Casi d'uso e best practice

Creazione di runbook self-service per l'infrastruttura come runbook Automation.

Usa Automation, uno strumento in AWS Systems Manager grado di semplificare la creazione Amazon Machine Images (AMIs) da Marketplace AWS o personalizzataAMIs, utilizzando documenti pubblici di Systems Manager (documenti SSM) o creando flussi di lavoro personalizzati.

Creazione e mantenimento di AMIs utilizzando AWS-UpdateLinuxAmi e i runbook Automation AWS-UpdateWindowsAmi, oppure attraverso l'utilizzo di documenti di automazione personalizzati appositamente creati.

Come best practice di sicurezza, consigliamo di aggiornare il ruolo AWS Identity and Access Management (IAM) utilizzato dai nodi gestiti per limitare la capacità del nodo di utilizzare l'PutComplianceItemsazione API. Questa azione API registra un tipo di conformità e altri dettagli di conformità su una risorsa designata, come un' EC2istanza Amazon o un nodo gestito. Per ulteriori informazioni, consulta Configurazione delle autorizzazioni per la conformità.

Usa Inventory, uno strumento di AWS Systems Manager, con AWS Config per controllare le configurazioni delle tue applicazioni nel tempo.

Definizione di una pianificazione per eseguire operazioni potenzialmente problematiche sui propri nodi, ad esempio l'applicazione di patch al sistema operativo (OS), gli aggiornamenti o le installazioni di software.

Per informazioni sulle differenze tra State Manager eMaintenance Windows, strumenti di AWS Systems Manager, consultaScelta tra State Manager e Maintenance Windows.

UtilizzaParameter Store, uno strumento in AWS Systems Manager, per gestire centralmente le impostazioni di configurazione globali.

Come AWS Systems ManagerParameter Store si usa AWS KMS.

Consulta Gestione dei segreti AWS i segreti dei Parameter Store parametri.

Utilizza Patch Manager uno strumento per implementare patch su larga scala e aumentare la visibilità sulla conformità della flotta tra i tuoi nodi. AWS Systems Manager

Integra Patch Manager con AWS Security Hub CSPM per ricevere avvisi quando i nodi del tuo parco istanze non sono conformi e per monitorare lo stato di applicazione di patch dei tuoi parchi istanze dal punto di vista della sicurezza. È previsto un addebito per l'utilizzo di Security Hub. Per ulteriori informazioni, consulta Prezzi.

Utilizza un solo metodo alla volta per analizzare i nodi gestiti e verificare la conformità delle patch per evitare di sovrascrivere involontariamente i dati di conformità.

Gestisci le istanze su larga scala senza accesso SSH utilizzando EC2 Run Command.

Controlla tutte le chiamate API effettuate da o per conto di Run Command uno strumento in uso AWS Systems Manager. AWS CloudTrail

Quando si invia un comando utilizzando Run Command, non includere informazioni riservate formattate come testo normale, ad esempio password, dati di configurazione o altri segreti. Tutte le attività dell'API Systems Manager nel tuo account vengono registrate in un bucket S3 per i log. AWS CloudTrail Ciò significa che qualsiasi utente con accesso a quel bucket S3 può visualizzare i valori in testo normale di quei segreti. Per questo motivo, si consiglia vivamente di creare e utilizzare parametri SecureString per crittografare i dati sensibili utilizzati nelle operazioni di Systems Manager.

Per ulteriori informazioni, consulta Limitazione dell'accesso ai parametri Parameter Store mediante policy IAM.

Utilizzo delle funzionalità di controllo delle destinazioni e della velocità di Run Command per eseguire un comando staged.

Utilizza autorizzazioni di accesso granulari per Run Command (e tutti gli strumenti Systems Manager) utilizzando le policy AWS Identity and Access Management (IAM).

Attività di log delle sessioni nell' Account AWS tramite AWS CloudTrail.

Registra i dati della sessione Account AWS utilizzando Amazon CloudWatch Logs o Amazon S3.

Controllo dell'accesso utente della sessione alle istanze.

Limitare l'accesso ai comandi in una sessione (console).

Disattivare o attivare le autorizzazioni amministrative dell'account ssm-user.

Aggiornamento SSM Agent almeno una volta al mese utilizzando il documento AWS-UpdateSSMAgent preconfigurato.

(Windows) Carica il modulo PowerShell o DSC su Amazon Simple Storage Service (Amazon S3) e usalo. AWS-InstallPowerShellModule

Utilizzo dei tag per creare gruppi di applicazioni per i propri nodi. Quindi scegli come target i nodi utilizzando il Targets parametro invece di specificare un singolo nodo. IDs

Risoluzione automatica dei risultati generati da Amazon Inspector utilizzando Systems Manager.

Utilizzo di un repository di configurazione centralizzato per tutti i documenti e condivisione dei documenti all'interno dell'organizzazione.

Per ulteriori informazioni sulla differenza tra State Manager e Maintenance Windows, consulta Scelta tra State Manager e Maintenance Windows.

Systems Manager richiede riferimenti temporali precisi per eseguire le operazioni. Se la data e l'ora del nodo non sono impostate correttamente, tali informazioni potrebbero non corrispondere alla data di firma delle richieste API. Ciò potrebbe portare a errori o funzionalità incomplete. Ad esempio, nodi con le impostazioni di tempo errate non saranno inclusi nell'elenco dei nodi gestiti.

Per informazioni sull'impostazione dell'ora sui nodi, consulta Impostare l'ora per l' EC2 istanza Amazon.

Nei nodi gestiti da Linux, verifica la firma di SSM Agent.