一般問題
問:什麼是 AWS Systems Manager?
AWS Systems Manager 可讓您集中化來自多個 AWS 服務的操作資料,並且自動化您在 AWS 與多雲端和混合式環境中的資源之間的任務。您可以建立資源 (如應用程式、應用堆疊的不同層) 的邏輯群組,或者比對生產環境與開發環境。使用 Systems Manager,您可以選擇資源群組並檢視其最近的 API 活動、資源設定變更、相關通知、運作提醒、軟體庫存及修補程式合規狀態。您也可以依據運作需求,針對每一資源群組採取行動。Systems Manager 提供集中的位置讓您檢視並管理您在 AWS 與多雲端和混合式環境中的資源,讓您能夠取得完整的可見度,並掌控營運情況。
問:哪些人應該使用 AWS Systems Manager?
如果您使用多項 AWS 服務,AWS Systems Manager 可提供集中式的一致方式,讓您收集營運見解及處理例行管理任務。您可以使用 AWS Systems Manager 執行例行操作、追蹤開發、測試和生產環境,以及對事件或其他營運事件主動採取行動。AWS Systems Manager 可為您所使用專為開發人員設計的工具提供操作補充,例如程式碼編輯器和整合式開發環境 (IDE)。與 IDE 類似,AWS Systems Manager 整合各種操作工具。
問:如何開始使用?
AWS Systems Manager 入門很簡單。使用 AWS 管理主控台,導覽到 AWS Systems Manager 主控台。您可以使用簡易標籤查詢建立資源群組,然後開始探索 AWS Systems Manager 提供的整合式操作工具集合。
問:AWS Systems Manager 支援哪些作業系統?
AWS Systems Manager 經過優化,可透過單一且一致的體驗管理 Windows 與 Linux 平台。如需關於管理內部部署系統的詳細資訊,請參閱文件。
問:AWS Systems Manager 是否能管理於內部部署執行的執行個體?
是,AWS Systems Manager 支援在內部部署資料中心、混合式和其他雲端環境以及邊緣執行之執行個體的管理作業。如需詳細資訊,請參閱 AWS Systems Manager 先決條件。
問:如何使用 AWS Systems Manager 管理 AWS IoT Greengrass 裝置?
Systems Manager 讓您能夠管理 AWS IoT Greengrass 裝置,以及 Amazon Elastic Compute Cloud (EC2) 執行個體和內部部署伺服器。若要開始使用,請參閱為邊緣裝置設定 AWS Systems Manager。
問:AWS Systems Manager 如何協助管理 Amazon EC2 執行個體和內部部署伺服器?
AWS Systems Manager 提供可在執行個體或伺服器內執行動作的代理器。這個代理器完全採用開放原始碼,可於 GitHub 取得。
問:是否可以在不使用公有 IP 地址的情況下,從我的 VPC 以私有方式存取 AWS Systems Manager API?
是,您可以透過建立 VPC 端點,從 VPC (使用 Amazon Virtual Private Cloud 建立) 以私有方式存取 AWS Systems Manager API。使用 VPC 端點,AWS 網路會處理 VPC 和 AWS Systems Manager 之間的路由,無須使用網際網路閘道、NAT 閘道或虛擬私有網路 (VPN) 連接。AWS Systems Manager 使用的最新一代 VPC 端點採用 AWS PrivateLink 技術,這項技術可使用彈性網路介面 (ENI) 搭配 VPC 的私有 IP 地址啟用 AWS 服務間的私有連線。若要進一步了解 PrivateLink,請參閱 PrivateLink 文件。
問:哪些區域提供 AWS Systems Manager?
想了解 AWS Systems Manager 的區域可用性,請參閱 AWS 區域表。
問:我可以透過 AWS Systems Manager 收集哪些形式的見解?
AWS Systems Manager 會覆疊多項 AWS 服務的資訊。這些跨服務見解會顯示在多個原生儀表板。AWS Systems Manager 也內嵌 Amazon CloudWatch 儀表板,可讓您重複使用現有的儀表板或建置新的儀表板。
問:內建的見解有哪些?
AWS Systems Manager 內建見解包括透過 AWS CloudTrail 的近期 API 呼叫儀表板、AWS Config 的近期組態變更、執行個體軟體庫存清單、執行個體修補程式合規檢視,以及執行個體組態合規檢視。您可以篩選這些帳戶級見解,以反映特定資源群組的成員。這些儀表板也會顯示 AWS Personal Health Dashboard 的近期事件日誌,以及 AWS Trusted Advisor 的最佳化建議。
問:什麼是受管執行個體?
受管執行個體是任何可以使用 AWS Systems Manager 管理的現場部署伺服器或 Amazon EC2 執行個體。受管執行個體可以是內部部署資料中心或甚至其他雲端供應商的實體伺服器或虛擬機器。
問:如何設定受管執行個體?
您可以將 EC2 執行個體設定為受管執行個體,方法是安裝 Systems Manager 代理程式,然後將 AWS Identity and Access Management (IAM) 執行個體描述檔連接至執行個體,以提供 Systems Manager 許可對您的執行個體執行動作。如要在 Amazon EC2 外部註冊伺服器或虛擬機器,可建立啟用。
問:是否有些作業系統已經包含 Systems Manager 代理程式?
Systems Manager 代理程式預設安裝在 AWS Windows AMI、Amazon Linux AMI,而且包含在 Amazon Linux 儲存庫中。您也可以在其他支援的作業系統安裝代理器。
問:什麼是 AWS Systems Manager 啟用?
AWS Systems Manager 啟用可啟用混合式和跨雲端管理功能。使用 AWS Systems Manager 啟用,您可以輕鬆註冊任何伺服器,讓 AWS Systems Manager 管理實體或虛擬伺服器。
問:如何使用 AWS Systems Manager 啟用註冊執行個體?
您可以從 AWS Systems Manager 主控台或 API 建立 AWS Systems Manager 啟用,以取得啟用代碼和 ID。只要使用這組啟用代碼和 ID,即可在您的伺服器執行命令,向 Systems Manager 註冊伺服器。
問:什麼是 AWS Systems Manager 文件?
AWS Systems Manager 文件可以程式碼的形式啟用組態,以管理大量資源。AWS Systems Manager 文件定義了一系列動作,可讓您遠端管理執行個體、確保所需的狀態及自動化操作。AWS Systems Manager 文件是跨平台的,可用於 Windows 和 Linux 執行個體。
問:我可以在哪裡使用 AWS Systems Manager 文件?
您可以搭配執行命令、狀態管理員或自動化功能使用 Systems Manager 文件。
問:是否有預先定義的 AWS Systems Manager 文件?
是。您可從多種預先定義的 AWS Systems Manager 文件選擇以自動化常見任務,包括收集庫存、安裝應用程式、將執行個體加入網域、執行個體操作、收集指標等。
問:如何建立自有 AWS Systems Manager 文件?
您可以從 AWS Systems Manager 主控台或 API 使用 JSON 或 YAML 編寫 AWS Systems Manager 文件,以符合定義的文件結構描述。
問:AWS Systems Manager SLA 提供哪些保證?
我們的 AWS Systems Manager SLA 保證 AWS Systems Manager 計費功能每月正常執行時間百分比至少可達 99.9%。
問:如何知道我是否符合 SLA 服務抵扣的資格?
根據 AWS Systems Manager SLA,如果在任一個月帳單週期內 AWS Systems Manager 定價功能的每月正常執行時間百分比低於 99.9%,您就符合 AWS Systems Manager 的 SLA 抵扣資格。
如需 SLA 所有條款與條件的完整詳細資訊,以及如何提交索賠的詳細資訊,請參閱 AWS Systems Manager SLA 詳細資訊頁面。
問:是否可將我的 ServiceNow 和 Jira Service Desk 執行個體連接到 AWS Systems Manager?
