AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

Systems Manager 文档更新历史记录

下表描述了自上次发布 AWS Systems Manager 以来对文档所做的重要更改。

  • API 版本:2014-11-06

  • 最新更新时间:2018 年 3 月 29 日

更改 描述 发行日期
CentOS 修补支持

Systems Manager 现在支持修补 CentOS 实例。有关支持的 CentOS 版本的信息,请参阅Patch Manager 支持的操作系统。有关修补工作方式的更多信息,请参阅Patch Manager 工作原理

2018 年 3 月 29 日
新章节

为了提供 AWS Systems Manager User Guide 中参考信息的单个来源,引入了一个新的部分AWS Systems Manager 参考。其他内容在推出后也将添加到此部分中。

2018 年 3 月 15 日
新主题

新主题已批准补丁和已拒绝补丁列表的程序包名称格式详细说明了您可以在自定义补丁基准的已批准补丁和已拒绝补丁列表中输入的程序包名称格式。为 Patch Manager 支持的每种操作系统类型提供了示例格式。

2018 年 3 月 9 日
新主题

Systems Manager 现在与 Chef InSpec 集成。InSpec 是一个开源的运行时框架,您可以使用它在 GitHub 或 Amazon S3 上创建人工可读的配置文件。然后,您可以使用 Systems Manager 运行合规性扫描并查看合规和不合规的实例。有关更多信息,请参阅 将 Chef InSpec 配置文件与 Systems Manager Compliance 结合使用

2018 年 3 月 7 日
新主题

新主题为 Systems Manager 使用服务相关角色介绍了如何将 AWS Identity and Access Management (IAM) 服务相关角色用于 Systems Manager。目前,仅在使用 Systems Manager Inventory 收集有关标签和资源组的元数据需要服务相关角色。

2018 年 2 月 27 日
新增和更新的主题

您现在可以使用 Patch Manager 来安装与实例上配置的默认源存储库不同的源存储库中的补丁。这可用于使用与安全性无关的更新、Ubuntu Server 的个人程序包存档 (PPA) 的内容、企业内部应用程序的更新等来修补实例。您在创建自定义补丁基准时指定备用补丁源存储库。有关更多信息,请参阅以下主题:

此外,您现在可以使用 Patch Manager 来修补 SUSE Linux Enterprise Server 实例。Patch Manager 支持修补 SLES 12.* 版本 (仅限 64 位)。有关更多信息,请参阅以下主题中特定于 SLES 的信息:

2018 年 2 月 6 日
新主题

新的主题 在使用代理服务器的 Amazon Linux 实例上升级 Python 请求模块 提供的说明可确保使用 Amazon Linux AMI 创建的实例已更新为 Python requests 模块的最新版本。此要求是为了确保与 Patch Manager 的兼容性。

2018 年 1 月 12 日
新主题

新的主题 介绍如何修补实例的 SSM 文档概述 介绍了目前可用的七个 SSM 文档,有助于您使托管实例始终获得最新的安全相关更新补丁。

2018 年 1 月 10 日
有关 Linux 支持的重要更新

在各主题中更新了以下信息:

  • 在 2017.09 及以后日期版本的 Amazon Linux 基本 AMI 上,默认情况下会安装 SSM 代理。

  • 对于其他版本的 Linux (包括经 Amazon ECS 优化的 AMI 等非基本映像),您必须手动安装 SSM 代理。

2018 年 1 月 9 日
新主题

新主题关于 SSM 文档 AWS-RunPatchBaseline详细介绍如何在 Windows 和 Linux 系统上使用此 SSM 文档。此外,还介绍了 AWS-RunPatchBaseline 文档中的两个可用参数 OperationSnapshot ID

2018 年 1 月 5 日
新主题 新增一节 Patch Manager 工作原理,其中介绍一些技术细节,说明 Patch Manager 如何确定安装哪些安全补丁,以及它如何在每个支持的操作系统上安装这些补丁。此外,还介绍补丁基准规则在不同的 Linux 操作系统发行版上的工作原理 2018 年 1 月 2 日
重新命名并改动了 Systems Manager 自动化操作参考的位置

