

• 2026 年 4 月 30 日之後， AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用案例與最佳實務
<a name="systems-manager-best-practices"></a>

本主題列出 AWS Systems Manager 工具的常見使用案例和最佳實務。如果可用，這個主題也包含連結，可連結到相關的部落格文章和技術文件。

**注意**  
此處每個區段的標題，都是有效的連結，可連結到技術文件中的對應區段。

**[自動化](systems-manager-automation.md)**
+ 建立基礎設施用的自助服務自動化 Runbook。
+ 使用 中的自動化工具 AWS Systems Manager，透過使用公有 Systems Manager 文件 Amazon Machine Images(SSM 文件AMIs) 或編寫您自己的工作流程AMIs，簡化從 AWS Marketplace 或自訂 建立 ()。
+ 使用 `AWS-UpdateLinuxAmi` 和 `AWS-UpdateWindowsAmi` 自動化 Runbook，或使用您建立的自訂自動化 Runbook，[建置和維護 AMIs](automation-tutorial-update-ami.md)。

**[合規](systems-manager-compliance.md)**
+ 作為安全最佳實務，建議您更新受管節點使用的 AWS Identity and Access Management (IAM) 角色，以限制節點使用 [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 動作的能力。此 API 動作會在指定的資源 (例如 Amazon EC2 執行個體或受管節點) 上註冊合規類型和其他合規詳細資訊。如需詳細資訊，請參閱[設定合規許可](compliance-permissions.md)。

**[庫存](systems-manager-inventory.md)**
+ 使用 中的工具 Inventory AWS Systems Manager搭配 AWS Config 來稽核您的應用程式組態。

**[Maintenance Windows](maintenance-windows.md)**
+ 定義排程，在您的節點上執行可能中斷的動作，例如作業系統 (OS) 修補、驅動程式更新，或軟體安裝。
+ 如需有關 State Manager 和 Maintenance Windows (兩者皆是 AWS Systems Manager中的工具) 之間差異的資訊，請參閱[在 State Manager 與 Maintenance Windows 之間進行選擇](state-manager-vs-maintenance-windows.md)。

**[Parameter Store](systems-manager-parameter-store.md)**
+ 使用 中的Parameter Store工具 AWS Systems Manager，集中管理全域組態設定。
+ [AWS Systems ManagerParameter Store 如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) 。
+ [參考Parameter Store參數中的 AWS Secrets Manager 秘密](integration-ps-secretsmanager.md)。

**[Patch Manager](patch-manager.md)**
+ 使用 中的Patch Manager工具 AWS Systems Manager，大規模推出修補程式，並提高節點的機群合規可見性。
+  [整合 Patch Manager 與 AWS Security Hub CSPM](patch-manager-security-hub-integration.md)，以便在機群中的節點不合規時接收提醒，並從安全角度監控您的機群的修補狀態。使用 Security Hub CSPM 需要付費。如需詳細資訊，請參閱[ 定價](https://aws.amazon.com/security-hub/pricing/)。
+ 一次只能使用一種方法來掃描受管節點，檢查修補程式的合規性，以[避免意外覆寫合規資料](patch-manager-compliance-data-overwrites.md)。

**[Run Command](run-command.md)**
+ [使用 EC2 Run 命令來進行大規模的執行個體管理，而不需存取 SSH](https://aws.amazon.com/blogs/aws/manage-instances-at-scale-without-ssh-access-using-ec2-run-command/)。
+  AWS Systems Manager使用 稽核 中Run Command工具 所發出或代表發出的所有 API 呼叫 AWS CloudTrail。
+ 當您使用 Run Command 發出命令時，請勿包含格式為純文字的敏感資訊，例如密碼、組態資料或其他密碼。您帳戶中的所有 Systems Manager API 活動都會記錄在 S3 儲存貯體中的 AWS CloudTrail 日誌。這意味著任何具有權存取該 S3 儲存貯體的使用者都可以查看這些密碼的純文字值。因此，建議您建立並使用 `SecureString` 參數來加密您在 Systems Manager 操作中使用的敏感資料。