是。適用於 ServiceNow 和 Jira Service Desk 的 AWS 服務管理連接器 (之前稱為 AWS Service Catalog Connector) 可讓 ServiceNow 和 Jira Service Desk 最終使用者經由 ServiceNow 以原生方式管理及操作您在 AWS 與多雲端和混合式環境中的資源。ServiceNow 和 Jira Service Desk 使用者可在內含 AWS Service Management Connector 的 ServiceNow 和 Jira Service Desk 上使用 AWS Systems Manager 流暢執行自動化執行手冊。這簡化了面向 ServiceNow 和 Jira Service Desk 使用者的 AWS 產品請求操作,並提供對 AWS 產品的管理和監督。
ServiceNow Store 中免費提供適用於 ServiceNow 的 AWS Service Management Connector。這項新功能在提供 AWS Service Catalog 的所有 AWS 區域皆可使用。如需詳細資訊,請瀏覽文件。
Atlassian Marketplace 中免費提供適用於 Jira Service Desk 的 AWS Service Management Connector。這項新功能在提供 AWS Service Catalog 的所有 AWS 區域皆可使用。如需詳細資訊,請瀏覽文件。
問:如何在 AWS 中以圖形方式管理 Windows 執行個體?
AWS Systems Manager 為 Windows 提供了一種以主控台為基礎的全新管理體驗。您可以透過遠端桌面通訊協定 (RDP) 使用完整的圖形介面,透過 Systems Manager Fleet Manager 輕鬆設定與 Windows 執行個體的連線並管理 Windows 執行個體。RDP 透過 Fleet Manager 主控台中的幾個簡單步驟連線至您的 Windows 伺服器,提供對您的伺服器或以伺服器為基礎的應用程式的存取。您無需安裝額外的軟體,設定額外的伺服器,或開啟對執行個體連接埠的直接入站存取。Fleet Manager 主控台可讓您直接在單一瀏覽器視窗中並排檢視、互動和切換多個伺服器,而無需在索引標籤之間來回切換。與其他 Fleet Manager 功能一樣,以主控台為基礎的 Windows 管理可用於 EC2 和其他環境 (如內部部署和其他雲端) 中的受管執行個體。除了對 RDP 的以憑證為基礎的標準存取之外,您還可以選擇使用 AWS IAM Identity Center 和受支援的身分供應商 (例如 Okta、Ping 和 OneLogin) 來獲得一鍵式登入體驗,從而無需加入網域。
問:如何存取以主控台為基礎的 Windows 管理?
使用 Fleet Manager 在 AWS Systems Manager 中存取以主控台為基礎的 Windows 管理體驗。除了現有的工作階段管理器選項外,執行個體操作下拉式按鈕下還有一個以主控台為基礎的 RDP 選項。
問:AWS Systems Manager 是否會管理在內部部署、混合式環境、其他雲端環境和邊緣執行的執行個體?
是。AWS Systems Manager 支援在內部部署資料中心、混合式和其他雲端環境以及邊緣執行的執行個體之管理作業。如需詳細資訊,請參閱 AWS Systems Manager 先決條件。
Explorer
問:什麼是 AWS Systems Manager Explorer?
AWS Systems Manager Explorer 是可自訂的操作儀表板,適用於您在 AWS 與多雲端和混合式環境中的資源。Explorer 會顯示來自各個 AWS 帳戶與區域的操作資料彙總檢視畫面。您可藉由 Explorer 提供的背景資訊了解操作問題在各業務單位或應用程式的分佈情況、問題在一段時間內的變化,以及不同問題類別的差異。
問:什麼是 OpsData?
OpsData 是由 Explorer 儀表板顯示的操作資料。OpsData 來自不同的來源,包含 EC2、OpsCenter 以及修補程式管理員。您可以在 Explorer 設定頁面檢視和管理 OpsData 來源。
問:Explorer 和 OpsCenter 有何關係?
Explorer 顯示的其中一種資料是來自 OpsCenter 的 OpsItems。OpsItems 可以協助您管理、調查和修正操作問題。Explorer 提供 OpsItems 的彙總檢視畫面,還有跨帳戶和區域的其他相關操作資料。您還可以透過 OpsCenter 管理及修復 OpsItem。
問:如何檢視所有帳戶和區域中的 OpsData?
透過從 Explorer 設定頁面來設定資源資料同步,可以檢視跨帳戶和區域的 OpsData。資源資料同步功能會從已指定的帳戶和區域收集所有 OpsData,並在單一檢視畫面中顯示彙總資料。
問:我何時使用 AWS Systems Manager 和 AWS Security Hub?
AWS Systems Manager 是 AWS 的營運中樞,可讓您輕鬆地管理雲端和混合基礎架構。使用 Systems Manager,您可以在集中的位置診斷和解决與您在 AWS 與多雲端和混合式環境中的資源相關的操作問題 (使用 Systems Manager OpsCenter),並且在 AWS 帳戶和區域之間查看操作資料的儀表板 (使用 Systems Manager Explorer)。安全和合規專業人士以及 DevOps 工程師使用 AWS Security Hub 持續監控和提升其 AWS 帳戶和資源的安全狀態。大多數客戶都會將安全問題 (例如,Amazon S3 儲存貯體可公開存取或在 Amazon EC2 執行個體上偵測到加密貨幣挖礦) 和操作問題 (例如,利用率過低的 Amazon Redshift 執行個體或利用率過高的 Amazon EC2 執行個體) 分開,因為安全問題是敏感的,且通常具有不同的存取需求。因此,他們使用 Security Hub 來了解、管理和修復安全問題,使用 Systems Manager 來了解、管理和修復操作問題。我們也建議您使用 Security Hub 來獲得更專業的安全狀態視圖。
當同一工程師同時處理安全和操作問題時,它可以協助將其合併到一個位置。您可以透過選擇將問題清單傳送至 Systems Manager OpsCenter 和 Explorer 來實現這一點,其中,工程師可以使用 Systems Manager Automation Runbook 調查和修復安全問題以及操作問題。
OpsCenter
問:什麼是 AWS Systems Manager OpsCenter?
OpsCenter 是 Systems Manager 的功能,提供集中的位置讓營運工程師、IT 專業人員和其他人可檢視、調查及解決與其環境相關的操作問題。OpsCenter 旨在縮短受影響的 AWS 和混合雲端資源的平均解決時間 (MTTR)。OpsCenter 會彙總和標準化稱為 OpsItem 的營運相關問題,同時提供可協助診斷和修復的關聯式相關資料。資訊包含組態變更、AWS CloudTrail 日誌、資源描述、AWS CloudWatch 警示、相關 OpsItem 和相關資源。您可以從任何資源使用我們的公有 API 建立 OpsItem,或使用與 Amazon CloudWatch Events 整合的 OpsItem。 這表示您可以將 CloudWatch 設定為自動針對發佈事件至 CloudWatch Events 的任何 AWS 服務建立 OpsItem。
您可以利用手動或自動組態建立以下 OpsItem 類型:
- 資源失敗,例如 Amazon EC2 Auto Scaling 群組無法啟動執行個體或 Systems Manager Automation 執行失敗
- 資源效能問題,例如 Amazon DynamoDB 的調節事件或 Amazon EBS 磁碟區效能降級
- 各個 AWS 服務的運作狀態提醒,例如 Amazon Relational Database Service (RDS) 執行個體或 EC2 執行個體的排定維護
- AWS Security Hub 安全提醒
- 資源狀態變更,例如 Amazon EC2 執行個體狀態從執行中變更為停用
- 需要有人留意的任何其他工作項目
問:什麼是 OpsItem?
