Amazon EC2 Systems Manager

問:什麼是 Amazon EC2 Systems Manager?

Amazon EC2 Systems Manager 是彈性易用的管理服務,可讓企業安全地管理工作負載,能在現場部署環境或 AWS 執行,並使用單一、統一的 AWS 體驗。EC2 Systems Manager 的設計可達到高度自動化,主要聚焦於大規模組態與管理執行個體,同時使寫入及維護自動化成品變得非常簡單。

問:如何開始使用 EC2 Systems Manager?

開始使用的最佳方式是確保您的執行個體已符合我們入門指南的必要需求。在您確認達到要求之後,即可從 EC2 管理主控台左側瀏覽列或使用 AWS SDK 與 AWS 命令列介面,存取 EC2 Systems Manager 的各種功能。

問:EC2 Systems Manager 支援哪些作業系統?

EC2 Systems Manager 經過最佳化,可透過單一、統一的體驗管理 WindowsLinux 平台。有關管理現場部署系統的詳細資訊,請參閱支援的作業系統。

問:EC2 Systems Manager 是否能管理執行於現場部署的執行個體?

可以,EC2 Systems Manager 支援管理執行於現場部署資料中心的執行個體。如需詳細資訊,請參閱 EC2 Systems Manager Prerequisites

問:EC2 Systems Manager 可用於哪些 AWS 區域?

EC2 Systems Manager 可用於多個公有區域。如需完整的支援區域清單,請參閱 AWS 區域與終端節點

問:是否可在不使用公有 IP 的情況下,從 Amazon Virtual Private Cloud (VPC) 以私有方式存取 EC2 Systems Manager API?

是,您可以透過建立 VPC 端點,從 Amazon Virtual Private Cloud (VPC) 以私有方式存取 EC2 Systems Manager API。使用 VPC 端點,AWS 網路會處理 VPC 和 EC2 Systems Manager 之間的路由,無須使用網際網路閘道、NAT 閘道或 VPN 連接。EC2 Systems Manager 使用的最新一代 VPC 端點採用 AWS PrivateLink 技術,這項技術可使用彈性網路界面 (ENI) 搭配 VPC 的私有 IP 啟用 AWS 服務間的私有連線。要進一步了解 PrivateLink,請參閱 PrivateLink 文件

問:EC2 Systems Manager 的價格是多少?

EC2 Systems Manager 是免費的。

Run Command

問:什麼是 Run Command?

Run Command 是 EC2 Systems Manager 的一項功能,提供簡單且安全的方式從遠端透過 EC2 API、CLI 或主控台,對 EC2 執行個體或現場部署伺服器執行命令或指令碼。使用 Run Command,可讓您執行命令以輕鬆完成常見的管理任務,像是安裝軟體、執行指令碼、進行組態變更等。

問:哪些人應該使用 Run Command?

Run Command 專為開發人員、系統管理員和其他 IT 專業人員所設計,他們需要以安全、可靠和可擴展的方式遠端管理 EC2 執行個體。

問:AWS 是否提供任何預先定義的命令?

是。我們提供預先定義的命令,這些命令旨在協助處理常用的管理任務。對於 Windows,您可以執行 PowerShell 命令或指令碼、設定 Windows Update 各項設定、部署 MSI 應用程式等。對於 Linux,則可執行任何 Shell 命令或指令碼,以及遠端更新安裝的代理器。

問:是否可以建立自己的命令?

是。Run Command 可讓您輕鬆建立自訂命令,以執行您的環境所需的常見任務。

問:我可以執行哪些其他類型的命令或指令碼?

您可以執行可在 EC2 執行個體命令視窗中輸入的任何命令或指令碼。

問:是否可以將相同的命令一次傳送到多個 EC2 執行個體?

是。您可以在發出命令時提供執行個體清單,輕鬆地將命令發到執行個體叢集。

問:我是否能取回針對執行個體所執行命令的歷史記錄?

是。Run Command 會將每個命令輸出保留 30 天。另外,您可以讓 Run Command 將所有記錄檔案的複本存放至 Amazon S3,或使用 AWS CloudTrail 擷取您的命令的輸出。

問:我是否可以控制哪些人可以執行命令?

