什么是 Amazon Systems Manager? - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Systems Manager?

Amazon Systems Manager 是您 Amazon 应用程序和资源的操作中心,也是混合和多云环境的安全端到端管理解决方案,可以实现大规模的安全操作。

Systems Manager 的工作原理

下图描述了一些 Systems Manager 功能如何对您的资源执行操作。该图表没有涵盖所有功能。该图表前对每个枚举的交互进行了说明。

  1. Access Systems Manager(访问 Systems Manager)– 使用下列可用选项之一访问 Systems Manager

  2. Choose a Systems Manager capability(选择 Systems Manager 功能)– 确定哪种功能可以帮助您执行要对资源执行的操作。该图只展示了 IT 管理员和 DevOps 人员用于管理其应用程序和资源的一些功能。

  3. 验证和处理 - Systems Manager 将验证您的用户、组或角色是否拥有执行您指定的操作所需的 Amazon Identity and Access Management(IAM)权限。如果操作的目标是托管式节点,则在节点上运行的 Systems Manager Agent(SSM Agent)执行操作。对于其他类型的资源,Systems Manager 执行指定的操作或与其他 Amazon Web Services通信以代表 Systems Manager 执行操作。

  4. Reporting(报告)– Systems Manager、SSM Agent 和其他代表 Systems Manager 执行服务的 Amazon Web Services报告状态。Systems Manager 可以将状态详细信息发送给其他 Amazon Web Services(如果已配置)。

  5. Systems Manager operations management capabilities(Systems Manager 操作管理功能)– 如已启用 Systems Manager 操作管理功能,例如 Explorer OpsCenter 和 Incident Manager,它们就会聚合操作数据或创建构件,以响应资源中的事件或错误。这些工件包括操作工作项(OpsItems)和事件。Systems Manager 运营管理功能可以提供对应用程序和资源的运营洞察,并提供自动修复解决方案,以帮助排查问题。


                很多 Systems Manager 功能可对您的资源执行操作。

Systems Manager 功能

Systems Manager 将功能分组为以下类别。请选择每个类别下的选项卡以了解有关每个功能的更多信息。

应用程序管理

Application Manager

Application Manager 帮助 DevOps 工程师在他们的应用程序和集群环境中调查和解决他们的 Amazon 资源问题。在 Application Manager 中,应用程序是一个您希望其作为一个单元运行的 Amazon 资源的逻辑组。此逻辑组可以表示应用程序的不同版本、操作员的所有权边界或开发人员环境等。对容器集群的 Application Manager 支持包括 Amazon Elastic Kubernetes Service(Amazon EKS)和 Amazon Elastic Container Service(Amazon ECS)集群。Application Manager 将多个 Amazon Web Services和 Systems Manager 功能的运营信息聚合到单个 Amazon Web Services Management Console中。

AppConfig

AppConfig 帮助您创建、管理以及部署应用程序配置和功能标记。AppConfig 支持以受控方式部署到任意大小的应用程序。您可以将 AppConfig 与 Amazon EC2 实例上托管的应用程序、Amazon Lambda 容器、移动应用程序或边缘设备一起使用。为了防止在部署应用程序配置时出现意外错误,AppConfig 包含验证程序。验证程序提供语法或语义检查,以确保要部署的配置正常工作。在配置部署期间,AppConfig 监控应用程序以确保部署成功。如果系统遇到错误或部署触发警报,AppConfig 将回滚更改以最大限度减少对应用程序用户的影响。

Parameter Store

Parameter Store 提供安全的分层存储,用于配置数据管理和密钥管理。可以将密码、数据库字符串、 Amazon Elastic Compute Cloud (Amazon EC2) 实例 ID、Amazon Machine Image (AMI) ID 和许可证代码等数据存储为参数值。可以将值存储为纯文本或加密数据。然后,可以使用创建参数时指定的唯一名称来引用对应值。

变更管理

变更管理器

Change Manager 是一个企业变更管理框架,用于请求、批准、实施和报告应用程序配置和基础设施的操作变更。如果您使用 Amazon Organizations,可从单个委托管理员账户中,管理多个 Amazon Web Services 区域 中多个 Amazon Web Services 账户 的变更。或者,通过使用本地账户,您可以管理单个 Amazon Web Services 账户 的变更。使用 Change Manager 可管理对 Amazon 资源和本地部署资源的变更。