OpsItem 是 AWS 資源相關的操作事件,需要使用者的注意,也可能需要調查和解決。它可能是資源相關的故障、維護通知、安全提醒或效能問題。OpsItem 包含有助於調查和解決基礎事件的相關資訊,例如受影響的資源、過去類似的事件和建議的操作說明。常見的 OpsItem 包括 EC2 執行個體 CPU 使用率高、AWS CodeDeploy 部署失敗,或 EC2 自動化執行失敗等情況。
問:使用 OpsCenter 的好處有哪些?
OpsCenter 讓使用者能夠縮短 MTTR,某些情況下可減少超過 50%。OpsCenter 能夠在單一位置針對各種資源標準化和彙總操作問題 (OpsItem)。此外,它將關聯式資訊與調查和修復問題所需的操作工具集合在一起。這可減少工程師瀏覽不同工具取得相關資訊所需的時間。不僅如此,從單一位置作業也能將發生人為錯誤的機率降到最低,同時縮短新進工程師的培訓時間。
問:OpsCenter 適合哪些人使用?
針對基礎設施所需而使用多個 AWS 服務的中型到大型企業可運用 OpsCenter 管理其日常操作。此外,受管服務供應商 (MSP) 合作夥伴也可在代表其他 AWS 客戶管理基礎設施時使用 OpsCenter。MSP 客戶可擁有唯讀角色,以便更清楚了解 MSP 的日常操作。
此服務的主要使用者為營運工程師,例如 DevOps 工程師和 IT 服務台專業人員。
問:OpsCenter 與案例管理系統有何不同?
OpsCenter 旨在補充您現有案例管理系統的不足之處。您可使用公有 API 動作,將 OpsCenter 整合到現有的案例管理系統。此外,您也可以在目前的系統中維護手動生命週期工作流程,並將 OpsCenter 做為調查和修復中心使用。
問:OpsCenter 的費用為何?
可以在 AWS Systems Manager 定價頁面上找到 OpsCenter 的定價。
問:如何開始使用 OpsCenter?
在 AWS Systems Manager 主控台按幾下即可開啟 OpsCenter。
問:OpsCenter 是否需要使用 AWS Systems Manager Agent?
您不需要透過 Systems Manager Agent 即可開始使用 OpsCenter。
Incident Manager
問:什麼是 Incident Manager?
Incident Manager 可協助您透過自動回應計劃應對各種事件。回應計劃執行 Runbook 動作,追蹤事件更新,以及啟用基於聊天的協作,同時自動通知相關人員給予回應。
問:什麼是回應計劃?
回應計劃描述要通知的連絡人 (例如值班應用程式團隊),以及為回應警示 (或一組警示) 要遵循的一系列程序,以進行調查和緩解。程序中的步驟 (可以手動或自動) 可作為 Systems Manager Automation 文件呈現。
問:什麼是事件?
事件是任何計劃外的中斷或服務品質降低。回應計劃控制根據 Amazon CloudWatch 警示或 Amazon EventBridge 事件自動啟動事件的方式。您還可以在 Incident Manager 中手動啟動事件。
問:什麼是分析?
分析是與事件 (或一組事件) 繫結的記錄的事件後文件。分析由多個區段組成:文字摘要、關鍵事件和指標的時間表、引導作者完成事件後分析程序的一系列問題,以及待改進的操作動作項目清單。
問:Incident Manager 如何提供有關事件的訊息?
Incident Manager 使用設定的回應計劃,按次序通知所需的連絡人 (需要時上報至下一個連絡人)。連絡人可代表裝置 (例如共用的電話號碼),或代表依順序顯示裝置清單的人員。Incident Manager 支援 SMS、語音通話、電子郵件和 Slack 通知 (透過 AWS Chatbot)
問:Incident Manager 如何與其他的 AWS 服務搭配使用?
藉由 Incident Manager,您可以在 Amazon CloudWatch 警示或 Amazon EventBridge 事件偵測到關鍵問題時自動採取動作。Incident Manager 立即執行預先設定的回應計劃,使用 AWS Chatbot 透過簡訊、電話、連結指定的聊天通道與應急人員互動,並執行 AWS Systems Manager Automation Runbook。Incident Manager 主控台與 AWS Systems Manager OpsCenter 整合,協助您從一個集中位置追蹤事件和事件後動作項目,該位置還與熱門第三方事件管理工具同步,例如 Jira Service Desk 和 ServiceNow。
問:如何開始使用 Incident Manager?
若要開始使用,請從 AWS 主控台選取 Incident Manager,或導覽至 AWS Systems Manager,以在左側導覽窗格的「操作管理」下找到。
問:Incident Manager 是否可用於多個帳戶和 AWS 區域?
是。Incident Manager 使用 Resource Access Manager 跨成員帳戶分享事件、回應計劃以及連絡人。可使用 AWS Organizations 個別選取或識別成員帳戶。Incident Manager 還可提供跨區域事件複寫,以實現更高可用性。
CloudWatch 儀表板
問:什麼是 Amazon CloudWatch 儀表板?
透過 Amazon CloudWatch 儀表板,您可以建立可重複使用的儀表板,讓您在單一位置監控您在 AWS 與多雲端和混合式環境中的資源。指標資料保留期間為十五個月,供您檢視最新資料及歷史資料。
問:如何將 Amazon CloudWatch 儀表板與 AWS Systems Manager 整合?
現有的 CloudWatch 儀表板現在可直接透過 AWS Systems Manager 存取。您也可以直接從 Systems Manager 建立新的 CloudWatch 儀表板。您可以使用 CloudWatch 儀表板建置自訂的營運儀表板以反映應用程式元件、應用程式層的運作狀態,或營運擁有權的一般區域。
Application Manager
問:什麼是 AWS Systems Manager Application Manager?
AWS Systems Manager Application Manager 可協助 DevOps 工程師調查和修復應用程式背景資訊中他們在 AWS 與多雲端和混合式環境中的資源之問題。
問:如何開始使用 Application Manager?
若要開始使用 AWS Systems Manager Application Manager,請前往 AWS Systems Manager 主控台,並在左側導覽窗格中瀏覽至應用程式管理類別。選擇 Application Manager 連結即可開始使用。
問:Application Manager 如何與其他的 AWS 服務搭配使用?
AWS Systems Manager Application Manager 已與多項 AWS 服務整合,包括用於監控的 Amazon CloudWatch、用於稽核的 AWS CloudTrail、用於追蹤基礎架構組態變更的 AWS Config,用於佈建 CloudFormation 堆疊的 AWS CloudFormation 以及執行手冊自動化等其他 AWS Systems Manager 功能。
問:Application Manager 中的應用程式是什麼?
在 AWS Systems Manager Application Manager 中,應用程式代表以一個單位運作的資源邏輯群組。邏輯群組可能包括商業應用程式、營運商的擁有權邊界,或是模擬或生產等開發人員環境。
問:Application Manager 如何探索應用程式?
您可以使用現有機制 (如標記、資源群組和 AWS CloudFormation 堆疊定義) 來探索 AWS Systems Manager Application Manager 中的應用程式。
問:Application Manager 是否可用來執行操作任務,或是只能檢視資料?
您可以在 AWS Systems Manager Application Manager 中執行操作任務及檢視資料。除了檢視操作資料之外,您也可透過啟動 Runbook 來使用應用程式資源修復操作問題。 您還可以管理 AWS CloudFormation 範本並將其佈建至 CloudFormation 堆疊。
問:Application Manager 是否可以處理分佈在不同帳戶和 AWS 區域的應用程式?
您目前只能使用 AWS Systems Manager Application Manager 處理單一 AWS 帳戶和區域內的應用程式。
問:是否可以在 Application Manager 中編輯應用程式?
您可以在 AWS Systems Manager Application Manager 內編輯應用程式。佈設應用程式後,您可從該應用程式新增或刪除新的資源群組或 CloudFormation 堆疊。此外,Application Manager 會自動在個別服務主控台中反映對各應用程式所做的任何變更。
問:Application Manager 與 AWS Systems Manager 主控台中的資源群組有何不同?