根据客户反馈,“自动化操作参考”现更名为“Systems Manager 自动化文档参考”。此外,我们还将此参考移到了“共享资源”>“文档”节点中,使其更靠近SSM 文档插件参考。有关更多信息,请参阅 Systems Manager 自动化文档参考

2017 年 12 月 20 日

新增监控章节和内容

新增一章使用 AWS Systems Manager 监控实例,介绍如何将指标和日志数据发送到 Amazon CloudWatch Logs。新增主题将日志发送到 CloudWatch Logs (CloudWatch 代理),介绍如何将实例 (仅限 64 位 Windows Server 实例) 上的监控任务从 SSM 代理迁移到 CloudWatch 代理。

2017 年 12 月 14 日

新增章节 新增一章AWS Systems Manager 的身份验证和访问控制,全面介绍如何使用 AWS Identity and Access Management (IAM) 和 AWS Systems Manager 通过使用凭证确保资源访问。这些凭证提供访问 AWS 资源所需的权限,如访问存储在 Amazon S3 存储桶中的数据、向 Amazon EC2 实例发送命令和读取 Amazon EC2 实例上的标签。 2017 年 12 月 11 日

左侧导航窗格的改动

本用户指南左侧导航窗格中的标题更改为与新 AWS Systems Manager 控制台中的标题一致。

2017 年 12 月 8 日

因 re:Invent 2017 而产生的多次更改

  • 正式发布的 AWS Systems Manager: AWS Systems Manager (以前称作 Amazon EC2 Systems Manager) 是一个统一接口,您可通过该接口轻松地将操作数据集中到一起,并跨 AWS 资源自动完成任务。您可以在此访问新 AWS Systems Manager 控制台。有关更多信息,请参阅 什么是 AWS Systems Manager?

  • YAML 支持:您可以创建 YAML 格式的 SSM 文档。有关更多信息,请参阅 AWS Systems Manager 文档

2017 年 11 月 29 日

使用 Run Command 为 EBS 卷拍摄启用 VSS 的快照

使用 Run Command,您可以为附加到 Amazon EC2 Windows 实例的所有 Amazon Elastic Block Store (Amazon EBS) 卷拍摄应用程序一致性快照。快照过程使用 Windows 卷影复制服务 (VSS) 对 VSS 感知应用程序进行映像级备份,包括这些应用程序和磁盘之间的待处理事务中的数据。此外,当需要备份所有已连接的卷时,无需关闭实例或断开与它们的连接。有关更多信息,请参阅 使用 Run Command 为 EBS 卷拍摄启用 VSS 的快照

2017 年 11 月 20 日

通过使用 VPC 端点增强可用的 Systems Manager 安全性

您可以通过配置 Systems Manager 以使用接口 VPC 端点来改善托管实例 (包括混合环境中的托管实例) 的安全状况。接口终端节点由 PrivateLink 提供技术支持,该技术让您可以通过使用私有 IP 地址私下访问 Amazon EC2 和 Systems Manager API。PrivateLink 将托管实例、Systems Manager 和 EC2 之间的所有网络流量限制在 Amazon 网络内 (托管实例无法访问 Internet)。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。有关更多信息,请参阅 设置 Systems Manager 的 VPC 端点

2017 年 11 月 7 日

针对文件、服务、Windows 角色和 Windows 注册表的清单支持

SSM 清单现在支持从您的托管实例中收集以下信息。

  • 文件:名称、大小、版本、安装日期、修改时间和上次访问时间等。

  • 服务:名称、显示名称、状态、依赖服务、服务类型、启动类型等。

  • Windows 注册表:注册表项路径、值名称、值类型和值。

  • Windows 角色:名称、显示名称、路径、功能类型、安装状态等。

在尝试为这些清单类型收集信息之前,请更新需要清点的实例上的 SSM 代理。通过运行最新版本的 SSM 代理,可确保您能够收集所有支持的清单类型的元数据。有关如何使用 状态管理器 更新 SSM 代理 的信息,请参阅演练:自动更新 SSM 代理 (CLI)

