# AWS - System Manager Inventory
# System Manager Inventory
SSM Inventory 是 AWS 主動收集並記錄所有 EC2/On-Premise 主機的軟體、環境、設定資訊,用於可見性、安全、稽核與合規。
它會收集所有 Managed Instance 的
- 軟體清單
- 安裝的更新
- 執行的服務
- 主機硬體資訊
- 網路設定
- 檔案、Registry
- 代理程式版本
- 自訂 Metadata
# SSM Inventory 解決的問題
以前要知道
- 哪些 EC2 裝了什麼版本
- 哪些 EC2 裝了舊版 OpenSSL
- 哪些 On-Premise 伺服器沒打 Patch
- 哪些主機裝了公司禁止的軟體
都要手動 SSH 非常麻煩
Inventory 解決:自動中央化收集所有資訊
# Inventory 收集什麼
| 類型 | 說明 |
|---|---|
| Application | 安裝的軟體 (版本、供應商) |
| AWS Components | SSM Agent、CW Agent 等 |
| Network Config | 網路介紹、IP 設定 |
| Instance Metadata | AMI、Instance Type、Tags |
| File Inventory | 指定檔案是否存在 |
| OS Patches | 安裝過哪些更新 |
| Windows Registry | 可 query |
| Custom Inventory | 你自訂的 JSON Metadata |
# Inventory 與其他 SSM 功能的關係
# Patch Manager (依賴 Inventory)
Patch Manager 會使用 Inventory:
- 掃描哪些 patch 已經安裝
- 哪些未安裝
- 哪些過期
沒有 Inventory 無法正確 patch
# Compliance (強烈依賴 Inventory)
SSM Compliance Dashboard 的資料來源就是 Inventory
你會看到
- 哪些主機不符合 patch policy
- 哪些缺少 agent
- 哪些安裝了禁止軟體
# State Manager
你可以設定 State Manager 自動收集 Inventory
# Distributor
Inventory 能幫你看
- 哪台主機裝了 Dashboard 套件
- 裝的是哪個版本
# SSM Inventory 架構流程
1 | SSM Agent > 收集資訊(Inventory) > 送到 SSM > 儲存再 S3 or SSM Database > 可查詢、合規稽核、報表 |
可選擇
- 只放 SSM (預設)
- 放 S3 (審計、日誌用途)
# Reference
- AWS - AWS Systems Manager 庫存