  如需詳細資訊，請參閱[使用 IAM 政策限制對 Parameter Store 參數的存取](sysman-paramstore-access.md)。
**注意**  
根據預設，CloudTrail 交付至您儲存貯體的日誌檔案是透過 Amazon [伺服器端加密與 Amazon Simple Storage Service (Amazon S3) 受管加密金鑰 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 進行加密。若要提供可直接管理的安全層，您可以改為為 CloudTrail 日誌檔案使用[伺服器端加密搭配 AWS KMS受管金鑰 (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。  
如需詳細資訊，請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 AWS KMS受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html)。
+ [使用 Run Command 中的目標和速率控制功能，來進行階段式的指令操作](send-commands-multiple.md)。
+ [使用 Run Command(IAM) 政策，對 AWS Identity and Access Management （和所有 Systems Manager 工具） 使用精細的存取許可](security_iam_id-based-policy-examples.md#customer-managed-policies)。

**[Session Manager](session-manager.md)**
+ [使用 AWS CloudTrail在 AWS 帳戶 中記錄工作階段活動](session-manager-auditing.md)。
+ [使用 Amazon CloudWatch Logs 或 Amazon Simple Storage Service (Amazon S3) 在您的 AWS 帳戶 中記錄工作階段資料](session-manager-logging.md)。
+ [控制使用者工作階段存取執行個體](session-manager-getting-started-restrict-access.md)。
+ [限制對工作階段中命令的存取](session-manager-restrict-command-access.md)。
+ [停用或啟用 ssm-user 帳戶管理許可](session-manager-getting-started-ssm-user-permissions.md)。

**[State Manager](systems-manager-state.md)**
+ [使用預先設定的 `AWS-UpdateSSMAgent` 文件，來至少一個月更新一次 SSM Agent。](state-manager-update-ssm-agent-cli.md)
+ (Windows) 將 PowerShell 或 DSC 模組上傳到 Amazon Simple Storage Service (Amazon S3)，並使用 `AWS-InstallPowerShellModule`。
+ 使用標籤來建立您節點的應用程式群組。然後使用 `Targets` 參數，而不是指定個別的節點 ID，來鎖定節點。
+ [使用 Systems Manager，來自動修正 Amazon Inspector 所產生的結果](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/)。
+ [針對您的 SSM 文件，使用集中化的組態儲存庫，然後在整個組織之間共用文件](documents-ssm-sharing.md)。
+ 如需有關 State Manager 和 Maintenance Windows 之間的差異的資訊，請參閱 [在 State Manager 與 Maintenance Windows 之間進行選擇](state-manager-vs-maintenance-windows.md)。

**[受管節點](fleet-manager-managed-nodes.md)**
+ Systems Manager 需要準確的時間參考才能執行其操作。如果您節點的日期和時間未正確設定，可能會與您 API 請求的簽章日期不符。這可能會導致錯誤或不完整的功能。例如，在您的受管節點清單中，將不會包含具有錯誤時間設定的節點。

  如需有關在節點設定時間的資訊，請參閱[設定 Amazon EC2 執行個體的時間](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html)。
+ 在 Linux 受管節點上，[驗證 SSM Agent 的簽章](verify-agent-signature.md)。

**詳細資訊**  
+ [Systems Manager 的安全最佳實務](security-best-practices.md)

# 刪除 Systems Manager 資源和成品
<a name="systems-manager-best-practices-delete-resources"></a>

最佳實務是，如果您不再需要檢視這些資源的相關資料或以任何方式使用成品，建議您刪除 Systems Manager 資源和成品。下表列出每個 Systems Manager 工具或成品，以及有關刪除 Systems Manager 所建立之資源或成品的詳細資訊連結。