有关清单的更多信息,请参阅关于 Systems Manager Inventory

2017 年 11 月 6 日

对 Automation 文档的更新

修复了 Systems Manager Automation 访问权限设置和配置相关信息中的几个问题。有关更多信息,请参阅 设置 Automation

2017 年 10 月 31 日

GitHub 和 Amazon S3 集成

运行远程脚本:Systems Manager 现在支持从私有或公有 GitHub 存储库以及从 Amazon S3 下载并运行脚本。使用AWS-RunRemoteScript预定义的 SSM 文档或aws:downloadContent自定义 SSM 文档中的插件,可以运行 Playbooks 以及 Python、Ruby 或 PowerShell 等等中的脚本。当使用 Systems Manager 在混合环境中自动完成 Amazon EC2 实例以及本地托管实例的配置和部署时,以上更改会进一步完善基础设施即代码。有关更多信息,请参阅 合作伙伴和产品集成

创建复合 SSM 文档:Systems Manager 现在支持从一个主要 SSM 文档运行一个或多个次要 SSM 文档。这些运行其他文档的主要文档称为复合 文档。通过使用复合文档,可以为多个 AWS 账户创建并共享一组标准的次要 SSM 文档,从而完成引导启动防病毒软件或域连接实例等常见任务。您可以运行 Systems Manager、GitHub 或 Amazon S3 中存储的复合或次要文档。在创建复合文档后,可以使用 AWS-RunDocument 预定义 SSM 文档运行它。有关更多信息,请参阅 创建复合文档从远程位置运行文档

SSM 文档插件引用:为了更便于访问,我们将 SSM 文档的 SSM 插件引用从 Systems Manager API 引用中移到用户指南中。有关更多信息,请参阅 SSM 文档插件参考

2017 年 10 月 26 日

Parameter Store 中的参数版本支持

在编辑参数时,Parameter Store 现在会自动将其版本号增加 1。您可以在 API 调用和 SSM 文档中指定参数名和特定版本号。如果不指定版本号,系统自动使用最新版本。

参数版本针对意外更改参数的情况提供额外保护。您可以查看所有版本的值,并在必要时引用旧版本。还可以使用参数版本查看一段时间内更改参数的次数。有关更多信息,请参阅 使用参数版本

2017 年 10 月 24 日

支持为 Systems Manager 文档添加标签

您现在可以使用 AddTagsToResource API、AWS CLI 或 AWS Tools for Windows,使用键值对为 Systems Manager 文档添加标签。通过添加标签,可帮助您根据为特定资源分配的标签快速确定它们。这是对现有的对托管实例、Maintenance Window、Parameter Store 参数和补丁基准的标签支持的补充。新主题包括为 Systems Manager 文档添加标签使用标签控制对文档的访问权限

2017 年 10 月 3 日

用于根据反馈修复错误或更新内容的各种文档更新

  • 使用适用于 Raspbian Linux 的信息更新了在混合环境中设置 AWS Systems Manager

  • 使用适用于 Windows 实例的新要求更新了设置 AWS Systems Manager。SSM 代理需要 Windows PowerShell 3.0 或更高版本才能在 Windows 实例上执行特定 SSM 文档 (例如,AWS-ApplyPatchBaseline 文档)。验证您的 Windows 实例是否在 Windows 管理框架 3.0 或更高版本上运行。该框架包括 PowerShell。有关更多信息,请参阅 Windows 管理框架 3.0

2017 年 10 月 2 日

使用 EC2Rescue 自动化工作流程对无法访问的 Windows 实例进行故障排除

EC2Rescue 可以帮助您诊断并解决有关 Amazon EC2 Windows Server 实例的问题。使用 AWSSupport-ExecuteEC2Rescue 文档将工具作为 Systems Manager 自动化工作流程运行。AWSSupport-ExecuteEC2Rescue 文档旨在执行 Systems Manager 操作、AWS CloudFormation 操作和 Lambda 函数的组合,从而将使用 EC2Rescue 通常所需的步骤自动化。有关更多信息,请参阅 在无法访问的实例上运行 EC2Rescue 工具

2017 年 9 月 29 日

默认情况下在 Amazon Linux 上安装了 SSM 代理

在 2017.09 及以后日期版本的 Amazon Linux AMI 上,默认情况下会安装 SSM 代理。您必须在其他版本的 Linux 上手动安装 SSM 代理,如在 Linux 实例上安装和配置 SSM 代理中所述。