AWS Systems Manager Application Manager 是以 AWS Systems Manager 主控台中的現有資源群組功能為基礎,可提供特定應用程式的背景與操作資訊,例如警示、OpsItem 和執行手冊日誌等。為佈設應用程式,Application Manager 不僅會將資源群組做為其中一種來源建構使用,還會使用 Launch Wizard 和 CloudFormation 堆疊等其他建構。
問:我要使用 AWS CloudFormation 堆疊來佈建每個應用程式的基礎設施。Application Manager 是否與 CloudFormation 堆疊整合?
AWS Systems Manager Application Manager 與 CloudFormation 堆疊整合。若要從 Application Manager 主控台開始使用,請選擇代表應用程式的堆疊並開始管理。您可以檢視堆疊詳細資訊 (如事件、參數和資源),也可以集中檢視 Application Manager 在堆疊背景資訊中提供的所有操作資料。 此外,您可以從 Application Manager 主控台授權、存放、版本設定、驗證、共用和佈建 CloudFormation 範本。您可以將範本佈建至新的或現有的 CloudFormation 堆疊,並追蹤指定的堆疊目前使用的範本版本。
問:我目前使用標記解決方案來管理應用程式資源。為什麼應該使用 Application Manager?
使用 AWS Systems Manager Application Manager 佈設應用程式後,您可使用標籤做為相關條件以將資源分組成應用程式。Application Manager 可協助您檢視群組及子群組階層內的所有資源,然後在群組和子群組層級檢視操作資料並執行操作動作。
問:Application Manager 是否與 Amazon Elastic Kubernetes Service (Amazon EKS) 和 Amazon Elastic Container Service (Amazon ECS) 整合?
AWS Systems Manager Application Manager 與 Amazon EKS 和 Amazon ECS 整合,可提供容器叢集的運作狀態資訊,以及呈現叢集中資源的元件執行期。您可以為叢集中的資源建立 OpsItem 及檢視相關資訊,然後使用 Runbook 快速修復資源問題。
AppConfig
問:什麼是 AWS AppConfig?
AWS AppConfig 是 AWS Systems Manager 的一項功能,可讓您在任何大小的應用程式中快速驗證並推出組態,無論是否以受控制和受監控的方式,在 Amazon EC2 執行個體、容器、AWS Lambda 函數、行動應用程式或 IoT 裝置上託管。AWS AppConfig 使您能夠驗證組態資料,在將其部署至應用程式之前,確認根據定義在語法和語義上正確無誤。AWS AppConfig 在監測錯誤的同時會以您定義的速度推出組態,使您能夠遵循部署最佳實務。若出現錯誤,AWS AppConfig 可回復變更,盡可能地減少對應用程式使用者的影響。
問:哪些人應該使用 AWS AppConfig?
AWS AppConfig 專為系統管理員、DevOps 團隊和開發人員設計,他們希望以受管和受監控的方式在其各個應用程式中推出組態變更,類似於他們管理程式碼的方式,但無需在組態值變更時部署程式碼,進而有助於減少服務中斷的風險。AWS AppConfig 適用於具有目標 (主機、伺服器、AWS Lambda 函數、容器、行動裝置、IoT 裝置等) 的任何規模或類型的公司或組織。
問:什麼是組態?
組態是應用程式在執行時用來修改其行為的一個或多個應用程式設定集合。您可將組態存放為 AWS Systems Manager 文件或參數。
問:什麼是驗證程式?
驗證程式是 AWS AppConfig 所使用的結構描述或指向 AWS Lambda 函數的指標,讓您能根據定義測試組態在語法或語義上是否正確。
問:什麼是部署策略?
部署策略是指示組態資料如何傳播至應用程式的計劃。部署策略包括用於定義組態推出速度的控管措施、應在不同時間間隔接收更新組態的應用程式執行個體百分比,以及 AWS AppConfig 應監控整個應用程式的時間量,以協助您確保組態變更不會帶來不利的影響。
問:AWS AppConfig 與 AWS CodeDeploy 有何不同?
應用程式組態是影響應用程式行為且不需要編譯的資料;組態是一種抽象概念,可在執行時變更。例如,我們可以填入組態值至特定的日期和時間來控制功能的發布。如需變更值,例如變更為新的日期和時間,則管理員可變更組態值,而無需進行編譯,且應用程式會在執行時套用新組態。應用程式組態和程式碼均應包括安全機制,以防止生產環境中出現錯誤。我們建議您在部署新組態時使用 AWS AppConfig 來套用安全機制,而在部署新程式碼時則使用 AWS CodeDeploy。
問:何時該使用 AWS Systems Manager Parameter Store,而何時該使用 AWS AppConfig?
AWS Systems Manager 參數存放區是一項功能,可以存放、檢索和管理機密或純文字組態值。參數存放區的常見使用案例包括將資料庫字串和授權程式碼儲存為參數值。如需以自我管理的方式存放和檢索值,即應使用參數存放區。AWS AppConfig 是一項應用程式組態管理服務,可讓您在執行時間安全地將更新的組態發佈至應用程式,並允許您將組態儲存為參數。如需建模一組複雜的應用程式組態,讓您可在受控的環境中安全地驗證和部署這些應用程式組態,並且能在特定條件下回復變更,此時應使用 AWS AppConfig。
問:AWS AppConfig 與 AWS Config 有何不同?
AWS Config 可讓您評定、稽核和評估 AWS 資源的組態,而 AWS AppConfig 則可讓您管理應用程式組態。您應使用 AWS Config 來取得帳戶中 AWS 資源組態的詳細視圖,並確定資源過去的設定方式,以及組態隨時間的變化。AWS AppConfig 適用於在 AWS 資源或內部部署伺服器上執行的應用程式。透過 AWS AppConfig,您可驗證應用程式組態中的變更並設定部署策略,以在執行時安全地將更新的組態部署至應用程式。
參數存放區
問:什麼是 AWS Systems Manager Parameter Store?
AWS Systems Manager 提供一個集中的存放區用於管理您的組態資料,無論其為純文字 (例如資料庫字串) 或私密文字 (例如密碼)。這樣您就可以將程式碼中的密碼與組態資料分開。您可以標記參數並組織為分層結構,以便更輕鬆地管理參數。例如,您可以將相同的參數名稱 "db-string" 用在不同的分層結構路徑 ("dev/db-string" 或 "prod/db-string"),以存放不同的值。Systems Manager 已與 AWS Key Management Service (KMS) 整合,可讓您自動加密存放的資料。您還能使用 AWS Identity and Access Management (IAM) 控制參數的使用者和資源存取。您可以透過 Amazon Elastic Container Service (ECS)、AWS Lambda 和AWS CloudFormation 等其他 AWS 服務參考參數。
問:為什麼要使用 AWS Systems Manager Parameter Store?
這是將組態資料和密碼與程式碼分開存放的最佳實務。您可以使用 AWS Systems Manager Parameter Store 快速存放及參考組態與敏感資訊。您不需將資料存放於設定檔或以純文字參考這些資料,而是在應用程式或指令碼中存放及取得相關資訊。另外,您可以控制哪些人可存取參數,只有擁有權限的使用者可以存取相關資訊。
問:要如何存放敏感的資訊?
安全字串是只需要存放並以安全方式參考的所有敏感資料,如果您不希望使用者以純文字參考您的資料,或存取可能遭到竄改或誤用的資料,您應使用 AWS Systems Manager Parameter Store 中的安全字串。您可以使用自己的 AWS KMS 金鑰或 AWS KMS 提供您的使用者帳戶預設金鑰,為您的敏感資料加密。
問:我可以在哪些服務參考我的參數?
