AWS Systems Manager · executar ações que você deseja executar em seus recursos da AWS. 2.Verification and processing (Verificação e transformação): o Systems Manager verifica

AWS Systems ManagerGuia do usuário

AWS Systems Manager Guia do usuário

AWS Systems Manager: Guia do usuárioCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsO que é o AWS Systems Manager? ..................................................................................................... 1

Como funcionam os bancos de dados públicos ............................................................................... 1Recursos ................................................................................................................................... 3

Grupos de recursos ............................................................................................................ 3Insights ............................................................................................................................. 3Ações ............................................................................................................................... 4Recursos compartilhados ..................................................................................................... 4

Conceitos básicos ....................................................................................................................... 5Acessando o Systems Manager .................................................................................................... 5Definição de preço ...................................................................................................................... 6Deixe seu comentário ................................................................................................................. 6Conteúdo relacionado ................................................................................................................. 6

Configuração ...................................................................................................................................... 7Pré-requisitos ............................................................................................................................. 8Configuração de acesso ............................................................................................................ 13

Tarefa 1: configurar o acesso de usuário ao Systems Manager ................................................ 13Tarefa 2: criar um Perfil de instância para o Systems Manager ................................................ 14Tarefa 3: criar uma instância do Amazon EC2 que usa o perfil de instância do Systems Manager ... 15Configurações de acesso opcionais ..................................................................................... 16

Configuração de VPC endpoints VPC para o Systems Manager ....................................................... 18Como criar VPC endpoints para o Systems Manager ............................................................. 19

Instalar e configurar o Agente do SSM ......................................................................................... 19Instalar e configurar o Agente do SSMem instâncias do Windows ............................................. 20Instalar e configurar o Agente do SSM em instâncias do Linux ................................................. 23Restrinja o acesso aos comandos em nível raiz por meio do Agente do SSM ............................. 36Como se inscrever para receber notificações do Agente do SSM ............................................. 37Permissões mínimas do bucket do S3 para o Agente do SSM ................................................. 37

Configurar ambientes híbridos .................................................................................................... 39Criar uma função de serviço do IAM para um ambiente híbrido ................................................ 39Criar uma ativação de instância gerenciada para um ambiente híbrido ...................................... 40Instalar o Agente do SSM em servidores e VMs em um ambiente Windows híbrido ...................... 42Instalar o Agente do SSM em servidores e VMs em um ambiente Linux híbrido .......................... 43

Integração de parceiros e produtos ..................................................................................................... 47Referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store ......................... 47

Restrições ........................................................................................................................ 47Como fazer referência a um segredo do Secrets Manager usando o Parameter Store .................. 48

Execução de scripts do GitHub e Amazon S3 ............................................................................... 50Execução de scripts do GitHub ........................................................................................... 51Execução de scripts do Amazon S3 .................................................................................... 56

Uso do Executar comando para tirar snapshots de volumes do EBS ................................................. 60Como funcionam os bancos de dados públicos ..................................................................... 61Antes de começar ............................................................................................................. 61Como criar snapshots do EBS habilitados para VSS .............................................................. 65Como criar snapshots do EBS habilitados para VSS usando o documento AWSEC2-ManageVssIO do SSM (avançado) ...................................................................................... 69Como restaurar volumes por meio de snapshots do EBS habilitados para VSS ........................... 70

Uso de perfis do Chef InSpec com o Systems Manager Compliance ................................................. 71Como funcionam os bancos de dados públicos ..................................................................... 71Execução de uma verificação de Compliance do InSpec ......................................................... 72

Grupos de recursos .......................................................................................................................... 75Insights ............................................................................................................................................ 76

Inventário ................................................................................................................................. 76Conceitos básicos sobre Inventário ...................................................................................... 76Sobre o Inventário do Systems Manager .............................................................................. 77

iii


Configurar a coleta de inventário ......................................................................................... 86Configurando a Sincronização de dados de recursos para inventário ......................................... 88Visualização do histórico do inventário e do controle de alterações ........................................... 92Agregação de dados do inventário ...................................................................................... 93Consultar uma coleta de inventário .................................................................................... 102Excluir inventário personalizado ......................................................................................... 103Demonstrações de Inventário ............................................................................................ 111Resolução de problemas com o inventário do Systems Manager ............................................ 121

Conformidade ......................................................................................................................... 122Conceitos básicos sobre a Conformidade de configuração ..................................................... 123Criar uma sincronização de dados de recursos para conformidade de configuração ................... 124Trabalhar com a conformidade de configuração ................................................................... 126Corrigir problemas de conformidade ................................................................................... 129Demonstração da Conformidade de configuração (AWS CLI) ................................................. 129

Ações ............................................................................................................................................ 132Automação ............................................................................................................................. 132

Conceitos da Automação do AWS Systems Manager ........................................................... 133Casos de uso da Automação ............................................................................................ 133Inícios rápidos de automação ........................................................................................... 136Configurar a Automação ................................................................................................... 141Demonstrações de Automação .......................................................................................... 149Trabalhar com documentos de Automação .......................................................................... 154Exemplos de Automação .................................................................................................. 171Variáveis de sistema de Automação .................................................................................. 193Solução de problemas com a Automação do Systems Manager ............................................. 202

Executar comando .................................................................................................................. 213Configuração do Executar comando ................................................................................... 214Execução de comandos ................................................................................................... 225Noções básicas sobre status de comando .......................................................................... 234Demonstrações do Executar comando ............................................................................... 237Solução de problemas do Executar comando ...................................................................... 248

Patch Manager ....................................................................................................................... 251Sistemas operacionais compatíveis com o Patch Manager .................................................... 252Como funcionam os bancos de dados públicos .................................................................... 253Visão geral dos documentos do SSM para aplicar patches em instâncias ................................. 265Sobre o documento AWS-RunPatchBaseline do SSM ........................................................... 268Trabalhar com o Patch Manager ....................................................................................... 270Demonstrações do Patch Manager .................................................................................... 277Comandos da AWS CLI para o Patch Manager ................................................................... 287

Janela de manutençãos ........................................................................................................... 300Controlling Access ........................................................................................................... 301Como trabalhar com Janela de manutençãos ...................................................................... 312Demonstrações da Janela de manutenção .......................................................................... 317

State Manager ........................................................................................................................ 335Sobre o State Manager .................................................................................................... 337Documentos de exemplo do State Manager ........................................................................ 338Como trabalhar com associações ...................................................................................... 339Demonstrações do State Manager ..................................................................................... 345

Recursos compartilhados ................................................................................................................. 349Instâncias gerenciadas ............................................................................................................. 349Ativações ............................................................................................................................... 349Documentos ........................................................................................................................... 349

Documentos predefinidos do Systems Manager ................................................................... 351Esquemas e recursos dos documentos do SSM .................................................................. 351Sintaxe de documentos do SSM ....................................................................................... 353Criar documentos do Systems Manager ............................................................................. 358Marcar documentos ......................................................................................................... 361

iv


Compartilhar documentos do Systems Manager ................................................................... 364Como criar documentos compostos ................................................................................... 370Execução de documentos em locais remotos ...................................................................... 372Referência de plug-ins de documentos do SSM ................................................................... 375Referência do documento de Automação ............................................................................ 398

Parameter Store ...................................................................................................................... 427Conceitos básicos dos parâmetros do Systems Manager ...................................................... 428Sobre parâmetros do Systems Manager ............................................................................. 428Trabalhar com parâmetros do Systems Manager ................................................................. 432Configurar parâmetros do Systems Manager ....................................................................... 451Demonstrações do Parameter Store ................................................................................... 456

Monitoramento de instâncias ............................................................................................................. 463Envio de logs para o CloudWatch Logs (Agente do SSM) ............................................................. 463Envio de logs para o CloudWatch Logs (Agente do CloudWatch) .................................................... 465

Migrar a coleta de logs de instância do Windows Server para o Agente do CloudWatch .............. 465Armazenar as definições de configuração do Agente do CloudWatch no Parameter Store ........... 469Reverter a coleta de logs com o Agente do SSM ................................................................. 469

Registrar chamadas à API do AWS Systems Manager em log com o AWS CloudTrail ........................ 470Informações sobre o Systems Manager no CloudTrail ........................................................... 471Noções básicas das entradas dos arquivos de log do Systems Manager .................................. 471

Autenticação e controle de acesso .................................................................................................... 473Autenticação ........................................................................................................................... 473Controle de acesso ................................................................................................................. 474Visão geral do gerenciamento de acesso .................................................................................... 475

Recursos e operações ..................................................................................................... 475Entender a propriedade de recursos .................................................................................. 477Gerenciar o acesso aos recursos ...................................................................................... 477Como especificar elementos da política: recursos, ações, efeitos e entidades de segurança ........ 479Especificação de condições em uma política ....................................................................... 480

Como usar políticas com base em identidade (políticas do IAM) ..................................................... 481Permissões obrigatórias para usar o console do AWS Systems Manager ................................. 481Políticas gerenciadas (predefinidas) da AWS para AWS Systems Manager .............................. 482Exemplos de política gerenciada pelo cliente ....................................................................... 483

Uso de funções vinculadas a serviço ......................................................................................... 484Permissões da função vinculada a serviço do Systems Manager ............................................ 484Criação de uma função vinculada a serviço para o Systems Manager ..................................... 485Edição de uma função vinculada a serviço para o Systems Manager ....................................... 485Exclusão de uma função vinculada a serviço para o Systems Manager .................................... 486

Referência de permissões do AWS Systems Manager .................................................................. 486Referência do AWS Systems Manager ............................................................................................... 497

Expressões cron e rate ............................................................................................................ 497Associações com expressões cron e rate ........................................................................... 498Expressões cron e rate para Janela de manutençãos ........................................................... 499Informações gerais sobre expressões cron e rate ................................................................. 500

Chamadas de API ec2messages e outras ................................................................................... 502Casos de uso e melhores práticas ..................................................................................................... 503Histórico do documento .................................................................................................................... 505

Atualizações anteriores ............................................................................................................ 510AWS Glossary ................................................................................................................................ 524

v

AWS Systems Manager Guia do usuárioComo funcionam os bancos de dados públicos

O que é o AWS Systems Manager?O AWS Systems Manager é uma coleção de recursos para configurar e gerenciar suas instâncias doAmazon EC2, servidores locais e máquinas virtuais e outros recursos da AWS em grande escala. OSystems Manager inclui uma interface unificada que permite que você centralize facilmente dadosoperacionais e automatize tarefas em recursos da AWS. O Systems Manager reduz o tempo para detectare resolver problemas operacionais em sua infraestrutura. O Systems Manager lhe oferece uma visãocompleta do desempenho e da configuração de sua infraestrutura, simplifica o gerenciamento de recursose aplicativos e facilita a operação e o gerenciamento em grande escala de sua infraestrutura.

Note

O AWS Systems Manager era anteriormente conhecido como "Amazon EC2 Systems Manager" e"Amazon Simple Systems Manager".

Como funcionam os bancos de dados públicosO Diagrama 1 mostra um exemplo geral dos diferentes processos que o Systems Manager realiza aoexecutar uma ação, como enviar um comando para a frota de servidores ou executar um inventáriodos aplicativos em execução em servidores locais. Cada recurso do Systems Manager, por exemplo, oExecutar comando ou o Janela de manutençãos, usa um processo semelhante de configuração, execução,processamento e geração de relatórios.

1. Configure Systems Manager (Configurar Systems Manager): Usar o console do Systems Manager,SDK, AWS CLI ou AWS Toolkit para Windows PowerShell para configurar, programar, automatizar eexecutar ações que você deseja executar em seus recursos da AWS.

2. Verification and processing (Verificação e transformação): o Systems Manager verifica as configurações,incluindo permissões, e envia solicitações para o Agente do SSM em execução nas suas instânciasou servidores em seu ambiente híbrido. Agente do SSM executa as alterações na configuraçãoespecificada.

3. Reporting (Relatórios): Agente do SSM informa o status das alterações de configuração e ações para oSystems Manager na nuvem da AWS. Em seguida, o Systems Manager envia o status para o usuário ediversos serviços da AWS, se configurado.

Diagram 1: General Example of Systems Manager Process Flow (Diagrama 1: Exemplo geral do fluxo deprocesso do Systems Manager)

1


2

AWS Systems Manager Guia do usuárioRecursos

RecursosSystems Manager inclui os seguintes recursos:

Tópicos• Grupos de recursos (p. 3)• Insights (p. 3)• Ações (p. 4)• Recursos compartilhados (p. 4)

Grupos de recursosAWS Resource Groups (Grupos de recurso da AWS): Um recurso da AWS é uma entidade com quevocê pode trabalhar no AWS, como uma instância Amazon Elastic Compute Cloud (AWS), um volumeAmazon Elastic Block Store (EBS), um grupo de segurança, ou um Amazon Virtual Private Cloud (VPC).Um grupo de recursos é um conjunto de recursos da AWS que estão na mesma região da AWS e atendemaos critérios fornecidos em uma consulta. As consultas são criadas no console de Grupos de recursosou passadas como argumento para comandos de Grupos de recursos na CLI da AWS. Com o Gruposde recursos, você pode criar um console personalizado que organiza e consolida informações com baseem critérios que você especifica em tags. Você pode usar também grupos como base para visualizarinformações de monitoramento e configuração no AWS Systems Manager.

InsightsO Systems Manager fornece as capacidades a seguir para exibir centralmente dados sobre recursos daAWS.

