Introduzione al funzionamento di State Manager - AWS Systems Manager
Capire quando le associazioni vengono applicate alle risorseInformazioni sugli aggiornamenti di destinazione con i runbook AutomationImposta i ruoli per AssociationDispatchAssumeRoleGestisci l'utilizzo di AssociationDispatchAssumeRole con ssm:AssociationDispatchAssumeRole

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Introduzione al funzionamento di State Manager

State Manager, a tool in AWS Systems Manager, è un servizio sicuro e scalabile che automatizza il processo di mantenimento dei nodi gestiti in un'infrastruttura ibrida e multicloud in uno stato definito dall'utente.

Ecco come funziona State Manager:

1. Determina lo stato che desideri applicare alle tue risorse. AWS

Vuoi assicurarti che i nodi gestiti siano configurato con applicazioni specifiche, ad esempio applicazioni antivirus o malware? Vuoi automatizzare il processo di aggiornamento dell'SSM Agent o di altri pacchetti AWS , come ad esempio AWSPVDriver? Vuoi accertarti che determinate porte siano aperte o chiuse? Per iniziareState Manager, determina lo stato che desideri applicare alle tue AWS risorse. Lo stato che desideri applicare determinerà quale documento SSM utilizzerai per creare un'associazione di State Manager.

Un'State Managerassociazione è una configurazione che assegni alle tue AWS risorse. La configurazione definisce lo stato che desideri mantenere sulle risorse. Ad esempio, un'associazione può specificare che il software antivirus debba essere installato ed eseguito su un nodo gestito o che determinate porte debbano essere chiuse.

Un'associazione specifica una pianificazione per quando applicare la configurazione e le destinazioni per l'associazione. Ad esempio, un'associazione per il software antivirus potrebbe essere eseguita una volta al giorno su tutti i nodi gestiti in un account Account AWS. Se il software non è installato su un nodo, l'associazione potrebbe istruire State Manager per installarlo. Se il software è installato, ma il servizio non è in esecuzione, l'associazione potrebbe indicare a State Manager di avviare il servizio.

2. Determina se un documento SSM preconfigurato può aiutarti a creare lo stato desiderato sulle tue risorse. AWS

Systems Manager include decine di documenti SSM preconfigurati che è possibile utilizzare per creare un'associazione. I documenti preconfigurati sono pronti per eseguire attività comuni come l'installazione di applicazioni, la configurazione di Amazon CloudWatch, l'esecuzione di AWS Systems Manager automazioni, l'esecuzione di script Shell PowerShell e l'aggiunta di nodi gestiti a un dominio di servizi di directory per Active Directory.

È possibile visualizzare tutti i documenti SSM nella console di Systems Manager. Scegliere il nome di un documento per scoprire ulteriori informazioni su ciascuno di essi. Di seguito, sono riportati due esempi: AWS-ConfigureAWSPackage e AWS-InstallApplication.

3. Creazione di un'associazione

È possibile creare un'associazione utilizzando la console Systems Manager, AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) o l'API Systems Manager. Quando viene creata l'associazione, si specifica quanto segue:

  • Un nome per l'associazione.

  • I parametri per il documento SSM (ad esempio, il percorso dell'applicazione da installare o lo script da eseguire sui nodi).

  • I target per l'associazione. È possibile scegliere come target i nodi gestiti specificando i tag, scegliendo un singolo nodo IDs o selezionando un gruppo in AWS Resource Groups. Puoi anche scegliere come target tutti i nodi gestiti nell'attuale Regione AWS e Account AWS. Se le tue destinazioni includono più di 1.000 nodi, il sistema utilizza un meccanismo di limitazione (della larghezza di banda della rete). Ciò significa che potresti riscontrare imprecisioni nel conteggio dell'aggregazione dello stato, poiché il processo di aggregazione viene eseguito ogni ora e solo quando lo stato di esecuzione di un nodo cambia.

  • Ruolo utilizzato dall'associazione per intraprendere azioni per conto dell'utente. State Manager assumerà questo ruolo e la chiamata richiesta per l' APIs invio delle configurazioni ai nodi. Per informazioni sulla configurazione del ruolo fornito personalizzato, vedere. Imposta i ruoli per AssociationDispatchAssumeRole Se non viene fornito alcun ruolo, verrà utilizzato il ruolo collegato al servizio per Systems Manager.

