Ajustar as configurações do Systems Manager - AWS Systems Manager
Configurações da contaConfigurações organizacionaisConfigurações de recursosConfigurações de Diagnosticar e corrigir

Ajustar as configurações do Systems Manager

As opções nas páginas Configurações habilitam e configuram recursos no console unificado do Systems Manager. As opções exibidas dependem da conta na qual você está conectado e se você já configurou ou não o Systems Manager.

nota

As opções na página Configurações não afetam as ferramentas do Systems Manager (anteriormente chamadas de recursos).

Configurações da conta

Se o Systems Manager estiver habilitado e você estiver conectado a uma conta que não é membro do Organizations ou se o administrador delegado não tiver adicionado sua conta do Organizations ao Systems Manager, a página Configuração da conta mostrará a opção Desabilitar o Systems Manager. Desabilitar o Systems Manager significa que o Systems Manager não exibirá o console unificado. Todas as ferramentas do Systems Manager ainda funcionam.

Configurações organizacionais

Na guia Configuração organizacional, a seção Região de origem exibe a região Região da AWS escolhida como a região de origem durante a configuração. Em ambientes com várias contas e várias regiões que usam o AWS Organizations, o Systems Manager agrega automaticamente os dados dos nós de todas as contas e regiões na região de origem. Agregar dados dessa forma permite que você visualize os dados dos nós em todas as contas e regiões em um único local.

nota

Caso deseje alterar a região de origem, será necessário desabilitar o Systems Manager e habilitá-lo novamente. Para desabilitar o Systems Manager, selecione Desabilitar.

A seção Configuração organizacional exibe as unidades organizacionais da AWS e as Regiões da AWS escolhidas durante a configuração. Para alterar quais unidades organizacionais e regiões exibem dados de nós no Systems Manager, escolha Editar. Para obter mais informações sobre a configuração do Systems Manager for Organizations, consulte Configurar o AWS Systems Manager.

Configurações de recursos

A seção Configurações de recursos permite a você habilitar e configurar os principais recursos do Systems Manager que aprimoram o gerenciamento de nós em sua organização. Esses recursos trabalham juntos para fornecer gerenciamento automatizado, monitoramento de conformidade e manutenção dos seus nós gerenciados.

Você pode configurar esses recursos durante a configuração inicial do Systems Manager ou modificá-los posteriormente por meio da página Configurações. Cada recurso pode ser ativado ou desativado de forma independente com base nos requisitos da sua organização.

Configuração de gerenciamento de host padrão

A Configuração de gerenciamento de hosts padrão (DHMC) configura automaticamente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em sua organização para ser gerenciadas pelo Systems Manager. Quando habilitada, a DHMC garante que as instâncias do EC2 novas e existentes tenham as permissões e configurações do AWS Identity and Access Management (IAM) necessárias para se comunicar com os serviços do Systems Manager.

O DHMC fornece os seguintes benefícios:

  • Atribuição automática de perfis do IAM: garante que as instâncias do EC2 tenham os perfis e políticas do IAM necessários para funcionar como nós gerenciados

  • Correção de desvios: corrige automaticamente os desvios de configuração quando as instâncias perdem o status de nó gerenciado

  • Integração simplificada: reduz as etapas de configuração manual para novas instâncias

  • Configuração consistente: mantém configurações uniformes em toda a sua frota do EC2

Configurar a frequência de correção de desvios

A correção de desvios detecta e corrige automaticamente quando as instâncias do EC2 perdem sua configuração de nó gerenciado. É possível configurar a frequência com que o Systems Manager verifica e corrige os desvios de configuração.

Para ajustar a Configuração de gerenciamento de hosts padrão

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Configurações.

  3. Na seção Configurações de recursos, localize Configuração de gerenciamento de hosts padrão.

  4. Para habilitar a DHMC, ative a chave seletora.

  5. Para Frequência de correção de desvios, escolha com que frequência você deseja que o Systems Manager verifique e corrija o desvio de configuração:

    • Diariamente: verifica e corrige desvios uma vez por dia

    • Semanalmente: verifica e corrige desvios uma vez por semana

    • Mensalmente: verifica e corrige desvios uma vez por mês

  6. Escolha Salvar.

nota

Quando você habilita a DHMC, o Systems Manager cria os perfis e políticas do IAM necessários em sua conta. Esses perfis permitem que as instâncias do EC2 se comuniquem com os serviços do Systems Manager. Para obter mais informações sobre os perfis do IAM criados pela DHMC, consulte Gerenciar instâncias do EC2 com o Systems Manager.