您可以輕鬆地在 AWS 服務 (如 Amazon ECS、AWS Lambda、AWS Systems Manager) 或任何您使用 AWS Systems Manager Parameter Store API 的服務中參考參數。
問:我是否能追蹤使用情形並為特定參數提供存取控制?
是。您可以透過自訂許可為使用者與資源 (例如執行個體) 提供精細的存取控制,並使用 AWS IAM 提供參數存取, 這表示您可以控制哪些人可以存取哪個資源上的哪個參數。您也能根據參數變更事件設定 Amazon CloudWatch Events 規則。另外,您也可以使用 AWS CloudTrail 追蹤與稽核參數 API 呼叫。
問:是否可追蹤參數變更?
是,您可以查看參數變更的歷史記錄。您還能使用在發生變更時自動實作的版本,根據版本查詢特定參數值。
問:是否可將分層結構資料以參數形式存放?
是,您可以使用分層結構存放參數,還能控制及稽核每一層結構的存取。
問:是否可在參數值變更時收到通知?
是,您可以針對個別參數值設定 Amazon CloudWatch 和 Amazon Simple Notification Service (SNS) 通知,並在發生變更時接收相關通知。
問:Secrets Manager 和 Parameter Store 有什麼不同?
AWS Secrets Manager 是一項服務,集中管理在您組織中使用之機密的生命週期,包括輪換、稽核和存取控制。Secrets Manager 透過讓您自動輪換機密,協助您滿足安全性和合規需求。Secrets Manager 在 Amazon RDS 針對 MySQL、PostgreSQL 和 Amazon Aurora 提供內建整合,可透過自訂 Lambda 函數擴展到其他機密類型。
AWS Systems Manager Parameter Store 針對包括機密在內的組態資料管理提供安全的階層式儲存。像是資料庫連線字串、密碼和授權碼等資料都可以參數值的形式存放,而且可以進行稽核和存取控制。存放的值可以是純文字或加密資料。然後您可以使用參數的唯一名稱參考各個值。您可以參考 Systems Manager 參數以建立一般組態和自動化指令碼,在 Amazon ECS 和 AWS CloudFormation 等 AWS 服務使用。
問:我應該使用 Parameter Store 還是 Secrets Manager?
如果希望使用單一存放區來存放組態和機密,可使用參數存放區。如果希望使用含有生命週期管理的專用機密存放區,則使用 Secrets Manager。使用參數存放區無須額外費用,限制為 10,000 個參數。如需詳細資訊,請參閱 Secrets Manager 定價頁面。
問:Parameter Store 和 Secrets Manager 的安全模型是否有所不同?
不,Secrets Manager 和參數存放區一樣安全。兩種服務都支援透過客戶擁有的 KMS 金鑰靜態加密。如需 Parameter Store 如何使用 KMS 的詳細資訊,請參閱 KMS 開發人員指南,了解 Parameter Store 如何使用 AWS KMS。
問:Secrets Manager 是否可與 Parameter Store 搭配使用?
是。您可以使用 Parameter Store 參考 Secrets Manager 機密。
問:什麼是進階參數?
進階參數可提供增強的功能,例如:存放 10,000 多個參數、較大的參數值大小 (高達 8 KB),以及過期和無變更通知等參數政策。過期政策可以指定過期日期和時間。無變更通知政策可協助您追蹤指定期限內任何未變更的參數。進階參數按每月的儲存和每次 API 互動計費。請參閱定價頁面了解詳細資訊。
問:是否可在標準和進階參數類型之間轉換?
標準參數可隨時轉換成進階參數。進階參數無法轉換成標準參數。如果您不再需要進階參數的增強功能或不想再產生該參數的費用,必須刪除該進階參數,然後建立新的標準參數。
問:是否可提高 Parameter Store 的 API 輸送量?
是,可以透過參數存放區設定標籤提高 API 輸送量的限制。會依區域和帳戶套用 API 輸送量限制。提高輸送量限制會產生費用。請參閱定價頁面了解詳細資訊。如果您不再需要提高輸送量,可以在「設定」標籤隨時重設限制。
Change Manager
問:什麼是 AWS Systems Manager Change Manager?
AWS Systems Manager Change Manager 是一項變更管理功能。有了 Change Manager,您可以請求對應用程式組態和基礎設施進行操作變更,同時也可核准、實作和回報這類變更。Change Manager 會採用預先核准的變更工作流程與自動化核准項目,簡化變更程序。這項功能與 AWS Systems Manager Automation 整合,可協助您進行變更,直接將實作與變更請求相結合。Change Manager 也與 AWS Systems Manager Change Calendar 和 Amazon CloudWatch 整合,前者可在特定期間封鎖變更,後者則可根據警示自動復原變更。您可以透過 Change Manager 檢視整個組織的變更內容,進而找出待核准的變更並稽核已完成的變更結果。
問:使用 Change Manager 的好處有哪些?
您可利用 AWS Systems Manager Change Manager 提高應用程式組態和基礎設施變更的安全性並改善控管機制,藉此降低服務中斷風險。Change Manager 也可追蹤必要核准及僅實作核准的變更,讓您更安全地進行操作變更。最後,Change Manager 還可讓您以一致的方式記錄和稽核整個組織的變更內容、變更的目的以及這些變更的核准者與實作者,進而改善問責機制。
問:什麼是變更請求?
您可以使用 AWS Systems Manager Change Manager 為每個要進行的操作變更建立變更請求。變更請求可包含變更內容的相關資訊,例如目的、要使用的 Runbook,以及所有指定的復原程序。變更請求也有助於提交、核准、實作與完成等生命週期事件按照時間表順利執行。
問:什麼是變更範本?
變更範本定義變更請求必須完成的核准工作流程,而每個變更請求均是透過特定變更範本建立。您可以利用主控台或 API 建立變更範本,也可以要求所有變更範本必須先經過審查並通過核准,才能用來建立變更請求。這些範本也可用來建立一般變更類型 (如標準、主要、次要和緊急變更) 模型,或是更具體的變更類型 (如修補和輪換憑證)。
問:Change Manager 的費用為何?
您可以在 AWS Systems Manager 定價頁面上找到 AWS Systems Manager Change Manager 的定價。
問:如何開始使用 Change Manager?
在 AWS Systems Manager 主控台按幾下即可開啟 AWS Systems Manager Change Manager。
問:Change Manager 是否可用於多個帳戶和 AWS 區域?
AWS Systems Manager Change Manager 可協助您使用 AWS Organizations 管理多個 AWS 帳戶和區域的操作變更。您可以在組織中將某個帳戶指定為委派管理員。委派帳戶後,即可請求對多個 AWS 帳戶和區域進行變更,同時也可核准、實作及檢視這類變更。如需進一步了解,請參閱使用者指南。
問:是否可以使用單一登入身分核准變更請求?
AWS Systems Manager Change Manager 與 AWS IAM Identity Center 整合,可讓您輕鬆使用現有身分來源管理操作變更。
自動化
問:什麼是 AWS Systems Manager Automation?
自動化是 AWS Systems Manager 的功能,可讓您使用執行手冊編寫操作,從而簡化 Amazon EC2、Amazon RDS、Amazon Redshift、Amazon S3 等 AWS 服務的常見維護、部署和修復工作。使用 Systems Manager Automation 的低程式碼視覺化設計工具,您可以建立自訂執行手冊,以指定特定任務清單,或使用 AWS 建立的預先定義執行手冊。您可透過 AWS 管理主控台、CLI、SDK 直接執行這些執行手冊、將這些文件排程在維護時段中,或是透過 Amazon CloudWatch Events 根據對於您在 AWS 與多雲端和混合式環境中的資源之變更來觸發這些文件。您可以追蹤執行手冊中每個步驟的執行情況,並針對每個步驟要求核准。此外,您還可以逐步推出變更以及在發生錯誤時自動停止。
問:我可以自動化哪些任務?
