与 Amazon Web Services 集成 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

与 Amazon Web Services 集成

通过使用 Systems Manager Command 文档(SSM 文档)和自动化运行手册,您可以使用 Amazon Systems Manager 以与 Amazon Web Services集成。有关这些资源的标签的更多信息,请参阅 Amazon Systems Manager 文档

Systems Manager 已与以下 Amazon Web Services集成。

计算

Amazon Elastic Compute Cloud (Amazon EC2)

Amazon EC2 在 Amazon Web Services 云中提供了可扩展的计算容量。使用 Amazon EC2 可避免前期的硬件投入,因此您能够快速开发和部署应用程序。您可以使用 Amazon EC2 启动所需数量的虚拟服务器,配置安全性和联网以及管理存储。

Systems Manager 使您可以在 Amazon EC2 实例上执行多种任务。例如,您可以启动、配置、管理、维护、故障排除以及安全地连接到 Amazon EC2 实例。您还可以使用 Systems Manager 部署软件、确定合规性状态,以及从 Amazon EC2 实例收集清单。

Amazon EC2 Auto Scaling

Auto Scaling 可帮助确保您拥有正确数量的 Amazon EC2 实例,这些实例可用于处理应用程序的负载。您可创建 EC2 实例的集合,称为 Auto Scaling 组。

Systems Manager 使您可以自动执行常见过程,如适用于您的 Auto Scaling 组的 Auto Scaling 模板中所使用的修补 Amazon Machine Image (AMI)。

了解更多信息

修补 AMI 并更新 Auto Scaling 组

Amazon Elastic Container Service (Amazon ECS)

Amazon ECS 是一项高度可扩展的快速容器管理服务,它使您可以轻松运行、停止和管理集群上的 Docker 容器。

Systems Manager 使您可以远程管理容器实例,并向容器中注入敏感数据,方法是将您的敏感数据存储在 Parameter Store(它是 Systems Manager 的一项功能)的参数中,然后在容器定义中引用这些参数。

Amazon Lambda

Lambda 是一项计算服务,使您无需预置或管理服务器即可运行代码。只有在需要时 Lambda 才运行您的代码,并且能自动扩展,从每天几个请求扩展到每秒数千个请求。

Systems Manager 使您可以通过使用 aws:invokeLambdaFunction 操作,在自动化运行手册内容中使用 Lambda 函数。

了解更多信息

使用自动化、AMI 和 Parameter Store 简化 Amazon Lambda 的修补

物联网 (IoT)

Amazon IoT Greengrass 核心设备

Amazon IoT Greengrass 是一项开源 IoT 边缘运行时和云服务,可帮助您在设备上构建、部署和管理 IoT 应用程序。Systems Manager 为 Amazon IoT Greengrass 核心设备提供本机支持。

了解更多信息

为边缘设备设置 Amazon Systems Manager

Amazon IoT 核心设备

Amazon IoT 提供云服务将 IoT 设备连接到其他设备和 Amazon 云服务。Amazon IoT 提供设备软件以帮助您将 IoT 设备集成到基于 Amazon IoT 的解决方案。如果您的设备可以连接到 Amazon IoT,则 Amazon IoT 可以将它们连接到 Amazon 提供的云服务。Systems Manager Amazon IoT 支持核心设备,前提是这些设备需在混合环境中配置为托管式节点

了解更多信息

为混合环境设置 Amazon Systems Manager

存储

Amazon Simple Storage Service (Amazon S3)

Amazon S3 是一种面向互联网的存储服务。该服务旨在降低开发人员进行 Web 级计算的难度。Amazon S3 提供了一个简单 Web 服务接口,可用于随时在 Web 上的任何位置存储和检索任何数量的数据。

Systems Manager 使您可以运行存储在 Amazon S3 中的远程脚本和 SSM 文档。Amazon Systems Manager 的功能 Distributor 使用 Amazon S3 存储软件包。您还可以将输出发送到 Amazon S3,用于 Amazon Systems Manager 的功能 Run Command 和 Session Manager。

开发工具

Amazon CodeBuild

CodeBuild 是一项在云中完全托管的生成服务。CodeBuild 可编译源代码,运行单元测试,并生成可供部署的构件。使用 CodeBuild,您无需预配置、管理和扩展自己的构建服务器。

Parameter Store 使您可以存储用于构建规范和项目的敏感信息。

安全、身份和合规性

Amazon Identity and Access Management (IAM)

IAM 是一种 Web 服务,可以帮助您安全地控制对 Amazon 资源的访问。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。

