AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

什么是 AWS Systems Manager?

AWS Systems Manager 是一个功能集合,用于大规模配置和管理您的 Amazon EC2 实例、本地服务器与虚拟机及其他 AWS 资源。Systems Manager 包括一个统一接口,您可通过该接口轻松地将操作数据集中到一起,并跨 AWS 资源自动完成任务。Systems Manager 缩短了检测和解决基础设施中存在的操作问题所需的时间。Systems Manager 让您能够全面了解您的基础设施性能和配置,简化资源和应用程序管理,并简化基础设施的大规模操作和管理。

注意

AWS Systems Manager 以前称为“Amazon EC2 Systems Manager”和“Amazon Simple Systems Manager”。

如何使用

图 1 显示了 Systems Manager 在执行操作(如向您的服务器队列发送命令)或执行在本地服务器上运行的应用程序清单时所应用的其他流程的一般示例。示例 Run Command 或Maintenance Windows中的每种 Systems Manager 功能都使用类似设置、执行、处理和报告流程。

  1. 配置 Systems Manager:使用 Systems Manager 控制台、SDK、AWS CLI 或 AWS Toolkit for Windows PowerShell,配置、计划、自动执行和执行您要针对 AWS 资源所执行的操作。

  2. 验证和处理:Systems Manager 会验证包括权限在内的配置,并向在您混合环境的实例或服务器上运行的 SSM 代理 发送请求。SSM 代理 执行指定的配置更改。

  3. 报告:SSM 代理 会报告对 AWS 云中的 Systems Manager 所做的配置更改和所执行操作的状态。然后,Systems Manager 会向用户和各种 AWS 服务(如果已配置)发送该状态。

图 1:Systems Manager 流程的一般示例

 显示 Systems Manager 功能(例如,Run Command 或Maintenance Windows)原理的图使用类似设置、执行、处理和报告流程。

功能

Systems Manager 包括以下功能:

资源组

AWS 资源组:AWS 资源是您可以在 AWS 中使用的一种实体,如 Amazon Elastic Compute Cloud (Amazon EC2) 实例、Amazon Elastic Block Store (Amazon EBS) 卷、安全组或 Amazon Virtual Private Cloud (VPC)。资源组是同一 AWS 区域中与查询中提供的条件相匹配的 AWS 资源的集合。您可以在资源组控制台构建查询,或者将查询作为自变量传递给 AWS CLI 中的资源组命令。借助资源组,您可以创建自定义控制台,根据在标签中指定的条件来组织和整合信息。您也可以将组作为在 AWS Systems Manager 中查看监控和配置见解的基础。

见解

Systems Manager 提供以下功能,用于集中查看有关 AWS 资源的数据。要了解详情,请选择相应选项卡。

内置见解CloudWatch 控制面板Inventory 管理配置合规性
内置见解

见解可显示关于 AWS 资源组中资源的详细信息,如 AWS CloudTrail 日志、依据 AWS Config 规则的评估结果以及 AWS Trusted Advisor 报告。见解一次显示关于一个选定资源组的信息。

CloudWatch 控制面板

Amazon CloudWatch 控制面板是 CloudWatch 控制台中的可自定义主页,可用于在一个视图中监控您的资源,即便是那些分布到不同区域的资源,也能对其进行监控。您可以使用 CloudWatch 控制面板创建 AWS 资源的指标和警报的自定义视图。

Inventory 管理

Inventory Manager 可自动执行从托管实例中收集软件清单的流程。您可以使用 Inventory Manager 在托管实例上收集有关应用程序、文件、组件、修补程序等对象的元数据。

配置合规性

使用 Systems Manager 配置合规性扫描托管实例队列,了解补丁合规性和配置不一致性。您可以从多个 AWS 账户和区域中收集并聚合数据,然后深入了解不合规的特定资源。默认情况下,配置合规性将显示有关 Patch Manager 修补和 状态管理器 关联的合规性数据。您也可以根据 IT 或业务要求自定义服务并创建自己的合规性类型。

操作

Systems Manager 提供以下可对您的 AWS 资源执行操作的功能。要了解详情,请选择相应选项卡。

自动化Run Command补丁管理Maintenance Windows状态管理
自动化

使用 Systems Manager 自动化可自动执行常见的维护和部署任务。您可以使用自动化创建和更新 Amazon 系统映像、应用驱动程序和代理的更新、在 Windows 实例上重置密码、在 Linux 实例上重置 SSH 密钥,并应用操作系统补丁或应用程序更新。