****  

| 功能或成品 | 詳細資訊 | 
| --- | --- | 
|  Application Manager  |  您無法刪除 Application Manager 中的應用城市程式，但您可以刪除基礎的 [tags](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_RemoveTagsFromResource.html) (標籤)、[Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html) 或 [AWS CloudFormation stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) (堆疊)，進而從服務中移除應用程式。  | 
|   自動化  |  如果您使用 Systems Manager Automation 建立 AWS 資源，則必須使用對應的 手動刪除這些資源 AWS 管理主控台。如果您已建立自訂 Runbook，您可以刪除底層 SSM 文件。如需詳細資訊，請參閱[刪除自訂 SSM 文件](deleting-documents.md)。  | 
|  Change Calendar  |  您可以刪除變更行事曆和變更行事曆事件。如需詳細資訊，請參閱 [刪除變更行事曆](change-calendar-delete.md) 及 [刪除Change Calendar事件](change-calendar-delete-event.md)。  | 
|  Change Manager  |  您可以刪除變更範本。如需詳細資訊，請參閱[刪除變更範本](change-templates-delete.md)。  | 
|  合規  |  Systems Manager 合規會自動顯示有關 Patch Manager 修補程式與 State Manager 關聯的合規資料。您無法刪除此資料。如果您已設定資源資料同步來集中 S3 儲存貯體中的合規資料，您可以刪除同步。如需詳細資訊，請參閱[刪除合規的資源資料同步](systems-manager-compliance-delete-RDS.md)。  | 
|  Distributor  |  您可以刪除 Distributor 中的套件。如需詳細資訊，請參閱[刪除 Distributor 套件](distributor-working-with-packages-dpkg.md)。  | 
|  Explorer  |  您可以斷開連結 Explorer 從中收集 OpsData 的資料來源。如需詳細資訊，請參閱[編輯 Systems Manager Explorer 資料來源](Explorer-using-editing-data-sources.md)。 您也可以刪除 Explorer 用來將 OpsData 和 OpsItems 從多個 AWS 區域 和 帳戶彙總到單一 Amazon Simple Storage Service (Amazon S3) 儲存貯體的資源資料同步。如需詳細資訊，請參閱[刪除 Systems Manager Explorer 資源資料同步](Explorer-using-resource-data-sync-delete.md)。如需有關刪除 S3 儲存貯體的資訊，請參閱《Amazon Simple Email Service 開發人員指南》**中的[刪除儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)。  | 
|  Fleet Manager  |  您無法使用 Fleet Manager 刪除受管節點。您必須使用 Amazon Elastic Compute Cloud (Amazon EC2)。如需詳細資訊，請參閱[終止您的執行個體 (Linux)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) 和[終止您的執行個體 (Windows)](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/terminating-instances.html)。  | 
|  Inventory  |  您可以藉由刪除定義排程的 State Manager 關聯和要從中收集中繼資料的資源，停止庫存資料收集。如需詳細資訊，請參閱[停用資料收集和刪除庫存資料](systems-manager-inventory-delete.md)。 如果您不想再使用 AWS Systems Manager 庫存來檢視 AWS 資源的中繼資料，我們也建議您刪除用於庫存資料收集的資源資料同步。如需詳細資訊，請參閱[刪除庫存資源資料同步](systems-manager-inventory-delete.md#systems-manager-inventory-delete-RDS)。  | 
|  Maintenance Windows  |  您可以刪除維護時段、維護時段目標和維護時段任務。如需詳細資訊，請參閱[使用主控台更新或刪除維護時段資源](sysman-maintenance-update.md)。  | 
|  OpsCenter  |  您可以使用 AWS Command Line Interface 或 AWS SDK OpsItem呼叫[刪除OpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteOpsItem.html) API 操作來刪除個人。您無法刪除 AWS 管理主控台中的 OpsItem。如需詳細資訊，請參閱[刪除 OpsItems](OpsCenter-delete-OpsItems.md)。  | 
|  Parameter Store  |  您可以刪除您已建立的參數。如需詳細資訊，請參閱[從 Parameter Store 中刪除參數](deleting-parameters.md)。  | 
|  Patch Manager  |  您可以刪除自訂修補基準。如需詳細資訊，請參閱[更新或刪除自訂修補基準](patch-manager-update-or-delete-a-patch-baseline.md)。  | 
|  快速設定  |  您可以刪除由「快速設定」建立的關聯。這些關聯會由 State Manager 存放和處理。如需詳細資訊，請參閱[刪除關聯](systems-manager-state-manager-delete-association.md)。  | 
|  Run Command  |  完成命令處理之後，其相關資訊會存放在 **Command history** (命令歷史記錄) 標籤上。您無法從 **Command history** (命令歷史記錄) 標籤刪除資訊。  | 
|   自動化  |  自動化完成處理後，相關資訊會存放在**執行**索引標籤中。您無法從**執行**索引標籤刪除資訊。  | 
|  服務連結角色  |  Systems Manager 會自動建立[適用於某些工具的](using-service-linked-roles.md)服務連結角色。您可以刪除這些角色。如需詳細資訊，請參閱[刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色](using-service-linked-roles-service-action-1.md#delete-service-linked-role-service-action-1)。  | 
|  Session Manager  |  Session Manager 在終止工作階段後不會保留資源的相關資料。若要終止工作階段，請參閱 [結束工作階段](session-manager-working-with-sessions-end.md)。  | 
|  SSM Agent  |  您可以手動從節點解除安裝 SSM Agent。如需詳細資訊，請參閱下列主題。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/systems-manager-best-practices-delete-resources.html)  | 
|  State Manager  |  您可以刪除關聯。如需詳細資訊，請參閱[刪除關聯](systems-manager-state-manager-delete-association.md)。  | 
|  Systems Manager 文件服務  |  您無法刪除 AWS 或 提供的 Runbook AWS 支援，但可以刪除自訂 Runbook。如需詳細資訊，請參閱[刪除自訂 SSM 文件](deleting-documents.md)。  | 