Systems Manager 使您可以使用 IAM 控制对服务的访问。

Amazon Secrets Manager

Secrets Manager 提供了更轻松的秘密管理。密钥可以是数据库凭证、密码、第三方 API 密钥,甚至是任意文本。

Parameter Store 使您可以在使用其他已支持引用 Parameter Store 参数的 Amazon Web Services时检索 Secrets Manager 密钥。

了解更多信息

通过 Parameter Store 参数引用 Amazon Secrets Manager 密钥

Amazon Security Hub

Security Hub 可以让您全面了解多个 Amazon Web Services 账户间的高优先级安全告警和合规性状态。Security Hub 可以聚合、组织来自多个 Amazon Web Services的安全提醒或检查结果并确定优先级。

当您打开 Security Hub 与 Patch Manager(它是 Amazon Systems Manager 的一项功能)之间的集成时,Security Hub 会从安全角度监控机群的修补状态。补丁合规性详细信息将被自动导出到 Security Hub。这使您可以使用单个视图集中监控补丁合规性状态,以及跟踪其他安全结果。您可以在机群中的节点不符合补丁合规性时收到告警,还可以在 Security Hub 控制台中审核补丁合规性结果。

您还可以将 Security Hub 与 Amazon Systems Manager 的功能 Explorer 和 OpsCenter 集成。与 Security Hub 的集成使您能够接收来自 Explorer 和 OpsCenter 中的 Security Hub 的结果。Security Hub 结果可以提供安全信息,您可以在 Explorer 和 OpsCenter 中使用这些信息来聚合 Amazon Systems Manager 中的安全性、性能和操作问题,并对它们采取相应措施。

使用 Security Hub 需支付费用。有关更多信息,请参阅 Security Hub 定价

加密和 PKI

Amazon Key Management Service (Amazon KMS)

Amazon KMS 是一项托管式服务,使您可以创建和控制客户托管密钥,这是用于加密您的数据的加密密钥。

Systems Manager 使您可以使用 Amazon KMS 创建 SecureString 参数,以及加密 Session Manager 会话数据。

管理和治理

Amazon CloudFormation

Amazon CloudFormation 是一项服务,可帮助您对 Amazon Web Services 资源进行建模和设置,以便能花较少的时间管理这些资源,而花更多时间专注于 Amazon 中运行的应用程序上。

Parameter Store 是动态引用的源。动态引用提供了一种简明、强大的方法,用于指定在 Amazon CloudFormation 堆栈模板内的其他服务中存储和管理的外部值。

了解更多信息

使用动态引用以指定模板值

Amazon CloudTrail

CloudTrail 是一项 Amazon Web Service,可帮助您授权对您的 Amazon Web Services 账户执行监管、合规性以及操作和风险审计。用户、角色或 Amazon Web Service执行的操作将以事件的形式记录在 CloudTrail 中。事件包括在 Amazon Web Services Management Console、Amazon Command Line Interface (Amazon CLI) 和 Amazon 开发工具包及 API 中执行的操作。

Systems Manager 与 CloudTrail 集成,使您能以事件的形式捕获对 Systems Manager 的所有 API 调用,包括来自 System Manager 控制台的调用,以及对 Systems Manager API 的代码调用。

了解更多信息

使用 Amazon Systems Manager 记录 Amazon CloudTrail API 调用

Amazon CloudWatch Logs

Amazon CloudWatch Logs 使您可以集中记录来自您使用的所有系统、应用程序和 Amazon Web Services的日志。随后您就可以查看日志、在日志中搜索特定错误代码或模式、根据特定字段筛选日志,或者安全地将这些日志归档以供将来分析。

Systems Manager 支持将 SSM Agent、Run Command 和 Session Manager 的日志发送到 CloudWatch Logs。

Amazon EventBridge

EventBridge 提供近乎实时的系统事件流,这些系统事件可以描述 Amazon Web Services 资源中的更改。通过使用可快速设置的简单规则,您可以匹配事件并将事件路由到一个或多个目标函数或流。EventBridge 可在发生操作更改时感知到这些更改。EventBridge 可以响应这些操作更改,并在必要时采取纠正措施。这些操作包括发送消息以响应环境、激活函数和捕获状态信息。

Systems Manager 具有 EventBridge 支持的多个事件,使您可以根据这些事件的内容进行操作。

了解更多信息

使用 Amazon EventBridge 监控 Systems Manager 事件

注意

Amazon EventBridge 是管理事件的首选方式。CloudWatch Events 和 EventBridge 是相同的底层服务和 API,但 EventBridge 提供了更多功能。您在 CloudWatch 或 EventBridge 中所做的更改将显示在每个控制台中。有关更多信息,请参阅 Amazon EventBridge 用户指南