您可以自動化任何涉及與 AWS 和內部部署資源互動的任務。內建的動作類型可讓您輕鬆與 Amazon EC2 執行個體、AWS CloudFormation 堆疊等項目互動。動作類型能夠調用 AWS Systems Manager 執行命令、Python 和 PowerShell 指令碼,以及 AWS Lambda 函數。
問:是否有預先定義的 AWS Systems Manager Automation 執行手冊?
共有超過 370 個預先定義的 AWS Systems Manager 執行手冊,您可以執行以完成各式各樣的任務,如預製黃金 AMI、修補 Amazon EC2 執行個體、管理執行個體狀態等。
問:是否可以建立自己的 AWS Systems Manager Automation 執行手冊?
您可以從主控台使用 Automation 的低程式碼視覺設計工具,建立自訂執行手冊。 藉助視覺設計工具,您可以專注於使用簡單的拖放介面來定義執行手冊的業務邏輯,而無需擔心特定域的語言語法。但是,如果您更喜歡編寫自己的執行手冊,視覺設計工具還有一個支援 JSON 或 YAML 的程式碼編輯器。此外,您還可以使用其他帳戶共享的 AWS Systems Manager Automation 執行手冊,以及與他人共享您的執行手冊。
問:AWS Systems Manager Automation 是否可協助進行核准程序?
是。內建的核准動作類型可以包含在 AWS Systems Manager Automation 執行手冊中。 核准者可以是一或多位 AWS IAM 使用者。執行手冊會等到收到或拒絕最低數量的必要核准後才會進行適當的處理。
問:是否可以對整個資源群組執行 AWS Systems Manager Automation 執行手冊?
是。您可以指定資源群組並針對特定資源類型執行 AWS Systems Manager Automation 執行手冊。您也可以指定安全控制功能,指出群組中應同時執行的資源數量,以及新增錯誤閾值來停止執行手冊的執行。
問:是否可以一次執行所有 AWS Systems Manager Automation 執行手冊步驟?
是。您可以選擇一次執行整個 AWS Systems Manager Automation 執行手冊,或選擇手動執行模式以一次執行一個步驟。
問:是否可以依照排程或根據其他事件觸發 AWS Systems Manager Automation 執行手冊執行?
是。您可以排定 AWS Systems Manager Automation 執行手冊執行以 Amazon CloudWatch Events 目標的形式觸發,或者您可以使用 AWS Systems Manager Maintenance Windows 或 AWS Systems Manager State Manager 依照排程觸發執行手冊的執行。您也可以透過 Amazon CloudWatch Events,根據對於您在 AWS 與多雲端和混合式環境中的資源之變更來觸發執行手冊的執行。
問:使用者如何在 Automation 執行手冊指定指令碼?
在 Automation 中有兩種方法可用來執行指令碼。您可以加入指令碼,並將其內嵌為執行手冊中的步驟。或是,將指令碼新增為執行手冊的附件,並透過執行手冊步驟的參考來執行它們。
問:Automation 執行手冊是否支援多個指令碼?
是。您可以將多個指令碼附加到 Automation 執行手冊,並從步驟參考指令碼。指令碼可上傳到執行手冊作為檔案或資料夾。只要所有指令碼都屬於相同的執行手冊,就能支援指令碼相依性,也就是讓指令碼呼叫其他指令碼。指令碼執行所需的其他成品,例如 CloudFormation 或 Serverless Application Model (SAM) 範本也可連接至執行手冊。
問:針對指令碼步驟,Automation 支援哪些指令碼語言?
Automation 支援 PowerShell 核心和 Python3。 預載的環境為 Python 搭配 Boto (以 AWS API 預載)。使用視覺設計工具編寫執行手冊時,您可以對 Python 指令碼執行安全性掃描。 安全掃描可識別程式碼中的安全漏洞,並提出修正建議以提高程式碼的安全性。 安全掃描由 Amazon CodeGuru 安全工具提供支援。 對 CodeGuru 安全工具掃描的自動化支援目前處於預覽階段。
問:針對指令碼步驟,指令碼的需求為何?
Automation 支援為執行手冊指定的輸入。指令碼所需的參數可以 Automation 執行手冊輸入參數和前一步驟的輸出形式收集,或在執行期從其他來源 (例如資料庫) 收集。指令碼輸出可作為 JSON 物件供後續步驟取用。現有的 Automation 功能,例如參照步驟輸出、Automation 變數和 Systems Manager Parameter Store 參數,可用在執行手冊中傳遞輸出以供取用。
維護時段
問:什麼是 AWS Systems Manager 維護時段?
AWS Systems Manager 可讓您排定對執行個體執行管理和維護任務的時段,以確保您能夠選擇方便且安全的時間安裝修補程式和更新,或是進行其他組態變更,藉此提升服務和應用程式的可用性及可靠性。
問:為什麼要使用 AWS Systems Manager 維護時段?
AWS Systems Manager 維護時段有助於提升工作負載的可用性與可靠性,因為它可在明確定義的時段自動執行作業,大幅降低任何作業或基礎設施故障所帶來的影響。
問:我可以使用 AWS Systems Manager 維護時段執行哪些任務?
您可以執行下列任務:
- 安裝應用程式、更新修補程式、安裝或更新 AWS Systems Manager 代理器,或是執行 PowerShell 命令和 Linux shell 指令碼。
- 建置 Amazon Machine Image (AMI)、引導軟體和設定執行個體。
- 執行 AWS Lambda 函數來觸發其他動作,例如掃描執行個體找出修補程式更新。
- 執行 AWS Step Functions 狀態機器來執行將執行個體從 Elastic Load Balancing (ELB) 環境移除、修補執行個體、然後將執行個體加回 ELB 環境等任務。
問:我可以在 AWS Systems Manager 維護時段排定哪些類型的任務?
您可以建立及排定任何 AWS Systems Manager 執行命令執行、AWS Systems Manager Automation 文件執行、AWS Step Functions 或 AWS Lambda 函數做為任務。
問:我可以選擇哪些類型的排程用於 AWS Systems Manager 維護時段?
AWS Systems Manager 維護時段可排程重複的日期 (例如每週二的 22:00:00 或每個月第一個星期日的 22:00:00)。您可以使用 cron 或 rate 表達式定義排程。
Fleet Manager
問:什麼是 AWS Systems Manager Fleet Manager?
您可以使用 AWS Systems Manager Fleet Manager 簡化遠端伺服器管理程序。Fleet Manager 有助於您輕鬆管理在 AWS 和內部部署環境中執行的伺服器機群,並解決相關問題。您無需從遠端連線到虛擬機器,即可深入探索個別伺服器以執行各種系統管理任務,包括磁碟和檔案探索、日誌管理、Windows 登錄檔操作及使用者管理。
問:為什麼應該使用 Fleet Manager?
AWS Systems Manager Fleet Manager 可透過下列方式簡化遠端伺服器管理程序:
- 您可藉由 Fleet Manager 的集中化圖形使用者界面 (GUI),輕鬆管理在 AWS 和內部部署環境中執行的伺服器機群。
- Fleet Manager 適用於各種作業系統 (OS)。您可以使用 Fleet Manager 在 Windows、Linux 和 Mac 型伺服器上執行常用的 OS 操作。
- 有了 Fleet Manager,您可以選擇預先建置的自動化 Runbook 或使用自己的自動化 Runbook,透過 Systems Manager 主控台順暢執行這類 OS 操作。
問:Fleet Manager 提供哪些功能?