Automation

使用 Automation(自动化)可自动执行常见的维护和部署任务。您可以使用自动化创建和更新 Amazon Machine Images (AMIs)、应用驱动程序和代理的更新、在 Windows Server 实例上重置密码、在 Linux 实例上重置 SSH 密钥,并应用 OS 补丁或应用程序更新。

更改日历

Change Calendar 可帮助您在指定操作时设置日期和时间范围(例如,Systems Manager 自动化运行手册)能或不能在 Amazon Web Services 账户 中执行。在 Change Calendar 中,这些范围称为事件。在您创建 Change Calendar 条目时,您将创建类型 ChangeCalendarSystems Manager 文档 在 Change Calendar 中,文档以纯文本格式存储 iCalendar 2.0 数据。您添加到 Change Calendar 条目的事件将成为该文档的一部分。您可以在 Change Calendar 界面中手动添加事件,或者使用 .ics 文件从支持的第三方日历导入事件。

维护时段

使用 Maintenance Windows 可以设置托管实例的周期性计划,以便运行诸如安装补丁和更新等管理任务,而不会中断业务关键性操作。

节点管理

托管节点是指在混合和多云环境中配置为与 Systems Manager 一起使用的任何计算机。

Compliance

使用 Compliance(合规性)可扫描您的托管式节点机群,以了解补丁合规性和配置不一致性。您可以从多个 Amazon Web Services 账户 和 Amazon Web Services 区域 中收集并聚合数据,然后深入了解不合规的特定资源。默认情况下,合规性将显示有关 Patch Manager 修补和 State Manager 关联的合规性数据。您也可以根据 IT 或业务要求自定义服务并创建自己的合规性类型。

Fleet Manager

Fleet Manager 是一种统一的用户界面 (UI) 体验,可帮助您远程管理节点。利用 Fleet Manager,您可以从一个控制台查看整个机群的运行状况和性能状态。您还可以从单个设备和实例收集数据,以便从该控制台执行常见的故障排除和管理任务。这包括查看目录和文件内容、Windows 注册表管理、操作系统用户管理等。

Inventory

Inventory 可自动执行从托管实例中收集软件清单的流程。您可以使用 Inventory 收集有关应用程序、文件、组件、补丁等对象的元数据。

Session Manager

使用 Session Manager 可通过基于浏览器的一键式交互 Shell 或 Amazon CLI 来管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。Session Manager 提供安全且可审计的边缘设备和实例管理,无需打开入站端口、维护堡垒主机或管理 SSH 密钥。Session Manager 还可以确保您遵守要求边缘设备和实例受控访问权限的公司策略、严格的安全实践以及包含边缘设备和实例访问详细信息的完全可审计日志,同时能够让终端用户轻松地一键式跨平台访问您的边缘设备和 EC2 实例。要使用 Session Manager,必须启用高级实例套餐。有关更多信息,请参阅打开高级实例套餐

Run Command

使用 Run Command 可以远程方式安全、大规模地管理托管式节点的配置。使用 Run Command 在几十个或数百个托管式节点的目标集上执行按需更改,例如更新应用程序或运行 Linux Shell 脚本和 Windows PowerShell 命令。

状态管理器

使用 State Manager 可自动化执行使托管式节点保持为预先设定状态的过程。您可以使用 State Manager 确保您的托管式节点在启动时使用特定软件进行引导启动,加入某个 Windows 域(仅限 Windows Server 节点)或使用特定软件更新进行修补。

Patch Manager

使用 Patch Manager 可以通过安全性相关更新及其他类型的更新自动执行修补托管式节点的过程。您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于更新 Microsoft 发布的应用程序。)

利用此功能,您可以扫描托管式节点是否有缺失的补丁,然后单独应用缺失的补丁或使用标签将这些补丁应用到大型托管式节点组。Patch Manager 使用补丁基准,其中可以包含用于在补丁发布几天内自动批准补丁的规则,以及一系列已批准和已被拒绝的补丁。您可以通过将修补安排为作为 Systems Manager 维护时段任务来运行,定期安装安全性补丁,也可以随时按需对托管式节点进行修补。