Coleta de metadados de inventário

A coleta de metadados de inventário reúne automaticamente informações detalhadas sobre seus nós gerenciados, incluindo aplicações instaladas, configurações de rede, atualizações do sistema e outros metadados do sistema. Essas informações ajudam você a manter a conformidade, realizar análises de segurança e entender a composição da sua infraestrutura.

A coleta de inventário oferece os seguintes benefícios:

  • Monitoramento da conformidade: acompanhe o software instalado e as configurações para relatórios de conformidade

  • Análise de segurança: identifique software desatualizado e possíveis vulnerabilidades de segurança

  • Gerenciamento de ativos: mantenha um inventário atualizado da sua infraestrutura

  • Recursos de consulta: use os dados coletados com o Amazon Q Developer para consultas em linguagem natural

Tipos de dados de inventário coletados

Quando a coleta de metadados de inventário está habilitada, o Systems Manager coleta os seguintes tipos de informações de seus nós gerenciados:

  • Aplicações: pacotes de software e aplicações instalados

  • Configurações de rede: interfaces de rede, endereços IP e configurações de rede

  • Atualizações do sistema: patches instalados e atualizações disponíveis

  • Propriedades do sistema: especificações de hardware, detalhes do sistema operacional e configurações do sistema

  • Serviços: serviços em execução e suas configurações

Configurar a frequência da coleta de inventário

É possível configurar a frequência na qual o Systems Manager coleta metadados de inventário dos nós gerenciados. A coleta mais frequente fornece informações mais atualizadas, mas pode aumentar o uso do serviço da AWS.

Para configurar a coleta de metadados do inventário

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Configurações.

  3. Na seção Configurações de recursos, localize Coleta de metadados de inventário.

  4. Para habilitar a coleta de inventário, ative a chave seletora.

  5. Em Frequência de coleta, escolha com que frequência você deseja que o Systems Manager colete dados de inventário:

    • Diariamente: coleta dados de inventário uma vez por dia

    • Semanalmente: coleta dados de inventário uma vez por semana

    • Mensalmente: coleta dados de inventário uma vez por mês

  6. Escolha Salvar.

Importante

A coleta de inventário exige que os nós gerenciados tenham as permissões necessárias para coletar informações do sistema. Certifique-se de que seus nós gerenciados tenham os perfis e políticas apropriados do IAM. Para obter mais informações sobre as permissões necessárias, consulte AWS Systems Manager Inventory.

Atualizações do SSM Agent

As atualizações automáticas do SSM Agent garantem que seus nós gerenciados estejam executando a versão mais recente do SSM Agent. Manter o agente atualizado fornece acesso aos recursos, melhorias de segurança e correções de erros mais recentes.

As atualizações automáticas do SSM Agent oferecem os seguintes benefícios:

  • Recursos mais recentes: acesso aos novos recursos e melhorias do Systems Manager

  • Atualizações de segurança: instalação automática de patches e correções de segurança

  • Confiabilidade aprimorada: correções de erros e melhorias na estabilidade

  • Manutenção reduzida: elimina a necessidade de atualizações manuais do agente

Configurar atualizações automáticas do agente

É possível configurar a frequência com que o Systems Manager verifica e instala atualizações do SSM Agent em seus nós gerenciados. Fazer atualizações regularmente ajuda a garantir níveis ideais de performance e segurança.

Para configurar atualizações do SSM Agent

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Configurações.

