一般性问题
全部打开
Amazon Systems Manager 是一项灵活易用的管理服务,它使企业能够通过统一的亚马逊云科技体验安全地管理在本地或在亚马逊云科技运行的工作负载。Systems Manager 采用高度自动化设计,专注于实现大规模的实例配置与管理,同时真正简化自动化构件的编写与维护。
要开始使用,最佳做法是确保实例满足《入门指南》中的基本要求。确认满足要求后,您可以通过 EC2 管理控制台左侧的导航栏或者亚马逊云科技软件开发工具包和亚马逊云科技命令行界面来访问 Systems Manager 的各种功能。
Systems Manager 经过优化,让用户可以通过统一的体验来管理 Windows 和 Linux 平台。请参阅“支持的操作系统”,了解有关管理本地系统的更多详细信息。
会。Systems Manager 支持对在本地数据中心中运行的实例进行管理。有关更多详细信息,请参阅“Systems Manager 先决条件”。
Systems Manager 不收取费用。
OpsCenter
全部打开OpsCenter 是 Systems Manager 的一项功能,它提供了一个中心位置,运营工程师、IT 专业人员和其他人员可以在其中查看、调查和解决与其环境相关的运营问题。OpsCenter 旨在减少受影响的亚马逊云科技和混合云资源的平均解决时间。OpsCenter 集合和标准化运营问题,称作 OpsItems,同时提供与上下文相关的数据,以帮助诊断和修正。信息包括 Config 更改、Amazon CloudTrail 日志、资源描述、Amazon CloudWatch 警报、相关的 OpsItems 和相关资源。您可以使用我们的公有 API 从任何来源创建 OpsItem,也可以使用与 Amazon CloudWatch Events 集成的 OpsItem。这意味着您可以将 CloudWatch 配置为自动为将事件发布到 CloudWatch Events 的亚马逊云科技服务创建 OpsItem。
您可以利用手动或自动配置来创建以下类型的 OpsItem:
- 资源故障,例如 Amazon EC2 Auto Scaling 组启动实例失败或 Systems Manager Automation 执行失败
- 资源性能问题,例如 Amazon DynamoDB 的限制事件或 Amazon EBS 卷性能下降
- 来自各种亚马逊云科技服务的运行状况警报,例如 RDS DB 实例或 EC2 实例的计划维护
- 资源状态更改,例如 Amazon EC2 实例状态从“运行中”更改为“已停止”
- 或任何其他需要别人注意的工作项目
Opsitem 是与亚马逊云科技资源相关的运营事件,需要用户的关注,并且可能需要调查和解决。可能是与资源有关的故障、维护通知、安全警报或性能问题。Opsitem 包含有助于调查和解决基础事件的相关信息,例如受影响的资源、类似的过去事件以及推荐的运行手册。EC2 实例 CPU 利用率高、CodeDeploy 部署失败或 EC2 Automation Execution 失败是一些常见的 OpsItem 示例。
借助 OpsCenter,用户能够将运营问题的平均解决时间(MTTR)缩短 50% 以上。OpsCenter 支持在一个地方跨各种资源对运营问题(也称为 OpsItems)进行标准化和合并。此外,它还汇集了调查和修正问题所需的上下文信息和运营工具。这减少了工程师浏览不同工具获取相关信息所需的时间。在一个地方工作还可以最大限度地减少人为错误的可能性,并减少新入职工程师的培训时间。
使用多种亚马逊云科技服务满足基础设施需求的大中型企业可以利用 OpsCenter 来管理其日常运营。此外,托管服务提供商(MSP)合作伙伴在代表其他亚马逊云科技客户管理基础设施时也可以利用 OpsCenter。MSP 客户可以具有只读角色,以便更好地了解 MSP 的日常运营。
该服务的主要用户将是运营工程师,如开发运营工程师和 IT 服务台专业人员。
OpsCenter 旨在对现有的案例管理系统进行补足。您可以使用公有 API 操作将 OpsCenter 集成到现有案例管理系统中。您也可以在当前系统中维护手动生命周期工作流,并将 OpsCenter 用作调查和修复中心。