Insights integrados

Insights: mostra informações detalhadas sobre os recursos nos Grupos de recursos da AWS, comologs do AWS CloudTrail, resultados de avaliações em relação a regras do AWS Config e relatóriosdo AWS Trusted Advisor. O recurso Insights mostra informações sobre um grupo de recursosselecionado por vez.

Painéis CloudWatch

Os painéis do Amazon CloudWatch são páginas de início personalizáveis no console do CloudWatchque você pode usar para monitorar seus recursos em uma única visualização, mesmo os recursosdistribuídos em regiões diferentes. Você pode usar os painéis do CloudWatch para criar visualizaçõespersonalizadas das métricas e dos alarmes para seus recursos da AWS.

Gerenciamento de inventário

O Gerenciador de inventário automatiza o processo de coleta de inventário de software de instânciasgerenciadas. (p. 76) Você pode usá-lo para reunir metadados sobre aplicativos, arquivos,componentes, patches e muito mais em suas instâncias gerenciadas.

Conformidade de configuração

Use a Conformidade de configuração do Systems Manager (p. 122) para verificar sua frota deinstâncias gerenciadas no que diz respeito à conformidade de patches e a inconsistências deconfiguração. Você pode coletar e agregar dados de várias contas e regiões da AWS, e depois fazerbuscas detalhadas em recursos específicos que não são compatíveis. Por padrão, a Conformidadede configuração exibe dados de conformidade sobre a aplicação de patch do Patch Manager e asassociações do State Manager. Você também pode personalizar o serviço e criar seus próprios tiposde conformidade com base nos seus requisitos de TI ou negócios.

3

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html

https://docs.aws.amazon.com/ARG/latest/userguide/viewing-group-insights.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html

AWS Systems Manager Guia do usuárioAções

AçõesO Systems Manager fornece os seguintes recursos para medidas em relação a recursos da AWS.

Automação

Use Automação Systems Manager (p. 132) para automatizar tarefas comuns de manutenção eimplantação. Você pode usar a Automação para criar e atualizar imagens de máquina da Amazon,redefinir senhas na instância do Windows, redefinir Chaves SSH nas instâncias do Linux, aplicaratualizações de driver e agentes e aplicar patches de SO ou atualizações de aplicativos.

Executar comando

Use Systems Manager Executar comando (p. 213)-rc; para gerenciar remotamente e de formasegura a configuração em grande escala de suas instâncias gerenciadas. Use o Executar comandopara realizar alterações sob demanda, como atualizar aplicativos ou executar scripts de shell doLinux e comandos do Windows PowerShell em um conjunto de destino de dezenas ou centenas deinstâncias.

Gerenciamento de patches

Use Patch Manager (p. 251) para automatizar o processo de aplicação de patches às suasinstâncias gerenciadas. Esse recurso permite a varredura de instâncias em busca de patchesausentes e a aplicação de patches ausentes individualmente ou a grupos extensos de instânciasusando tags de instâncias do Amazon EC2. Para patches de segurança, o Patch Manager usalinhas de base de patch que incluem regras para a aprovação automática de patches dias após oseu lançamento, bem como uma lista de patches aprovados e rejeitados. Patches de segurançasão instalados do repositório padrão para patches configurados para a instância. Você pode instalarpatches de segurança regularmente programando a aplicação de patches para ser executada comouma tarefa da Janela de manutenção do Systems Manager. Para sistemas operacionais Linux, vocêpode definir os repositórios que devem ser usados para operações de patch como parte de sua linhade base de patch. Isso permite que você verifique se as atualizações são instaladas apenas a partir derepositórios confiáveis, independentemente de quais repositórios são configurados na instância. Parao Linux, você também tem a capacidade de atualizar qualquer pacote na instância, não apenas as quesão classificadas como as atualizações de segurança do sistema operacional.

Janela de manutençãos

Use as Janela de manutençãos (p. 300) para configurar programações recorrentes de instânciasgerenciadas para execução de tarefas administrativas, como instalação de patches e atualizações,sem interromper operações comerciais essenciais.

Gerenciamento de estados

Use State Manager do Systems Manager (p. 335) para automatizar o processo de manutenção desuas instâncias gerenciadas em um estado definido. Você pode usar o State Manager para garantirque suas instâncias passem por bootstrap com softwares específicos na inicialização, ingressem emum domínio do Windows (apenas para instâncias do Windows) ou recebam patches com atualizaçõesde software específicas.

Recursos compartilhadosO Systems Manager usa os recursos compartilhados a seguir para gerenciamento e configuração derecursos da AWS.

Instâncias gerenciadas

Uma instância gerenciada (p. 7) é qualquer instância do Amazon EC2 ou máquina local (servidorou máquina virtual [VM]) em seu ambiente híbrido configurada para o Systems Manager. Para

4

AWS Systems Manager Guia do usuárioConceitos básicos

configurar as instâncias gerenciadas, você precisa instalar o agente do SSM nas máquinas (se nãoestiver instalado por padrão) e configurar as permissões do AWS Identity and Access Management(IAM). As máquinas locais também exigem código de ativação.

Ativações

Para configurar servidores e VMs no seu ambiente híbrido como instâncias gerenciadas, você precisacriar uma ativação (p. 39) de instância gerenciada. Depois de concluir a ativação, você receberáum código de ativação e um ID. Essa combinação de código/ID funciona como um ID de acesso euma chave secreta do Amazon EC2 para fornecer acesso seguro ao serviço Systems Manager nassuas instâncias gerenciadas.

Documentos do Systems Manager

Um Documento Systems Manager (p. 349) (documento SSM) define a ação que Systems Managerrealiza. Documentos do SSM podem ser documentos Command (Comando), que são usados porState Manager e Executar comando ou documentos de Automação, que são usados pela Automaçãodo Systems Manager. O Systems Manager inclui mais de dúzias de documentos pré-configurados,que você pode usar especificando parâmetros em tempo de execução. Os documentos podem serexpresso em JSON ou YAML e incluem etapas e parâmetros especificados por você.

Parameter Store

O Parameter Store (p. 427) oferece armazenamento hierárquico seguro para gerenciamento dedados de configuração e gerenciamento de segredos. Você pode armazenar dados, como senhas,strings de banco de dados e códigos de licença como valores de parâmetro. Você pode armazenarvalores como texto sem formatação ou dados criptografados. Você pode fazer referência a valoresusando o nome exclusivo que especificou ao criar o parâmetro.

Conceitos básicosPara aprender os conceitos básicos do Systems Manager, consulte o seguinte:

• Certifique-se de ter concluído os pré-requisitos do Systems Manager• Configurar funções e permissões• Instale o Agente do SSM em sua instância (se necessário)

Se quiser gerenciar seus servidores locais e suas VMs com o Systems Manager, você também deverácriar uma ativação de instância gerenciada.

Essas tarefas estão descritas em Configuração do AWS Systems Manager (p. 7).

Acessando o Systems ManagerVocê pode acessar o Systems Manager usando qualquer uma das seguintes interfaces:

• Console do AWS Systems Manager – consiste em uma interface web que pode ser usada para acessaro Systems Manager.

• A interface da linha de comando da AWS (AWS CLI) fornece comandos para um amplo conjunto deserviços da AWS, incluindo o Systems Manager, e tem suporte no Windows, Mac e Linux. Para obtermais informações, consulte Interface da Linha de Comando da AWS.

• AWS Tools for Windows PowerShell — Fornece comandos para um amplo conjunto de serviços daAWS, incluindo o Systems Manager. Para obter mais informações, consulte AWS Tools for WindowsPowerShell.

5

https://console.aws.amazon.com/systems-manager/

https://aws.amazon.com/cli/

https://aws.amazon.com/powershell/

https://aws.amazon.com/powershell/

AWS Systems Manager Guia do usuárioDefinição de preço

• SDKs da AWS — Fornece APIs específicas para a linguagem e cuida de muitos dos detalhes deconexão, como calcular assinaturas, lidar com novas tentativas de solicitação e manusear erros. Paraobter mais informações, consulte AWS SDKs.

Definição de preçoOs recursos e componentes compartilhados do Systems Manager são oferecidos sem custo adicional.Você paga apenas pelos recursos da AWS que você usa.

Deixe seu comentárioOs seus comentários são bem-vindos. Para entrar em contato conosco, visite o fórum do AWS SystemsManager.

Conteúdo relacionadoO Systems Manager também está documentado nas seguintes referências.

• Amazon EC2 Systems Manager API Reference• AWS Tools for Windows PowerShell do Systems Manager• Referência da CLI da AWS do Systems Manager• AWS SDKs• LimitesAWS Systems Manager

6

http://aws.amazon.com/tools/#SDKs

https://forums.aws.amazon.com//forum.jspa?forumID=185


https://docs.aws.amazon.com/ssm/latest/APIReference/

https://docs.aws.amazon.com/powershell/latest/reference/items/Amazon_Simple_Systems_Management_cmdlets.html

https://docs.aws.amazon.com/cli/latest/reference/ssm/index.html

http://aws.amazon.com/tools/#SDKs

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_ssm


Configuração do AWS SystemsManager

Esta seção descreve as tarefas e os pré-requisitos para configurar o AWS Systems Manager. Use a tabelaa seguir para ajudá-lo a começar.

O que deseja fazer com o Systems Manager? Tarefas de configuração

Testá-lo/experimentá-lo 1. Verifique as permissões e crie uma função deperfil de instância (p. 13).

2. Crie algumas instâncias de teste do AmazonEC2 (nível gratuito) com base em s recentesdo Amazon Linux, Ubuntu Server 18.04 LTS ouWindows.

3. Teste o Systems Manager. Veja algumasdemonstrações para ajudá-lo a começar.

Note

Para ver algumas dessasdemonstrações, outras tarefas deconfiguração são necessárias, comopermissões adicionais.

• Executar comando (console do EC2): Linux ouWindows

• Demonstrações do Executarcomando (p. 237) (AWS CLI ou AWS Toolsfor Windows PowerShell)

• Demonstrações do State Manager (p. 345)• Demonstrações do Parameter Store (p. 456)• Demonstrações do Gerenciador de

inventário (p. 111)• Demonstrações de Automação (p. 149)• Demonstrações da Janela de

manutenção (p. 317)• Demonstrações do Patch Manager (p. 277)

Usar o Systems Manager para gerenciar econfigurar minhas instâncias do EC2

1. Verifique as permissões e crie uma função deperfil de instância (p. 13).

2. Verifique se suas instâncias do EC2 atendemaos requisitos do Systems Manager (p. 8).

3. (Somente no Linux) Instale o Agente doSSM (p. 13).

Usar o Systems Manager para gerenciar econfigurar meus servidores e VMs em umambiente híbrido

1. Verifique as permissões e crie uma função deperfil de instância (p. 13).

2. Verifique se os servidores e as VMs em seuambiente híbrido atendem aos requisitos doSystems Manager (p. 8).

7

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/tutorial_run_command.html#rc-tutorial-ui

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/tutorial_run_command.html#rc-tutorial-ui

AWS Systems Manager Guia do usuárioPré-requisitos

O que deseja fazer com o Systems Manager? Tarefas de configuração3. Execute tarefas de configuração e ativação de

instâncias em um ambiente híbrido (p. 39).

Pré-requisitos do Systems ManagerO AWS Systems Manager ajuda você a configurar e gerenciar instâncias do Amazon EC2, servidores emáquinas virtuais locais e outros recursos da AWS em escala. Para começar a usar o Systems Manager,recomendamos que você saiba mais sobre os seguintes serviços da AWS. Um conhecimento práticodesses serviços é essencial para configurar e usar o Systems Manager com êxito.

• O Amazon Elastic Compute Cloud (Amazon EC2) fornece capacidade de computação escalável naNuvem AWS. Para obter mais informações, consulte O que é Amazon EC2? (Linux) e O que o é oAmazon EC2? (Windows).

• O AWS Identity and Access Management (IAM) é um serviço da web que ajuda você a controlar oacesso aos recursos da AWS de forma segura. Para obter mais informações, consulte O que é IAM?

Note

Esta seção descreve os pré-requisitos para instalar e configurar suas instâncias do Amazon EC2e servidores ou máquinas virtuais (VMs) locais para o Systems Manager. Esta seção usa o termoinstância gerenciada para descrever instâncias do EC2 ou servidores e VMs locais que estãoconfigurados para o Systems Manager.

Requisito Descrição

Sistemas operacionais compatíveis As instâncias gerenciadas devem executar umaversão compatível com o Windows ou o Linux.

Note

O recurso Patch Manager não oferecesuporte a todos os seguintes sistemasoperacionais do Para obter maisinformações, consulte Sistemasoperacionais compatíveis com o PatchManager (p. 252).

Windows

Windows Server 2003 até o Windows Server 2016,incluindo versões R2

Sistemas Linux de 64 bits e de 32 bits

• s de base do Amazon Linux de 09.2014, 03.2014ou posterior

• Ubuntu Server 18.04 LTS, 16.04 LTS, 14.04 LTSou 12.04 LTS

• Red Hat Enterprise Linux (RHEL) 6.5• CentOS 6.3 ou posterior

8

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/concepts.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/concepts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html



Apenas sistemas Linux de 32 bits

• Raspbian Jessie• Raspbian Stretch

Apenas sistemas Linux de 64 bits

• Amazon Linux 2015.09, 2015.03 ou posterior• Amazon Linux 2• Red Hat Enterprise Linux (RHEL) 6.0, 7.4 ou 7.5• CentOS 7.1 ou posterior• SUSE Linux Enterprise Server (SLES) 12 ou

posterior

Regiões compatíveis O Systems Manager está disponível nestasregiões.

