными ресурсами. Встроенные типы действий обеспечивают простое взаимодействие с инстансами Amazon EC2, стеками AWS CloudFormation и т. д. С помощью типов действий можно вызывать команду Run в Менеджере систем AWS, скрипты PowerShell или Python, а также функции AWS Lambda.

Вопрос. Существуют ли преднастроенные руководства по эксплуатации Автоматизации менеджера систем AWS?
Существует более 370 преднастроенных руководств по эксплуатации Менеджера систем AWS, с помощью которых можно выполнить целый ряд задач, в том числе добавление «золотых» образов AMI, установку исправлений на инстансы Amazon EC2, управление состояниями инстансов и т. д.

Вопрос. Поддерживается ли создание собственных руководств по эксплуатации Автоматизации менеджера систем AWS?
Вы можете создавать свои собственные руководства по эксплуатации с помощью малокодового визуального конструктора из консоли. С помощью визуального конструктора вы можете сосредоточиться на определении бизнес-логики ваших руководств по эксплуатации, используя простой интерфейс перетаскивания и не беспокоясь о синтаксисе предметного языка. Однако если вы предпочитаете программировать свои руководства по эксплуатации, у визуального конструктора также есть редактор кода, поддерживающий JSON или YAML. Кроме того, можно использовать руководства по эксплуатации Автоматизации менеджера систем AWS, доступ к которым предоставили другие аккаунты, и предоставлять другим аккаунтам доступ к своим руководствам.

Вопрос. Может ли Автоматизация менеджера систем AWS помочь с процессом утверждения?
Да. В руководства по эксплуатации Автоматизации менеджера систем AWS можно включать встроенные типы действий по утверждению. В качестве подтверждающих лиц могут выступать один или несколько пользователей AWS IAM. Исполнение руководства по эксплуатации приостанавливается до тех пор, пока не будет получено или отклонено минимальное количество требуемых утверждений, после чего работа продолжится в соответствии с полученными результатами.

Вопрос. Можно ли применять руководства по эксплуатации Автоматизации менеджера систем AWS ко всей группе ресурсов?
Да. Вы можете указать группы ресурсов и исполнить руководства по эксплуатации Автоматизации менеджера систем AWS для определенных типов ресурсов. Кроме того, можно указать средства контроля безопасности, чтобы задать количество ресурсов в группе, которые можно обрабатывать одновременно, а также добавить пороговые значения ошибок, при достижении которых исполнение руководства по эксплуатации будет остановлено.

Вопрос. Можно ли настроить пошаговое исполнение руководства по эксплуатации Автоматизации менеджера систем AWS?
Да. Вы можете настроить для руководства по эксплуатации Автоматизации менеджера систем AWS исполнение всей схемы сразу или режим исполнения вручную, в котором каждый шаг запускается отдельной командой.

Вопрос. Можно ли запускать исполнение руководства по эксплуатации Автоматизации менеджера систем AWS по расписанию или на основании других событий?
Да. Можно запланировать запуск руководства по эксплуатации Автоматизации менеджера систем AWS в ответ на События Amazon CloudWatch, а также использовать Окна обслуживания или Менеджер состояния Менеджера систем AWS для запуска руководства по эксплуатации по расписанию. С помощью Событий Amazon CloudWatch можно также запускать выполнение руководства по эксплуатации в зависимости от изменений в ваших ресурсах на AWS, а также в многооблачных и гибридных средах.

Вопрос. Как указать ссылку на скрипт в руководстве по эксплуатации автоматизации?
Существуют два метода, которые позволяют выполнить скрипт в схеме автоматизации. Вы можете включить нужный скрипт как один из шагов руководства по эксплуатации. Также скрипт можно добавить в виде приложения к руководству по эксплуатации и выполнять его по ссылке из шага руководства.

Вопрос. Можно ли использовать в руководстве по эксплуатации автоматизации несколько скриптов?
Да. Вы можете добавить к руководству по эксплуатации автоматизации несколько скриптов и выполнять их по ссылке из шага руководства. Скрипты можно передавать в руководство по эксплуатации в виде файлов или папок. Поддерживаются также зависимости скриптов, то есть вызов дополнительных скриптов из скрипта, если все эти скрипты входят в одно руководство по эксплуатации. К руководствам по эксплуатации можно присоединять и другие артефакты, необходимые для выполнения скриптов, например шаблоны CloudFormation или модели бессерверных приложений (SAM).