您可以在 Amazon Systems Manager 定价页面查看 OpsCenter 定价。
您可以使用 Amazon Systems Manager 控制台,只需点击几下即可启用 OpsCenter 。
开始使用 OpsCenter 不需要使用 Systems Manager Agent。
Run Command
全部打开
Run Command 是 Systems Manager 的一项功能,它提供一种简单、安全的方式对 EC2 实例或本地服务器远程执行命令或运行脚本,全部操作均从 EC2 API、CLI 或控制台中完成。借助 Run Command,您可以通过执行命令来轻松完成常见的管理任务,例如安装软件、执行脚本和更改配置等。
Run Command 的目标使用者是开发人员、系统管理员以及其他需要以安全、可靠且可扩展的方式远程管理 EC2 实例的 IT 专业人员。
可以。亚马逊云科技提供预定义命令,旨在帮助您执行常见的管理任务。对于 Windows,您可以运行 PowerShell 命令或脚本、配置 Windows Update 设置、部署 MSI 应用程序等。对于 Linux,您可以运行任何 Shell 命令或脚本,并远程更新已安装的代理。
可以。Run Command 允许您轻松创建自定义命令,以执行环境所需的常见任务。
凡能够在 EC2 实例的命令窗口中输入的任何命令,您都可以运行。
可以。您可以在发出命令时提供实例列表,从而轻松向实例集发出命令。
可以。Run Command 可以将每条命令的输出内容保留 30 天。此外,您还可以让 Run Command 在 Amazon S3 中存储所有日志文件的副本,或使用 Amazon CloudTrail 捕获命令的输出。
可以。使用已发布的 Amazon Identity and Access Management(IAM)权限和策略,您可以控制谁有权对特定实例执行命令或访问文档。例如,您可以允许某一 IAM 用户运行 PowerShell 命令,但禁止其将实例加入域。对于另一位 IAM 用户,则可以仅允许其运行非常具体的命令,例如重启服务,这样您就可以灵活地指定任何给定用户可以拥有多少权限。
Run Command 可以针对其上运行某命令的每个实例提供该命令的状态信息。所有这些信息均可通过 Amazon CLI、SDK 或 EC2 管理控制台进行检索。
State Manager
全部打开
State Manager 通过自动化流程为整套系统上的操作系统和应用程序定义和维护一致的配置。例如,配置和强制实施防火墙策略、维持反恶意软件定义的最新状态。通过重新应用配置策略,State Manager 可以确保您的系统始终符合企业策略。
企业在不断地向自动化 IT 的方向发展,应用程序分布于包括亚马逊云科技和本地数据中心在内的不同环境和位置。但是,确保支持应用程序的基础设施的一致性成为一个难题。State Manager 允许您创建策略、重新应用这些策略以防止出现配置偏差,还可以监控预期状态的实现。
可以通过 Systems Manager 文档轻松创建策略。此外,您还可以使用预定义的配置,以执行安装应用程序、将实例加入域等操作。
您可以灵活地将实例或标签设置为目标。这意味着您可以灵活地将特定配置应用于实例组,例如 Web 服务器。
Patch Manager
全部打开
Patch Manager 是一项专注于自动化的修补服务,让客户能够轻松保持 Windows 实例处于最新状态。Patch Manager 可以实施内置的最佳实践(例如维护时段和动态补丁批准策略),帮助您简化修补过程。
您可以通过维护时段来指定执行修补的时间。维护时段是 EC2 的一项新功能,允许您定义一个或多个可供您自己进行维护的循环时段。通过定义这些时段并将您的实例与其关联,您可以更加轻松地确保在明确定义的时段内完成您对实例执行的、可能影响工作负载可用性的任何维护活动。借助维护时段,您可以轻松安排希望执行 Run Command 任务的时间。
Patch Manager 利用 Run Command 提供完全自动化的修补过程。尽管 Patch Manager 提供了预建的 Run Command 文档,但是您可以通过编写自己的 Run Command 文档轻松自定义修补过程。例如,您可以在部署补丁之前停止 NT 服务。