Para servidores e VMs em seu ambiente híbrido,recomendamos escolher a região mais próxima deseu datacenter ou ambiente de computação.

Acesso ao Systems Manager A configuração do acesso ao Systems Managerexige que você execute as seguintes tarefas:

• Configurar o acesso de usuários ao SystemsManager: consulte Tarefa 1: configurar o acessode usuário ao Systems Manager (p. 13).

• Configurar o acesso entre suas instânciasdo EC2 e o Systems Manager: consulteTarefa 2: criar um Perfil de instância para oSystems Manager (p. 14). Essa etapa não énecessária para servidores ou VMs locais.

• Configurar o acesso entre servidores/VMslocais e o Systems Manager: consulte Criar umafunção de serviço do IAM para um ambientehíbrido (p. 39). Essa etapa não é necessáriapara suas instâncias do EC2.

Para obter mais informações sobre permissões deacesso ao Systems Manager, consulte Controlede acesso e autenticação do AWS SystemsManager (p. 473).

9

https://docs.aws.amazon.com/general/latest/gr/rande.html#ssm_region




Agente do SSM O Agente do SSM processa solicitações doSystems Manager e configura sua máquinaconforme especificado na solicitação.

Windows

O Agente do SSM é instalado por padrão eminstâncias do Windows Server 2016 e instânciascriadas em AMIs do Windows Server 2003-2012R2 publicadas em novembro de 2016 ouposteriormente.

As AMI Windows publicadas antes de novembrode 2016 usam o serviço EC2Config para processarsolicitações e configurar instâncias.

A menos que você tenha um motivo específicopara usar o serviço EC2Config ou uma versãoanterior do Agente do SSM para processarsolicitações do Systems Manager, recomendamosque você faça download e instale a versãomais recente do Agente do SSM para cadauma de suas instâncias do Amazon EC2 ouinstâncias gerenciadas (servidores e VMs em umambiente híbrido). Para obter mais informações,consulte Instalar e configurar o Agente do SSMeminstâncias do Windows (p. 20).

Linux

O Agente do SSM é instalado, por padrão, nass base Amazon Linux, Amazon Linux 2, UbuntuServer 16.04 e Ubuntu Server 18.04 LTS. Vocêdeve instalar manualmente o Agente do SSMem outras versões do EC2 Linux, incluindoimagens não básicas, como as s otimizadas parao Amazon ECS. Para obter mais informações,consulte Instalar e configurar o Agente do SSM eminstâncias do Linux (p. 23).

Servidores e VMs locais

O processo de download e instalação do Agentedo SSM para servidores e VMs em um ambientehíbrido é diferente do processo usado parainstâncias do Amazon EC2. Para obter maisinformações, consulte Instalar o Agente do SSMem servidores e VMs em um ambiente Windowshíbrido (p. 42).

Note

O código-fonte para o Agente do SSMestá disponível no GitHub para quevocê possa adaptar o agente de modoque atenda às suas necessidades.Incentivamos o envio de solicitações

10

https://github.com/aws/amazon-ssm-agent

https://github.com/aws/amazon-ssm-agent/blob/master/CONTRIBUTING.md


Requisito Descriçãopull para alterações que você gostariade incluir. No entanto, a Amazon WebServices atualmente não oferece suportepara executar cópias modificadas dessesoftware.

Configurar um VPC Endpoint ou acesso à Internetpara a interface

Você deve configurar o Systems Manager parausar um Virtual Private Cloud (VPC) endpointda interface ou habilitar o acesso à Internet desaída em suas instâncias gerenciadas. O acesso àInternet de entrada não é necessário.

Para melhorar a postura de segurança desua instância gerenciada, recomendamosque você configure o Systems Manager parausar um VPC endpoint para a interface. Osendpoints da interface são habilitados peloPrivateLink, tecnologia que permite que vocêacesse privadamente APIs do Amazon EC2 eSystems Manager usando endereços IP privados.O PrivateLink restringe todo o tráfego de redeentre instâncias gerenciadas, o Systems Managere o EC2 para a rede da Amazon (as instânciasgerenciadas não têm acesso à Internet). Alémdisso, você não precisa de um Internet gateway,de um dispositivo NAT ou de um gateway privadovirtual. Para obter mais informações, consulteConfiguração de VPC endpoints VPC para oSystems Manager (p. 18). Para obter maisinformações sobre i PrivateLink e VPC endpoints,consulte Acesso a serviços pelo AWS PrivateLink.

11


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink



Certificados Starfield ou Amazon Root Suas instâncias gerenciadas devem ter um dosseguintes certificados Transport Layer Security(TLS) instalado.

• Amazon Root CA 1• Starfield Services Root Certificate Authority – G2• Starfield Class 2 Certificate Authority

Os serviços da AWS usam esses certificadospara criptografar chamadas para outros serviçosda AWS. Um desses certificados é instalado,por padrão, em todas as Imagens de máquinada Amazon (AMIs). Para sistemas operacionaisbásicos, ou sistemas em seu ambiente local, vocêdeve instalar e habilitar um desses certificadosdos Serviços de confiança da Amazon. Se oscertificados em seu ambiente de computaçãoforem gerenciados por um Group Policy Object(GPO - Objeto de política de grupo), poderá sernecessário configurar a política de grupo paraincluir um desses certificados. Para obter maisinformações sobre os certificados Amazon Roote Starfield, consulte Como preparar-se para amudança da AWS para sua própria autoridade decertificação.

Windows PowerShell 3.0 ou posterior O Agente do SSM requer o Windows PowerShell3.0 ou posterior para executar determinadosdocumentos do SSM em instâncias doWindows (por exemplo, o documento AWS-ApplyPatchBaseline). Verifique se as suasinstâncias do Windows estão executando oWindows Management Framework 3.0 ouposterior. A estrutura inclui o PowerShell. Paraobter mais informações, consulte o WindowsManagement Framework 3.0.

Configurar o monitoramento e as notificações(opcional)

Você pode configurar o Amazon CloudWatchEvents para registrar alterações de execução destatus dos comandos que você envia usando oSystems Manager. Também é possível configuraro Amazon Simple Notification Service (AmazonSNS) para enviar notificações sobre alteraçõesespecíficas do status de comandos. Para obtermais informações, consulte Noções básicas sobrestatus de comando (p. 234).

12

https://www.amazontrust.com/repository/

https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/



https://www.microsoft.com/en-us/download/details.aspx?id=34595&751be11f-ede8-5a0c-058c-2ee190a24fa6=True


AWS Systems Manager Guia do usuárioConfiguração de acesso


Bucket do Amazon S3 (opcional) Você pode armazenar a saída do SystemsManager em um bucket do Amazon SimpleStorage Service (Amazon S3). A saída no consoleé truncada após 2.500 caracteres. Além disso,você pode querer criar um prefixo de chavesdo Amazon S3 (uma subpasta) para ajudá-lo aorganizar a saída. Para obter mais informações,acesse Criar um bucket.

Para obter informações sobre os limites do Systems Manager, consulte Limites do AWS Systems Manager.

Como configurar o acesso ao Systems ManagerExecute as tarefas a seguir para configurar o acesso ao AWS Systems Manager.

Note

Para obter mais informações sobre permissões de acesso ao Systems Manager, consulteControle de acesso e autenticação do AWS Systems Manager (p. 473).

Tópicos• Tarefa 1: configurar o acesso de usuário ao Systems Manager (p. 13)• Tarefa 2: criar um Perfil de instância para o Systems Manager (p. 14)• Tarefa 3: criar uma instância do Amazon EC2 que usa o perfil de instância do Systems

Manager (p. 15)• Configurações de acesso opcionais (p. 16)

Tarefa 1: configurar o acesso de usuário ao SystemsManagerSe sua conta de usuário, grupo ou função do IAM tiver permissões de administrador, isso significa quevocê tem acesso ao Systems Manager. Você pode ignorar esta tarefa. Se não tiver permissões deadministrador, um administrador deverá atualizar sua conta de usuário, grupo ou função do IAM paraincluir as seguintes permissões:

• Para acessar Grupos de recursos: você deve adicionar a entidade de permissões resource-groups:*à sua conta de usuário, grupo ou função do IAM. Para obter mais informações, consulte Setting UpPermissions no guia do usuário do AWS Resource Groups.

• Para acessar o Insights: você deve adicionar as políticas gerenciadas a seguir à sua conta de usuário,grupo ou função:• AWSHealthFullAccess• AWSConfigUserAccess• CloudWatchReadOnlyAccess

Note

Acesso a inventário e conformidade é coberto pelas políticas seguintes.• Para acessar ações e recursos compartilhados: você deve adicionar a política AmazonSSMFullAccess

ou a política AmazonSSMReadOnlyAccess.

13

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html


https://docs.aws.amazon.com/ARG/latest/userguide/gettingstarted-prereqs.html#rg-permissions

https://docs.aws.amazon.com/ARG/latest/userguide/gettingstarted-prereqs.html#rg-permissions

AWS Systems Manager Guia do usuárioTarefa 2: criar um Perfil de

instância para o Systems Manager

Para obter informações sobre como alterar permissões para uma conta de usuário, grupo ou função doIAM, consulte Alteração de permissões para um usuário do IAM no IAM User Guide.

Tarefa 2: criar um Perfil de instância para o SystemsManagerPor padrão, o Systems Manager não tem permissão para executar ações em suas instâncias. Vocêdeve conceder acesso usando um perfil de instância do IAM. Um perfil de instância é um contêiner quetransmite as informações da função do IAM para uma instância do Amazon EC2 na inicialização.

Note

Se estiver configurando servidores ou máquinas virtuais (VMs) em um ambiente híbrido para oSystems Manager, não é necessário criar um perfil de instância para eles. Em vez disso, vocêdeve configurar seus servidores e VMs para usar uma função de serviço do IAM. Para obter maisinformações, consulte Criar uma função de serviço do IAM para um ambiente híbrido (p. 39).

Você pode criar um perfil de instância para o Systems Manager anexando uma política gerenciada pelaAWS, que define as permissões necessárias para uma nova função ou para uma função já criada.

Após criar o perfil de instância, você o anexa às instâncias com as quais deseja usar o Systems Manager.Para anexar o perfil de instância às instâncias existentes, consulte Usar perfis de instância. Para anexarum perfil de instância a novas instâncias ao criá-las, consulte o tópico seguinte, Tarefa 3: criar umainstância do Amazon EC2 que usa o perfil de instância do Systems Manager (p. 15).

Note

Se você alterar o perfil de instância do IAM, pode levar algum tempo para as credenciais dainstância serem atualizadas. O SSM Agent não processará solicitações até que isso aconteça.Para acelerar o processo de atualização, você pode reiniciar o SSM Agent ou a instância.

Dependendo de se você criará uma nova função para seu perfil de instância ou adicionará as permissõesnecessárias a uma função existente, use um dos procedimentos a seguir.

Criar um perfil de instância para instâncias gerenciadas do Systems Manager

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e Create role.3. Na página Select type of trusted entity, em AWS Service, escolha EC2.

Note

Se a seção Select your use case (Selecione o caso de uso) for exibida, escolha EC2 Role forSimple Systems Manager (Função do EC2 para o Simple Systems Manager) e, em seguida,Next: Permissions (Próximo: permissões).

4. Na página Attached permissions policy, verifique se AmazonEC2RoleforSSM está listada e escolhaNext: Review.

5. Na página Review, digite um nome na caixa Role name e, em seguida, uma descrição.

Note

Anote o nome da função. Você escolhe essa função ao criar novas instâncias que desejagerenciar usando o Systems Manager.

6. Selecione Create role. O sistema faz com que você retorne para a página Roles.

14

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html

https://console.aws.amazon.com/iam/

AWS Systems Manager Guia do usuárioTarefa 3: criar uma instância do Amazon EC2 que

usa o perfil de instância do Systems Manager

Adicionar permissões de perfil de instância para instâncias gerenciadas do Systems Manager auma função existente

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, selecione Roles (Funções) e, em seguida, escolha a função existente que

você deseja associar a um perfil de instância para operações do Systems Manager.3. Na guia Permissões, escolha Anexar política.4. Na página Attach policy (Anexar política), selecione a caixa de seleção ao lado de

AmazonEC2RoleforSSM e, em seguida, escolha Attach policy (Anexar política).

Para obter mais informações sobre como atualizar uma função para incluir uma entidade confiável ourestringir ainda mais o acesso, consulte Modificar uma função.

Para obter informações sobre como anexar a função recém-criada a uma nova instância ou a umainstância existente, consulte o tópico seguinte, Tarefa 3: criar uma instância do Amazon EC2 que usa operfil de instância do Systems Manager (p. 15).

Tarefa 3: criar uma instância do Amazon EC2 que usao perfil de instância do Systems ManagerEste procedimento descreve como iniciar uma instância do Amazon EC2 que usa o perfil de instância quevocê criou no tópico anterior, Tarefa 2: criar um Perfil de instância para o Systems Manager (p. 14). Emvez disso, você pode anexar o perfil de instância a uma instância existente. Para obter mais informações,consulte Anexar uma função do IAM a uma instância no Guia do usuário do Amazon EC2.

Para criar uma instância que usa o perfil de instância do Systems Manager

1. Open the Amazon EC2 console at https://console.aws.amazon.com/ec2/.2. Na barra de navegação na parte superior da tela, a região atual é exibida. Selecione a região para a

instância.3. Escolha Executar instância.4. Na página Choose an Amazon Machine Image (AMI) (Escolha uma Imagem de máquina da Amazon

[AMI]), localize a AMI para o tipo de instância que você deseja criar e, em seguida, escolha Select(Selecionar).