    Nota

    Si consiglia di definire un ruolo IAM personalizzato in modo da avere il pieno controllo delle autorizzazioni di cui dispone State Manager quando intraprende azioni per conto dell'utente.

    Il supporto dei ruoli collegati ai servizi in State Manager viene gradualmente eliminato. Le associazioni che si basano sul ruolo collegato al servizio potrebbero richiedere aggiornamenti in futuro per continuare a funzionare correttamente.

    Per informazioni sulla gestione dell'utilizzo del ruolo fornito dall'utente, vedere. Gestisci l'utilizzo di AssociationDispatchAssumeRole con ssm:AssociationDispatchAssumeRole

  • Una pianificazione per il momento o la frequenza di applicazione dello stato. È possibile specificare un'espressione Cron o della frequenza. Per ulteriori informazioni sulla creazione di pianificazioni utilizzando espressioni Cron e della frequenza, consulta Espressioni Cron e della frequenza per le associazioni.

    Nota

    State Manager attualmente non supporta la specifica di mesi nelle espressioni cron per le associazioni.

Quando si esegue il comando per creare l'associazione, Systems Manager associa le informazioni specificate (pianificazione, target, documento SSM e parametri) alle risorse target. Lo stato dell'associazione inizialmente mostra "Pending" (In sospeso) mentre il sistema tenta di raggiungere tutti i target e applica immediatamente lo stato specificato nell'associazione.

Nota

Se si crea una nuova associazione pianificata per essere eseguita mentre un'associazione precedente è ancora in esecuzione, la prima associazione viene messa in timeout e viene eseguita la nuova associazione.

Systems Manager indica lo stato della richiesta di creazione di associazioni sulle risorse. È possibile visualizzare i dettagli sullo stato nella console o (per i nodi gestiti) utilizzando l'operazione DescribeInstanceAssociationsStatusAPI. Se si sceglie di scrivere l'output del comando in Amazon Simple Storage Service (Amazon S3) quando si crea un'associazione, è possibile anche visualizzare l'output nel bucket Amazon S3 specificato.

Per ulteriori informazioni, consulta Utilizzo delle associazioni in Systems Manager.

Nota

Le operazioni API avviate dal documento SSM durante un'esecuzione di associazione non vengono registrate in AWS CloudTrail.

4. Monitorare e aggiornare.

Una volta creata l'associazione, State Manager riapplica la configurazione in base alla pianificazione definita nell'associazione. È possibile visualizzare lo stato delle associazioni nella pagina di State Manager nella console oppure chiamando direttamente l'ID di associazione generato da Systems Manager quando è stata creata l'associazione. Per ulteriori informazioni, consulta Visualizzazione della cronologia delle associazioni. È possibile aggiornare i documenti delle associazioni e riapplicarli come necessario. È possibile inoltre creare più versioni di un'associazione. Per ulteriori informazioni, consulta Modifica e creazione di una nuova versione di un'associazione.

Capire quando le associazioni vengono applicate alle risorse

Quando crei un'associazione, specifichi un documento SSM che definisce la configurazione, un elenco di risorse target e una pianificazione per l'applicazione della configurazione. Per impostazione predefinita, State Manager esegue l'associazione al momento della creazione e quindi in base alla pianificazione specificata. State Manager prova inoltre a eseguire l'associazione nelle seguenti situazioni:

  • Modifica associazione: State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche in uno dei seguenti campi di associazione: DOCUMENT_VERSION, PARAMETERS, SCHEDULE_EXPRESSION, OUTPUT_S3_LOCATION.

  • Modifica documento: State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche al documento SSM che definisce lo stato di configurazione dell'associazione. In particolare, l'associazione viene eseguita dopo le seguenti modifiche al documento:

    • Un utente specifica una nuova versione del documento $DEFAULT e l'associazione era stata creata utilizzando la versione $DEFAULT.

    • Un utente aggiorna un documento e l'associazione era stata creata utilizzando la versione $LATEST.

    • Un utente elimina il documento specificato al momento della creazione dell'associazione.

  • Avvio manuale: State Manager esegue l'associazione quando viene avviata dall'utente dalla console di Systems Manager o a livello di programmazione.

  • Modifiche alla destinazione: State Manager esegue l'associazione dopo che si è verificata una delle seguenti attività su un nodo di destinazione:

    • Un nodo gestito passa online per la prima volta.