Run Command

使用 Systems Manager Run Command 以远程方式安全且大规模地管理托管实例的配置。使用 Run Command 在几十个或数百个实例的目标集中执行按需更改,例如更新应用程序或运行 Linux Shell 脚本和 Windows PowerShell 命令。

补丁管理

使用 Patch Manager 可自动执行修补托管实例的过程。利用此功能,您可以扫描实例中是否有缺失的补丁,然后单独应用缺失的补丁或使用 Amazon EC2 实例标签将这些补丁应用于大型实例组。对于安全性补丁,Patch Manager 使用补丁基准,该基准包含用于在补丁发布几天内自动批准补丁的规则以及一系列已批准和已拒绝的补丁。从为实例配置的默认补丁存储库安装安全性补丁。您可以通过安排修补作为 Systems Manager Maintenance Window任务运行来定期安装安全性补丁。对于 Linux 操作系统,您可以定义的存储库应该作为补丁基准的一部分用于修补操作。这样,您可以确保更新仅从信任的存储库安装,而与在实例上配置的存储库无关。对于 Linux,您还能够更新实例上的任何包,而不仅仅是被归类为操作系统安全更新的包。

Maintenance Windows

使用Maintenance Windows可以设置托管实例的周期性计划,以便执行诸如安装补丁和更新等管理任务,而不会中断业务关键性操作。

状态管理

使用 Systems Manager 状态管理器可自动使您的托管实例保持在一个预先设定的状态。您可以使用 状态管理器 确保您的实例在启动时使用特定软件进行引导,加入某个 Windows 域 (仅限 Windows 实例) 或使用特定的更新版本修补软件。

共享资源

Systems Manager 使用以下共享资源来管理和配置您的 AWS 资源。要了解详情,请选择相应选项卡。

托管实例激活Systems Manager 文档Parameter Store
托管实例

托管实例是任何 Amazon EC2 实例,或针对 Systems Manager 配置的混合环境中的本地计算机(服务器或虚拟机 [VM])。要设置托管实例,您需要在计算机上安装 SSM 代理 (如果默认情况下未安装) 并配置 AWS Identity and Access Management (IAM) 权限。本地计算机也需要一个激活代码。

激活

要在混合环境中将服务器和虚拟机设置为托管实例,您需要创建托管实例激活。完成激活后,您将收到一个激活代码和 ID。此代码/ID 组合具有 Amazon EC2 访问 ID 和私有密钥的功能,可提供从托管实例对 Systems Manager 服务的安全访问。

Systems Manager 文档

Systems Manager 文档(SSM 文档)定义了 Systems Manager 执行的操作。SSM 文档可以是 状态管理器 和 Run Command 使用的命令文档,也可以是 Systems Manager 自动化使用的自动化文档。Systems Manager 包括几十个预先配置的文档,您可以通过在运行时指定参数进行使用。文档可以采用 JSON 或 YAML 表示,并包括您指定的步骤和参数。

Parameter Store

Parameter Store 提供安全的分层存储,用于配置数据管理和密钥管理。也可以将密码、数据库字符串和许可证代码等数据存储为参数值。可以将值存储为纯文本或加密数据。然后,可以使用创建参数时指定的唯一名称来引用对应值。

入门

要开始使用 Systems Manager,请执行以下操作:

  • 确保您已满足 Systems Manager 先决条件

  • 配置角色和权限

  • 在实例上安装 SSM 代理(如有必要)

如果您想使用 Systems Manager 管理本地服务器和虚拟机,则还必须创建托管实例激活。

设置 AWS Systems Manager 中介绍了这些任务。

访问 Systems Manager

您可以使用以下任意界面访问 Systems Manager:

  • AWS Systems Manager 控制台 — 提供可用于访问 Systems Manager 的 Web 界面。

  • AWS 命令行界面 (AWS CLI) - 提供了用于众多 AWS 服务 (包括 Systems Manager) 的命令,并且在 Windows、Mac 和 Linux 上受支持。有关更多信息,请参阅 AWS 命令行界面

  • AWS Tools for Windows PowerShell — 为众多 AWS 服务(包括 Systems Manager)提供命令。相关详情,请参阅 AWS Tools for Windows PowerShell

  • AWS 软件开发工具包 - 提供了特定于语言的 API,并关注许多连接详细信息,例如计算签名、处理请求重试和错误处理。有关更多信息,请参阅 AWS 软件开发工具包

定价

提供的 Systems Manager 功能和共享组件无需额外费用。您仅需为实际使用的 AWS 资源付费。

我们希望听到您的意见和建议

我们欢迎您提供反馈。要与我们联系,请访问 AWS 开发人员论坛

以下参考文档中也介绍了 Systems Manager。