5. Escolha Next: Configure Instance Details.6. Na página Configure Instance Details (Configurar os detalhes da instância), na lista suspensa IAM

role (Função do IAM), escolha o perfil da instância que você criou usando as etapas Tarefa 2: criar umPerfil de instância para o Systems Manager (p. 14).

7. Assista todo o assistente.

Para mais informações, consulte um dos tópicos a seguir, dependendo do seu tipo de instância:

• Linux: Execução de uma instância usando o assistente de execução de instância em Amazon EC2User Guide for Linux Instances

• Windows: Execução de uma instância usando o assistente de execução de instância em AmazonEC2 User Guide for Windows Instances

Se você criar outras instâncias que deseja configurar usando o Systems Manager, é necessário especificaro perfil de instância para cada instância.

15


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role

https://console.aws.amazon.com/ec2/


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/launching-instance.html

AWS Systems Manager Guia do usuárioConfigurações de acesso opcionais

Configurações de acesso opcionaisA Tarefa 1 nesta seção permitiu que você concedesse acesso a um usuário escolhendo uma política deusuário do IAM gerenciada. Se quiser limitar o acesso de usuários a documentos do Systems Manager eSSM, você pode criar suas próprias políticas de usuário restritivas, tal como descrito nesta seção. Paraobter mais informações sobre como criar uma política personalizada, consulte Criação de uma novapolítica.

A seguinte política do IAM de exemplo permite que um usuário faça o seguinte.

• Listar documentos do Systems Manager e versões de documentos.• Visualize detalhes sobre documentos.• Envie um comando usando o documento especificado na política.

O nome do documento é determinado por esta entrada:

arn:aws:ssm:us-east-2:*:document/name_of_restrictive_document

• Envie um comando para três instâncias.

As instâncias são determinadas pelas seguintes entradas na segunda seção Resource:

"arn:aws:ec2:us-east-2:*:instance/i-1234567890EXAMPLE","arn:aws:ec2:us-east-2:*:instance/i-abcdefghiEXAMPLE","arn:aws:ec2:us-east-2:*:instance/i-345678abcdef12345",

• Visualize detalhes sobre um comando depois que ele tiver sido enviado.• Inicie e pare execuções de Automação.• Obtenha informações sobre as execuções de Automação.

Se você quiser dar permissão ao usuário para usar esse documento para enviar comandos em qualquerinstância para a qual o usuário atualmente tenha acesso (conforme determinado pela sua conta de usuárioda AWS), você poderá especificar a seguinte entrada na seção Resource e remover as outras entradasde instâncias.

"arn:aws:ec2:us-east-2:*:instance/*"

Observe que a seção Resource inclui uma entrada de ARN do Amazon S3:

arn:aws:s3:::bucket_name

Você também pode formatar esta entrada da seguinte maneira:

arn:aws:s3:::bucket_name/*

-or-

arn:aws:s3:::bucket_name/key_prefix_name

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:ListDocuments", "ssm:ListDocumentsVersions",

16

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

AWS Systems Manager Guia do usuárioConfigurações de acesso opcionais

"ssm:DescribeDocument", "ssm:GetDocument", "ssm:DescribeInstanceInformation", "ssm:DescribeDocumentParameters", "ssm:DescribeInstanceProperties" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:us-east-2:*:instance/i-1234567890EXAMPLE", "arn:aws:ec2:us-east-2:*:instance/i-abcdefghiEXAMPLE", "arn:aws:ec2:us-east-2:*:instance/i-345678abcdef12345", "arn:aws:s3:::bucket_name", "arn:aws:ssm:us-east-2:*:document/name_of_restrictive_document" ] }, { "Action": [ "ssm:CancelCommand", "ssm:ListCommands", "ssm:ListCommandInvocations" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ec2:DescribeInstanceStatus", "Effect": "Allow", "Resource": "*" }, { "Action": "ssm:StartAutomationExecution", "Effect": "Allow", "Resource": [ "arn:aws:ssm:::automation-definition/" ] }, { "Action": "ssm:DescribeAutomationExecutions ", "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "ssm:StopAutomationExecution", "ssm:GetAutomationExecution" ], "Effect": "Allow", "Resource": [ "arn:aws:ssm:::automation-execution/" ] } ]}

17

AWS Systems Manager Guia do usuárioConfiguração de VPC endpointsVPC para o Systems Manager

Configuração de VPC endpoints VPC para oSystems Manager

Você pode melhorar a postura de segurança de suas instâncias gerenciadas (incluindo instânciasgerenciadas em seu ambiente híbrido) ao configurar o AWS Systems Manager para usar uma interfaceVPC endpoint. Os endpoints da interface são habilitados pelo PrivateLink, tecnologia que permite quevocê acesse privadamente APIs do Amazon EC2 e Systems Manager usando endereços IP privados. OPrivateLink restringe todo o tráfego de rede entre instâncias gerenciadas, o Systems Manager e o EC2 e arede da Amazon (as instâncias gerenciadas não têm acesso à Internet). Além disso, você não precisa deum Internet gateway, de um dispositivo NAT ou de um gateway privado virtual.

Não é necessário configurar o PrivateLink, mas é recomendável. Para obter mais informações sobrePrivateLink e VPC endpoints, consulte Acesso aos serviços da AWS por meio do PrivateLink.

Antes de começar

Antes de configurar VPC endpoints para o Systems Manager, fique atento às restrições e limitações aseguir.

• Active Directory: os VPC endpoints não são compatíveis com o serviço de diretório Active Directory. Sevocê configurar suas instâncias gerenciadas para usar um VPC endpoint, não poderá usar esse serviço.

Note

Este guia do usuário pode não refletir as atualizações mais recentes no serviço de diretóriodo Active Directory. Por esse motivo, recomendamos que você verifique o guia do usuário doserviço de diretório Active Directory para obter suporte para o VPC endpoint.

• Solicitações entre regiões: no momento, os VPC endpoints não são compatíveis com solicitaçõesentre regiões — crie seu endpoint na mesma região que seu bucket. Você pode encontrar o localde seu bucket usando o console do Amazon S3 ou usando o comando get-bucket-location. Use umendpoint do Amazon S3 específico à região para acessar seu bucket; por exemplo, mybucket.s3-us-west-2.amazonaws.com. Para obter mais informações endpoints específicos à região para o AmazonS3, consulte Amazon Simple Storage Service (S3) no Amazon Web Services General Reference. Seusar a AWS CLI fazer solicitações ao Amazon S3, defina a região padrão como a mesma região do seubucket ou use o parâmetro --region em suas solicitações.

• DNS personalizado: os VPC endpoints são compatíveis apenas com o DNS fornecido pela Amazon pormeio do Route 53. Se quiser usar seu próprio DNS, poderá usar o encaminhamento de DNS condicional.Para obter mais informações, consulte Conjuntos de opções de DHCP no Amazon VPC User Guide.

• Conexões de entrada: o grupo de segurança anexado ao VPC endpoint deve permitir conexões deentrada na porta 443 da sub-rede privada da instância gerenciada. Se conexões de entrada não sãopermitidas, a instância gerenciada não pode se conectar ao SSM e endpoints do EC2.

• Buckets do Amazon S3: a política do VPC endpoint deve permitir pelo menos acesso aos buckets doAmazon S3 usados pelo Patch Manager para operações de linha de base de patches em sua regiãoda AWS. Esses buckets contêm o código que é recuperado e executado em instâncias pelo serviço delinha de base de patches. Cada região da AWS tem seus próprios buckets de operações de linha debase de patches para o código a ser recuperado quando um documento de linha de base de patchesfor executado. Se o código não puder ser obtido por download, o comando de linha de base de patchesfalhará.

Para fornecer acesso aos buckets em sua região da AWS, inclua a seguinte permissão em sua políticade endpoint:

arn:aws:s3:::patch-baseline-snapshot-region/*arn:aws:s3:::aws-ssm-region/*

18

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html

https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-location.html

https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html

AWS Systems Manager Guia do usuárioComo criar VPC endpoints para o Systems Manager

region representa o identificador de uma região da AWS suportado pelo AWS Systems Manager,como us-east-2 para o US East (Ohio) Region. Para obter uma lista de valores region suportados,consulte a coluna Região na tabela de regiões e endpoints do AWS Systems Manager na AWS GeneralReference.

Por exemplo:

arn:aws:s3::patch-baseline-snapshot-us-east-2/*arn:aws:s3:::aws-ssm-us-east-2/*

Como criar VPC endpoints para o Systems ManagerUse o procedimento a seguir para criar três VPC endpoints para o Systems Manager. Todos os trêsendpoints são obrigatórios para o Systems Manager funcionar em uma VPC. Esse procedimento estávinculado a procedimentos relacionados no Amazon VPC User Guide.

Para criar uma VPC endpoints para o Systems Manager

1. Use Criação de um endpoint de interface para criar os seguintes endpoints:

• com.amazonaws.region.ssm: o endpoint para o Systems Manager• com.amazonaws.region.ec2messages: o Systems Manager usa esse endpoint para fazer

chamadas do SSM Agent para o serviço Systems Manager.• com.amazonaws.region.ec2: se você estiver usando o Systems Manager para criar instantâneos

habilitados para VSS, é necessário garantir que você tenha um endpoint para o serviço EC2. Sem oendpoint do EC2 definido, uma chamada para enumerar os volumes anexados do EBS falha, o quefaz com que o comando do Systems Manager falhe. Para mais informações sobre o uso do SystemsManager para criar snapshots habilitados para VSS, consulte Uso do Executar comando para tirarsnapshots de volumes do EBS (p. 60).

region representa o identificador de uma região da AWS suportado pelo AWS Systems Manager,como us-east-2 para o US East (Ohio) Region. Para obter uma lista de valores region suportados,consulte a coluna Região na tabela de regiões e endpoints do AWS Systems Manager na AWSGeneral Reference.

2. Use Criação de um endpoint do gateway para criar um endpoint para o Amazon S3. O SystemsManager usa esse endpoint para fazer upload de logs de saída do Amazon S3 e atualizar o SSMAgent.

Instalar e configurar o Agente do SSMO Agente do AWS Systems Manager (Agente do SSM) é um software da Amazon executado nasinstâncias do Amazon EC2 e instâncias híbridas que estão configuradas para o Systems Manager(instâncias híbridas). O Agente do SSM processa solicitações do serviço Systems Manager na nuveme configura sua máquina conforme especificado na solicitação. O Agente do SSMenvia informações destatus e execução de volta ao serviço do Systems Manager usando o serviço de mensagens do EC2. Sevocê monitorar o tráfego, verá suas instâncias se comunicarem com ec2messages.* endpoints. Para obtermais informações, consulte Referência: Ec2messages e outras chamadas de API (p. 502).

O Agente do SSM é instalado, por padrão, nas seguintes (s) do Amazon EC2:

• Windows Server (todos os SKUs)

19

#ssm_region

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint

#ssm_region

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#create-gateway-endpoint

AWS Systems Manager Guia do usuárioInstalar e configurar o Agente doSSMem instâncias do Windows

• Amazon Linux• Amazon Linux 2• Ubuntu Server 16.04• Ubuntu Server 18.04

Você deve instalar manualmente o agente em instâncias do Amazon EC2 criadas a partir de outras s doLinux e nos servidores Linux ou máquinas virtuais em seu ambiente local.

Note

O processo de download e instalação do Agente do SSM para instâncias híbridas é diferentedaquele para instâncias do Amazon EC2. Para obter mais informações, consulte Instalar o Agentedo SSM em servidores e VMs em um ambiente Windows híbrido (p. 42).

Para obter mais informações sobre a transferência de logs do Agente do SSM para o Amazon CloudWatchLogs, consulte Monitoramento de instâncias com o AWS Systems Manager (p. 463).

Use os procedimentos a seguir para instalar, configurar ou desinstalar o Agente do SSM. Esta seçãotambém inclui informações sobre como configurar o Agente do SSM para usar um proxy.

Tópicos• Instalar e configurar o Agente do SSMem instâncias do Windows (p. 20)• Instalar e configurar o Agente do SSM em instâncias do Linux (p. 23)• Restrinja o acesso aos comandos em nível raiz por meio do Agente do SSM (p. 36)• Como se inscrever para receber notificações do Agente do SSM (p. 37)• Permissões mínimas do bucket do S3 para o Agente do SSM (p. 37)

Instalar e configurar o Agente do SSMem instânciasdo WindowsO Agente do SSM é instalado por padrão em instâncias do Windows Server 2016 e instâncias criadas emAMIs do Windows Server 2003-2012 R2 publicadas em novembro de 2016 ou posteriormente.

As AMI Windows publicadas antes de novembro de 2016 usam o serviço EC2Config para processarsolicitações e configurar instâncias.

A menos que você tenha um motivo específico para usar o serviço EC2Config ou uma versão anterior doAgente do SSM para processar solicitações do Systems Manager, recomendamos que você faça downloade instale a versão mais recente do Agente do SSM em cada uma de suas instâncias do Amazon EC2 ouhíbridas que estejam configuradas para o Systems Manager.

Caso você precise atualizar o Agente do SSM, recomendamos que você use o State Manager paraatualizar automaticamente o Agente do SSM nas instâncias quando novas versões estiverem disponíveis.Para obter mais informações, consulte Demonstração: atualizar automaticamente o Agente do SSM(CLI) (p. 346).

Para visualizar detalhes sobre as diferentes versões do Agente do SSM, consulte as notas de release.