Вопрос. Какие скриптовые языки поддерживаются для шага скрипта в руководстве автоматизации? 
Автоматизация поддерживает PowerShell Core и Python3. Предварительно загружается среда Python с Boto (через API-интерфейсы AWS). При использовании визуального конструктора для создания руководств по эксплуатации можно выполнять сканирование безопасности скриптов Python. Сканирование безопасности позволяет выявить уязвимости в коде и предложить способы их устранения для повышения безопасности кода. Сканирование безопасности осуществляется на основе инструмента тестирования безопасности Amazon CodeGuru. В настоящее время доступна предварительная версия поддержки автоматизации сканирования с помощью инструмента тестирования безопасности CodeGuru.

Вопрос. Какие существуют требования к скрипту, включаемому в шаг скрипта?
Сервис автоматизации поддерживает указание входных данных для руководства по эксплуатации. Требуемые для скрипта входные параметры можно получать из входных параметров руководства по эксплуатации автоматизации, из выходных данных предыдущего шага или из других источников в среде выполнения, например из баз данных. Выходные данные скрипта будут доступны для потребления в формате объекта JSON в следующих шагах схемы. Для передачи выходных данных в пределах руководства по эксплуатации можно использовать существующие функции автоматизации, например ссылки на выходные данные шага, переменные автоматизации или параметры в хранилище Менеджера систем.

Вопрос. Что такое окно обслуживания AWS Systems Manager?
AWS Systems Manager позволяет планировать периоды времени для выполнения административных задач и технического обслуживания на инстансах. Благодаря этому можно выбрать удобное и безопасное время для установки исправлений и обновлений, а также для внесения изменений в конфигурацию, чтобы повысить доступность и надежность сервисов и приложений.

Вопрос. Почему следует использовать окна обслуживания AWS Systems Manager?
Окна обслуживания AWS Systems Manager позволяют повысить доступность и надежность рабочих нагрузок за счет автоматизированного выполнения заданий в четко указанный период времени, что значительно снижает негативный эффект от любых эксплуатационных или инфраструктурных сбоев.

Вопрос. Какие задачи можно выполнять с помощью окон обслуживания AWS Systems Manager?
Ниже приведены примеры задач, которые можно выполнять.

• Установка приложений и новых пакетов исправлений, установка или обновление агентов AWS Systems Manager, выполнение команд PowerShell и скриптов оболочки Linux.
  
• Создание образов Amazon Machine Image (AMI), начальная загрузка программного обеспечения и конфигурирование инстансов.
  
• Выполнение функций AWS Lambda, которые вызывают дополнительные действия, например проверку, не требуется ли обновить исправления для инстансов.
  
• Запуск конечных автоматов AWS Step Functions, которые выполняют такие задачи, как удаление инстанса из среды Elastic Load Balancing (ELB), установка исправлений для инстанса и затем повторное добавление инстанса в среду ELB.
  
  

Вопрос. Выполнение задач каких типов можно запланировать в течение окна обслуживания AWS Systems Manager?
Можно создать и запланировать выполнение любой команды запуска в AWS Systems Manager, документа AWS Systems Manager Automation, конечных автоматов AWS Step Functions или функций AWS Lambda в качестве задач.

Вопрос. Какие типы расписания можно выбрать для периодов обслуживания AWS Systems Manager?
Периоды обслуживания AWS Systems Manager можно запланировать на повторяющуюся дату (например, еженедельно по вторникам в 22:00:00 или в первое воскресенье каждого месяца в 22:00:00). Расписание можно задать с помощью выражений cron или rate.

Вопрос. Что такое соответствие требованиям для конфигурации AWS Systems Manager?
AWS Systems Manager позволяет сканировать управляемые инстансы и проверять соответствие требованиям для исправлений, а также выявлять несоответствия конфигураций. Сервис позволяет собирать и агрегировать данные из различных аккаунтов и регионов AWS, а потом подробно анализировать конкретные ресурсы, в которых обнаружены несоответствия. По умолчанию AWS Systems Manager отображает сведения об исправлениях и ассоциациях. Кроме того, при необходимости можно настраивать сервис и создавать собственные типы соответствия требованиям. 