Patch Manager 支持修补基于 Windows 的实例,并提供为 Windows Sever 2008 至 Windows Sever 2016 以及 Windows 7 – Windows 10 选择和部署补丁的功能。
Patch Manager 让您能够创建补丁基准,这些基准定义了允许或阻止部署到实例的补丁集。在补丁基准中,您可以按产品(例如 Windows Server 2008、Windows Server 2012 等)、类别(例如重要更新、安全更新等)和严重程度(对此您希望审查补丁的部署)来选择补丁。然后,对于所选的每个类别,您可以定义一个计划,以便自动批准分发其中包含的补丁。除规则以外,您还可以指定补丁白名单和黑名单,分别用于指定要安装和要阻止的补丁。在进行修补时,Patch Manager 仅会为在该时间点前已获批准的补丁评测目标实例。
借助 Patch Manager,您可以查看补丁合规性信息,其中包含修补过程的详细结果。通过 EC2 管理控制台或 API,您可以轻松获取每个实例的合规性详情汇总。此外,您还可以深入了解更多信息,并且对于每个实例,您都可以确定已安装的补丁、缺少的补丁、不适用的补丁以及安装失败的补丁。
Inventory
全部打开
Systems Manager 的 Inventory 功能让您可以查看实例的软件目录和配置。您可以设置 Inventory 来收集各种实例属性的详细信息,例如已安装的应用程序、亚马逊云科技组件和代理、网络配置、操作系统详细信息等。然后,您可以使用强大的查询功能来评估合规性,并确定实例队列中需要修正的实例。
在了解队列的配置和组成时,IT 管理员和开发运营专业人员会发现这一功能非常有用。用户可以快速确定哪些实例缺少补丁或正在运行过期的应用程序版本。同样,管理员还可以运行许可审核来了解软件使用情况。最终结果是,系统管理员能够更好地排查问题和评估安全性。
可以。您可以创建自己的自定义 Inventory 类型,并有效扩展 Inventory 的模式。例如,可对实例进行配置以收集其他操作系统和 CIM 详细信息,或记录诸如本地服务器的机架位置和投入使用日期等项目。
借助 Amazon Config,您可以通过 Config Rules 来监控实例的配置是否符合预期。利用这一功能,安全专家和合规性审计员可以对实例配置变更进行全面的审计跟踪记录,并在发生不合规情况时收到主动通知。
Automation
全部打开
Systems Manager 的 Automation 功能简化了构建和维护 Amazon 机器映像(AMI)的流程。它为您提供了用于将补丁、应用程序更新和其他更改应用于 AMI 的可重复流程。
Systems Manager 的 Automation 功能大大简化了 AMI 的维护工作,让您能够通过简化、可重复、可审核的流程来修补应用程序、为应用程序更新代理或将应用程序投入使用。
Parameter Store
全部打开
Amazon Systems Manager 提供一个集中存储位置来管理您的配置数据,这些数据可以是纯文本数据(例如数据库字符串),也可以是密钥(例如密码)。这样您就可以将您的密钥及配置数据与您的代码分开。参数可以进行标记并分为若干层次结构,以帮助您更轻松地管理参数。例如,您可以使用相同的参数名称“db-string”,但将其分入不同的层次结构路径(“dev/db-string”或“prod/db-string”),以存储不同的值。Systems Manager 与 Amazon Key Management Service(KMS)集成,使您可以自动加密您所存储的数据。您可以使用 Amazon Identity and Access Management(IAM)来控制用户和资源对参数的访问权限。您可以通过其他亚马逊云科技服务来引用参数,例如 Amazon Elastic Container Service、Amazon Lambda 和 Amazon CloudFormation。
将配置数据及密钥与代码分开存储是最佳实践。您可以使用 Amazon Systems Manager Parameter Store 快速存储和引用配置及敏感信息。您不必将数据存储在配置文件中或在纯文本中进行引用,而可以在应用程序或脚本中存储和获取这些信息。此外,您还可以控制谁有权访问参数,从而只让合适的用户群访问合适的信息。