  3. Na seção Configurações de recursos, localize Atualizações do SSM Agent.

  4. Para habilitar as atualizações automáticas, ative a chave seletora.

  5. Para Frequência de atualização, escolha com que frequência você deseja que o Systems Manager verifique e instale as atualizações do agente:

    • Diariamente: verifica se há atualizações uma vez por dia

    • Semanalmente: verifica se há atualizações uma vez por semana

    • Mensalmente: verifica se há atualizações uma vez por mês

  6. Escolha Salvar.

Configurações de Diagnosticar e corrigir

As configurações de Diagnosticar e corrigir determinam se o Systems Manager verifica automaticamente seus nós para garantir que eles possam se comunicar com o Systems Manager. Se habilitado, o recurso é executado automaticamente de acordo com um cronograma definido por você. O recurso identifica quais nós não podem se conectar ao Systems Manager e por quê. Esse recurso também fornece runbooks recomendados para corrigir problemas de rede e outros problemas que impedem que os nós sejam configurados como nós gerenciados.

Programar uma verificação de diagnóstico recorrente

O Systems Manager pode diagnosticar e ajudar você a corrigir vários tipos de falhas de implantação, bem como configurações desviadas. O Systems Manager também pode identificar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em sua conta ou organização que o Systems Manager não pode tratar como um nó gerenciado. O processo de diagnóstico de instâncias do EC2 pode identificar problemas relacionados a configurações incorretas em uma nuvem privada virtual (VPC), em uma configuração do Domain Name Service (DNS) ou em um grupo de segurança do Amazon Elastic Compute Cloud (Amazon EC2).

Para simplificar a tarefa de identificar nós que não conseguem se conectar ao Systems Manager, o recurso Programar diagnóstico recorrente permite automatizar uma verificação de diagnóstico recorrente. As verificações ajudam a identificar quais nós não podem se conectar ao Systems Manager e por quê. Use o procedimento a seguir para habilitar e configurar uma verificação de diagnóstico recorrente de seus nós.

Para programar uma verificação de diagnóstico recorrente

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Configurações e em seguida, a guia Diagnosticar e corrigir.

  3. Ative a opção Programar diagnóstico recorrente.

  4. Em Período de verificação, escolha a frequência na qual você deseja que a verificação seja executada.

  5. (Opcional) Em Hora de início, insira uma hora, no formato de 24 horas, para o início do diagnóstico. Por exemplo, para às 8h15 da noite, insira 20:15.

    A hora inserida deve estar no fuso horário local atual.

    Se você não especificar uma hora, a verificação de diagnóstico será executada imediatamente. O Systems Manager também programa a verificação para ser executada no futuro no horário atual. Se você especificar um horário, o Systems Manager aguardará para executar a verificação de diagnóstico no horário especificado.

  6. Escolha Salvar.

  7. Depois que a verificação for concluída, visualize os detalhes escolhendo Diagnosticar e corrigir no painel de navegação à esquerda.

Para obter mais informações sobre o recurso Diagnosticar e corrigir, consulte Diagnosticar e remediar.

Atualizar a criptografia do bucket do S3

Quando você integra o Systems Manager, a Configuração Rápida cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta do administrador delegado para configurações do AWS Organizations. Para configurações de conta única, o bucket é armazenado na conta que está sendo configurada. Esse bucket é usado para armazenar os metadados gerados durante as verificações de diagnóstico.

Para obter mais informações sobre a configuração do console unificado do Systems Manager, consulte Configurar o AWS Systems Manager.

Por padrão, seus dados no bucket são criptografados usando uma chave AWS Key Management Service (AWS KMS) que pertence a e é gerenciada pela AWS para você.

Você pode optar por usar uma chave do AWS KMS diferente para criptografar o bucket. Outra opção é usar a criptografia no lado do servidor com o AWS KMS keys (SSE-KMS) utilizando uma chave gerenciada pelo cliente (CMK). Para mais informações, consulte Como trabalhar com buckets do Amazon S3 e com políticas de bucket para o Systems Manager.

Para usar uma chave do AWS KMS diferente para criptografar o bucket do S3

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Configurações e em seguida, a guia Diagnosticar e corrigir.

  3. Na área Atualizar criptografia do bucket do S3, escolha Editar.

  4. Marque a caixa de seleção Personalizar configurações de criptografia (avançadas).

  5. Em Escolher uma chave do AWS KMS, escolha ou insira o nome do recurso da Amazon (ARN) da chave.

    dica

    Para criar uma nova chave, escolha Criar uma chave do AWS KMS.

  6. Escolha Salvar.