Anwendungsfälle und bewährte Methoden

Erstellen Sie Self-Service-Automation-Runbooks für Infrastruktur.

Verwenden Sie Automation, ein Tool in AWS Systems Manager, um das Erstellen von Amazon Machine Images (AMIs) aus AWS Marketplace oder benutzerdefinierten Dokumenten zu vereinfachenAMIs, indem Sie öffentliche Systems Manager Manager-Dokumente (SSM-Dokumente) verwenden oder Ihre eigenen Workflows erstellen.

Erstellen und verwalten Sie AMIs mithilfe der AWS-UpdateLinuxAmi und AWS-UpdateWindowsAmi Automation-Runbooks oder mithilfe benutzerdefinierter Automation-Runbooks, die Sie erstellen.

Aus Sicherheitsgründen empfehlen wir, dass Sie die von Ihren verwalteten Knoten verwendete AWS Identity and Access Management (IAM-) Rolle aktualisieren, um die Fähigkeit des Knotens, die API-Aktion zu verwenden, einzuschränken. PutComplianceItems Diese API-Aktion registriert einen Compliance-Typ und andere Compliance-Details auf einer bestimmten Ressource, z. B. einer EC2 Amazon-Instance oder einem verwalteten Knoten. Weitere Informationen finden Sie unter Konfigurieren von Berechtigungen für die Compliance.

Verwenden Sie Inventory, ein Tool in AWS Systems Manager, mit, AWS Config um Ihre Anwendungskonfigurationen im Laufe der Zeit zu überprüfen.

Definieren Sie einen Zeitplan zur Ausführung potenziell störender Aktionen auf Ihren Knoten, wie z. B. Betriebssystem-Patches, Treiber-Updates oder Software-Installationen.

Informationen zu den Unterschieden zwischen State Manager und Maintenance Windows, Tools von AWS Systems Manager, finden Sie unter Auswahl zwischen State Manager und Maintenance Windows.

Verwenden SieParameter Store, ein Tool in AWS Systems Manager, um globale Konfigurationseinstellungen zentral zu verwalten.

Wie AWS Systems ManagerParameter Store verwendet AWS KMS.

Verweisen Sie auf AWS Secrets Manager Geheimnisse aus Parameter Store Parametern.

Verwenden SiePatch Manager, ein Tool in AWS Systems Manager, um Patches in großem Umfang bereitzustellen und die Transparenz der Flottenkonformität auf Ihren Knoten zu erhöhen.

Integrieren Sie Patch Manager in AWS Security Hub CSPM, um Warnungen zu erhalten, wenn Knoten in Ihrer Flotte nicht konform sind, und überwachen Sie den Patching-Status Ihrer Flotten hinsichtlich der Sicherheit. Für die Nutzung von Security Hub wird eine Gebühr erhoben. Weitere Informationen finden Sie unter  – Preise.

Verwenden Sie jeweils nur eine Methode zum Scannen verwalteter Knoten auf Patch-Compliance, um unbeabsichtigtes Überschreiben von Compliance-Daten zu vermeiden.

Mit EC2 Run Command können Sie Instances in großem Umfang ohne SSH-Zugriff verwalten.

Überwachen Sie alle API-AufrufeRun Command, die von oder im Namen eines Tools in AWS Systems Manager, mithilfe AWS CloudTrail von.

Wenn Sie einen Befehl mit Run Command senden, schließen Sie keine vertraulichen Informationen ein, die als Klartext formatiert sind, z. B. Passwörter, Konfigurationsdaten oder andere Geheimnisse. Alle Systems Manager Manager-API-Aktivitäten in Ihrem Konto werden in einem S3-Bucket für AWS CloudTrail Protokolle protokolliert. Dies bedeutet, dass jeder Benutzer mit Zugriff auf den S3-Bucket die Klartextwerte dieser Geheimnisse anzeigen kann. Aus diesem Grund empfehlen wir, SecureString-Parameter zu erstellen und zu verwenden, um die sensiblen Daten zu verschlüsseln, die Sie in Ihren Systems-Manager-Operationen verwenden.

Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Parameter Store-Parameter mithilfe von IAM-Richtlinien.

Verwenden Sie die Ziel- und Tempo-Steuerungsfunktionen in Run Command zum Ausführen zwischengespeicherter Befehle.

Verwenden Sie mithilfe von (IAM-) Richtlinien detaillierte Zugriffsberechtigungen für Run Command (und alle Systems Manager Manager-Tools). AWS Identity and Access Management

Protokollierung von Sitzungsaktivitäten in Ihrem AWS-Konto mithilfe von AWS CloudTrail.

Protokollieren Sie Sitzungsdaten in Ihrer AWS-Konto Nutzung von Amazon CloudWatch Logs oder Amazon S3.

Steuerung des Benutzer-Sitzungszugriffs auf Instances.

Beschränken des Zugriffs auf Befehle in einer Sitzung.

Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto.

Aktualisieren Sie den SSM Agent mindestens einmal pro Monat mit dem vorkonfigurierten AWS-UpdateSSMAgent-Dokument.

(Windows) Laden Sie das PowerShell oder DSC-Modul auf Amazon Simple Storage Service (Amazon S3) hoch und verwenden Sie AWS-InstallPowerShellModule es.

Erstellen Sie Anwendungsgruppen für Ihre Knoten mit Tags. Und dann verwenden Sie den Targets Parameter als Zielknoten, anstatt einzelne Knoten IDs anzugeben.

Beseitigen Sie die von Amazon Inspector erzeugten Ergebnisse mit Systems Manager automatisch.

Verwenden Sie ein zentrales Konfigurations-Repository für Ihre SSM-Dokumente und geben Sie Dokumente in Ihrer Organisation frei.

Informationen zu den Unterschieden zwischen State Manager und Maintenance Windows finden Sie unterAuswahl zwischen State Manager und Maintenance Windows.

Systems Manager erfordert genaue Zeitreferenzen, um seine Operationen auszuführen. Wenn in Ihrem Knoten das Datum und die Uhrzeit nicht korrekt festgelegt wurden, stimmen sie möglicherweise nicht mit dem Signaturdatum Ihrer API-Anforderungen überein. Dies kann zu Fehlern oder unvollständiger Funktionalität führen. Beispiel: Knoten mit falschen Zeiteinstellungen werden nicht in die Liste der verwalteten Knoten aufgenommen.

Informationen zum Einstellen der Uhrzeit auf Ihren Knoten finden Sie unter Zeit für Ihre EC2 Amazon-Instance festlegen.

Überprüfen Sie auf verwalteten Linux-Knoten die Signatur von SSM Agent.