是。使用已發佈的 AWS Identity and Access Management (IAM) 許可與政策,您可以控制哪些人能夠執行命令或取得特定執行個體上的文件。例如,您可以指定某位 IAM 使用者可執行 PowerShell 命令,但無法將執行個體加入網域。而另一位 IAM 使用者則只能執行重新啟動服務這種非常具體的命令。這讓您有足夠的彈性可以指定任何特定使用者可以擁有的存取權。

問:是否可以檢查執行中命令的狀態?

Run Command 為每個執行命令的執行個體提供命令狀態。您可以從 AWS CLI、軟體開發套件或 EC2 管理主控台擷取這些資訊。

狀態管理員

問:什麼是狀態管理員?

狀態管理員可自動定義與維護您整個系統的作業系統與應用程式,確保組態一致性,例如設定與強制執行防火牆政策,隨時更新最新的反惡意軟體定義。透過重新套用您的組態政策,狀態管理員可確保您的系統始終符合企業政策。

問:為什麼我應該使用狀態管理員?

企業持續朝向自動化 IT 邁進,而且應用程式跨越不同的環境與據點,包括 AWS 與現場部署資料中心,但是,要確保支援應用程式的基礎設施保持一致並不容易。狀態管理員可讓您建立政策,並重新套用這些政策以避免組態不一致的情形,同時為您監控所需狀態的狀況。

問:如何建立我的政策?

透過 Systems Manager 文件即可輕鬆建立政策,另外,您也可以使用預先定義的組態安裝應用程式,或將執行個體加入至網域等。

問:可設定的目標有哪些?

您可以有彈性地以執行個體或標籤為目標,這表示您可以有彈性地為執行個體群提供特定的組態,例如 Web 伺服器。

修補程式管理員

問:什麼是修補程式管理員?

修補程式管理員是新的自動化重點修補服務功能,使客戶能輕鬆維持 Windows 執行個體的最新狀態。修補程式管理員透過實作內建的最佳實務協助您簡化修補程序,例如維護時段與動態修補核准政策。 

問:如何指定何時修補執行個體?

需要修補時,您可以使用維護時段進行定義,維護時段是 EC2 的新功能,可讓您定義一個或多個重複性時段,期間您便可進行維護作業。藉由定義這些時段並與您的執行個體建立關聯,您可以更容易確保在妥善定義的期間內,能在您的執行個體上完成任何可能影響工作負載可用性的維護作業。維護時段可讓您輕鬆為自己的 Run Command 任務排程,決定何時進行。

問:如何自訂修補程序?

修補程式管理員利用 Run Command 提供全自動化的修補程序。雖然修補程式管理員提供預先建置的 Run Command 文件,您仍可撰寫自己的 Run Command 文件輕鬆自訂修補程序,例如,您可以在進行修補之前停止 NT 服務。

問:我可以利用修補程式管理員安裝哪些類型的修補程式?

修補程式管理員支援 Windows 和 Linux 執行個體的修補。請參閱我們的文件以查看目前支援的版本。

問:如何挑選我要安裝的修補程式?

修補程式管理員可讓您建立修補基準,定義您已核准或拒絕部署至執行個體的修補程式。在修補基準中,您可以依據產品 (例如 Windows Server 2008、Windows Server 2012 等)、類別 (例如重大更新、安全性更新等) 以及嚴重性選擇修補程式,然後再檢視要部署的修補程式。針對選取的各個類別,您可以定義排程,以自動核准分發該類別的修補程式。除了規則以外,您也可以指定修補程式白名單和黑名單,分別指定要安裝或拒絕部署的修補程式。在安裝修補程式時,修補程式管理員會評估目標執行個體所安裝的是否只有之前已受核准的修補程式。

問:如何追蹤我的執行個體的合規層級?

您可以使用修補程式管理員檢視修補合規資訊,了解有關修補程序結果的詳細資訊。您可以從 EC2 管理主控台或 API 輕鬆取得各個執行個體的彙整合規詳細資訊。另外,您也可以深入了解各個執行個體已安裝、未安裝哪些修補程式,以及哪些修補程式不適用或安裝失敗。

庫存

問:什麼是庫存?

EC2 Systems Manager 的庫存功能可讓您檢視執行個體的軟體目錄與組態,您可以設定庫存以便收集各種執行個體屬性的詳細資訊,例如已安裝的應用程式、AWS 元件和代理器、網路組態、作業系統詳細資訊等等,然後使用強大的查詢功能評估合規性並找出需要修補的執行個體。

問:那些人應該使用庫存?