对于 Linux 操作系统,您可以定义存储库应该作为补丁基准的一部分用于修补操作。这样,无论托管式节点上配置的是什么存储库,您都可以确保仅安装信任的存储库中的更新。对于 Linux,您还能够更新托管式节点上的任何包,而不仅仅是被归类为操作系统安全更新的包。您还可以生成发送到您选择的 S3 存储桶的补丁报告。对于单个托管式节点,报告中包括计算机所有补丁的详细信息。对于所有托管式节点的报告,仅提供缺少多少补丁的摘要。

Distributor

使用 Distributor 可以创建软件包并将它们部署到托管式节点。利用 Distributor,您可以将自己的软件打包或查找 Amazon 提供的代理软件包(如 AmazonCloudWatchAgent),以便在 Systems Manager 托管式节点上安装。在首次安装软件包后,您可以使用 Distributor 卸载并重新安装新的软件包版本,或者执行就地更新以添加新文件或更改后的文件。Distributor 将资源(例如软件包)发布到 Systems Manager 托管式节点。

Hybrid Activations

要将混合和多云环境中的非 EC2 计算机设置为托管式节点,请创建混合激活。完成激活后,您将收到一个激活代码和 ID。此代码和 ID 组合功能 [如 Amazon Elastic Compute Cloud (Amazon EC2) 访问 ID 和私有密钥],用于提供从托管式实例对 Systems Manager 服务进行安全访问。

如果要使用 Systems Manager 管理边缘设备,您也可以为边缘设备创建激活。

运营管理

Incident Manager

Incident Manager 是一个事件管理控制台,可帮助用户缓解和恢复影响其 Amazon 托管应用程序的事件。

Incident Manager 通过通知响应者影响、突出显示相关故障排除数据以及提供协作工具使服务备份并运行,从而提高事件解决方案。Incident Manager 还可以自动执行响应计划,并允许响应者团队上报。

Explorer

Explorer 是一个可自定义的操作控制面板,用于报告有关 Amazon 资源的信息。Explorer 可以显示您的 Amazon Web Services 账户 和不同 Amazon Web Services 区域 中的操作数据 (OpsData) 的聚合视图。在 Explorer 中,OpsData 包含有关 Amazon EC2 实例、补丁合规性详细信息和操作工作项 (OpsItems) 的元数据。Explorer 提供有关如何在业务单位或应用程序之间分配 OpsItems、它们随时间的变化趋势以及它们如何随类别变化的上下文。您可以在 Explorer 中对信息进行分组和筛选,以将重点放在与您相关的项目和需要采取措施的项目上。在查找高优先级问题时,您可以使用 OpsCenter(Systems Manager 的一种功能)运行自动化运行手册并解决这些问题。

OpsCenter

OpsCenter 提供了一个中心位置,运营工程师和 IT 专业人员可在该位置查看、调查并解决与 Amazon 资源相关的操作工作项 (OpsItems)。OpsCenter 旨在缩短影响 Amazon 资源的问题的平均解决时间。此 Systems Manager 功能跨服务聚合和标准化 OpsItems,同时提供有关每个OpsItem、相关 OpsItems 和相关资源的上下文调查数据。OpsCenter 还提供了可用于解决问题的 Systems Manager 自动化运行手册。您可以为每个 OpsItem 指定可搜索的自定义数据。您还可以按状态和源查看自动生成的 OpsItems 相关摘要报告。

CloudWatch Dashboards

Amazon CloudWatch 控制面板是 CloudWatch 控制台中的可自定义页面,可用于在单个视图中监控资源,即便资源分布在不同区域,也能对其进行监控。您可以使用 CloudWatch 控制面板创建 Amazon 资源的指标和警报的自定义视图。