Tópicos• Instalar e configurar o Agente do SSM em instâncias do Windows (p. 21)• Visualizar logs do Agente do SSM em instâncias do Windows (p. 21)• Configurar o Agente do SSM para usar um proxy para instâncias do Windows (p. 22)

20

https://github.com/aws/amazon-ssm-agent/blob/master/RELEASENOTES.md


Instalar e configurar o Agente do SSM em instâncias do WindowsO Agente do SSM é instalado por padrão nas instâncias do Windows Server 2016. Ele também éinstalado por padrão em instâncias criadas de AMIs do Windows Server 2003-2012 R2 publicadas emnovembro de 2016 ou posteriormente. Você não precisa instalar o Agente do SSM nessas instâncias.Caso você precise atualizar o Agente do SSM, recomendamos que você use o State Manager paraatualizar automaticamente o Agente do SSM nas instâncias quando novas versões estiverem disponíveis.Para obter mais informações, consulte Demonstração: atualizar automaticamente o Agente do SSM(CLI) (p. 346).

Se a sua instância for uma instância do Windows Server 2003-2012 R2 criada antes de novembro de 2016,o EC2Config processará solicitações do Systems Manager na sua instância. Recomendamos que vocêatualize suas instâncias existentes para usar a versão mais recente de EC2Config. Ao usar o instaladormais recente do EC2Config, você instala o Agente do SSM lado a lado com o serviço EC2Config. Essaversão lado a lado no Agente do SSM é compatível com as instâncias criadas por meio de AMIs anterioresdo Windows e permite que você use os recursos do SSM publicados após novembro de 2016. Para obterinformações sobre como instalar a versão mais recente do serviço EC2Config, consulte Como instalar aversão mais recente do EC2Config no Amazon EC2 User Guide for Windows Instances.

Se necessário, você pode fazer download e instalar manualmente a versão mais recente do Agente doSSM usando o procedimento a seguir.

Para fazer download e instalar manualmente a versão mais recente do Agente do SSM

1. Faça login em sua instância usando, por exemplo, o Remote Desktop ou Windows PowerShell.2. Faça download da versão mais recente do Agente do SSM em sua instância:

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe

Esse URL permite que você faça download do Agente do SSM de qualquer região da AWS. Se quiserfazer download do agente de uma região específica, use uma URL específica da região em vez disso:

https://amazon-ssm-region.s3.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe


3. Inicie ou reinicie o Agente do SSM (AmazonSSMAgent.exe) usando o painel de controle de Serviçosdo Windows ou enviando o seguinte comando no PowerShell:

Restart-Service AmazonSSMAgent

Important

O Agente do SSM requer o Windows PowerShell 3.0 ou posterior para executar determinadosdocumentos do SSM em instâncias do Windows (por exemplo, o documento AWS-ApplyPatchBaseline). Verifique se as suas instâncias do Windows estão executando o WindowsManagement Framework 3.0 ou posterior. Essa estrutura inclui o Windows PowerShell. Para obtermais informações, consulte o Windows Management Framework 3.0.

Visualizar logs do Agente do SSM em instâncias do WindowsO Agente do SSM grava informações sobre execuções, ações programadas, erros e status de integridadeem arquivos de log para cada instância. Você pode visualizar arquivos de log conectando-se manualmente

21

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/UsingConfig_Install.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/UsingConfig_Install.html



#ssm_region



a uma instância ou pode enviar logs automaticamente para o Amazon CloudWatch Logs. Para obter maisinformações sobre como enviar logs ao CloudWatch, consulte Monitoramento de instâncias com o AWSSystems Manager (p. 463).

Você pode visualizar arquivos de log do Agente do SSMem instâncias do Windows nos locais a seguir.

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

• %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Configurar o Agente do SSM para usar um proxy para instânciasdo WindowsAs informações neste tópico se aplicam a instâncias do Windows Server criadas em ou depois denovembro de 2016 que não usam a opção de instalação Nano.

Se sua instância for uma instância do Windows Server 2003-2012 R2 criada antes de novembro de 2016,o EC2Config processará solicitações do Systems Manager em sua instância. Para obter informações sobrecomo configurar o EC2Config para usar um proxy, consulte o tópico sobre como Definir configurações deproxy para o serviço EC2Config.

Para instâncias do Windows Server 2016 que usam a opção de instalação Nano (Nano Server), você devese conectar usando o PowerShell. Para obter mais informações, consulte o tópico sobre como Conectar-sea uma instância do Nano Server para Windows Server 2016.

Para configurar o Agente do SSM para usar um proxy

1. Usando a Área de Trabalho Remota ou o Windows PowerShell, conecte-se à instância que vocêdeseja configurar para usar um proxy.

2. Execute o seguinte bloco de comandos no PowerShell. Substitua o nome do host e a porta porinformações sobre o seu proxy:

$serviceKey = "HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent"$keyInfo = (Get-Item -Path $serviceKey).GetValue("Environment")$proxyVariables = @("http_proxy=hostname:port", "no_proxy=169.254.169.254")

If($keyInfo -eq $null){New-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables -PropertyType MultiString -Force} else {Set-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables}Restart-Service AmazonSSMAgent

Para redefinir a configuração de proxy do Agente do SSM

1. Usando a Área de Trabalho Remota ou o Windows PowerShell, conecte-se à instância a serconfigurada.

2. Se você se conectou usando a Área de Trabalho Remota, execute o PowerShell como administrador.3. Execute o seguinte bloco de comandos no PowerShell:

Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent -Name EnvironmentRestart-Service AmazonSSMAgent

22

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/UsingConfig_WinAMI.html#ec2config-proxy

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/UsingConfig_WinAMI.html#ec2config-proxy

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting-nano.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting-nano.html

AWS Systems Manager Guia do usuárioInstalar e configurar o Agente

do SSM em instâncias do Linux

Instalar e configurar o Agente do SSM em instânciasdo LinuxO SSM Agent processa solicitações do Systems Manager e configura sua máquina conforme especificadona solicitação. Use os procedimentos a seguir para instalar, configurar ou desinstalar o Agente do SSM.

Important

• Por padrão, o Agente do SSM é instalado em s de base do Amazon Linux de 09.2017 eposterior. O Agente do SSM também é instalado por padrão nas s Amazon Linux 2, UbuntuServer 16.04 e Ubuntu Server 18.04 LTS.

• Você deve instalar manualmente o Agente do SSM em outras versões do Linux, incluindoimagens que não sejam base, como s otimizadas para o Amazon ECS.

O código-fonte para o Agente do SSM está disponível no GitHub para que você possa adaptar o agentede modo que atenda às suas necessidades. Incentivamos o envio de solicitações pull para alteraçõesque você gostaria de incluir. No entanto, a AWS atualmente não oferece suporte para executar cópiasmodificadas desse software.

Note

Para visualizar detalhes sobre as diferentes versões do Agente do SSM, consulte as notas derelease.

Tópicos• Instalar o Agente do SSM manualmente em instâncias Linux do Amazon EC2 (p. 23)• Configurar o Agente do SSM para usar um proxy (p. 33)• Visualizar logs do Agente do SSM (p. 35)• Desinstalar o Agente do SSM de instâncias do Linux (p. 36)

Instalar o Agente do SSM manualmente em instâncias Linux doAmazon EC2Use um dos seguintes scripts para instalar o Agente do SSM em uma das seguintes instâncias do Linux.

• Amazon Linux e Amazon Linux 2 (p. 24)• Ubuntu Server (p. 25)• Red Hat Enterprise Linux (RHEL) (p. 28)• CentOS (p. 29)• SUSE Linux Enterprise Server (SLES) 12 (p. 31)• Raspbian (p. 31)

Os URLs nos scripts a seguir permitem fazer download do Agente do SSM de qualquer região da AWS. Sequiser fazer download do agente de uma região específica, consulte Fazer download do Agente do SSMde uma região específica (p. 32).

Depois de instalar manualmente o Agente do SSM, você poderá atualizá-lo automaticamente em suasinstâncias quando novas versões estiverem disponíveis usando o State Manager do Systems Manager.Para obter mais informações, consulte Demonstração: atualizar automaticamente o Agente do SSM(CLI) (p. 346).

23







Amazon Linux e Amazon Linux 2

Conecte-se à sua instância do Amazon Linux ou Amazon Linux 2 e execute as etapas a seguir parainstalar o Agente do SSM. Execute essas etapas em cada instância que executará comandos usando oSystems Manager.

Important

• Por padrão, o Agente do SSM é instalado em s de base do Amazon Linux de 09.2017 eposterior. Agente do SSM também é instalado por padrão nas s do Amazon Linux 2.

• Você deve instalar manualmente o Agente do SSM em outras versões do Linux, incluindoimagens que não sejam base, como s otimizadas para o Amazon ECS.

• Instâncias criadas de uma AMI do Amazon Linux que estiverem usando um proxy devemexecutar uma versão atual do módulo Python requests para serem compatíveis com asoperações do Patch Manager. Para obter mais informações, consulte Atualizar o módulode solicitações em Python em instâncias do Amazon Linux que usam um servidor deproxy (p. 35).

Para instalar o Agente do SSM no Amazon Linux ou Amazon Linux 2

1. Crie um diretório temporário na instância.

mkdir /tmp/ssm

2. Altere para o diretório temporário.

cd /tmp/ssm

3. Use um dos seguintes comandos para fazer download do instalador do SSM e executá-lo.

Instâncias de 64 bits:

sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm


sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm

4. Execute o comando a seguir para determinar se o Agente do SSM está em execução. O comandodeve retornar a mensagem "amazon-ssm-agent is running".

Amazon Linux

sudo status amazon-ssm-agent

Amazon Linux 2

sudo systemctl status amazon-ssm-agent

5. Execute os comandos a seguir se o comando anterior retornar a mensagem "amazon-ssm-agent isstopped".

a. Inicie o serviço.

24



Amazon Linux

sudo start amazon-ssm-agent

Amazon Linux 2

sudo systemctl enable amazon-ssm-agent

sudo systemctl start amazon-ssm-agent

b. Verifique o status do agente.

Amazon Linux


Amazon Linux 2


Ubuntu ServerConecte-se à sua instância do Ubuntu Server e execute as etapas de um dos seguintes procedimentospara instalar o Agente do SSM em cada instância que executará comandos usando o Systems Manager.

Tópicos• Sobre instalações do Agente do SSM em instâncias do Ubuntu Server 16.04 de 64 bits (p. 25)• Instale o Agente do SSM nas instâncias do Ubuntu Server 18.04 e 16.04 LTS de 64 bits (com pacote

Snap) (p. 26)• Instale o Agente do SSM nas instâncias do Ubuntu Server 16.04 e 14.04 de 64 bits (com pacote

instalador deb) (p. 27)• Instalar o Agente do SSM nas instâncias do Ubuntu Server 16.04 e 14.04 de 32 bits (p. 28)

Sobre instalações do Agente do SSM em instâncias do Ubuntu Server 16.04 de 64 bits

A partir de agora, em instâncias criadas por AMIs do Ubuntu Server 16.04 identificadas com 20180627,o Agente do SSM é pré-instalado usando pacotes Snap. Por exemplo: ubuntu/images/hvm-ssd/ubuntu-xenial-16.04-amd64-server-20180627. Em instâncias criadas por AMIs anteriores, vocêdeve continuar usando pacotes do instalador deb.

Important

Lembre-se de que, se uma instância tem mais de uma instalação do Agente do SSM (porexemplo, um instalado usando um Snap, outro instalado usando um instalador deb), as operaçõesdo agente não funcionarão corretamente.

Você pode verificar o ID da AMI de origem para uma instância seguindo estas etapas:

1. Open the Amazon EC2 console at https://console.aws.amazon.com/ec2/.2. Na navegação à esquerda, escolha Instances.3. Selecione uma instância.4. Na guia Description (Descrição), localize o valor no campo AMI ID (ID da AMI).

25




Para as instâncias criadas a partir de uma AMI do Ubuntu Server 16.04 de 64 bits, certifique-se de seguir oprocedimento correto para o tipo de instalação de seu Agente do SSM:

• Instâncias criadas a partir de AMIs com identificador 20180627 ou posterior: Instale o Agente do SSMnas instâncias do Ubuntu Server 18.04 e 16.04 LTS de 64 bits (com pacote Snap) (p. 26)

• Instâncias criadas a partir de AMIs anteriores a 20180627: Instale o Agente do SSM nas instâncias doUbuntu Server 16.04 e 14.04 de 64 bits (com pacote instalador deb) (p. 27)

Instale o Agente do SSM nas instâncias do Ubuntu Server 18.04 e 16.04 LTS de 64 bits (compacote Snap)

1. O Agente do SSM é instalado, por padrão, nas s do Ubuntu Server 18.04 e do 16.04 LTS de 64 bitscom um identificador de 20180627 ou posterior. Para obter mais informações sobre as AMIs versão16.04, consulte Sobre instalações do Agente do SSM em instâncias do Ubuntu Server 16.04 de 64bits (p. 25).

