Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Systems Manager 文档更新历史记录

下表描述了自上次发布 Systems Manager 以来对文档所做的重要更改。

改变 发行日期 描述

使用 EC2Rescue 自动化工作流程对无法访问的 Windows 实例进行故障排除

2017 年 9 月 29 日

EC2Rescue 可以帮助您诊断并解决有关 Amazon EC2 Windows Server 实例的问题。使用 AWSSupport-ExecuteEC2Rescue 文档将工具作为 Systems Manager 自动化工作流程运行。AWSSupport-ExecuteEC2Rescue 文档旨在执行 Systems Manager 操作、AWS CloudFormation 操作和 Lambda 函数的组合,从而将使用 EC2Rescue 通常所需的步骤自动化。有关更多信息,请参阅 在无法访问的实例上运行 EC2Rescue 工具

默认情况下在 Amazon Linux 上安装 SSM 代理

2017 年 9 月 27 日

默认情况下,SSM 代理安装在日期为 09.2017 及以后的 Amazon Linux AMI 上。您必须在其他版本的 Linux 上手动安装 SSM 代理,如在 Linux 实例上安装和配置 SSM 代理中所述。

Run Command 增强功能

2017 年 9 月 12 日

Run Command 包含以下增强功能。

  • 您可以通过创建一个 IAM 用户策略将命令执行限制为特定实例,该用户策略包含一个条件,规定用户可以仅对使用特定 Amazon EC2 标签标记的实例实行命令。有关更多信息,请参阅 基于实例标签限制 Run Command 访问

  • 使用 Amazon EC2 标签将实例设为目标有更多选项。现在,您可以在发送命令时指定多个标签键和多个标签值。有关更多信息,请参阅 将命令发送到队列

Raspbian 上支持的 Systems Manager

2017 年 9 月 7 日

Systems Manager 现在可以在 Raspbian Jessie 和 Rasbpian Stretch 设备上运行,包括 Raspberry Pi (32-Bit)。有关更多信息,请参阅 Raspbian

将 SSM 代理日志自动发送到 Amazon CloudWatch Logs

2017 年 9 月 7 日

您现在可以在实例上进行简单的配置更改,以使 SSM 代理将日志文件发送到 CloudWatch。有关更多信息,请参阅 将 SSM 代理日志文件发送到 Amazon CloudWatch Logs

加密资源数据同步

2017 年 9 月 1 日

Systems Manager 资源数据同步可让您将在数十或数百个托管实例上收集的清单数据聚合到一个中央 Amazon S3 存储桶。您现在可以使用 AWS Key Management Service 密钥加密资源数据同步。有关更多信息,请参阅 使用资源数据同步聚合清单数据

新的状态管理器演练

2017 年 8 月 31 日

将两个新的演练添加到状态管理器文档:

演练:自动更新 SSM 代理

演练:在 EC2 Windows 实例上自动更新半虚拟化驱动程序

Systems Manager 配置合规性

2017 年 8 月 28 日

使用配置合规性扫描托管实例队列,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户和区域中收集并聚合数据,然后深入了解不合规的特定资源。默认情况下,配置合规性将显示有关 Patch Manager 修补和 State Manager 关联的合规性数据。您也可以根据 IT 或业务要求自定义服务并创建自己的合规性类型。有关更多信息,请参阅 Systems Manager 配置合规性

新的自动化操作:aws:executeAutomation

2017 年 8 月 22 日

通过调用辅助自动化文件执行辅助自动化工作流程。借助此操作,您可以为最常见的工作流程创建自动化文档,并在自动化执行期间引用这些文档。因为无需跨类似文档复制步骤,此操作可以简化您的自动化文档。有关更多信息,请参阅 aws:executeAutomation

作为 CloudWatch 事件的目标的 Automation

2017 年 8 月 21 日

您可通过指定 Automation 文档作为 Amazon CloudWatch 事件的目标来启动 Automation 工作流程。您可以按计划或者在特定 AWS 系统事件发生时启动工作流程。有关更多信息,请参阅 将 Automation 配置为 CloudWatch Events 目标

状态管理器关联版本控制和常规更新

2017 年 8 月 21 日

您现在可以创建不同的状态管理器关联版本。每个关联具有 1000 个版本的限制。您还可为您的关联指定名称。此外,状态管理器文档已更新,处理了过时信息和不一致之处。有关更多信息,请参阅 Systems Manager 状态管理

维护时段的更改

2017 年 8 月 16 日

维护时段包括以下更改或增强:

  • 之前,维护时段只能通过使用 Run Command 来执行任务。现在您可使用 Systems Manager Automation、AWS Lambda 和 AWS Step Functions 来执行任务。

