AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

什么是 AWS Systems Manager?

AWS Systems Manager 是一系列可用于大规模配置和管理 Amazon EC2 实例、本地服务器和虚拟机以及其他 AWS 资源的功能。Systems Manager 包括一个统一接口,通过该接口可方便地将操作数据集中到一起,并跨 AWS 资源自动完成任务。Systems Manager 缩短了检测和解决基础设施中存在的操作问题所需的时间。通过 Systems Manager 可全面了解基础设施性能和配置,简化资源和应用程序管理,并简化基础设施的大规模操作和管理。

注意

AWS Systems Manager 以前称为“Amazon EC2 Systems Manager”和“Amazon Simple Systems Manager”。Amazon EC2 控制台在左侧导航窗格中的标题系统管理器服务系统管理器共享资源下包含 Systems Manager 功能和服务。尽管通过 EC2 控制台可以访问大多数 Systems Manager 功能和服务,但建议使用 AWS Systems Manager 控制台。通过 AWS Systems Manager 控制台,可以轻松访问所有 Systems Manager 服务、数据和共享资源。此控制台还包括控制面板,通过此控制台可以轻松访问使用 Systems Manager 来帮助管理 AWS 资源的相关服务。

工作原理

图 1 显示了 Systems Manager 在执行操作(如向您的服务器队列发送命令)或执行在本地服务器上运行的应用程序清单时所应用的其他流程的一般示例。每种 Systems Manager 功能(例如 Run Command 或Maintenance Windows)都使用类似的设置、执行、处理和报告流程。

  1. 配置 Systems Manager:使用 Systems Manager 控制台、开发工具包、AWS CLI 或 AWS Toolkit for Windows PowerShell 配置、计划、自动执行和执行要对 AWS 资源所执行的操作。

  2. 验证和处理:Systems Manager 验证包括权限在内的配置,并向在混合环境的实例或服务器上运行的 SSM 代理发送请求。SSM 代理执行指定的配置更改。

  3. 报告:SSM 代理报告对 AWS 云中的 Systems Manager 所做的配置更改和所执行操作的状态。然后,Systems Manager 向用户和各种 AWS 服务(如果已配置)发送该状态。

图 1:Systems Manager 流程的一般示例


                显示 Systems Manager 功能(例如,Run Command 或Maintenance Windows)原理的图使用类似设置、执行、处理和报告流程。

功能

Systems Manager 包括以下功能:

资源组

AWS 资源组:AWS 资源 是可以在 AWS 中使用的一种实体,如 Amazon Elastic Compute Cloud (Amazon EC2) 实例、Amazon Elastic Block Store (Amazon EBS) 卷、安全组或 Amazon Virtual Private Cloud (VPC)。资源组是同一 AWS 区域中与查询中提供的条件相匹配的 AWS 资源的集合。您可以在资源组控制台构建查询,或者将查询作为自变量传递给 AWS CLI 中的资源组命令。借助资源组,您可以创建自定义控制台,根据在标签中指定的条件来组织和整合信息。您也可以将组作为在 AWS Systems Manager 中查看监控和配置见解的基础。

见解

Systems Manager 提供以下功能,用于集中查看有关 AWS 资源的数据。要了解详情,请选择相应选项卡。

Built-in InsightsCloudWatch DashboardsInventory ManagementConfiguration Compliance
Built-in Insights

见解可显示关于 AWS 资源组中资源的详细信息,如 AWS CloudTrail 日志、依据 AWS Config 规则的评估结果以及 AWS Trusted Advisor 报告。见解一次显示关于一个选定资源组的信息。

CloudWatch Dashboards

Amazon CloudWatch 控制面板是 CloudWatch 控制台中的可自定义主页,可用于在单个视图中监控资源,即便是分布到不同区域的资源,也能对其进行监控。您可以使用 CloudWatch 控制面板创建 AWS 资源的指标和警报的自定义视图。

Inventory Management

Inventory Manager 可自动执行从托管实例中收集软件清单的流程。您可以使用 Inventory Manager 在托管实例上收集有关应用程序、文件、组件、修补程序等对象的元数据。

Configuration Compliance

使用 Systems Manager 配置合规性扫描托管实例队列,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户和区域中收集并聚合数据,然后深入了解不合规的特定资源。默认情况下,配置合规性将显示有关 Patch Manager 修补和 状态管理器 关联的合规性数据。您也可以根据 IT 或业务要求自定义服务并创建自己的合规性类型。

操作

Systems Manager 提供以下可对您的 AWS 资源执行操作的功能。要了解详情,请选择相应选项卡。

AutomationRun CommandSession ManagerDistributorPatch ManagementMaintenance WindowsState Management
Automation

使用 Systems Manager Automation 可自动执行常见的维护和部署任务。您可以使用自动化创建和更新 Amazon 系统映像、应用驱动程序和代理的更新、在 Windows 实例上重置密码、在 Linux 实例上重置 SSH 密钥,并应用操作系统补丁或应用程序更新。

Run Command

使用 Systems Manager Run Command 可以远程方式安全、大规模地管理托管实例的配置。使用 Run Command 在几十个或数百个实例的目标集中执行按需更改,例如更新应用程序或运行 Linux Shell 脚本和 Windows PowerShell 命令。