Вопрос. Можно ли отслеживать изменения конфигурации с течением времени?
Интеграция с AWS Config позволяет осуществлять мониторинг соответствия требованиям для инстанса с необходимой конфигурацией с помощью правил AWS Config. Данная возможность позволяет экспертам по безопасности и аудиторам в сфере соответствия требованиям получить полный журнал аудита изменений конфигурации инстанса, а также настроить упреждающие уведомления при несоответствии требованиям.

Вопрос. Как можно отслеживать уровень соответствия требованиям для инстансов?
AWS Systems Manager позволяет просматривать информацию о соответствии требованиям для выполненных исправлений, которая также содержит подробные сведения о процессе их установки. Таким образом, можно легко получить агрегированную информацию о соответствии требованиям по каждому инстансу. Кроме того, можно пойти дальше и определить установленные, отсутствующие и неприменимые исправления для каждого из инстансов, а также исправления, которые не удалось установить.

Вопрос. Поддерживается ли создание собственных проверок на соответствие требованиям?
Да. Можно создавать собственные типы соответствия требованиям и записывать их посредством API. В зависимости от потребностей бизнеса можно создавать собственные проверки и затем регистрировать соответствие требованиям через AWS Systems Manager для отслеживания инстансов, не соответствующих требованиям. Кроме того, можно синхронизировать данные ресурсов и просматривать информацию о соответствии требованиям по различным аккаунтам и регионам.

Вопрос. Что такое реестр AWS Systems Manager?
AWS Systems Manager собирает информацию об инстансах и установленном на них программном обеспечении, что упрощает понимание конфигурации системы и установленных приложений. Собирать данные можно о приложениях, файлах, сетевых конфигурациях, сервисах Windows, регистрах, ролях серверов, обновлениях, а также о любых других свойствах системы. Благодаря объединенным данным можно управлять ресурсами приложений, отслеживать лицензии и целостность файлов, обнаруживать приложения, которые не были установлены с помощью традиционного установщика, и т. д.

Вопрос. Можно ли собирать настраиваемую информацию с инстанса Amazon EC2 или локального инстанса?
Да, можно создавать настраиваемые типы реестра и собирать дополнительные сведения о свойствах системы. Такой сбор можно выполнять с помощью самого инстанса или записывать с помощью API. В качестве примера можно привести результаты работы PowerShell или других приложений в формате JSON, а также информацию, которая статически хранится в файлах JSON, например информацию уровня стойки.

Вопрос. Как отслеживать изменения конфигурации с течением времени?
AWS Config позволяет осуществлять мониторинг соответствия требованиям для инстанса с заданной конфигурацией с помощью правил AWS Config. Данная возможность позволяет экспертам по безопасности и аудиторам в сфере соответствия требованиям получить полный журнал аудита изменений конфигурации инстанса, а также настроить упреждающие уведомления при несоответствии требованиям.

Вопрос. Можно ли просматривать данные реестров в нескольких аккаунтах или регионах AWS, а также выполнять запросы к таким данным?
Да, сервис позволяет синхронизировать данные реестров из нескольких аккаунтов и регионов в одну корзину Amazon S3. После этого можно выполнять запросы к данным из разных аккаунтов и регионов с помощью Amazon Athena, Amazon QuickSight или собственных инструментов бизнес-аналитики.

Вопрос. Можно ли выполнять анализ данных реестра и визуализировать их?
Да, в дополнение к встроенной панели управления реестром можно выполнять расширенный анализ и визуализацию данных реестра с помощью Amazon Athena или Amazon QuickSight.

Вопрос. Что такое Session Manager?
Session Manager – это полностью управляемый сервис, предоставляющий интерактивную оболочку на основе браузера и функции интерфейса командной строки. Этот сервис обеспечивает безопасное контролируемое управление инстансами без необходимости открывать входящие порты, обслуживать бастион-хосты и управлять ключами Secure Shell (SSH). Session Manager помогает обеспечить соблюдение корпоративных политик, требующих контролируемого доступа к инстансам, повысить безопасность и подконтрольность доступа к инстансам и предоставить конечным пользователям удобный доступ к инстансам с любой платформы.