2017 年 9 月 27 日

Run Command 增强功能

Run Command 包含以下增强功能。

  • 您可以通过创建一个 IAM 用户策略将命令执行限制为特定实例,该用户策略包含一个条件,规定用户可以仅对使用特定 Amazon EC2 标签标记的实例实行命令。有关更多信息,请参阅 基于实例标签限制 Run Command 访问

  • 使用 Amazon EC2 标签将实例设为目标有更多选项。现在,您可以在发送命令时指定多个标签键和多个标签值。有关更多信息,请参阅 将命令发送到队列

2017 年 9 月 12 日

Raspbian 上支持的 Systems Manager

Systems Manager 现在可以在 Raspbian Jessie 和 Raspbian Stretch 设备上运行,包括 Raspberry Pi (32 位)。有关更多信息,请参阅 Raspbian

2017 年 9 月 7 日

将 SSM 代理日志自动发送到 Amazon CloudWatch Logs

您现在可以在实例上进行简单的配置更改,以使 SSM 代理将日志文件发送到 CloudWatch。有关更多信息,请参阅 将日志发送到 CloudWatch Logs (SSM 代理)

2017 年 9 月 7 日

加密资源数据同步

Systems Manager 资源数据同步可让您将在数十或数百个托管实例上收集的清单数据聚合到一个中央 Amazon S3 存储桶。您现在可以使用 AWS Key Management Service 密钥加密资源数据同步。有关更多信息,请参阅 演练:使用资源数据同步聚合清单数据

2017 年 9 月 1 日

新的 状态管理器 演练

向 状态管理器 文档添加了两个新的演练:

演练:自动更新 SSM 代理 (CLI)

演练:在 EC2 Windows 实例上自动更新半虚拟化驱动程序 (控制台)

2017 年 8 月 31 日

Systems Manager 配置合规性

使用配置合规性扫描托管实例队列,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户和区域中收集并聚合数据,然后深入了解不合规的特定资源。默认情况下,配置合规性将显示有关 Patch Manager 修补和 状态管理器 关联的合规性数据。您也可以根据 IT 或业务要求自定义服务并创建自己的合规性类型。有关更多信息,请参阅 AWS Systems Manager 配置合规性

2017 年 8 月 28 日

新的自动化操作:aws:executeAutomation

通过调用辅助自动化文件执行辅助自动化工作流程。借助此操作,您可以为最常见的工作流程创建自动化文档,并在自动化执行期间引用这些文档。因为无需跨类似文档复制步骤,此操作可以简化您的自动化文档。有关更多信息,请参阅 aws:executeAutomation

2017 年 8 月 22 日

作为 CloudWatch 事件的目标的 Automation

您可通过指定 Automation 文档作为 Amazon CloudWatch 事件的目标来启动 Automation 工作流程。您可以按计划或者在特定 AWS 系统事件发生时启动工作流程。有关更多信息,请参阅 将 Automation 配置为 CloudWatch Events 目标 (可选)

2017 年 8 月 21 日

状态管理器 关联版本控制和常规更新

您现在可以创建不同的 状态管理器 关联版本。每个关联具有 1000 个版本的限制。您还可为您的关联指定名称。此外,状态管理器 文档已更新,处理了过时信息和不一致之处。有关更多信息,请参阅 AWS Systems Manager 状态管理器

2017 年 8 月 21 日

Maintenance Window更改

Maintenance Window包括以下更改或增强:

  • 以前,Maintenance Window只能通过使用 Run Command 执行任务。现在您可使用 Systems Manager Automation、AWS Lambda 和 AWS Step Functions 来执行任务。

  • 您可编辑Maintenance Window的目标,指定目标名称、描述和所有者。

  • 您可以编辑Maintenance Window中的任务,包括为 Run Command 和 Automation 任务指定新的 SSM 文档。

  • 现在支持所有 Run Command 参数,包括 DocumentHash、DocumentHashType、TimeoutSeconds、Comment 和 NotificationConfig。

  • 您现在可在尝试取消注册目标时使用 safe 标志。如果启用,系统将在任何任务引用目标时返回错误。

有关更多信息,请参阅 AWS Systems Manager Maintenance Window

2017 年 8 月 16 日

新的 Automation 操作:aws:approve

此新的 Automation 文档操作会临时暂停 Automation 执行,直至指定委托人批准或拒绝操作。在达到所需批准数后,Automation 执行将恢复。