安全字符串指的是需要以安全方式存储和引用的所有敏感数据。如果您有不希望用户以明文形式引用的数据,或者您拥有可能被篡改或误用的数据的访问权限,则应在 Amazon Systems Manager Parameter Store 中使用安全字符串。您可以使用自己的 Amazon Key Management Service(KMS)密钥或 Amazon KMS 提供的用户账户默认密钥,来加密敏感数据。
您可以在亚马逊云科技服务(例如 Amazon Elastic Container Service、Amazon Lambda 和 Amazon Systems Manager)或任何可以使用 Amazon Systems Manager Parameter Store API 的服务中,轻松引用您的参数。
可以。使用 Amazon Identity and Access Management(IAM),您可以通过自定义权限向用户和资源(例如实例)提供对参数的精细访问控制。这意味着您可以控制哪些用户可以访问哪些资源中的哪些参数。您还可以根据参数更改事件设置 Amazon CloudWatch Events 规则。此外,您还可以使用 Amazon CloudTrail 跟踪并审计参数 API 调用。
可以。您可以查看参数变更历史记录。您还可以利用在参数变更时自动递增的版本号,以根据版本查找特定参数值。
可以。您可以使用分层结构来存储参数。您还可以在层次结构的各个层级控制和审核访问。
可以。您可以为各个参数值设置 Amazon CloudWatch 和 Amazon Simple Notification Service(SNS)通知,之后便可以在发生变更时收到通知。
Amazon Secrets Manager 是一项服务,用于集中管理您组织中使用的密钥的整个生命周期,包括进行轮换、审核和访问控制。利用 Secrets Manager,可以自动轮换密钥,从而帮助您满足安全和合规性要求。Secrets Manager 提供适用于 Amazon RDS 上的 MySQL、PostgreSQL 和 Amazon Aurora 的内置集成,通过自定义 Lambda 函数可以将该其扩展至其他类型的密钥。
Amazon Systems Manager Parameter Store 提供安全的分层存储,可用于管理配置数据,其中可以包括密钥。数据库连接字符串、密码和许可证代码等数据可以存储为参数值,并且可以进行审核和访问控制。存储的值可以是纯文本或加密数据。然后,您可以使用唯一的参数名称来引用这些值。您可以引用 Systems Manager 参数来构建通用配置和自动化脚本,以用于各亚马逊云科技服务,例如 Amazon ECS 和 Amazon CloudFormation。
*Amazon Secrets Manager 目前仅在全球区域可用
如果想在同一个存储位置进行配置和使用密钥,可以使用 Parameter Store。如果想要一个可以进行生命周期管理的专用密钥存储位置,请使用 Secrets Manager。Parameter Store 可免费获取,参数限制为 10,000 个。有关定价详情,请参阅 Amazon Secrets Manager 定价页面。
*Amazon Secrets Manager 目前仅在全球区域可用
没有。Secrets Manager 和 Parameter Store 同样安全。这两种服务都支持使用客户自有的 KMS 密钥进行静态加密。有关 Parameter Store 如何使用 KMS 的更多信息,请参阅关于 Parameter Store 如何使用 Amazon KMS 的 KMS 开发人员指南。
*Amazon Secrets Manager 目前仅在全球区域可用
不可以。目前无法使用 Parameter Store 引用 Secrets Manager 密钥。
*Amazon Secrets Manager 目前仅在全球区域可用
高级参数可提供增强功能,例如能够存储超过 1 万个参数,参数值大小可以更大(最大 8 KB),并且提供参数策略(例如过期策略和无更改通知策略)。利用过期策略可以指定过期日期和时间。无更改通知策略有助于跟踪在特定时间段内没有更改的参数。高级参数按每月和每次 API 交互的存储定价。有关详细信息,请参阅定价页面。