Вопрос. Каковы преимущества использования Session Manager?
Session Manager повышает уровень вашей безопасности, поскольку вам не требуется открывать входящие порты или обслуживать ключи/сертификаты SSH для ваших инстансов. Кроме того, сервис обеспечивает централизованный доступ к инстансам с помощью AWS IAM. После включения Session Manager можно подключиться к любому инстансу EC2 в Linux или Windows и отслеживать действия любого пользователя, запускающего сеанс на каждом из инстансов. Можно контролировать, какие пользователи и когда осуществляли доступ к инстансу при работе с AWS CloudTrail, а также фиксировать каждую команду, выполняемую в инстансе, в Amazon S3 и Amazon CloudWatch Logs. Более того, выбирая Session Manager, вы избавляетесь от необходимости вкладывать средства в обслуживание и эксплуатацию бастион-хостов.

Вопрос. Кому следует использовать Session Manager?
Любому клиенту AWS, который хочет повысить уровень безопасности и подконтрольность операций, снизить операционные издержки путем централизации контроля доступа к инстансам, а также уменьшить входящий доступ к инстансам. Специалистам по информационной безопасности, которым необходимо контролировать и отслеживать доступ к инстансам и действия с инстансами, закрывать входящие порты в инстансах или наладить подключение к инстансам без общедоступного IP. Администраторам, которым необходимо централизованно предоставлять и отзывать доступ, а также предоставить пользователям единое решение для работы с инстансами в Windows и Linux. И, наконец, с помощью Session Manager операторы могут быстро приступить к работе: для запуска сеанса достаточно нажать одну кнопку в браузере, а затем выбрать инстанс; кроме того, можно воспользоваться интерфейсом командной строки, предоставлять ключи SSH при этом не нужно.

Вопрос. Какие функции предоставляет Session Manager?
Можно запускать сеанс с инстансом EC2 в Linux или Windows с консоли управления AWS, из интерфейса командной строки AWS CLI и с помощью любого другого пакета AWS SDK. Можно предоставлять и отзывать доступ пользователей к инстансам, используя разрешения на основе тегов из AWS IAM, а затем проверять, кто запускал и закрывал сеансы, с помощью AWS CloudTrail. Все действия, выполняемые с инстансом, можно фиксировать в Amazon S3 или Amazon CloudWatch Logs для дальнейшего анализа.

Вопрос. Сколько стоит работа с сервисом Session Manager?
Session Manager предоставляется бесплатно для управления инстансами Amazon EC2.

Вопрос. Как начать работу с сервисом?
Быстрее всего начать работу с Session Manager можно из Консоли управления AWS. Включить Session Manager можно парой нажатий клавиш. Дополнительные сведения см. в документации по началу работы.

Вопрос. Требуется и использовать AWS Systems Manager Agent для работы с Session Manager?
Да. Для начала работы с Session Manager требуется использовать новейшую версию SSM Agent. SSM Agent – это программное обеспечение с открытым исходным кодом, доступное на GitHub.

Вопрос. Можно ли включить ведение журнала для всех действий аккаунта?
Да. Чтобы включить ведение журнала для всех действий аккаунта, необходимо задать параметры Session Manager.

Вопрос. Что представляет собой запуск команд в AWS Systems Manager?
AWS Systems Manager предоставляет безопасное и защищенное удаленное управление инстансами в нужном масштабе без необходимости входа на серверы и устраняет необходимость в узлах-бастионах, SSH или удаленной платформе PowerShell. Этот сервис предлагает простой способ автоматизации административных операций с группами инстансов, в том числе внесение изменений в регистр, управление пользователями, а также установку программного обеспечения и исправлений. Интеграция с AWS IAM позволяет использовать подробные разрешения для управления действиями пользователей на всех инстансах. Все действия Systems Manager записываются сервисом AWS CloudTrail, что позволяет просматривать изменения в рамках используемой среды.

Вопрос. Есть ли в сервисе предварительно настроенные команды?
Да. Сервис предлагает предварительно настроенные команды, предназначенные для автоматизации стандартных административных задач. Для Windows доступен запуск команд и скриптов в PowerShell или Shell, настройка конфигурации обновлений Windows, развертывание приложений MSI и многое другое. Для Linux доступен запуск команд и скриптов Shell и удаленное обновление установленного агента. Кроме того, можно создавать пользовательские команды для выполнения стандартных задач, которые требуются в конкретной среде.