有关更多信息,请参阅 Systems Manager 自动化文档参考

2017 年 8 月 10 日

不再需要 Automation 代入角色

Automation 之前需要您指定服务角色 (或代入 角色),以便服务有权代表您执行操作。Automation 不再需要此角色,因为服务现在通过使用已调用执行的用户的上下文来操作。

不过,以下情况仍需要您为 Automation 指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户执行需要更高权限的 Automation 工作流程时。在此方案中,您可以创建具有更高权限的服务角色并允许用户执行此工作流程。

  • 运行时长预计将超过 12 小时的操作需要一个服务角色。

有关更多信息,请参阅 设置 Automation

2017 年 8 月 3 日

配置合规性

使用 Amazon EC2 Systems Manager 配置合规性扫描托管实例队列,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户和区域中收集并聚合数据,然后深入了解不合规的特定资源。有关更多信息,请参阅 AWS Systems Manager 配置合规性

2017 年 8 月 8 日

SSM 文档增强功能

SSM 命令和策略文档现在提供跨平台支持。也就是说单个 SSM 文档可以处理 Windows 和 Linux 操作系统的插件。跨平台支持可以让您合并您管理的文档数量。使用 2.2 版或更高版本架构的 SSM 文档中提供跨平台支持。

使用 2.0 版或更高版本架构的 SSM 命令文档现在包含相同类型的多个插件。例如,您可以创建多次调用 aws:runRunShellScript 插件的命令文档。

有关 2.2 版架构变化的更多信息,请参阅 AWS Systems Manager 文档。有关 SSM 插件的更多信息,请参阅 Systems Manager 插件

2017 年 12 月 7 日

Linux 修补

Patch Manager 现在可以修补以下 Linux 发行版:

64 位和 32 位系统

  • Amazon Linux 2014.03、2014.09 或更高版本

  • Ubuntu Server 16.04 LTS、14.04 LTS 或 12.04 LTS

  • Red Hat Enterprise Linux (RHEL) 6.5 或更高版本

仅 64 位系统

  • Amazon Linux 2015.03、2015.09 或更高版本

  • Red Hat Enterprise Linux (RHEL) 7.x 或更高版本

有关更多信息,请参阅 AWS Systems Manager Patch Manager

注意

  • 要修补 Linux 实例,您的实例必须运行 SSM 代理 2.0.834.0 版或更高版本。有关更新此代理的信息,请参阅从控制台运行命令中标题为示例:更新 SSM 代理 的部分。

  • AWS-ApplyPatchBaseline SSM 文档将替换为 AWS-RunPatchBaseline 文档。

2017 年 6 月 7 日

资源数据同步

您可以使用 Systems Manager 资源数据同步将从所有托管实例收集的清单数据存储到单个 Amazon S3 存储桶。收集新的清单数据后,资源数据同步自动更新集中式数据。所有清单数据存储在目标 Amazon S3 存储桶中后,您可以使用 Amazon Athena 和 Amazon QuickSight 等服务查询和分析聚合数据。有关更多信息,请参阅 配置清单的资源数据同步。有关如何使用资源数据同步的示例,请参阅 演练:使用资源数据同步聚合清单数据

2017 年 6 月 29 日

Systems Manager 参数层次结构

以平面列表的形式管理几十个或数百个 Systems Manager 参数十分耗时且容易出错。您可以使用参数层次结构来帮助组织和管理 Systems Manager 参数。一个层次结构是一个参数名称,包括您使用正斜杠定义的路径。下面是一个示例,它在名称中使用三个层次结构级别来标识以下内容:

/环境/计算机类型/应用程序/数据

/Dev/DBServer/MySQL/db-string13

有关更多信息,请参阅 将参数组织成层次结构。有关如何使用参数层次结构的示例,请参阅演练:使用层次结构管理参数 (AWS CLI)

2017 年 6 月 22 日

对 SUSE Linux Enterprise Server 的 SSM 代理支持

您可以在 64 位 SUSE Linux Enterprise Server (SLES) 上安装 SSM 代理。有关更多信息,请参阅 在 Linux 实例上安装和配置 SSM 代理

2017 年 6 月 14 日