• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用案例與最佳實務 本主題列出 AWS Systems Manager 工具的常見使用案例和最佳實務。如果可用,這個主題也包含連結,可連結到相關的部落格文章和技術文件。 **注意** 此處每個區段的標題,都是有效的連結,可連結到技術文件中的對應區段。 **[自動化](systems-manager-automation.md)** + 建立基礎設施用的自助服務自動化 Runbook。 + 使用 中的自動化工具 AWS Systems Manager,透過使用公有 Systems Manager 文件 Amazon Machine Images(SSM 文件AMIs) 或編寫您自己的工作流程AMIs,簡化從 AWS Marketplace 或自訂 建立 ()。 + 使用 `AWS-UpdateLinuxAmi` 和 `AWS-UpdateWindowsAmi` 自動化 Runbook,或使用您建立的自訂自動化 Runbook,[建置和維護 AMIs](automation-tutorial-update-ami.md)。 **[合規](systems-manager-compliance.md)** + 作為安全最佳實務,我們建議您更新受管節點使用的 AWS Identity and Access Management (IAM) 角色,以限制節點使用 [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 動作的能力。此 API 動作會在指定的資源 (例如 Amazon EC2 執行個體或受管節點) 上註冊合規類型和其他合規詳細資訊。如需詳細資訊,請參閱[設定合規許可](compliance-permissions.md)。 **[庫存](systems-manager-inventory.md)** + 使用 中的工具 Inventory AWS Systems Manager搭配 AWS Config 來稽核您的應用程式組態。 **[Maintenance Windows](maintenance-windows.md)** + 定義排程,在您的節點上執行可能中斷的動作,例如作業系統 (OS) 修補、驅動程式更新,或軟體安裝。 + 如需有關 State Manager 和 Maintenance Windows (兩者皆是 AWS Systems Manager中的工具) 之間差異的資訊,請參閱[在 State Manager 與 Maintenance Windows 之間進行選擇](state-manager-vs-maintenance-windows.md)。 **[Parameter Store](systems-manager-parameter-store.md)** + 使用 中的Parameter Store工具 AWS Systems Manager,集中管理全域組態設定。 + [AWS Systems Manager Parameter Store 如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) 。 + [參考Parameter Store參數中的 AWS Secrets Manager 秘密](integration-ps-secretsmanager.md)。 **[Patch Manager](patch-manager.md)** + 使用 中的Patch Manager工具 AWS Systems Manager,大規模推出修補程式,並提高節點的機群合規可見性。 + [整合 Patch Manager 與 AWS Security Hub CSPM](patch-manager-security-hub-integration.md),以便在機群中的節點不合規時接收提醒,並從安全角度監控您的機群的修補狀態。使用 Security Hub CSPM 需要付費。如需詳細資訊,請參閱[ 定價](https://aws.amazon.com/security-hub/pricing/)。 + 一次只能使用一種方法來掃描受管節點,檢查修補程式的合規性,以[避免意外覆寫合規資料](patch-manager-compliance-data-overwrites.md)。 **[Run Command](run-command.md)** + [使用 EC2 Run 命令來進行大規模的執行個體管理,而不需存取 SSH](https://aws.amazon.com/blogs/aws/manage-instances-at-scale-without-ssh-access-using-ec2-run-command/)。 + AWS Systems Manager使用 稽核 中Run Command工具 所發出或代表發出的所有 API 呼叫 AWS CloudTrail。 + 當您使用 Run Command 發出命令時,請勿包含格式為純文字的敏感資訊,例如密碼、組態資料或其他密碼。您帳戶中的所有 Systems Manager API 活動都會記錄在 S3 儲存貯體中的 AWS CloudTrail 日誌。這意味著任何具有權存取該 S3 儲存貯體的使用者都可以查看這些密碼的純文字值。因此,建議您建立並使用 `SecureString` 參數來加密您在 Systems Manager 操作中使用的敏感資料。 如需詳細資訊,請參閱[使用 IAM 政策限制對 Parameter Store 參數的存取](sysman-paramstore-access.md)。 **注意** 根據預設,CloudTrail 交付至您儲存貯體的日誌檔案是透過 Amazon [伺服器端加密與 Amazon Simple Storage Service (Amazon S3) 受管加密金鑰 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 進行加密。若要提供可直接管理的安全層,您可以改為為 CloudTrail 日誌檔案使用[伺服器端加密搭配 AWS KMS受管金鑰 (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。 如需詳細資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 AWS KMS受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html)。 + [使用 Run Command 中的目標和速率控制功能,來進行階段式的指令操作](send-commands-multiple.md)。 + [使用 Run Command(IAM) 政策,對 AWS Identity and Access Management (和所有 Systems Manager 工具) 使用精細的存取許可](security_iam_id-based-policy-examples.md#customer-managed-policies)。 **[Session Manager](session-manager.md)** + [使用 AWS CloudTrail在 AWS 帳戶 中記錄工作階段活動](session-manager-auditing.md)。 + [使用 Amazon CloudWatch Logs 或 Amazon Simple Storage Service (Amazon S3) 在您的 AWS 帳戶 中記錄工作階段資料](session-manager-logging.md)。 + [控制使用者工作階段存取執行個體](session-manager-getting-started-restrict-access.md)。 + [限制對工作階段中命令的存取](session-manager-restrict-command-access.md)。 + [停用或啟用 ssm-user 帳戶管理許可](session-manager-getting-started-ssm-user-permissions.md)。 **[State Manager](systems-manager-state.md)** + [使用預先設定的 `AWS-UpdateSSMAgent` 文件,來至少一個月更新一次 SSM Agent。](state-manager-update-ssm-agent-cli.md) + (Windows) 將 PowerShell 或 DSC 模組上傳到 Amazon Simple Storage Service (Amazon S3),並使用 `AWS-InstallPowerShellModule`。 + 使用標籤來建立您節點的應用程式群組。然後使用 `Targets` 參數,而不是指定個別的節點 ID,來鎖定節點。 + [使用 Systems Manager,來自動修正 Amazon Inspector 所產生的結果](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/)。 + [針對您的 SSM 文件,使用集中化的組態儲存庫,然後在整個組織之間共用文件](documents-ssm-sharing.md)。 + 如需有關 State Manager 和 Maintenance Windows 之間的差異的資訊,請參閱 [在 State Manager 與 Maintenance Windows 之間進行選擇](state-manager-vs-maintenance-windows.md)。 **[受管節點](fleet-manager-managed-nodes.md)** + Systems Manager 需要準確的時間參考才能執行其操作。如果您節點的日期和時間未正確設定,可能會與您 API 請求的簽章日期不符。這可能會導致錯誤或不完整的功能。例如,在您的受管節點清單中,將不會包含具有錯誤時間設定的節點。 如需有關在節點設定時間的資訊,請參閱[設定 Amazon EC2 執行個體的時間](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html)。 + 在 Linux 受管節點上,[驗證 SSM Agent 的簽章](verify-agent-signature.md)。 **詳細資訊** + [Systems Manager 的安全最佳實務](security-best-practices.md)