這個功能對 IT 管理者與研發專家非常有用,因為它能讓使用者了解整體組態與結構,因此使用者可快速判斷哪些執行個體缺少修補程式或執行的是過時的應用程式版本。同樣的,管理者可執行授權稽核以了解軟體的使用情形。最終,系統管理者便能夠更妥善地排解問題並評估安全狀態。

問:是否可以自訂庫存所收集的資訊?

是,您可以建立自己的自訂庫存類型,有效地延伸庫存的結構描述。例如,您可以設定讓執行個體收集額外的作業系統與 CIM 詳細資訊,或記錄現場部署伺服器的機架位置與運作日期等項目。

問:如何追蹤長期組態變更情形?

使用 AWS Config 即可透過 Config 規則監控執行個體是否符合理想的組態,這項功能可讓安全專家與合規稽核人員獲得有關執行個體組態變更的完整稽核線索,並在發生不合規的情況時收到主動通知。

自動化

問:什麼是自動化?

EC2 Systems Manager 的自動化功能可簡化建置與維護 Amazon Machine Image (AMI) 的程序,提供您可重複的程序,將修補程式、應用程式更新,及其他變更套用至您的 AMI。

問:我可以自動化哪些作業?

Systems Manager 的自動化功能可大幅簡化 AMI 維護,讓您使用簡單、可重複、可稽核的程序來安裝修補程式、更新代理器,或封裝應用程式。或者,您可以在工作流程中使用 Run Command 與 AWS Lambda,大規模統整執行個體及其他 AWS 資源的組態與管理。

參數存放區

問:什麼是參數存放區?

參數存放區可讓您輕鬆存放、參考、控制組態參數與敏感資訊的存取,例如連線字串及管理者密碼。

問:為什麼我應該使用參數存放區?

您可以使用參數存放區快速存放及參考組態與敏感資訊。您不須將資料存放於設定檔或以純文字參考這些資料,而是運用參數存放區在您的應用程式或指令碼中取得相關資訊。另外,您可以控制哪些人可存取參數,只有擁有權限的使用者可以存取相關資訊。

問:要如何存放敏感的資訊?

安全字串是只需要存放並以安全方式參考的所有敏感資料,如果您不希望使用者以純文字參考您的資料,或存取可能遭到竄改或誤用的資料,您應使用參數存放區中的安全字串。您可以使用自己的 AWS Key Management Service (KMS) 金鑰或 KMS 提供您的使用者帳戶預設金鑰,為您的敏感資料進行加密。

問:我可以在哪些服務參考我的參數?

您可以在 EC2 Systems Manager 的各種服務中參考您的參數,例如 Run Command、狀態管理員、自動化。

問:我是否能追蹤使用情形並為特定參數提供存取控制?

可以,您可以透過自訂許可為使用者與資源 (例如執行個體) 提供精細的存取控制,並使用 AWS IAM 提供參數存取,這表示您可以控制哪些人可以存取哪個資源上的哪個參數。另外,您也可以使用 AWS CloudTrail 追蹤與稽核參數 API 呼叫。

維護時段

問:什麼是維護時段?

維護時段是 EC2 Systems Manager 的功能,可讓您定義一個或多個重複性時段,期間可進行任何破壞性的操作。藉由定義這些時段並與您的執行個體建立關聯,您可以更容易確保在妥善定義的期間內,能在您的執行個體上完成任何可能影響工作負載可用性的維護作業。

問:為什麼我應該使用維護時段?

維護時段有助於提升工作負載的可用性與可靠性,因為它可在明確定義的時段自動執行作業,大幅降低任何作業或基礎設施故障所帶來的影響。

問:我可以將哪些類型的任務排程至維護時段?

您可以透過任務的形式建立和排程任何 Run Command、Amazon EC2 Systems Manager Automation、AWS Step Functions 或 AWS Lambda 函數。

問:我可以選擇哪些類型的排程用於維護時段?

維護時段可排程重複的日期 (例如每週二的 22:00:00 或每個月第一個星期日的 22:00:00)。您可以使用 Cron 或比率的表達式定義排程。