# 在 State Manager 與 Maintenance Windows 之間進行選擇
<a name="state-manager-vs-maintenance-windows"></a>

State Manager 和 Maintenance Windows，這兩種工具 AWS Systems Manager都可以在受管節點上執行一些類似的更新類型。您選擇哪一項，取決於您是否需要在指定的期間內自動化系統合規，或執行高優先順序、時間敏感的任務。

## State Manager 和 Maintenance Windows：關鍵使用案例
<a name="sm-mw-use-cases"></a>

State Manager是 中的工具 AWS Systems Manager，可設定和維護 中受管節點 AWS 和資源的目標狀態組態 AWS 帳戶。您可以將組態和目標的組合定義為關聯物件。如果您希望將帳戶中的所有受管節點維持為一致狀態、使用 Amazon EC2 Auto Scaling 產生新節點，或對帳戶中受管節點設定嚴格的合規報告需求，則建議使用 State Manager 工具。

主要使用案例 State Manager 如下所示：
+ **Auto Scaling 案例：**State Manager 可以手動或透過 Auto Scaling 群組監控帳戶內啟動的所有新節點。如果帳戶中有任何針對該新節點的關聯 (透過標籤或所有節點)，則該特定關聯會自動套用至新節點。
+ **合規報告：**State Manager 可以為帳戶中的資源產生所需狀態的合規報告。
+ **支援所有節點：**State Manager 可以鎖定指定帳戶內的所有節點。

**維護時段**會在指定的時段內執行一或多個 AWS 資源。您可以定義包含開始和結束時間的單一維護時段。您可以指定要在此維護時段內執行的多個任務。如果您的高優先順序操作包括修補受管節點 AWS Systems Manager、在更新期間在節點上執行多種類型的任務，或控制何時可以在節點上執行更新操作，請使用 中的Maintenance Windows工具。

主要使用案例 Maintenance Windows 如下所示：
+ **執行多個文件：**維護時段可以執行多個工作。每個任務都可以使用不同的文件類型。因此，您可以在單一維護時段內使用不同的任務來建置複雜的工作流程。
+ **修補：**維護時段可以針對單一區域中標記特定標籤或在特定資源群組中的所有受管節點提供修補支援。由於修補通常涉及停止節點 (例如，從負載平衡器移除節點)、修補和後續處理 (將節點放回生產環境)，因此其可以在指定的修補程式時段內做為一系列任務來完成修補。
**注意**  
使用維護時段時，修補作業將侷限於單一帳戶的單一區域。使用 Quick Setup (Systems Manager 中的工具) 中建立的修補程式政策時，您可以在 AWS Organizations建立的組織中設定部分或所有帳戶和區域的修補作業。如需詳細資訊，請參閱[Quick Setup中的修補程式政策組態](patch-manager-policies.md)。
+ **時段動作：**維護時段可讓一或多組動作在特定時段內啟動。維護時段不會在該時段之外啟動。已啟動的動作會繼續進行直到完成為止，即使它們在該時段外完成也是如此。

