# AWS - SSM(System Manager)
# 提供功能
AWS SSM 主要是用來管理大量機器的工具
- 運行命令和自動化
- Run Command:遠程執行命令
- Automation:自動化運維任務
- Session Manager:安全的遠程登入
- Parameter Store:參數管理
- 應用程序管理
- Application Manager:應用程序層級監控
- AppConfig:應用程序配置管理
- Change Manager:變更請求管理
- 節點管理
- Fleet Manager:統一界面管理節點
- Patch Manager:補丁管理
- State Manager:確保節點配置合規
- Inventory:收集軟硬件清單
# 關鍵特性
- 安全性
- 無需開放 SSH 端口
- 與 IAM 集成
- 所有操作可審計
- 支持 KMS 加密
- 自動化
- 可排程執行任務
- 支持多種自動化工作流
- 整合其他 AWS 服務
- 跨平台支持
- Windows Server
- Linux
- macOS
- 混合環境
# 常見使用場景
- 日常運維
- 批量執行命令
- 系統更新和補丁
- 配置管理
- 問題診斷
- 安全合規
- 漏洞修補
- 配置審計
- 合規性檢查
- 安全基線管理
- 自動化操作
- 資源部署
- 環境配置
- 故障恢復
- 定期維護
# 最佳實踐
- 部署準備
- 正確配置 IAM 角色
- 安裝最新版本的 SSM Agent
- 確保網絡連接性
- 安全考慮
- 使用最小權限原則
- 啟用操作日誌
- 定期更新 Agent
- 加密敏感數據
- 運維效率
- 使用標籤管理資源
- 建立標準操作流程
- 自動化重複任務
- 設置監控告警
# SSM 的如何實現管理大量機器 雲端 / 地端
實際上如果要讓你的 EC2/On-Premise 機器,能夠用 SSM 統一管理,必須在你的機器上安裝 SSM Agent (EC2 普遍不需要裝是因為原本的 OS 就有預先安裝好了)
並且確保有足夠的 IAM 權限可以讓操作如 (AmazonEC2RoleforSSM),讓 EC2 與 SSM 交互。
# 通常我們怎麼管理
有的時後我們會將需要管理的機器門進行分組,或是一個明確的分類之類的,我們在創建任何資源的時候通常會有 tags 欄位,SSM 提供 Resource Group 針對 tag 或是根據 CloudFormation Stack 進行分類,你就可以操作或查看相同組別的資源了
# Reference
- AWS SOA 學習筆記 - SSM (System Manager)