Вопрос. Можно ли вносить в среду пакетные изменения?
Да. Можно выполнять операции с большими группами инстансов, используя запросы на основе тегов. Задав количество инстансов, операции с которыми можно выполнять одновременно, и пороговые значения ошибок, можно безопасно вносить изменения в свои среды.

Вопрос. Можно ли контролировать права на выполнение команд?
Да. С помощью опубликованных разрешений и политик AWS IAM можно указать, кому будет предоставлен доступ и права на запуск команд и документов на конкретных инстансах, выполнив запрос на основе тега. Например, пользователю IAM можно разрешить запускать команды в PowerShell, но запретить объединять инстансы в домены. Другому пользователю IAM можно разрешить запускать только определенные команды, например на перезапуск сервисов. Это позволяет гибко регулировать уровень доступа любого пользователя.

Вопрос. Что представляет собой менеджер состояний в AWS Systems Manager?
AWS Systems Manager предоставляет управление конфигурациями, что помогает обеспечить единообразие конфигураций инстансов Amazon EC2 или локальных инстансов. С помощью Менеджера систем можно управлять конфигурационной информацией, например конфигурациями серверов, антивирусными определениями, параметрами брандмауэра и т. д. Кроме того, сервис позволяет задавать политики конфигураций для серверов из Консоли управления AWS или использовать существующие скрипты, модули PowerShell или схемы Ansible прямо в GitHub или корзинах Amazon S3. Systems Manager автоматически применяет конфигурации ко всем инстансам в заданное время и с заданной частотой. Чтобы просмотреть состояние конфигураций инстансов, можно в любой момент выполнить запрос к Systems Manager, который позволяет просматривать состояния соответствия требованиям по запросу.

Вопрос. Почему следует использовать менеджер состояний в AWS Systems Manager?
Обеспечение единообразия инфраструктуры, на базе которой работает приложение, представляет собой достаточно сложную задачу. AWS Systems Manager позволяет создавать политики, повторно применять эти политики, чтобы предотвратить возникновение отклонений в конфигурации, и осуществлять мониторинг предполагаемого состояния.

Вопрос. Как создаются политики?
Политики можно просто создать с помощью документов AWS Systems Manager. Кроме того, доступны предопределенные конфигурации, которые можно использовать для установки приложений, присоединения инстансов к домену и т. д.

Вопрос. Какие целевые объекты можно конфигурировать?
Сервис позволяет использовать в качестве целевых объектов инстансы или теги. Это означает, что появляется возможность указать отдельные конфигурации для групп инстансов, например для веб-серверов.

Вопрос. Можно ли использовать существующие инструменты управления конфигурациями совместно с менеджером состояний AWS Systems Manager?
Да. AWS предоставляет предопределенные документы Менеджера систем AWS для запуска руководств по эксплуатации Ansible или Salt States, и на инстансах можно использовать PowerShell DSC совместно с Менеджером состояния Менеджера систем AWS, чтобы предотвратить нежелательные изменения конфигурации. Кроме того, можно запускать любые сценарии конфигурации из частного или публичного репозитория GitHub.

Вопрос. Что представляет собой менеджер исправлений в AWS Systems Manager?
AWS Systems Manager помогает автоматически выбирать и развертывать исправления операционной системы и программного обеспечения на больших группах инстансов Amazon EC2 или локальных инстансов. В наборах исправлений можно задавать правила автоматического утверждения установки исправлений, относящихся к избранным категориям, например исправлений операционной системы или исправлений высокой степени серьезности. Кроме того, можно определить список исправлений, которые имеют приоритет над этими правилами и утверждаются или отклоняются автоматически. Сервис также позволяет планировать окна обслуживания, чтобы исправления применялись только в заданное время. Systems Manager позволяет убедиться в том, что программное обеспечение находится в актуальном состоянии и соответствует требованиям политик.

Вопрос. Как можно указать время установки исправления инстанса?
Время установки исправления можно указать с помощью окна обслуживания AWS Systems Manager. AWS Systems Manager предоставляет возможность определить один или несколько повторяющихся периодов времени, в течение которых можно производить обслуживание. За счет определения этих периодов и установления связи между ними и инстансами можно гарантировать, что мероприятия по техническому обслуживанию инстансов, способные повлиять на доступность рабочих нагрузок, выполняются в четко указанные периоды времени.