Amazon Config

Amazon Config 可以提供关于您的 Amazon Web Services 账户中 Amazon 资源的配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式。这使您可以了解配置和关系如何随着的时间的推移而变化。

Systems Manager 与 Amazon Config 集成,提供了多个规则,可帮助您了解 Amazon EC2 实例。这些规则可帮助您确定哪些 Amazon EC2 实例由 Systems Manager 管理、操作系统配置、系统级更新、已安装的应用程序、网络配置等。

Amazon Trusted Advisor

Trusted Advisor 是一个在线工具,可提供实时指导,帮助您按照 Amazon 最佳实践预置资源。

Systems Manager 可以托管 Trusted Advisor,您可以在 Explorer 中查看 Trusted Advisor 数据。

Amazon Organizations

Organizations 是一项账户管理服务,使您可以将多个 Amazon Web Services 账户整合到您创建组织中并进行集中管理。Organizations 包含账户管理和整合账单功能,这些功能使您能够更好地满足业务的预算、安全性和合规性需求。

借助 Change Manager(Amazon Systems Manager 的一项功能)与 Organizations 之间的集成,可以使用委托管理员账户管理更改请求、更改模板,并可通过这一单个账户管理针对整个企业的批准。

Organizations 与 Inventory(它是 Amazon Systems Manager 的一项功能)和 Explorer 的集成,使您可以聚合多个 Amazon Web Services 区域和 Amazon Web Services 账户中的清单及操作数据 (OpsData)。

借助 Quick Setup(它是 Amazon Systems Manager 的一项功能)与 Organizations 之间的集成,可以自动完成常见服务设置任务,以及根据最佳实践在您的各个组织单位 (OU) 中部署服务配置。

联网和内容分发

Amazon PrivateLink

借助 Amazon PrivateLink,您可以通过私有方式将您的虚拟私有云(VPC)连接到支持的 Amazon Web Services和 VPC 端点服务,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。

Systems Manager 支持使用 Amazon PrivateLink 连接到 Systems Manager API 的托管式节点。这可以改善托管式节点的安保状况,因为 Amazon PrivateLink 可将托管式节点、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络内。这意味着托管式节点无需访问互联网。

了解更多信息

(建议)创建 VPC 端点

分析

Amazon Athena

Athena 是一种交互式查询服务,使您可以使用标准 SQL 直接分析 Amazon Simple Storage Service (Amazon S3) 中的数据。只需在 Amazon Web Services Management Console 中执行几项操作,即可将 Athena 指向 Amazon S3 中存储的数据,并开始使用标准 SQL 运行一次性查询,然后在几秒钟内获得结果。

Systems Manager Inventory 可与 Athena 集成,以帮助您查询来自多个 Amazon Web Services 区域和 Amazon Web Services 账户的清单数据。Athena 集成使用资源数据同步,以便您可以在 Systems Manager Inventory 控制台中的 Detailed View(详细视图)页面上查看来自所有托管式节点的清单数据。

Amazon Glue

Amazon Glue 是一项完全托管的 ETL(提取、转换和加载)服务,使您能够轻松而经济高效地对数据进行分类、清理和扩充,并在各种数据存储和数据流之间可靠地移动数据。

Systems Manager 使用 Amazon Glue 来爬取 Amazon S3 存储桶中的 Inventory 数据。

了解更多信息

查询多个区域和账户的清单数据

Amazon QuickSight

Amazon QuickSight 是一项业务分析服务,可用于构建可视化内容、执行一次性分析,并从您的数据中获得业务见解。它可以自动发现 Amazon 数据源,还可以使用您的数据源。

Systems Manager 资源数据同步可将从所有托管式节点收集到的清单数据发送到单个 Amazon S3 存储桶。您可以使用 Amazon QuickSight 查询和分析聚合数据。

应用程序集成

Amazon Simple Notification Service (Amazon SNS)

Amazon SNS 是一项 Web 服务,用于协调和管理向订阅端点或客户传输或发送消息的过程。

Systems Manager 可以生成多个服务的状态,Amazon SNS 通知可以捕获这些状态。

Amazon Web Services Management Console

Amazon Resource Groups

Resource Groups 可将您的 Amazon 资源组织起来。资源组使得同时在大量资源上管理、监控和自动化任务变得容易。

Systems Manager 资源类型,如托管式节点、SSM 文档、维护时段、Parameter Store 参数和补丁基准,可以添加到资源组中。

了解更多信息

什么是 Amazon Resource Groups?