标准参数可以随时转换为高级参数。高级参数无法转换为标准参数。如果不再需要高级参数的增强功能,或不想再为高级参数承担费用,则必须删除高级参数,然后创建新的参数作为标准参数。
可以。通过 Parameter Store“设置”选项卡可以提高 API 吞吐量限制。API 吞吐量限制按照每个地区每个账户计算。提高吞吐量限制需要收费。有关详细信息,请参阅定价页面。如果不再需要提高吞吐量,可以随时在“设置”选项卡中重置限制。
维护时段
全部打开维护时段是 Systems Manager 的一项功能,让您能够定义一个或多个周期性时段,以便在这些时段内执行任何会引起中断的操作。通过定义这些时段并将实例与之关联,您可以更轻松地确保在明确定义的时段内执行可能影响工作负载可用性的任何实例维护活动。
维护时段可以在明确定义的时段内自动执行任务,显著减少任何运行故障或基础设施故障造成的影响,从而提高工作负载的可用性和可靠性。
目前,在维护时段内,您只能安排基于 Run Command 的任务。
可以为维护时段计划周期性日期(例如,每个星期二的 22:00:00 或每月第一个星期日的 22:00:00)。您可以使用 cron 或 rate 表达式来定义计划。
Fleet Manager
全部打开
借助 Amazon Systems Manager Fleet Manager,您可以简化远程服务器管理流程。Fleet Manager 可帮助您轻松管理在亚马逊云科技云端和本地运行的服务器实例集,以及进行问题排查。无需远程连接到虚拟机,即可深入到各个服务器来执行各种系统管理任务,包括磁盘和文件浏览、日志管理、Windows 注册表操作及用户管理。
Amazon Systems Manager Fleet Manager 通过以下方式简化了远程服务器管理流程:
- 通过 Fleet Manager 的集中式图形用户界面(GUI),您可以轻松管理在亚马逊云科技云端和本地运行的服务器实例集。
- Fleet Manager 支持各种操作系统(OS)。您可以使用 Fleet Manager 在基于 Windows、Linux 和 Mac 的服务器上执行常见的操作系统操作。
- 使用 Fleet Manager,您可以选择预先构建的自动化运行手册或自带自动化运行手册,通过 Systems Manager 控制台无缝运行这些操作系统操作。
您可以使用 Amazon Systems Manager Fleet Manager 的以下功能来远程管理服务器:
- 文件系统和日志浏览:使用 Systems Manager 控制台来浏览服务器上的磁盘、文件夹和文件,包括基于文件的日志。
- 性能计数器监控:监控常见的服务器性能指标,例如 CPU 利用率、网络流量、磁盘使用率和内存利用率。
- Windows 事件管理:无需安装额外的代理,即可查看 Windows 事件日志以及进行问题排查。
- 用户和组管理:查看有权访问服务器的用户和/或组的列表,以及更改其权限。
- 注册表操作:查看和修改 Windows 服务器上的注册表值。
您可以跨亚马逊云科技云端和本地环境,使用 Amazon Systems Manager Fleet Manager 来管理基于 Windows、Linux 和 Mac 的虚拟机。
要开始使用 Amazon Systems Manager Fleet Manager,最简便的方法是使用亚马逊云科技管理控制台。只需几次点击即可打开 Fleet Manager。有关其他详细信息,请参阅“入门”文档。
如果在亚马逊云科技云端运行服务器,Amazon Systems Manager Fleet Manager 不额外收费。如果使用 Amazon Systems Manager 代理来管理本地实例,您将需要根据公开定价付费。
Distributor
全部打开
Distributor 是 Amazon Systems Manager 的一项功能,让您能够在组织中安全地存储和分发软件包。您可以将 Distributor 与现有 Systems Manager 功能(如 Run Command 和 State Manager)结合使用,以控制实例上运行的软件包的生命周期。