Quick Setup

使用 Quick Setup 以配置常用的 Amazon Web Services和功能,并提供建议的最佳实践。您可以通过与 Amazon Organizations 集成在单个 Amazon Web Services 账户 或在多个 Amazon Web Services 账户 和 Amazon Web Services 区域 之间使用 Quick Setup。Quick Setup通过自动执行常见或推荐的任务,简化了服务的设置(包括 Systems Manager)。例如,这些任务包括创建必需的 Amazon Identity and Access Management (IAM) 实例配置文件角色和设操作运营最佳实践,例如定期补丁扫描和清单收集。

共享资源

Documents

Systems Manager 文档(SSM 文档)定义 Systems Manager 执行的操作。SSM 文档类型包括由 State Manager 和 Run Command 使用的命令文档和由 Systems Manager 自动化使用的自动化运行手册。Systems Manager 包括几十个预先配置的文档,您可以通过在运行时指定参数进行使用。文档可以采用 JSON 或 YAML 表示,并包括您指定的步骤和参数。

访问 Systems Manager

您可以通过以下任何方式使用 Systems Manager:

Systems Manager 控制台

Systems Manager 控制台是基于浏览器的界面,用于访问和使用 Systems Manager。

Amazon IoT Greengrass V2 控制台

您可以在 Greengrass 控制台中查看和管理为 Amazon IoT Greengrass 配置的边缘设备。

Amazon 命令行工具

可以使用 Amazon 命令行工具,在系统的命令行中发出命令来执行 Systems Manager 和其他 Amazon 任务。这些工具在 Linux,macOS, 和 Windows 上受支持。使用 Amazon Command Line Interface (Amazon CLI) 可能比控制台更快、更方便。如果要构建执行 Amazon 任务的脚本,命令行工具也会十分有用。

Amazon 提供两组命令行工具:Amazon Command Line InterfaceAmazon Tools for Windows PowerShell。有关安装和使用 Amazon CLI 的更多信息,请参阅 Amazon Command Line Interface 用户指南。有关安装和使用 Tools for Windows PowerShell 的信息,请参阅 Amazon Tools for Windows PowerShell 用户指南

注意

在 Windows Server 实例上,需要使用 Windows PowerShell 3.0 或更高版本以运行某些 SSM 文档(例如,旧式 AWS-ApplyPatchBaseline 文档)。确认 Windows Server 实例运行 Windows Management Framework 3.0 或更高版本。该框架包括 Windows PowerShell。

Amazon 开发工具包

Amazon 提供了开发工具包 (SDK),其中包含各种编程语言和平台的库和示例代码,例如,JavaPythonRuby.NETiOS 和 Android ,以及其它等。开发工具包(SDK)提供了便捷的方式,以授权对 Systems Manager 的编程访问。有关 Amazon 开发工具包的信息(包括如何下载及安装),请参阅适用于 Amazon Web Services 的工具

Systems Manager 服务名称历史

Amazon Systems Manager (Systems Manager) 以前称为“Amazon Simple Systems Manager (SSM)”和“Amazon EC2 Systems Manager (SSM)”。服务“SSM”的原始缩写名称仍反映在各个 Amazon 资源中,包括其他一些服务控制台。一些示例:

  • Systems Manager Agent:SSM Agent

  • Systems Manager 参数:SSM 参数

  • Systems Manager 服务端点ssm.region.amazonaws.com

  • Amazon CloudFormation 资源类型AWS::SSM::Document

  • Amazon Config 规则标识符EC2_INSTANCE_MANAGED_BY_SSM

  • Amazon Command Line Interface (Amazon CLI) 命令aws ssm describe-patch-baselines

  • Amazon Identity and Access Management (IAM) 托管策略名称AmazonSSMReadOnlyAccess

  • Systems Manager 资源 ARNarn:aws:ssm:region:account-id:patchbaseline/pb-07d8884178EXAMPLE

支持 Amazon Web Services 区域

Systems Manager 在《Amazon Web Services 一般参考》Systems Manager service endpoints 列出的 Amazon Web Services 区域 中可用。在开始 Systems Manager 配置过程之前,建议确保该服务在每个要使用它的 Amazon Web Services 区域 中均可用。

对于混合和多云环境中的非 EC2 计算机,我们建议您选择与您的数据中心或计算环境最接近的区域。