下表會比較 State Manager 和 Maintenance Windows 的主要功能。


| 功能 | State Manager | Maintenance Windows | 
| --- | --- | --- | 
|  **CloudFormation 整合**  |  AWS CloudFormation 範本支援State Manager關聯。  |  CloudFormation 範本支援維護時段、時段目標和時段任務。  | 
|  **合規**  |  每個 State Manager 關聯都會根據目標資源所需狀態報告合規性。您可以使用合規儀表板來彙總和檢視報告的合規。  |  不適用。  | 
|  **組態管理整合**  |  State Manager支援外部目標狀態解決方案，例如 Microsoft PowerShell Desired State Configuration (DSC)、Ansible 手冊和 Chef 配方。您可以使用 State Manager 關聯來測試組態管理解決方案是否正常運作，並在您準備就緒時將其組態變更套用至您的節點。  |  不適用。  | 
|  **文件**  |  State Manager 組態可以定義為政策文件 (用於收集庫存資訊)、適用於 AWS 的 Automation Runbook，例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體，或受管節點的 Systems Manager 命令文件 (SSM 文件)。  |  Maintenance Windows 組態可以定義為自動化文件 (具有選用核准工作流程的多步驟動作) 或 SSM 文件 (受管節點的所需狀態)。  | 
|  監控  |  State Manager 會監控節點組態、關聯或狀態的變更 (例如，即將上線的新節點)。當 State Manager 偵測到這些變更時，指定的關聯會重新套用至最初以該關聯為目標的節點。  |  不適用。  | 
|  **任務中的優先順序**  |  不適用。  |  維護時段內的任務可以獲指派優先順序。具有相同優先順序的所有任務都會平行執行。優先順序較低的工作會在具有較高優先順序的工作達到最終狀態之後執行。無法有條件地執行任務。優先順序較高的任務達到其最終狀態後，不論先前工作的狀態為何，都會執行下一個優先順序工作。  | 
|  **安全控制**  |  在跨大型機群部署組態時，State Manager 支援兩種安全控制。您可以使用最大並行性來定義應套用組態的並行節點或資源數目。如果整個機群發生特定數量或百分比的錯誤，您可以定義一個可用於暫停 State Manager 關聯的最大錯誤率。  |  在跨大型機群部署組態時，維護時段支援兩種安全控制。您可以使用最大並行性來定義應套用組態的並行節點或資源數目。如果整個機群發生特定數量或百分比的錯誤，您可以定義一個可用於暫停維護時段內的動作的最大錯誤率。  | 
|  排程  |  您可以隨需執行 State Manager 關聯，以特定的 Cron 間隔，以給定的速率，或者在建立後。如果您想要以一致且及時的方式維持所需的資源狀態，該方法非常有用。  State Manager 關聯的 Cron 運算式不支援月份欄位，如三月份的 `03` 或 `MAR`。如果您需要每月或每季度更新組態，則維護時段最符合您的需求。如需詳細資訊，請參閱[參考：Systems Manager 的 Cron 和 Rate 運算式](reference-cron-and-rate-expressions.md)。   |  維護時段支援多種排程選項，包括 `at` 運算式 (例如 `"at(2021-07-07T13:15:30)"`)、cron 和 rate 運算式、帶偏移量的 cron、應執行維護時段的開始和結束時間，以及指定在給定時段內何時停止排程的截止時間。  | 
|  **目標鎖定**  |  State Manager 關聯可以使用節點 ID、標籤或資源群組鎖定一個或多個節點。State Manager 可以鎖定指定帳戶內的所有受管節點。  |  維護時段可以使用節點 ID、標籤或資源群組來鎖定一個或多個節點。  | 
|  **維護時段內的任務**  |  不適用。  |  維護時段可以支援一個或多個任務，其中每個任務以特定自動化 Runbook 或命令文件動作為目標。除非為不同的任務設定了不同的優先順序，否則維護時段內的所有任務都會平行執行。 整體而言，維護時段支援執行四種任務類型： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/state-manager-vs-maintenance-windows.html)  |