    • Un nodo gestito passa online dopo la mancata esecuzione di un'associazione pianificata.

    • Un nodo gestito passa online dopo essere stato arrestato per più di 30 giorni.

       

    Nota

    State Manager non monitora i documenti o i pacchetti utilizzati nelle associazioni all'interno degli Account AWS. Se aggiorni un documento o un pacchetto in un account, l'aggiornamento non causerà l'esecuzione dell'associazione nel secondo account. È necessario eseguire manualmente l'associazione nel secondo account.

    Impedire l'esecuzione delle associazioni quando una destinazione cambia

    In alcuni casi, potresti non voler eseguire un'associazione quando una destinazione composta da nodi gestiti cambia, ma solo in base alla pianificazione specificata.

    Nota

    L'esecuzione di un runbook di automazione comporta un costo. Se un'associazione a un runbook di automazione è diretta a tutte le istanze del tuo account e avvii regolarmente un gran numero di istanze, il runbook viene eseguito su ciascuna istanza al momento dell'avvio. Ciò può comportare costi di automazione elevati.

    Per evitare che un'associazione venga eseguita quando le destinazioni di quell'associazione cambiano, seleziona la casella di controllo Applica l'associazione solo al successivo intervallo cron specificato. Questa casella di controllo si trova nell'area Specifica pianificazione delle pagine Crea associazione e Modifica associazione.

    Questa opzione si applica alle associazioni che incorporano sia un runbook di automazione che un documento SSM.

Informazioni sugli aggiornamenti di destinazione con i runbook Automation

Affinché le associazioni create con i runbook Automation vengano applicate quando vengono rilevati nuovi nodi di destinazione, è necessario che vengano soddisfatte le seguenti condizioni:

  • È necessario che l'associazione sia creata da una configurazione Quick Setup. Quick Setup è uno strumento di AWS Systems Manager. Le associazioni create da altri processi non sono attualmente supportate.

  • È necessario che il runbook Automation indirizzi esplicitamente il tipo di risorsa AWS::EC2::Instance o AWS::SSM::ManagedInstance.

  • È necessario che l'associazione specifichi parametri e destinazioni.

    Nella console, i campi Parametro e Destinazioni vengono visualizzati quando si sceglie un'esecuzione per il controllo della velocità.

    Le opzioni relative ai parametri e alle destinazioni sono presentate nella console per le esecuzioni di controllo della velocità

    Quando si utilizzano le azioni di API CreateAssociation, CreateAssociationBatch o UpdateAssociation, è possibile specificare questi valori utilizzando gli input AutomationTargetParameterName e Targets. In ognuna di queste azioni di API, puoi anche impedire l'esecuzione dell'associazione ogni volta che una destinazione cambia impostando il parametro ApplyOnlyAtCronInterval su true.

    Per informazioni sull'utilizzo della console per controllare quando vengono eseguite le associazioni, compresi i dettagli per evitare costi inaspettatamente elevati per le esecuzioni di automazione, consulta Capire quando le associazioni vengono applicate alle risorse.

Imposta i ruoli per AssociationDispatchAssumeRole

Per configurare un invio personalizzato, si presupponga che State Manager assuma per eseguire azioni per conto dell'utente, che i ruoli siano affidabili ssm.amazonaws.com e abbiano l'autorizzazione necessaria per la chiamata ssm:SendCommand o in ssm:StartAutomationExecution base ai casi d'uso dell'associazione.

Esempio di politica di fiducia: 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Gestisci l'utilizzo di AssociationDispatchAssumeRole con ssm:AssociationDispatchAssumeRole

Per gestire l'utilizzo dell'invio personalizzato, assumi i ruoli che State Manager assume per eseguire azioni per tuo conto, usa la chiave ssm:AssociationDispatchAssumeRole condition. Questa condizione controlla se le associazioni possono essere create o aggiornate senza specificare un ruolo di invio personalizzato.

Nella seguente politica di esempio, l'"Allow"istruzione concede le autorizzazioni per la creazione e l'aggiornamento dell'associazione APIs solo quando viene specificato il AssociationDispatchAssumeRole parametro. Senza questo parametro nelle richieste API, la policy non concede l'autorizzazione a creare o aggiornare associazioni: 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateAssociation",
                "ssm:UpdateAssociation",
                "ssm:CreateAssociationBatch"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:AssociationDispatchAssumeRole": "*"
                }
            }
        }
    ]
}