  • 您可编辑维护时段的目标,指定目标名称、描述和所有者。

  • 您可以编辑维护时段中的任务,包括为 Run Command 和 Automation 任务指定新的 SSM 文档。

  • 现在支持所有 Run Command 参数,包括 DocumentHash、DocumentHashType、TimeoutSeconds、Comment 和 NotificationConfig。

  • 您现在可在尝试取消注册目标时使用 safe 标志。如果启用,系统将在任何任务引用目标时返回错误。

有关更多信息,请参阅 Systems Manager 维护时段

新的 Automation 操作:aws:approve

2017 年 8 月 10 日

此新的 Automation 文档操作会临时暂停 Automation 执行,直至指定委托人批准或拒绝操作。在达到所需批准数后,Automation 执行将恢复。

有关更多信息,请参阅 Systems Manager Automation 操作

不再需要 Automation 代入角色

2017 年 8 月 3 日

Automation 之前需要您指定服务角色 (或代入 角色),以便服务有权代表您执行操作。Automation 不再需要此角色,因为服务现在通过使用已调用执行的用户的上下文来操作。

不过,以下情况仍需要您为 Automation 指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户执行需要更高权限的 Automation 工作流程时。在此方案中,您可以创建具有更高权限的服务角色并允许用户执行此工作流程。

  • 运行时长预计将超过 12 小时的操作需要一个服务角色。

有关更多信息,请参阅 设置 Automation

配置合规性

2017 年 8 月 8 日

使用 Amazon EC2 Systems Manager 配置合规性扫描托管实例队列,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户和区域中收集并聚合数据,然后深入了解不合规的特定资源。有关更多信息,请参阅 Systems Manager 配置合规性

SSM 文档增强功能

2017 年 12 月 7 日

SSM 命令和策略文档现在提供跨平台支持。也就是说单个 SSM 文档可以处理 Windows 和 Linux 操作系统的插件。跨平台支持可以让您合并您管理的文档数量。使用 2.2 版或更高版本架构的 SSM 文档中提供跨平台支持。

使用 2.0 版或更高版本架构的 SSM 命令文档现在包含相同类型的多个插件。例如,您可以创建多次调用 aws:runRunShellScript 插件的命令文档。

有关 2.2 版架构变化的更多信息,请参阅 Systems Manager 文档。有关 SSM 插件的更多信息,请参阅 Systems Manager 插件

Linux 修补

2017 年 6 月 7 日

Patch Manager 现在可以修补以下 Linux 发行版:

64 位和 32 位系统

  • Amazon Linux 2014.03、2014.09 或更高版本

  • Ubuntu Server 16.0.4 LTS、14.04 LTS 或 12.04 LTS

  • Red Hat Enterprise Linux (RHEL) 6.5 或更高版本

仅 64 位系统

  • Amazon Linux 2015.03、2015.09 或更高版本

  • Red Hat Enterprise Linux (RHEL) 7.x 或更高版本

有关更多信息,请参阅 Systems Manager 补丁管理

注意

  • 要修补 Linux 实例,您的实例必须运行 SSM 代理 2.0.834.0 版或更高版本。有关更新此代理的信息,请参阅 从 EC2 控制台执行命令 中标题为示例:更新 SSM 代理的部分。

  • AWS-ApplyPatchBaseline SSM 文档将替换为 AWS-RunPatchBaseline 文档。

资源数据同步

2017 年 6 月 29 日

您可以使用 Systems Manager 资源数据同步将从所有托管实例收集的清单数据存储到单个 Amazon S3 存储桶。收集新的清单数据后,资源数据同步自动更新集中式数据。所有清单数据存储在目标 Amazon S3 存储桶中后,您可以使用 Amazon Athena 和 Amazon QuickSight 等服务查询和分析聚合数据。有关更多信息,请参阅 配置清单的资源数据同步。有关如何使用资源数据同步的示例,请参阅 使用资源数据同步聚合清单数据

Systems Manager 参数层次结构

2017 年 6 月 22 日

以平面列表的形式管理几十个或数百个 Systems Manager 参数十分耗时且容易出错。您可以使用参数层次结构来帮助组织和管理 Systems Manager 参数。一个层次结构是一个参数名称,包括您使用正斜杠定义的路径。下面是一个示例,它在名称中使用三个层次结构级别来标识以下内容:

/环境/计算机类型/应用程序/数据

/Dev/DBServer/MySQL/db-string13

有关更多信息,请参阅 将参数组织成层次结构。有关如何使用参数层次结构的示例,请参阅使用层次结构管理参数

对 SUSE Linux Enterprise Server 的 SSM Agent 支持

2017 年 6 月 14 日

您可以在 64 位 SUSE Linux Enterprise Server (SLES) 上安装 SSM 代理。有关更多信息,请参阅 在 Linux 实例上安装和配置 SSM 代理