Utilisation d'AWS Systems Manager

La fonctionnalité Exécuter la commande d'AWS Systems Manager vous permet d'effectuer à distance et en toute sécurité des modifications à la demande en exécutant des scripts shell Linux et des commandes Windows PowerShell sur une instance ciblée. Bien que vous puissiez invoquer la fonctionnalité Exécuter la commande via les autorisations du service AWS IAM, vous devez d'abord activer vos instances Amazon EC2 en tant qu'instances gérées, installer SSM Agent sur vos machines (s'il n'est pas installé par défaut) et configurer les autorisations AWS IAM. Si vous souhaitez utiliser la fonctionnalité Exécuter la commande pour des activités d'automatisation ou de réponse, assurez-vous de terminer les activités préalables avant de mener une enquête.

AWS Systems Manager, qui inclut la fonctionnalité Exécuter la commande, est intégré à AWS CloudTrail, service qui capture les appels d'API effectués par ou pour le compte de Systems Manager et transmet les fichiers journaux à un compartiment Amazon S3 que vous spécifiez. Les informations collectées par AWS CloudTrail vous permettent de déterminer quelle demande a été envoyée, l'adresse IP source à partir de laquelle la demande a été effectuée, qui a effectué la demande, quand, etc. CloudTrail crée des journaux de toutes les actions d'API Systems Manager, y compris les demandes d'API pour exécuter des commandes à l'aide de la fonctionnalité Exécuter la commande ou créer des documents Systems Manager.

Vous pouvez utiliser le service Exécuter la commande d'AWS Systems Manager pour appeler SSM Agent qui exécute les scripts shell Linux et les commandes Windows PowerShell. Ces scripts peuvent charger et exécuter des outils spécifiques pour capturer des données supplémentaires à partir de l'hôte, tels que le module noyau Linux Memory Extractor (LiME). Vous pouvez ensuite transférer la capture de mémoire vers votre instance Amazon EC2 sur laquelle vous enquêtez dans le réseau VPC ou vers un compartiment Amazon S3 pour un stockage durable.