Session Manager

使用 Session Manager 可通过基于浏览器的一键式交互 Shell 或 AWS CLI 来管理 Amazon EC2 实例。Session Manager 提供安全且可审计的实例管理,无需打开入站端口,维护堡垒主机或管理 SSH 密钥。Session Manager 还可以轻松遵守需要受控访问实例的公司策略,严格的安全实践以及具有实例访问详细信息的完全可审计日志,同时仍然为最终用户提供对 Amazon EC2 实例的简单一键式跨平台访问。

Distributor

使用 Distributor 可创建软件包并将其部署到托管实例。Distributor 允许您将自己的软件打包或查找 AWS 提供的代理软件包(如 AmazonCloudWatchAgent),以便在 AWS Systems Manager 托管实例上安装。Distributor 会将软件包等资源发布到 AWS Systems Manager 托管实例。

Patch Management

使用 Patch Manager 可自动执行修补托管实例的过程。利用此功能,您可以扫描实例中是否有缺失的补丁,然后单独应用缺失的补丁或使用 Amazon EC2 实例标签将这些补丁应用于大型实例组。对于安全性补丁,Patch Manager 使用补丁基准,该基准包含用于在补丁发布几天内自动批准补丁的规则以及一系列已批准和已拒绝的补丁。从为实例配置的默认补丁存储库安装安全性补丁。您可以通过安排修补作为 Systems Manager Maintenance Window任务运行来定期安装安全性补丁。对于 Linux 操作系统,您可以定义的存储库应该作为补丁基准的一部分用于修补操作。这样,您可以确保更新仅从信任的存储库安装,而与在实例上配置的存储库无关。对于 Linux,您还能够更新实例上的任何包,而不仅仅是被归类为操作系统安全更新的包。

Maintenance Windows

使用Maintenance Windows可以设置托管实例的周期性计划,以便执行诸如安装补丁和更新等管理任务,而不会中断业务关键性操作。

State Management

使用 Systems Manager State Manager 可自动使托管实例保持为预先设定的状态。您可以使用 状态管理器 确保您的实例在启动时使用特定软件进行引导,加入某个 Windows 域 (仅限 Windows 实例) 或使用特定的更新版本修补软件。

共享资源

Systems Manager 使用以下共享资源来管理和配置您的 AWS 资源。要了解详情,请选择相应选项卡。

Managed InstancesActivationsSystems Manager DocumentsParameter Store
Managed Instances

托管实例是任何 Amazon EC2 实例,或针对 Systems Manager 配置的混合环境中的本地计算机(服务器或虚拟机 [VM])。要设置托管实例,您需要在计算机上安装 SSM 代理(如果默认情况下未安装)并配置 AWS Identity and Access Management (IAM) 权限。本地计算机也需要一个激活代码。

Activations

要在混合环境中将服务器和虚拟机设置为托管实例,您需要创建托管实例激活。完成激活后,您将收到一个激活代码和 ID。此代码/ID 组合具有 Amazon EC2 访问 ID 和私有密钥的功能,可提供从托管实例对 Systems Manager 服务的安全访问。

Systems Manager Documents

Systems Manager 文档(SSM 文档)定义 Systems Manager 执行的操作。SSM 文档类型包括 状态管理器 和 Run Command 使用的命令 文档,以及 Systems Manager Automation 使用的自动化 文档。Systems Manager 包括几十个预先配置的文档,您可以通过在运行时指定参数进行使用。文档可以采用 JSON 或 YAML 表示,并包括您指定的步骤和参数。

Parameter Store

Parameter Store 提供安全的分层存储,用于配置数据管理和密钥管理。也可以将密码、数据库字符串和许可证代码等数据存储为参数值。可以将值存储为纯文本或加密数据。然后,可以使用创建参数时指定的唯一名称来引用对应值。

入门

要开始使用 Systems Manager,请执行以下操作:

  • 确保您已满足 Systems Manager 先决条件

  • 配置角色和权限

  • 在实例上安装 SSM 代理(如有必要)

如果您想使用 Systems Manager 管理本地服务器和虚拟机,则还必须创建托管实例激活。

设置 AWS Systems Manager 中介绍了这些任务。

访问 Systems Manager

您可以使用以下任意界面访问 Systems Manager:

  • AWS Systems Manager 控制台 — 提供可用于访问 Systems Manager 的 Web 界面。

  • AWS 命令行界面 (AWS CLI) — 提供用于众多 AWS 服务(包括 Systems Manager)的命令,在 Windows、Mac 和 Linux 上受支持。有关更多信息,请参阅 AWS 命令行界面

  • AWS Tools for Windows PowerShell — 为众多 AWS 服务(包括 Systems Manager)提供命令。有关更多信息,请参阅 AWS Tools for Windows PowerShell

  • AWS 软件开发工具包 — 提供了特定于语言的 API,并关注许多连接详细信息,例如计算签名、处理请求重试和错误处理。有关更多信息,请参阅 AWS 开发工具包

定价

有些 Systems Manager 功能会收费。有关更多信息,请参阅 AWS Systems Manager 定价

我们希望听到您的意见和建议

我们欢迎您提供反馈。要与我们联系,请访问 AWS 开发人员论坛

以下参考文档中也介绍了 Systems Manager。