• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 # 使用案例和最佳实践 本主题列出了 Amazon Systems Manager 工具常见使用案例和最佳实践。如果可用,本主题还包括指向相关博客文章和技术文档的链接。 **注意** 此处每个章节的标题都是一个指向技术文档中相应章节的有效链接。 **[自动化](systems-manager-automation.md)** + 为基础设施创建自助服务自动化运行手册。 + 使用 Automation(Amazon Systems Manager 中的一项工具),简化利用公有 Systems Manager 文档(SSM 文档)或通过创作自己的工作流从 Amazon Web Services Marketplace 或自定义 AMIs 创建Amazon Machine Images(AMIs)的过程。 + 使用 `AWS-UpdateLinuxAmi` 和 `AWS-UpdateWindowsAmi` 自动化运行手册,或使用您创建的自定义自动化运行手册,[构建和维护 AMIs](automation-tutorial-update-ami.md)。 **[合规](systems-manager-compliance.md)** + 作为最佳安全实践,建议您更新托管式节点使用的 Amazon Identity and Access Management(IAM)角色,以限制该节点使用 [PutComplianceItems](https://docs.amazonaws.cn/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 操作的功能。该 API 操作会在指定资源(例如 Amazon EC2 实例或托管式节点)上注册合规性类型及其他合规性详细信息。有关更多信息,请参阅 [配置合规性权限](compliance-permissions.md)。 **[清单](systems-manager-inventory.md)** + 将 Inventory(Amazon Systems Manager 中的一项工具)与 Amazon Config 结合使用,便可随着时间推移审核应用程序配置。 **[Maintenance Windows](maintenance-windows.md)** + 制定计划,以在节点上执行可能造成中断的操作,例如操作系统 (OS) 修补、驱动程序更新或软件安装。 + 有关State Manager与 Maintenance Windows(都是 Amazon Systems Manager 中的工具)的差异的更多信息,请参阅[在 State Manager 和 Maintenance Windows 之间选择](state-manager-vs-maintenance-windows.md)。 **[Parameter Store](systems-manager-parameter-store.md)** + 使用 Parameter Store(Amazon Systems Manager 中的一项工具)集中管理全局配置设置。 + [Amazon Systems ManagerParameter Store 如何使用 Amazon KMS](https://docs.amazonaws.cn/kms/latest/developerguide/services-parameter-store.html)。 + [通过 Parameter Store 参数引用 Amazon Secrets Manager 密钥](integration-ps-secretsmanager.md)。 **[Patch Manager](patch-manager.md)** + 使用Patch Manager(Amazon Systems Manager 中的一项工具)可大规模推出补丁,在节点中提高实例集合规可见性。 + [将 Patch Manager 与 Amazon Security Hub CSPM 集成在一起](patch-manager-security-hub-integration.md),以便在实例集中的节点不合规时收到提醒,并从安全角度监控实例集的修补状态。使用 Security Hub CSPM 需支付费用。有关更多信息,请参阅[定价](https://www.amazonaws.cn/security-hub/pricing/)。 + 为[避免意外覆盖合规性数据](patch-manager-compliance-data-overwrites.md),每次仅使用一种方法来扫描托管节点的补丁合规性。 **[Run Command](run-command.md)** + [使用 EC2 Run Command 在不使用 SSH 访问的情况下大规模地管理实例](https://www.amazonaws.cn/blogs/aws/manage-instances-at-scale-without-ssh-access-using-ec2-run-command/)。 + 使用 Amazon CloudTrail 审核由 Run Command(Amazon Systems Manager 中的一项工具)进行或代表其进行的所有 API 调用。 + 当您使用 Run Command 发送命令时,不要包含纯文本格式的敏感信息,例如密码、配置数据或其他密钥。您账户中的所有 Systems Manager API 活动都将记录在 Amazon CloudTrail 日志的 S3 存储桶中。这意味着任何有权访问该 Amazon S3 存储桶的用户都能够查看这些密钥的纯文本值。因此,我们建议您创建和使用 `SecureString` 参数,以便加密您在 Systems Manager 操作中使用的敏感数据。 有关更多信息,请参阅 [使用 IAM 策略限制对 Parameter Store 参数的访问](sysman-paramstore-access.md)。 **注意** 预设情况下,CloudTrail 提交到您存储桶的日志文件是用 Amazon S3 托管加密密钥 (SSE-S3) 通过 Amazon [服务器端加密](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingServerSideEncryption.html)进行加密的。要提供可直接管理的安全层,您可以改为将[服务器端加密与 Amazon KMS 托管密钥 (SSE-KMS)](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingKMSEncryption.html) 结合起来用于 CloudTrail 日志文件。 有关更多信息,请参阅《Amazon CloudTrail 用户指南》**中的[使用 Amazon KMS 托管式密钥(SSE-KMS)加密 CloudTrail 日志文件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html)。 + [使用 Run Command 中的目标和速率控制功能执行暂存的命令操作](send-commands-multiple.md)。 + [借助 Amazon Identity and Access Management(IAM)策略,将精细访问权限用于 Run Command(以及其余 Systems Manager 工具)](security_iam_id-based-policy-examples.md#customer-managed-policies)。 **[Session Manager](session-manager.md)** + [使用 Amazon CloudTrail 记录您的 Amazon Web Services 账户中的会话活动](session-manager-auditing.md)。 + [使用 Amazon CloudWatch Logs 或 Amazon S3 记录 Amazon Web Services 账户 中的会话数据](session-manager-logging.md)。 + [控制用户会话对实例的访问](session-manager-getting-started-restrict-access.md)。 + [限制对会话中命令的访问](session-manager-restrict-command-access.md)。 + [关闭或打开 SSM 用户账户管理权限](session-manager-getting-started-ssm-user-permissions.md)。 **[State Manager](systems-manager-state.md)** + [使用预配置的 `AWS-UpdateSSMAgent` 文档,至少每月更新 SSM Agent 一次](state-manager-update-ssm-agent-cli.md)。 + (Windows) 将 PowerShell 或 DSC 模块上载到 Amazon Simple Storage Service (Amazon S3),并使用 `AWS-InstallPowerShellModule`。 + 使用标签为节点创建应用程序组。然后使用 `Targets` 参数而不是指定各个节点 ID 来将节点设为目标。 + [使用 Systems Manager 自动修复 Amazon Inspector 生成的结果](https://www.amazonaws.cn/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/)。 + [对 SSM 文档使用集中式配置存储库,并在整个组织中共享文档](documents-ssm-sharing.md)。 + 有关 State Manager 与 Maintenance Windows 的差异的更多信息,请参阅 [在 State Manager 和 Maintenance Windows 之间选择](state-manager-vs-maintenance-windows.md)。 **[托管式节点](fleet-manager-managed-nodes.md)** + Systems Manager 需要准确的时间参考以执行其操作。如果节点的日期和时间设置不正确,它们可能与 API 请求的签名日期不匹配。这可能会导致错误或功能不完整。例如,时间设置不正确的节点不会包含在您的托管式节点列表中。 有关在节点上设置时间的更多信息,请参阅[为 Amazon EC2 实例设置时间](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/set-time.html)。 + 在 Linux 托管节点上,请[验证 SSM Agent 的签名](verify-agent-signature.md)。 **更多信息** + [Systems Manager 的安全最佳实践](security-best-practices.md)