AWS Systems Manager Fleet Manager 提供的下列功能可協助您遠端管理伺服器:
- 檔案系統與日誌探索:使用 Systems Manager 主控台瀏覽伺服器上的磁碟、資料夾和檔案 (包括以檔案為基礎的日誌)。
- 效能計數器監控:監控常見的伺服器效能指標,例如 CPU 使用率、網路流量、磁碟使用情況和記憶體使用率。
- Windows 事件管理:檢視 Windows 事件日誌並解決相關問題,無需另外安裝代理程式。
- 使用者和群組管理:檢視擁有伺服器存取權限的使用者和/或群組清單,並變更其權限。
- 登錄檔操作:檢視及修改 Windows 伺服器的登錄檔值。
問:Fleet Manager 可以用來管理哪些環境類型?
您可以在多個 AWS 和內部部署環境中使用 AWS Systems Manager Fleet Manager 來管理 Windows、Linux 與 Mac 型虛擬機器。
問:如何開始使用 Fleet Manager?
開始使用 AWS Systems Manager Fleet Manager 的最快方法,就是使用 AWS 管理主控台。只需按幾下即可開啟 Fleet Manager。有關其他詳細資訊,請參閱入門文件。
問:使用 Fleet Manager 的費用是多少?
在 AWS 上執行的伺服器皆可使用 AWS Systems Manager Fleet Manager,無需額外付費。如果您是使用 AWS Systems Manager Agent 管理內部部署執行個體,則需依據公開定價付費。
合規
問:什麼是 AWS Systems Manager 組態合規?
AWS Systems Manager 可讓您掃描受管執行個體,以找出修補程式合規和組態不一致。您可以從多個 AWS 帳戶和區域收集並彙總資料,然後深入檢視不合規的特定資源。根據預設,AWS Systems Manager 會顯示與修補和關聯相關的資料。您也可以自訂服務並根據您的需求建立自訂的合規類型。
問:是否可以追蹤長期組態變更情形?
使用與 AWS Config 的整合,即可透過 AWS Config 規則監控執行個體是否符合理想的組態。這項功能可讓安全專家與合規稽核人員獲得有關執行個體組態變更的完整稽核線索,並在發生不合規的情況時收到主動通知。
問:如何檢視執行個體的合規層級?
您可以使用 AWS Systems Manager 檢視修補程式合規資訊,了解有關修補程序的詳細結果。您可以輕鬆取得各個執行個體的彙總合規詳細資訊。另外,您也可以深入了解各個執行個體已安裝和未安裝哪些修補程式,以及哪些修補程式不適用或安裝失敗。
問:是否可以建立自己的合規檢查?
是。您可以建立自己的合規類型以透過 API 記錄。您可根據商業需求建立自己的檢查,然後透過 AWS Systems Manager 記錄合規以追蹤不合規的執行個體。此外,您也可以建立資源資料同步,以查看所有帳戶和區域的這項合規資訊。
庫存
問:什麼是 AWS Systems Manager 庫存?
AWS Systems Manager 會收集與執行個體以及您在執行個體上安裝的軟體相關的資訊,協助您了解系統組態和安裝的應用程式。您可以收集有關應用程式、檔案、網路組態、Windows 服務、登錄檔、伺服器角色、更新及任何其他系統屬性的資料。收集的資料可讓您管理應用程式資產、追蹤授權、監控檔案完整性、探索傳統安裝程式未安裝的應用程式等。
問:是否可以從 Amazon EC2 執行個體或內部部署執行個體收集自訂資訊?
是,您可以建立自訂庫存類型來收集其他系統屬性,您可讓執行個體自行收集這些屬性,或使用 API 記錄屬性。部分範例包括 PowerShell 或其他應用程式以 JSON 格式提供的結果,以及靜態存放在 JSON 檔案的資訊 (如機架資訊)。
問:如何追蹤長期組態變更情形?
使用 AWS Config 即可透過 AWS Config 規則監控執行個體是否符合理想的設定。這項功能可讓安全專家與合規稽核人員獲得有關執行個體組態變更的完整稽核線索,並在發生不合規的情況時收到主動通知。
問:是否可以查看或查詢所有 AWS 帳戶或區域的庫存資料?
是,您可以將多個帳戶和區域的庫存資料同步至同一個 Amazon S3 儲存貯體。接著您可使用 Amazon Athena、Amazon QuickSight 或您自己的商業智慧 (BI) 工具,查詢所有帳戶和區域的庫存資料。
問:是否可以對庫存資料執行分析和視覺化?
是,除了內建的庫存儀表板,您還可以使用 Amazon Athena 和 Amazon QuickSight 為庫存資料建置進階分析與視覺化。
工作階段管理員
問:什麼是工作階段管理員?
工作階段管理員是一種全受管服務,能夠提供互動式瀏覽器形式的 shell 及 CLI 體驗。有助於提供安全且可稽核的執行個體管理,無需開啟傳入連接埠、維護堡壘主機或管理 Secure Shell (SSH) 金鑰。工作階段管理員能夠符合需執行個體受控存取權的企業政策,協助提升執行個體存取的安全與可稽核性,同時也為最終使用者提供簡單、跨平台的執行個體存取。
問:若使用工作階段管理員,能帶來哪些好處?
工作階段管理員能夠改善安全狀態,且無需在執行個體上開啟傳入連接埠、維護 SSH 金鑰或憑證。此外,亦可使用 AWS IAM 集中存取執行個體。一旦您開啟工作階段管理員後,即可連接至任何 Linux 或 Windows EC2 執行個體,並追蹤所有在執行個體上開啟工作階段的使用者。您可以稽核哪些使用者存取了執行個體或何時使用 AWS CloudTrail,並記錄所有在執行個體上,針對 Simple Storage Service (Amazon S3) 或 Amazon CloudWatch Logs 執行的指令。最後,有了工作階段管理員,您即可省下營運及維護堡壘主機的前置投資。
問:哪些人應該使用工作階段管理員?
任何 AWS 客戶若想要改善安全及稽核狀態、降低營運成本並集中執行個體的存取控制或降低傳入的執行個體存取,都可以利用工作階段管理員取得優勢。對於資訊安全專家,若想要監控並追蹤執行個體存取及活動、關閉執行個體的傳入連接埠或啟動非公有 IP 直接連接執行個體,都可以利用工作階段管理員取得優勢。對於管理員,若想要從單一位置取得或撤銷授權,或有意提供使用者 Windows 和 Linux 執行個體的解決方案,也可以利用工作階段管理員取得優勢。最後,操作者可快速上手,只要使用瀏覽器點選開始工作階段,並選取一個執行個體或使用 CLI,完全無需提供 SSH 金鑰。
問:工作階段管理員提供哪些功能?
您可以從 AWS 管理主控台、AWS CLI 或任何其他 AWS SDK,開啟工作階段至 Linux 或 Windows 的 EC2 執行個體。您可以從 AWS IAM,使用標籤基礎的許可授予或撤銷授權使用者存取執行個體,接著您可以集合哪些使用者利用 AWS CloudTrail 展開或結束工作階段。執行個體上所有執行的動作即可記錄至 Amazon S3 或 Amazon CloudWatch Logs,供後續分析。
問:工作階段管理員的價格是多少?
工作階段管理員是為管理 Amazon EC2 執行個體免費提供。
問:如何開始使用?
開始使用工作階段管理員最快捷的方式就是使用 AWS 管理主控台。只需點選幾個按鈕即可開啟工作階段管理員。有關其他詳細資訊,請參閱入門文件。
問:工作階段管理員是否需要使用 AWS Systems Manager Agent?
是。工作階段管理員入門會需要使用最新版本的 SSM Agent 。SSM Agent 完全採用開放原始碼,可於 GitHub 取得。
問:是否可在其他帳戶開啟記錄功能?
是。您可以透過設定工作階段管理員的偏好設定以在其他帳戶強制執行記錄功能。
Run Command
問:什麼是 AWS Systems Manager Run Command?