Вопрос. Как настроить процесс установки исправлений?
AWS Systems Manager предлагает полностью автоматизированный процесс установки исправлений. Процесс установки исправлений можно настроить, написав собственную команду или документ автоматизации AWS Systems Manager.

Вопрос. Исправления каких типов можно устанавливать?
AWS Systems Manager поддерживает установку исправлений для инстансов на основе Windows и Linux. Перечень поддерживаемых версий см. в документации.

Вопрос. Как выбрать исправления для установки?
Базовые комплекты исправлений содержат набор утвержденных или отклоненных исправлений для инстансов. Исправления в наборе можно выбирать по продукту (например, Windows Server 2008, Windows Server 2012 и т. д.), категории (например, критические обновления, обновления компонентов безопасности и т. д.) и степени важности, по которой будет проводиться утверждение исправлений для развертывания. Для каждой из выбранных категорий можно задать расписание, по которому будет автоматически утверждаться развертывание связанных исправлений. Помимо правил можно также указать белый и черный список исправлений, в которых будут находиться устанавливаемые или заблокированные исправления соответственно. При установке исправлений AWS Systems Manager выполнит оценку целевых инстансов с учетом утвержденных исправлений на момент времени.

Вопрос. Как можно отслеживать уровень соответствия требованиям для инстансов?
Можно просматривать информацию о соответствии требованиям для исправлений, которая также содержит подробные сведения о процессе их установки. Консоль управления AWS Systems Manager или API позволяют просто получить агрегированную информацию о соответствии требованиям по каждому инстансу. Кроме того, можно пойти дальше и определить установленные, отсутствующие или неприменимые исправления для каждого из инстансов, а также исправления, которые не удалось установить.

Вопрос. Что такое AWS Systems Manager Distributor?
Distributor – это компонент AWS Systems Manager, позволяющая безопасно хранить и распределять пакеты программного обеспечения в вашей организации. Distributor можно использовать с существующими компонентами Systems Manager, такими как Run Command и State Manager, для управления жизненным циклом пакетов, которые выполняются в ваших инстансах.

Вопрос. Каковы преимущества использования компонента Distributor?
Distributor помогает масштабировать развертывание программных пакетов, обеспечивая стандартизацию распространения пакетов. Используя Distributor с AWS Systems Manager Run Command и State Manager, вы устраняете необходимость в создании и обслуживании собственных инструментов для распространения и установки пакетов. Distributor также упрощает управление пакетами ПО благодаря использованию централизованного репозитория для всех ваших пакетов. Distributor поддерживает использование политик IAM, обеспечивая полный контроль над тем, кто может создавать и обновлять пакеты. Distributor также помогает обеспечить безопасное распространение пакетов ПО, поскольку пакеты шифруются в месте хранения, а обмен всеми данными между Distributor и вашим инстансом подписывается и шифруется.

Вопрос. Кто должен использовать Distributor?
Любой клиент AWS, который регулярно занимается распространением пакетов ПО и нуждается в надежном способе масштабирования инструментов управления пакетами, централизованном репозитории для пакетов или желает устранить необходимость в требующих самостоятельного обслуживания инструментах распределения, должен обратить свое внимание на Distributor. Distributor будет полезен ИТ-специалистам, которым требуется контролировать, кто может создавать или обновлять пакеты программного обеспечения и какие версии предоставляются тому или иному аккаунту AWS.

Вопрос. Сколько стоит использование Distributor?
Сведения о ценах на Distributor можно найти на странице Цены на Systems Manager.

Вопрос. Как начать работу с сервисом?
С помощью консоли управления AWS включить Distributor можно несколькими нажатиями. См. дополнительные сведения в документации Начало работы.

Вопрос. Требуется ли использовать SSM Agent для работы с Distributor?
Да. Для начала работы с Distributor требуется использовать новейшую версию SSM Agent. SSM Agent представляет собой решение с открытым исходным кодом, который можно посмотреть на GitHub. SSM Agent также по умолчанию устанавливается в Amazon Linux, Amazon Linux 2, Windows и AMI-образах Ubuntu.