Você pode usar o seguinte script se precisar instalar o Agente do SSM em um servidor local ou seprecisar reinstalar o agente. Você não precisa especificar um URL para download porque o comandosnap faz download automático do agente da loja de aplicativos Snap em https://snapcraft.io.

sudo snap install amazon-ssm-agent --classic

Note

Observe os seguintes detalhes sobre o Agente do SSM no Ubuntu Server 18.04 e 16.04:

• Devido a um problema conhecido com o Snap, você pode ver um erro Maximum timeoutexceeded com os comandos snap. Se este erro for exibido, execute os seguintescomandos, um de cada vez, para iniciar o agente, pará-lo e verificar seu status:

systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service

systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service

systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service

• No Ubuntu Server 18.04 e 16.04, os arquivos do instalador do Agente do SSM, incluindoarquivos binários do agente e arquivos de configuração, são armazenados no seguintediretório: /snap/amazon-ssm-agent/current/. Se você fizer alterações nos arquivos deconfiguração (amazon-ssm-agent.json.template e seelog.xml.template), você deve copiaresses arquivos da pasta /snap para a pasta /etc/amazon/ssm/. Arquivos de log e bibliotecanão foram alterados (/var/lib/amazon/ssm, /var/log/amazon/ssm).

• No Ubuntu Server 18.04, use somente Snaps. Não instale pacotes deb. Além disso,verifique se apenas uma instância do agente está instalada e em execução nas suasinstâncias.

• No Ubuntu Server 16.04, o Agente do SSM é instalado usando os pacotes de instalaçãoSnaps ou deb, dependendo da versão da AMI do 16.04. Para obter mais informações,consulte Sobre instalações do Agente do SSM em instâncias do Ubuntu Server 16.04 de 64bits (p. 25).

2. Execute o comando a seguir para determinar se o Agente do SSM está em execução.

sudo snap list amazon-ssm-agent

26

https://snapcraft.io/amazon-ssm-agent



3. Execute o comando a seguir para iniciar o serviço, caso o comando anterior retorne amazon-ssm-agent is stopped, inactive ou disabled.

sudo snap start amazon-ssm-agent

4. Verifique o status do agente.

sudo snap services amazon-ssm-agent

Instale o Agente do SSM nas instâncias do Ubuntu Server 16.04 e 14.04 de 64 bits (com pacoteinstalador deb)

1. Você pode usar o seguinte script se precisar instalar o Agente do SSM em um servidor local ou seprecisar reinstalar o agente.

Important

O Agente do SSM é instalado, por padrão, nas instâncias criadas a partir de s do UbuntuServer 16.04 LTS de 64 bits com um identificador de 20180627 ou posterior. As instânciascriadas a partir de AMIs com identificadores anteriores, por exemplo 20171121.1 e20180522, devem continuar a usar instaladores deb.Se o Agente do SSM estiver instalado na instância juntamente com um Snap e vocêinstalar ou atualizar o Agente do SSM usando um pacote de instalação deb, a instalação ouoperações do Agente do SSM poderão falhar. Para obter mais informações, consulte Sobreinstalações do Agente do SSM em instâncias do Ubuntu Server 16.04 de 64 bits (p. 25)

Crie um diretório temporário na instância.

mkdir /tmp/ssm

Altere para o diretório temporário.

cd /tmp/ssm

Execute os comandos a seguir.

wget https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb

sudo dpkg -i amazon-ssm-agent.deb

2. Execute o comando a seguir para determinar se o Agente do SSM está em execução.


3. Execute o comando a seguir para iniciar o serviço, caso o comando anterior retorne amazon-ssm-agent is stopped, inactive ou disabled.


4. Verifique o status do agente.


27



Instalar o Agente do SSM nas instâncias do Ubuntu Server 16.04 e 14.04 de 32 bits


mkdir /tmp/ssm

Altere para o diretório temporário.

cd /tmp/ssm

Execute os comandos a seguir.

wget https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb

sudo dpkg -i amazon-ssm-agent.deb

2. Execute o comando a seguir para determinar se o Agente do SSM está em execução:


3. Execute os comandos a seguir, caso o comando anterior retorne amazon-ssm-agent is stopped,inactive ou disabled.

a. Inicie o agente:


b. Verifique o status do agente:


Red Hat Enterprise Linux (RHEL)

Conecte-se à sua instância do RHEL e execute as etapas a seguir para instalar o Agente do SSM. Executeessas etapas em cada instância que executará comandos usando o Systems Manager.

Para instalar o Agente do SSM no Red Hat Enterprise Linux


mkdir /tmp/ssm


cd /tmp/ssm




28





4. Execute um dos comandos a seguir para determinar se o Agente do SSM está em execução. Ocomando deve retornar a mensagem "amazon-ssm-agent is running".

RHEL 7.x:


RHEL 6.x:


5. Execute os comandos a seguir se o comando anterior tiver retornado "amazon-ssm-agent is stopped".


RHEL 7.x:



RHEL 6.x:



RHEL 7.x:


RHEL 6.x:


CentOS

Conecte-se à sua instância do CentOS e execute as etapas a seguir para instalar o Agente do SSM.Execute essas etapas em cada instância que executará comandos usando o Systems Manager.

Para instalar o Agente do SSM no CentOS


mkdir /tmp/ssm


29



cd /tmp/ssm






4. Execute um dos comandos a seguir para determinar se o Agente do SSM está em execução. Ocomando deve retornar a mensagem "amazon-ssm-agent is running".

CentOS 7.x:


CentOS 6.x:


5. Execute os comandos a seguir se o comando anterior tiver retornado "amazon-ssm-agent is stopped".


CentOS 7.x:



CentOS 6.x:



CentOS 7.x:


CentOS 6.x:


30



SUSE Linux Enterprise Server (SLES) 12

Conecte-se à sua instância do SLES e execute as etapas a seguir para instalar o Agente do SSM. Executeessas etapas em cada instância que executará comandos usando o Systems Manager.

Para instalar o Agente do SSM no SUSE Linux Enterprise Server


mkdir /tmp/ssm


cd /tmp/ssm

3. Use o seguinte comando para fazer download e executar o instalador do SSM.


wget https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpmsudo rpm --install amazon-ssm-agent.rpm

4. Execute o comando a seguir para determinar se o Agente do SSM está em execução. O comandodeve retornar a mensagem "amazon-ssm-agent is running".


5. Execute os comandos a seguir se o comando anterior retornar a mensagem "amazon-ssm-agent isstopped".


sudo systemctl enable amazon-ssm-agentsudo systemctl start amazon-ssm-agent



Raspbian

Esta seção inclui informações sobre como instalar o Agente do SSM no Raspbian Jessie e no Raspbian eRaspbian Stretch, inclusive em dispositivos Raspberry Pi (32 bits).

Antes de começar

Para configurar seus dispositivos Raspbian como instâncias gerenciadas do Systems Manager, vocêprecisa criar uma ativação de instância gerenciada. Depois de concluir a ativação, você receberá umcódigo de ativação e um ID. Essa combinação de código/ID funciona como um ID de acesso e umachave secreta do Amazon EC2 para fornecer acesso seguro ao serviço Systems Manager nas suasinstâncias gerenciadas. Armazene o código de ativação e o ID em um local seguro. Para obter maisinformações sobre o processo de ativação, consulte Configuração do AWS Systems Manager emambientes híbridos (p. 39).

Conecte-se ao seu dispositivo Raspbian e execute as etapas a seguir para instalar o Agente do SSM.Execute essas etapas em cada instância que executará comandos usando o Systems Manager.

31



Para instalar o Agente do SSM em dispositivos Raspbian


mkdir /tmp/ssm

2. Use o seguinte comando para fazer download e executar o instalador do SSM.

sudo curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_arm/amazon-ssm-agent.deb -o /tmp/ssm/amazon-ssm-agent.deb

3. Execute o comando a seguir para instalar o Agente do SSM.

sudo dpkg -i /tmp/ssm/amazon-ssm-agent.deb

4. Execute o comando a seguir para encerrar o Agente do SSM.

sudo service amazon-ssm-agent stop

5. Execute o comando a seguir para registrar o agente usando o código de ativação da instânciagerenciada e o ID que você recebeu quando concluiu o processo de ativação da instância gerenciada.

sudo amazon-ssm-agent -register -code "code" -id "ID" -region "region"

6. Execute o comando a seguir para iniciar o Agente do SSM.

sudo service amazon-ssm-agent start

Note

Se vir o seguinte erro nos logs de erro do Agente do SSM, isso quer dizer que o ID da máquinanão persiste após uma reinicialização:Unable to load instance associations, unable to retrieveassociations unable to retrieve associations error occurred inRequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch:Fingerprint does not matchExecute o comando a seguir para fazer o ID da máquina persistir após uma reinicialização.

umount /etc/machine-idsystemd-machine-id-setup

Fazer download do Agente do SSM de uma região específica

Se quiser fazer download do agente de uma região específica, copie o URL de seu sistema operacional esubstitua a região por um valor apropriado.

region representa o identificador de uma região da AWS suportado pelo AWS Systems Manager, comous-east-2 para o US East (Ohio) Region. Para obter uma lista de valores region suportados, consulte acoluna Região na tabela de regiões e endpoints do AWS Systems Manager na AWS General Reference.

Por exemplo, para fazer download do Agente do SSM para Amazon Linux, RHEL, CentOS e SLES de 64bits na região Oeste dos EUA 1, use o seguinte URL:

https://s3-us-west-1.amazonaws.com/amazon-ssm-us-west-1/latest/linux_amd64/amazon-ssm-agent.rpm

32

#ssm_region



Se a operação de download falhar, tente substituir https://s3-region por https://s3.região.

• Amazon Linux, RHEL, CentOS e SLES 64 bits:

https://s3-region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm• Amazon Linux, RHEL e CentOS de 32 bits:

https://s3-region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm• Ubuntu Server 64 bits:

https://s3-region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb• Ubuntu Server 32 bits:

https://s3-region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb• Raspbian:

https://s3-region.amazonaws.com/amazon-ssm-region/latest/debian_arm/amazon-ssm-agent.deb

Configurar o Agente do SSM para usar um proxyVocê pode configurar o Agente do SSM para se comunicar através de um proxy HTTP, adicionandoas configurações http_proxy, https_proxy e no_proxy a um arquivo de configuração amazon-ssm-agent.override. Um arquivo de substituição também preserva as configurações de proxy se vocêinstalar versões mais recentes ou mais antigas do Agente do SSM. Esta seção inclui procedimentos paraambientes upstart e systemd.

Note

Instâncias criadas de uma AMI do Amazon Linux que estiverem usando um proxy devem executaruma versão atual do módulo Python requests para serem compatíveis com as operações doPatch Manager. Para obter mais informações, consulte Atualizar o módulo de solicitações emPython em instâncias do Amazon Linux que usam um servidor de proxy (p. 35).

Tópicos• Configurar o Agente do SSM para usar um proxy (Upstart) (p. 33)• Configurar o Agente do SSM para usar um proxy (systemd) (p. 34)• Atualizar o módulo de solicitações em Python em instâncias do Amazon Linux que usam um servidor

de proxy (p. 35)

Configurar o Agente do SSM para usar um proxy (Upstart)

1. Conecte-se à instância na qual você instalou o Agente do SSM.2. Abra um editor simples como VIM e especifique as seguintes configurações:

env http_proxy=http://hostname:portenv https_proxy=https://hostname:portenv no_proxy=169.254.169.254

Note

Você deve adicionar as configurações no_proxy para o arquivo e especifique o endereço IPlistado aqui. Este é o endpoint de metadados de instância para o Systems Manager e, semesse endereço IP, as chamadas para o Systems Manager falharão.

3. Salve o arquivo como amazon-ssm-agent.override no seguinte local: /etc/init/

33



4. Encerre e reinicie o Agente do SSM usando os seguintes comandos:

sudo stop amazon-ssm-agentsudo start amazon-ssm-agent

Note

Para obter mais informações sobre como trabalhar com arquivos .override em ambientes Upstart,consulte init: Upstart init daemon job configuration.

Configurar o Agente do SSM para usar um proxy (systemd)As etapas a seguir descrevem como configurar o Agente do SSM para usar um proxy em ambientessystemd. Algumas das etapas neste procedimento contêm instruções explícitas para instâncias do UbuntuServer instaladas usando o Snap.

1. Conecte-se à instância na qual você instalou o Agente do SSM.2. Execute o comando a seguir:

systemctl edit amazon-ssm-agent

Para instâncias do Ubuntu Server instaladas usando o Snap, execute o seguinte comando:

systemctl edit snap.amazon-ssm-agent.amazon-ssm-agent

3. Especifique as seguintes configurações:

[Service]Environment="http_proxy=http://hostname:port"Environment="https_proxy=https://hostname:port"Environment="no_proxy=169.254.169.254"

Note

Você deve adicionar as configurações no_proxy para o arquivo e especifique o endereço IPlistado aqui. Este é o endpoint de metadados de instância para o Systems Manager e, semesse endereço IP, as chamadas para o Systems Manager falharão.

4. Salve as alterações. O sistema cria um arquivo amazon-ssm-agent.override na pasta amazon-ssm-agent.service.d.

5. Reinicie o Agente do SSM usando os seguintes comandos:

sudo systemctl stop amazon-ssm-agentsudo systemctl daemon-reload

Para instâncias do Ubuntu Server instaladas usando o snap, reinicie o Agente do SSM usando oseguinte comando:

systemctl start snap.amazon-ssm-agent.amazon-ssm-agent

Note

Para obter mais informações sobre como trabalhar com arquivos .override em ambientessystemd, consulte Modificar arquivos da unidade existente.

34

https://www.systutorials.com/docs/linux/man/5-init/

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/sect-managing_services_with_systemd-unit_files#sect-Managing_Services_with_systemd-Unit_File_Modify



Atualizar o módulo de solicitações em Python em instâncias do Amazon Linux queusam um servidor de proxyPara corrigir uma instância que está usando um proxy e que foi criada de uma AMI do Amazon Linux, oPatch Manager requer uma versão recente do módulo em Python requests a ser instalado na instância.Recomendamos que você atualize sempre para a última versão lançada.