AWS Systems Manager 提供從遠端安全管理大量執行個體的功能,您無須登入伺服器、替換堡壘主機、SSH 或遠端 PowerShell。這可讓您輕鬆自動化執行個體群組的常見管理任務,如登錄檔編輯、使用者管理和軟體及修補程式安裝。透過與 AWS IAM 整合,您可以套用精細許可,以控制使用者可對執行個體執行的動作。AWS CloudTrail 可記錄透過 Systems Manager 採取的所有動作,讓您稽核整個環境的變更。
問:AWS 是否提供任何預先定義的命令?
是。我們提供預先定義的命令,這些命令旨在協助處理常用的管理任務。對於 Windows,您可以執行 PowerShell 或 Shell 命令或指令碼、設定 Windows Update 各項設定、部署 MSI 應用程式等。對於 Linux,則可執行任何 Shell 命令或指令碼,以及遠端更新安裝的代理器。此外,您還能建立自訂命令來執行環境需要的常見任務。
問:是否可在環境中進行大批變更?
是。您可以使用標籤式查詢設定目標,對大型執行個體群組採取行動。您可設定速率控制在環境中安全地傳播變更,藉此使用錯誤閾值指定同時執行批次。
問:我是否可以控制哪些人可以執行命令?
是。使用已發佈的 AWS IAM 許可和政策,您可使用以標籤為基礎的許可控制哪些人能夠執行命令或取得特定執行個體上的文件。例如,您可以指定某位 IAM 使用者可執行 PowerShell 命令,但無法將執行個體加入網域。而另一位 IAM 使用者則只能執行重新啟動服務這種非常具體的命令。這讓您有足夠的彈性可以指定任何特定使用者可以擁有的存取權。
狀態管理員
問:什麼是 AWS Systems Manager 狀態管理員?
AWS Systems Manager 提供組態管理功能,協助您讓 Amazon EC2 或內部部署執行個體的組態保持一致。使用 Systems Manager,您便可以控制組態的詳細資訊,例如伺服器組態、防毒定義、防火牆設定等。您可以透過 AWS 管理主控台,或是使用現有的指令碼、PowerShell 模組或直接從 GitHub 或 Amazon S3 儲存貯體取得的 Ansible 執行手冊,為您的伺服器定義組態政策。Systems Manager 會依據您定義的時間和頻率,自動將您的組態套用至所有執行個體。您隨時可以查詢 Systems Manager 以查看執行個體組態的狀態,讓您隨需掌握合規狀態。
問:為什麼要使用 AWS Systems Manager 狀態管理員?
要確保支援應用程式的基礎設施保持一致並不容易。AWS Systems Manager 可讓您建立政策,並重新套用這些政策以避免組態不一致的情形,同時為您監控所需狀態的狀況。
問:如何建立我的政策?
透過 AWS Systems Manager 文件即可輕鬆建立政策。另外,您也可以使用預先定義的組態安裝應用程式,或將執行個體加入網域等。
問:可設定的目標有哪些?
您可以有彈性地以執行個體或標籤為目標,這表示您可以有彈性地為執行個體群組提供特定的組態,例如 Web 伺服器。
問:是否可以搭配現有的組態管理工具使用 AWS Systems Manager 狀態管理員?
是。AWS 提供預先定義的 AWS Systems Manager 文件,可讓您執行 Ansible 執行手冊或 Salt States。您可以透過 AWS Systems Manager State Manager 在執行個體上使用 PowerShell DSC 來減少組態不一致的情形。此外,您還能從公有或私有 GitHub 儲存庫直接執行任何組態指令碼。
修補程式管理員
問:什麼是 AWS Systems Manager 修補程式管理員?
AWS Systems Manager 可協助您在大型 Amazon EC2 或現場部署執行個體群組中,自動選取及部署作業系統和軟體修補程式。透過修補程式基準,您可以設定規則自動核准要安裝的特定修補程式類別,如作業系統或高嚴重性修補程式,以及指定修補程式清單來覆寫這些規則並自動核准或拒絕。您還能為修補程式排定維護時段,只在預設時段套用修補程式。Systems Manager 可協助確保您的軟體為最新狀態且符合您的合規政策。
問:如何指定何時修補執行個體?
您可以使用 AWS Systems Manager 維護時段定義修補的執行時間。AWS Systems Manager 可讓您定義一或多個可執行自訂維護作業的重複性時段。藉由定義這些時段並與您的執行個體建立關聯,您可以更容易確保在妥善定義的期間內,能在您的執行個體上完成任何可能影響工作負載可用性的維護作業。
問:如何自訂修補程序?
AWS Systems Manager 提供全自動的修補程序。您只要撰寫自己的 AWS Systems Manager 命令或自動化文件,就能輕鬆自訂修補程序。
問:我可以安裝哪些類型的修補程式?
AWS Systems Manager 支援修補 Windows 和 Linux 執行個體。請參閱我們的文件查看目前支援的版本。
問:如何挑選我要安裝的修補程式?
您可以透過修補基準定義您核准或拒絕在執行個體上部署的修補程式。在修補基準中,您可以依據產品 (例如 Windows Server 2008、Windows Server 2012 等)、類別 (例如重大更新、安全性更新等) 以及嚴重性選擇修補程式,然後再檢視要部署的修補程式。針對選取的各個類別,您可以定義排程,以自動核准部署該類別的修補程式。除了規則以外,您也可以指定修補程式白名單和黑名單,分別指定要安裝或封鎖的修補程式。進行修補時,AWS Systems Manager 會評估目標執行個體所安裝的是否只有之前已核准的修補程式。
問:如何檢視執行個體的合規層級?
您可以檢視修補程式合規資訊,了解有關修補程序的詳細結果。您可以從 AWS Systems Manager 主控台或 API 輕鬆取得各個執行個體的彙總合規詳細資訊。另外,您也可以深入了解各個執行個體已安裝、未安裝哪些修補程式,或哪些修補程式不適用及安裝失敗。
Distributor
問:什麼是 AWS Systems Manager Distributor?
Distributor 是一項 AWS Systems Manager 功能,可讓您在您的組織中安全地存放和分發軟體套件。您可以使用 Distributor 搭配現有的 Systems Manager 功能 (如執行命令和狀態管理員),來控制在您的執行個體上執行之套件的生命週期。
問:使用 Distributor 有哪些優點?
Distributor 透過將套件分發標準化,讓您擴展軟體套件的推展。透過使用 Distributor 搭配 AWS Systems Manager Run Command 和狀態管理員,您便不需要建立和維護您自己的套件分發和安裝工具。透過對所有套件使用集中的儲存庫,Distributor 也會簡化軟體套件管理。Distributor 也支援使用 IAM 政策,讓您可以完整控制誰可以建立和更新套件。Distributor 也能夠實現安全的軟體套件分發,因為您的套件會在儲存中加密,並且 Distributor 與您的執行個體之間的所有通訊會經過簽署並加密。
問:哪些人應該使用 Distributor?
定期分發軟體套件並且想要有安全的方式可擴展套件管理,用於套件的集中儲存庫,不想要自己維護分發工具的任何 AWS 客戶應該使用。想要控制可以建立或更新軟體套件以及分發至每個 AWS 帳戶版本的 IT 專業人員將可受益於 Distributor。
問:Distributor 的費用是多少?
您可以在狀態管理員定價頁面上找到 Distributor 的定價。
問:如何開始使用?
您可以在 AWS 管理主控台中按幾下即可開啟 Distributor。如需詳細資訊,請參閱入門文件。
問:Distributor 是否需要使用 SSM Agent ?
是。Distributor 入門需要使用最新版本的 SSM Agent 。SSM Agent 採用開放原始碼,可於 GitHub 取得。SSM Agent 也會預設安裝在 Amazon Linux、Amazon Linux 2、Windows 和 Ubuntu AMI 上。