应用场景和最佳实践

为基础设施创建自助服务自动化运行手册。

使用 Amazon Systems Manager 的自动化功能，简化使用公有 Systems Manager 文档（SSM 文档）或通过创作自己的工作流从 Amazon Web Services Marketplace 或自定义 AMIs 创建 Amazon Machine Images (AMIs) 的过程。

使用 AWS-UpdateLinuxAmi 和 AWS-UpdateWindowsAmi 自动化运行手册，或使用您创建的自定义自动化运行手册，构建和维护 AMIs。

将 Amazon Systems Manager 的 Inventory 功能与 Amazon Config 结合使用，以便随着时间推移审计应用程序配置。

制定计划，以在节点上执行可能造成中断的操作，例如操作系统 (OS) 修补、驱动程序更新或软件安装。

有关 Amazon Systems Manager 的功能 State Manager 与 Maintenance Windows 的差异的信息，请参阅 在 State Manager 和 Maintenance Windows 之间选择。

使用 Amazon Systems Manager 的功能 Parameter Store 集中管理全局配置设置。

Amazon Systems ManagerParameter Store 如何使用 Amazon KMS。

通过 Parameter Store 参数引用 Amazon Secrets Manager 密钥。

使用 Amazon Systems Manager 的功能 Patch Manager 以大规模推出补丁，并在您的节点中提高机群合规可见性。

将 Patch Manager 与 Amazon Security Hub 集成在一起，以便在机群中的节点不合规时收到提醒，并从安全角度监控机群的修补状态。使用 Security Hub 需支付费用。有关更多信息，请参阅 定价。

为避免意外覆盖合规性数据，每次仅使用一种方法来扫描托管节点的补丁合规性。

使用 EC2 Run Command 在不使用 SSH 访问的情况下大规模地管理实例。

使用 Amazon CloudTrail 审计由 Amazon Systems Manager 的功能 Run Command 进行或代表其进行的所有 API 调用。

当您使用 Run Command 发送命令时，不要包含纯文本格式的敏感信息，例如密码、配置数据或其他密钥。您账户中的所有 Systems Manager API 活动都将记录在 Amazon CloudTrail 日志的 S3 存储桶中。这意味着任何有权访问该 Amazon S3 存储桶的用户都能够查看这些密钥的纯文本值。因此，我们建议您创建和使用 SecureString 参数，以便加密您在 Systems Manager 操作中使用的敏感数据。

有关更多信息，请参阅使用 IAM policy 限制对 Systems Manager 参数的访问。

使用 Run Command 中的目标和速率控制功能执行暂存的命令操作。

借助 Amazon Identity and Access Management (IAM) 策略，将精细访问权限用于 Run Command（以及所有 Systems Manager 功能）。

使用 Amazon CloudTrail 审计 Amazon Web Services 账户 中的会话活动。

使用 Amazon CloudWatch Logs 或 Amazon S3 记录 Amazon Web Services 账户 中的会话数据。

控制用户会话对实例的访问。

限制对会话中命令的访问。

关闭或打开 SSM 用户账户管理权限。

使用预配置的 AWS-UpdateSSMAgent 文档，至少每月更新 SSM Agent 一次。

(Windows) 将 PowerShell 或 DSC 模块上载到 Amazon Simple Storage Service (Amazon S3)，并使用 AWS-InstallPowerShellModule。

使用标签为节点创建应用程序组。然后使用 Targets 参数而不是指定各个节点 ID 来将节点设为目标。

使用 Systems Manager 自动修复 Amazon Inspector 生成的结果。

对 SSM 文档使用集中式配置存储库，并在整个组织中共享文档。

有关 State Manager 与 Maintenance Windows 的差异的更多信息，请参阅 在 State Manager 和 Maintenance Windows 之间选择。

Systems Manager 需要准确的时间参考以执行其操作。如果节点的日期和时间设置不正确，它们可能与 API 请求的签名日期不匹配。这可能会导致错误或功能不完整。例如，时间设置不正确的节点不会包含在您的托管式节点列表中。

有关对您的节点设置时间的信息，请参阅以下主题：

在 Linux 托管节点上，请验证 SSM Agent 的签名。