Para garantir que a versão mais recente do módulo em Python requests está instalada, siga estasetapas:

1. Faça login na instância do Amazon Linux, ou use o documento SSM AWS-RunShellScript no Executarcomando e execute o seguinte comando na instância:

pip list | grep requests

• Se o módulo está instalado, a solicitação retorna o número da versão em uma resposta semelhanteà seguinte:

requests (1.2.3)

• Se o módulo ainda não estiver instalado, execute o comando a seguir para instalá-lo:

pip install requests

• Se o pip em si ainda não estiver instalado, execute o comando a seguir para instalá-lo:

sudo yum install -y python-pip

2. Se o módulo está instalado, mas a versão listada é anterior a 2.18.4 (como 1.2.3 mostrado naetapa anterior), execute o comando a seguir para atualizar para a versão mais recente do módulo emPython requests:

pip install requests --upgrade

Visualizar logs do Agente do SSMO Agente do SSM grava informações sobre execuções, ações programadas, erros e status de integridadeem arquivos de log para cada instância. Você pode visualizar arquivos de log conectando-se manualmentea uma instância ou pode enviar logs automaticamente para o Amazon CloudWatch Logs. Para obter maisinformações sobre como enviar logs ao CloudWatch, consulte Monitoramento de instâncias com o AWSSystems Manager (p. 463).

Você pode visualizar logs do Agente do SSM em instâncias do Linux nos locais a seguir.

• /var/log/amazon/ssm/amazon-ssm-agent.log

• /var/log/amazon/ssm/errors.log

Os arquivos sterr e stdout do Agente do SSM são gravados no seguinte diretório: /var/lib/amazon/ssm.

Você pode habilitar o registro em log estendido atualizando o arquivo seelog.xml. O local padrão doarquivo de configuração é: /etc/amazon/ssm/seelog.xml

Para obter mais informações sobre a configuração de cihub/seelog, consulte Seelog Wiki no GitHub.Para obter exemplos de configurações de cihub/seelog, consulte o repositório exemplos de cihub/seelog no GitHub.

35

https://github.com/cihub/seelog/wiki

https://github.com/cihub/seelog-examples


AWS Systems Manager Guia do usuárioRestrinja o acesso aos comandos emnível raiz por meio do Agente do SSM

Desinstalar o Agente do SSM de instâncias do LinuxUse os comandos a seguir para desinstalar o Agente do SSM.

Amazon Linux, Amazon Linux 2, RHEL e CentOS

sudo yum erase amazon-ssm-agent –y

Ubuntu Server

sudo dpkg -r amazon-ssm-agent

SLES

sudo rpm --erase amazon-ssm-agent

Restrinja o acesso aos comandos em nível raiz pormeio do Agente do SSMO Agente do SSM é executado em instâncias do Amazon EC2 usando permissões raiz (Linux) oupermissões SYSTEM (Windows). Como há o nível mais alto de privilégios de acesso do sistema,qualquer entidade confiável que tenha recebido permissão para enviar comandos ao Agente do SSMtem permissões raiz ou SYSTEM. (Na AWS, uma entidade confiável que pode executar ações e acessarrecursos na AWS é chamada de entidade principal. Uma entidade principal pode ser um usuário raiz deuma conta da AWS, um usuário do IAM ou uma função.)

Esse nível de acesso é necessário para uma entidade principal enviar comandos autorizados do SystemsManager ao Agente do SSM, mas também possibilita que uma entidade principal execute código mal-intencionado explorando vulnerabilidades potenciais no Agente do SSM.

Especificamente, as permissões para executar o comando SendCommand devem ser cuidadosamenterestritas. Um bom primeiro passo é conceder permissão para o comando apenas a entidades principaisselecionadas em sua organização. No entanto, recomendamos reforçar ainda mais sua postura desegurança restringindo as instâncias nas quais uma entidade principal pode executar comandos. Issopode ser feito na política de usuário do IAM atribuída à entidade principal. Na política do IAM, você podeincluir uma condição que limita o usuário a executar comandos apenas em instâncias marcadas com tagsespecíficas do Amazon EC2 ou combinações de tags do EC2.

Por exemplo, digamos que você tenha duas frotas de instâncias, uma para teste e outra para produção.Na política do IAM aplicada a engenheiros júniores, você especifica que eles podem executar comandosapenas em instâncias marcadas com ssm:resourceTag/testServer. Mas a um grupo menor deengenheiros líderes, que devem ter acesso a todas as instâncias, você concede acesso às instânciasmarcadas com ssm:resourceTag/testServer e ssm:resourceTag/productionServer.

Usando essa abordagem, se os engenheiros júniores tentarem executar um comando em uma instância deprodução, eles terão o acesso negado, porque a política do IAM atribuída não fornece acesso explícito ainstâncias marcadas com ssm:resourceTag/productionServer.

Para obter mais informações, consulte Restrição de acesso ao Executar comando com base em tags deinstância (p. 223).

36

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html

AWS Systems Manager Guia do usuárioComo se inscrever para recebernotificações do Agente do SSM

Como se inscrever para receber notificações doAgente do SSMO Amazon SNS pode notificá-lo quando novas versões do Agente do SSM forem lançadas. Use oprocedimento a seguir para se inscrever nessas notificações.

Para se inscrever para receber as notificações do Agente do SSM

1. Open the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.2. Se necessário, altere a região na barra de navegação para US East (N. Virginia) se ela não estiver

selecionada. Você deve selecionar esta região porque as notificações do SNS que está assinandoforam criadas nesta região.

3. No painel de navegação, escolha Subscriptions.4. Selecione Criar assinatura.5. Na caixa de diálogo Criar assinatura, faça o seguinte:

a. Para o ARN do tópico, use o seguinte ARN (nome de recurso da Amazon):

arn:aws:sns:us-east-1:720620558202:SSM-Agent-Update

b. Para Protocol (Protocolo), escolha Email ou SMS.c. Para Endpoint, digite um endereço de e-mail que você pode usar para receber as notificações. Se

você selecionar SMS, digite um código de área e o número.d. Selecione Create subscription.

6. Se selecionar Email, você receberá um e-mail solicitando que você confirme sua inscrição. Abra o e-mail e siga as instruções para concluir a sua assinatura.

Sempre que uma nova versão do Agente do SSM for lançada, enviaremos notificações aos inscritos. Senão deseja mais receber essas notificações, use o procedimento a seguir para cancelar a assinatura.

Para cancelar a inscrição de notificações do Agente do SSM

1. Abra o console Amazon SNS.2. No painel de navegação, escolha Subscriptions.3. Selecione a assinatura e escolha Actions, Delete subscriptions. Quando solicitado para confirmação,

escolha Delete.

Permissões mínimas do bucket do S3 para o Agentedo SSMEste tópico fornece informações sobre os buckets do Amazon Simple Storage Service (Amazon S3) que osrecursos podem precisar acessar para executar operações do Systems Manager. Você pode especificaresses buckets em uma política personalizada se deseja limitar o acesso ao bucket do Amazon S3 para umperfil de instância ou um VPC endpoint para o mínimo necessário para usar o Systems Manager.

Essas permissões fornecem acesso somente aos recursos exigidos pelo Agente do SSM. Eles nãorefletem as permissões necessárias para outras operações relacionadas ao Amazon S3.

Tópicos• Permissões obrigatórias (p. 38)• Exemplo (p. 38)

37

https://console.aws.amazon.com/sns/v2/home

AWS Systems Manager Guia do usuárioPermissões mínimas do bucketdo S3 para o Agente do SSM

Permissões obrigatóriasA tabela a seguir descreve as permissões da política do bucket do Amazon S3 necessárias para usar oSystems Manager.

Permissões do Amazon S3 necessárias para o Agente do SSM

Permissão Descrição

arn:aws:s3:::aws-ssm-region/* Fornece acesso ao bucket do Amazon S3 quecontém os módulos necessários para usar comdocumentos do SSM.

arn:aws:s3:::aws-windows-downloads-region/*

Necessário para alguns documentos do SSMque oferecem suporte aos sistemas operacionaisWindows.

arn:aws:s3:::amazon-ssm-packages-region/*

Necessário para usar versões do Agente do SSManteriores à 2.2.45.0 para executar o documentoAWS-ConfigureAWSPackage.

arn:aws:s3:::region-birdwatcher-prod/* Fornece acesso ao serviço de distribuição usadopela versão 2.2.45.0 e posterior do Agente doSSM. Esse serviço é usado para executar odocumento AWS-ConfigureAWSPackage.


ExemploO exemplo a seguir ilustra como fornecer acesso aos buckets do Amazon S3 necessários para asoperações do Systems Manager em US East (Ohio) Region (us-east-2).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*" ] } ]}

Important

Recomendamos que você evite usar caracteres curinga (*) no lugar de regiões específicas nessapolítica, como arn:aws:s3:::aws-ssm-*/* em vez de arn:aws:s3:::aws-ssm-us-east-2/*. Se fizer isso, você poderá fornecer acesso a outros buckets do Amazon S3 para osquais você não tem intenção de conceder permissões.

38

#ssm_region

AWS Systems Manager Guia do usuárioConfigurar ambientes híbridos

Configuração do AWS Systems Manager emambientes híbridos

O AWS Systems Manager permite que você gerencie remotamente e com segurança servidores locais emáquinas virtuais (VMs) em ambientes híbridos. A configuração do seu ambiente híbrido para o SystemsManager fornece os seguintes benefícios.

• Crie uma maneira consistente e segura de gerenciar remotamente suas cargas de trabalho locais a partirde um local usando as mesmas ferramentas ou scripts.

• Centralize o controle de acesso para as ações que podem ser realizadas em seus servidores e VMsusando o AWS Identity and Access Management (IAM).

• Centralize a auditoria e sua visão nas ações realizadas em seus servidores e VMs, pois todas as açõessão gravadas no AWS CloudTrail.

• Centralize o monitoramento, pois você pode configurar o CloudWatch Events e o Amazon SNS paraenviar notificações sobre o sucesso da execução do serviço.

Conclua os procedimentos nesta seção para configurar suas máquinas híbridas para o Systems Manager.

Important

Depois de terminar, suas máquinas híbridas que estão configuradas para o Systems Managersão listados no console do Amazon EC2 e descritas como instâncias gerenciadas. Instâncias doAmazon EC2 configuradas para o Systems Manager também são instâncias gerenciadas. Porém,no console do Amazon EC2, suas instâncias locais são diferenciadas das instâncias do AmazonEC2 com o prefixo "mi-".

Tópicos• Criar uma função de serviço do IAM para um ambiente híbrido (p. 39)• Criar uma ativação de instância gerenciada para um ambiente híbrido (p. 40)• Instalar o Agente do SSM em servidores e VMs em um ambiente Windows híbrido (p. 42)• Instalar o Agente do SSM em servidores e VMs em um ambiente Linux híbrido (p. 43)

Criar uma função de serviço do IAM para um ambientehíbridoServidores e VMs em um ambiente híbrido exigem uma função do IAM para se comunicarem com oserviço SSM do Systems Manager. A função concede a política de confiança AssumeRole ao serviço SSM.

Note

Você só precisa criar a função de serviço uma vez para cada conta da AWS.

Para criar uma função de serviço do IAM usando o AWS Tools for Windows PowerShell

1. Crie um arquivo de texto (neste exemplo, ele se chama SSMService-Trust.json) com a seguintepolítica de confiança. Salve o arquivo com a extensão .json.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": "ssm.amazonaws.com"},

39

AWS Systems Manager Guia do usuárioCriar uma ativação de instância

gerenciada para um ambiente híbrido

"Action": "sts:AssumeRole" }}

2. Use New-IAMRole da seguinte maneira para criar uma função de serviço. Este exemplo cria umafunção chamada SSMServiceRole.

New-IAMRole -RoleName SSMServiceRole -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

3. Use Register-IAMRolePolicy da seguinte maneira para habilitar o SSMServiceRole para criar umtoken de sessão. O token de sessão concede à sua instância gerenciada permissão para executarcomandos usando o Systems Manager.

Register-IAMRolePolicy -RoleName SSMServiceRole -PolicyArn arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforSSM

Para criar uma função de serviço do IAM usando a AWS CLI

1. Crie um arquivo de texto (neste exemplo, ele se chama SSMService-Trust.json) com a seguintepolítica de confiança. Salve o arquivo com a extensão .json.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": "ssm.amazonaws.com"}, "Action": "sts:AssumeRole" }}

2. Use o comando create-role para criar a função de serviço. Este exemplo cria uma função chamadaSSMServiceRole.

aws iam create-role --role-name SSMServiceRole --assume-role-policy-document file://SSMService-Trust.json

3. Use attach-role-policy da seguinte maneira para habilitar o SSMServiceRole para criar um token desessão. O token de sessão concede à sua instância gerenciada permissão para executar comandosusando o Systems Manager.

aws iam attach-role-policy --role-name SSMServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforSSM

Note

Usuários na sua empresa ou organização que usarão o Systems Manager nas suas máquinashíbridas devem receber permissão no IAM para chamar a API do SSM. Para obter maisinformações, consulte Como configurar o acesso ao Systems Manager (p. 13).