Distributor 支持软件包分发标准化,可以帮助您大规模部署软件包。将 Distributor 与 Amazon Systems Manager Run Command 和 State Manager 配合使用,您就无需构建和维护自己的软件包分发与安装工具。Distributor 还使用集中的存储库来存储所有软件包,简化软件包的管理工作。Distributor 支持使用 IAM 策略,让您可以完全控制谁可以创建和更新软件包。Distributor 还有助于实现软件包的安全分发,因为软件包以加密方式存储,并且 Distributor 与实例之间的所有通信都经过签名和加密。
定期分发软件包并希望以安全的方式来大规模管理软件包、集中存储软件包或者不想自行维护分发工具的任何亚马逊云科技客户都应该使用 Distributor。想要控制谁可以创建或更新软件包以及向每个亚马逊云科技账户分发哪个版本的 IT 专业人员会从 Distributor 中受益。
您可以在 Systems Manager 定价页面查看 Distributor 定价。
您可以使用亚马逊云科技管理控制台,只需点击几下即可启用 Distributor。有关更多信息,请参阅入门文档。
需要。要使用 Distributor,您需要使用最新版本的 SSM Agent。SSM 代理是开源的,可在 GitHub 上使用。Amazon Linux、Amazon Linux 2、Windows 和 Ubuntu AMI 上也默认安装了 SSM Agent。
Change Manager
全部打开
Amazon Systems Manager Change Manager 是一项变更管理功能。使用 Change Manager,您可以请求、批准、实施和报告应用程序配置和基础设施的操作更改。Change Manager 采用预先批准的变更工作流和自动化批准,可以简化变更流程。它与 Amazon Systems Manager Automation 集成进行更改,可以将实施与变更请求直接联系起来。Change Manager 与 Amazon Systems Manager Change Calendar 集成可阻止特定时段内的更改,与 Amazon CloudWatch 集成可根据告警自动回滚更改。通过 Change Manager,您可以审查整个组织中所做的变更,从而帮助您识别待批准的变更以及审核已完成变更的结果。
借助 Amazon Systems Manager Change Manager,您可以提升对应用程序配置和基础设施进行变更的安全性与治理水平,从而降低服务中断风险。Change Manager 可以更改所需的批准并且只实施经过批准的更改,从而提高操作变更的安全性。最后,Change Manager 提供了统一的方法来记录和审计整个组织中所做的变更、变更意图以及变更审批者和实施者,从而有助于提高问责性。
您可以使用 Amazon Systems Manager Change Manager 为要进行的每项操作变更创建变更请求。变更请求可以包含与变更相关的信息,如意图、要使用的资料以及任何特定回滚程序。变更请求还会维护其生命周期事件(如提交、批准、实施和完成)的时间线。
每个变更请求均通过指定变更模板创建而成,而变更模板定义了变更请求需要经历的批准工作流。您可以通过控制台或 API 创建变更模板。此外,您可以要求在任何变更模板可用于创建变更请求之前必须先经过审核和批准。您可以使用模板对一般变更类型(例如标准、主要、次要和紧急变更)和或更具体的变更类型(例如修补或轮换证书)进行建模。
您可以在 Amazon Systems Manager 定价页面查看 Amazon Systems Manager Change Manager 定价。
您可以使用 Amazon Systems Manager 控制台,只需点击几下即可启用 Amazon Systems Manager Change Manager。
借助 Amazon Systems Manager Change Manager,您可以使用 Amazon Organizations 管理亚马逊云科技账户和区域内的操作变更。您可以将组织中的一个账户指定为委托管理员。通过该委托账户,您可以请求、批准、实施和审核您的亚马逊云科技账户和区域中的变更。要了解更多信息,请参阅用户指南。