Criar uma ativação de instância gerenciada para umambiente híbridoPara configurar servidores e VMs no seu ambiente híbrido como instâncias gerenciadas, você precisa criaruma ativação de instância gerenciada. Assim que concluir a ativação, você receberá um código e um ID de

40

https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMRole.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html

https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html

https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html

AWS Systems Manager Guia do usuárioCriar uma ativação de instância

gerenciada para um ambiente híbrido

ativação. Essa combinação de código/ID funciona como um ID de acesso e uma chave secreta do AmazonEC2 para fornecer acesso seguro ao serviço Systems Manager nas suas instâncias gerenciadas.

Note

Uma expiração de ativação é uma janela de tempo em que você pode registrar máquinaslocais no Systems Manager. Uma ativação expirada não tem impacto sobre seus servidores oumáquinas virtuais (VMs) que você registrou no Systems Manager. Isso significa que, se umaativação expirar, você não pode registrar mais servidores ou VMs no Systems Manager usandoessa ativação específica. Você simplesmente precisa criar uma nova. Todos os servidores eVMs que você registrou continuarão a ser registrados como instâncias gerenciadas do SystemsManager até que você remova ou desabilite o Agente do SSM no servidor ou na VM e, portanto,cancele o registro dele.

Para criar uma ativação de instância gerenciada

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Activations.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Activations.

3. Escolha Create activation.4. (Opcional) No campo Activation description, digite uma descrição para essa ativação. A descrição

é opcional, mas é recomendável inserir uma descrição caso pretenda ativar um grande número deservidores e VMs.

5. No campo Instance limit, especifique o número total de servidores ou VMs que deseja registrar naAWS.

6. Na seção IAM role name, escolha uma opção de função de serviço que permita que seus servidores eVMs comuniquem-se com o AWS Systems Manager na nuvem:

a. Escolha Use the system created default command execution role para usar uma função e políticagerenciada criadas pela AWS.

b. Escolha Select an existing custom IAM role that has the required permissions para usar a funçãopersonalizada opcional que você criou anteriormente.

7. No campo Activation expiry date, especifique uma data de expiração para a ativação.

Note

Se você quiser registrar instâncias gerenciadas adicionais após a data de expiração, deverácriar uma nova ativação. A data de expiração não tem impacto sobre instâncias registradas eem execução.

8. (Opcional) No campo Default instance name, especifique um nome.9. Escolha Create activation.

Important

Armazene o código de ativação o ID de ativação da instância gerenciada em um local seguro.Você especifica esse código e ID ao instalar o Agente do SSM em servidores e VMs em seuambiente híbrido. Se você perder o código e o ID, deverá criar uma nova ativação.

Para criar uma ativação de instância gerenciada usando o AWS Tools for Windows PowerShell

1. Em uma máquina em que você tenha instalado o AWS Tools for Windows PowerShell, execute ocomando a seguir no AWS Tools for Windows PowerShell.

41


AWS Systems Manager Guia do usuárioInstalar o Agente do SSM em servidorese VMs em um ambiente Windows híbrido

New-SSMActivation -DefaultInstanceName name -IamRole iam-service-role-name -RegistrationLimit number-of-managed-instances –Region region


Por exemplo:

New-SSMActivation -DefaultInstanceName MyWebServers -IamRole RunCommandServiceRole -RegistrationLimit 10 –Region us-east-2

2. Pressione Enter. Se a ativação tiver êxito, o sistema retornará um código e um ID de ativação.Armazene o código de e o ID ativação em um local seguro.

Para criar uma ativação de instância gerenciada usando a AWS CLI

1. Em uma máquina em que você tenha instalado a AWS Command Line Interface (AWS CLI), execute ocomando a seguir na CLI.

aws ssm create-activation --default-instance-name name --iam-role IAM service role --registration-limit number of managed instances --region region


Por exemplo:

aws ssm create-activation --default-instance-name MyWebServers --iam-role RunCommandServiceRole --registration-limit 10 --region us-east-2

2. Pressione Enter. Se a ativação tiver êxito, o sistema retornará um código e um ID de ativação.Armazene o código de e o ID ativação em um local seguro.

Instalar o Agente do SSM em servidores e VMs emum ambiente Windows híbridoAntes de começar, localize o código de ativação e o ID de ativação que lhe foram enviados depois quevocê concluiu a ativação da instância gerenciada na seção anterior. Você especificará o código e o ID noprocedimento a seguir.

Important

Este procedimento é aplicável a servidores e VMs em um ambiente local ou híbrido. Para fazerdownload e instalar o Agente do SSM em uma instância Windows do Amazon EC2, consulteInstalar e configurar o Agente do SSMem instâncias do Windows (p. 20).

Para instalar o Agente do SSM em servidores e VMs em seu ambiente híbrido

1. Faça logon em um servidor ou VM no seu ambiente híbrido.

42

#ssm_region

#ssm_region

AWS Systems Manager Guia do usuárioInstalar o Agente do SSM em servidores

e VMs em um ambiente Linux híbrido

2. Abra o Windows PowerShell.3. Copie e cole um o bloco de comandos a seguir no AWS Tools for Windows PowerShell. Substitua

os valores de espaços reservados pelo código de ativação e ID de ativação gerados ao criar umaativação de instância gerenciada e pelo identificador da região da AWS em que deseja fazer downloaddo Agente do SSM.


$code = "activation-code"$id = "activation-id"$region = "region"$dir = $env:TEMP + "\ssm"New-Item -ItemType directory -Path $dir -Forcecd $dir(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe")Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log", "CODE=$code", "ID=$id", "REGION=$region") -WaitGet-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")Get-Service -Name "AmazonSSMAgent"

4. Pressione Enter.

O comando faz o seguinte:

• Faz download e instala o Agente do SSM no servidor ou na VM.• Registra o servidor ou a VM no serviço SSM.• Retorna uma resposta à solicitação semelhante à seguinte:

Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2

Mode LastWriteTime Length Name---- ------------- ------ ----d----- 07/07/2018 8:07 PM ssm{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status : RunningName : AmazonSSMAgentDisplayName : Amazon SSM Agent

O servidor ou a VM é agora uma instância gerenciada. No console, essas instâncias estão listadas com oprefixo "mi-". Você pode visualizar todas as instâncias usando um comando List. Para mais informações,consulte o Amazon EC2 Systems Manager API Reference.

Instalar o Agente do SSM em servidores e VMs emum ambiente Linux híbridoAntes de começar, localize o código de ativação e o ID de ativação que lhe foram enviados assim queconcluiu a ativação da instância gerenciada. Você especificará o código e o ID no procedimento a seguir.

43

#ssm_region




Important

Este procedimento é aplicável a servidores e VMs em um ambiente local ou híbrido. Para fazerdownload e instalar o Agente do SSM em uma instância do Amazon EC2 para Linux, acesseInstalar e configurar o Agente do SSM em instâncias do Linux (p. 23).

Os URLs nos scripts a seguir permitem fazer download do Agente do SSM de qualquer região da AWS.Se quiser fazer download do agente de uma região específica, copie o URL de seu sistema operacional esubstitua a região por um valor apropriado.


Por exemplo, para fazer download do Agente do SSM para Amazon Linux, RHEL, CentOS e SLES de 64bits na US West (N. California) Region (us-west-1), use a seguinte URL:

https://s3-us-west-1.amazonaws.com/amazon-ssm-us-west-1/latest/linux_amd64/amazon-ssm-agent.rpm

Se a operação de download falhar, tente substituir https://s3-region por https://s3.região.

• Amazon Linux, RHEL, CentOS e SLES de 64 bits

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm• Amazon Linux, RHEL e CentOS de 32 bits

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm• Ubuntu Server 64 bits

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb• Ubuntu Server 32 bits

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb• Raspbian

https://s3-region.amazonaws.com/amazon-ssm-region/latest/debian_arm/amazon-ssm-agent.deb

Para instalar o Agente do SSM em servidores e VMs em seu ambiente híbrido

1. Faça logon em um servidor ou VM no seu ambiente híbrido.2. Copie e cole um dos seguintes blocos de comandos no SSH. Substitua os valores de espaços

reservados pelo código de ativação e ID de ativação gerados ao criar uma ativação de instânciagerenciada e pelo identificador da região da AWS em que deseja fazer download do Agente do SSM.

Observe que sudo não é necessário se você é um usuário root.


No Amazon Linux, RHEL 6.x e CentOS 6.x

mkdir /tmp/ssmcurl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpmsudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm

44

#ssm_region

#ssm_region



sudo stop amazon-ssm-agentsudo amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"sudo start amazon-ssm-agent

No RHEL 7.x e CentOS 7.x

mkdir /tmp/ssmcurl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpmsudo yum install -y /tmp/ssm/amazon-ssm-agent.rpmsudo systemctl stop amazon-ssm-agentsudo amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"sudo systemctl start amazon-ssm-agent

No SLES

mkdir /tmp/ssmsudo wget https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpmsudo rpm --install amazon-ssm-agent.rpmsudo systemctl stop amazon-ssm-agentsudo amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"sudo systemctl enable amazon-ssm-agentsudo systemctl start amazon-ssm-agent

No Ubuntu

mkdir /tmp/ssmcurl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb -o /tmp/ssm/amazon-ssm-agent.debsudo dpkg -i /tmp/ssm/amazon-ssm-agent.debsudo service amazon-ssm-agent stopsudo amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo service amazon-ssm-agent start

No Raspbian

mkdir /tmp/ssmsudo curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_arm/amazon-ssm-agent.deb -o /tmp/ssm/amazon-ssm-agent.debsudo dpkg -i /tmp/ssm/amazon-ssm-agent.debsudo service amazon-ssm-agent stopsudo amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo service amazon-ssm-agent start

Note

Se vir o seguinte erro nos logs de erro do Agente do SSM, isso quer dizer que o ID damáquina não persiste após uma reinicialização:Unable to load instance associations, unable to retrieveassociations unable to retrieve associations error occurred inRequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch:Fingerprint does not match

45



Execute o comando a seguir para fazer o ID da máquina persistir após uma reinicialização.

umount /etc/machine-idsystemd-machine-id-setup

3. Pressione Enter.

O comando faz download e instala o Agente do SSM no servidor ou na VM em seu ambiente híbrido.O comando interrompe o Agente do SSM e, em seguida, registra o servidor ou a VM no serviço SSM.O servidor ou a VM é agora uma instância gerenciada. Instâncias do Amazon EC2 configuradas parao Systems Manager também são instâncias gerenciadas. Porém, no console do Amazon EC2, suasinstâncias locais são diferenciadas das instâncias do Amazon EC2 com o prefixo "mi-".

46

AWS Systems Manager Guia do usuárioReferência a segredos do AWS Secrets

Manager em parâmetros do Parameter Store

Integração de parceiros e produtosVocê pode usar o AWS Systems Manager com tecnologias de parceiros e produtos, como o GitHub, oAmazon S3 e o Volume Shadow Copy Service (VSS) para automatizar a implantação, configuração emanutenção de suas instâncias gerenciadas.

Tópicos• Referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store (p. 47)• Execução de scripts do GitHub e Amazon S3 (p. 50)• Uso do Executar comando para tirar snapshots de volumes do EBS (p. 60)• Uso de perfis do Chef InSpec com o Systems Manager Compliance (p. 71)

Referência a segredos do AWS Secrets Managerem parâmetros do Parameter Store

O Secrets Manager ajuda você a organizar e a gerenciar dados de configuração importantes, comocredenciais, senhas e chaves de licença. O Parameter Store agora está integrado ao Secrets Managerpara que você possa recuperar segredos do Secrets Manager ao usar outros serviços da AWS que jáoferecem suporte a referências a parâmetros do Parameter Store. Esses serviços incluem o Amazon EC2,o Amazon Elastic Container Service, o AWS Lambda, o AWS CloudFormation, o AWS CodeBuild, o AWSCodeDeploy e outros recursos do Systems Manager. Usando o Parameter Store para fazer referência asegredos do Secrets Manager, você cria um processo consistente e seguro para chamar e usar segredos efazer referência a dados em seu código e em scripts de configuração.

Para obter mais informações sobre o Secrets Manager, consulte O que é o AWS Secrets Manager? noAWS Secrets Manager User Guide.

Important

O Parameter Store funciona como um serviço de passagem para referências a segredos doSecrets Manager. O Parameter Store não retém dados ou metadados sobre segredos. Areferência é stateless.

RestriçõesObserve as seguintes restrições ao usar o Parameter Store para fazer referência a segredos do SecretsManager:

• Você só pode recuperar segredos do Secrets Manager usando as ações GetParameter eGetParameters da API. As ações de operações de modificação e de APIs de consulta avançada, comoDescribeParameters ou GetParametersByPath não são compatíveis com o Secrets Manager.

• Você pode usar a AWS CLI, o AWS Tools for Windows PowerShell e os SDKs para recuperar umsegredo usando o Parameter Store.

• Quando você recupera um segredo do Secrets Manager no Parameter Store, o nomedo parâmetro deve começar com o seguinte caminho reservado: /aws/reference/secretsmanager/secret_ID_in_Secrets_Manager.

Este é um exemplo: /aws/reference/secretsmanager/CFCreds1• O Parameter Store honra as políticas do IAM anexadas aos segredos do Secrets Manager. Por exemplo,

se o Usuário 1 não tiver acesso ao Segredo A, o Usuário 1 não poderá recuperar o Segredo A usando oParameter Store.

47

https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_GetParameter.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_GetParameters.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_DescribeParameters.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_GetParametersByPath.html

AWS Systems Manager Guia do usuárioComo fazer referência a um segredo do

Secrets Manager usando o Parameter Store

• Os parâmetros que fazem referência a segredos do Secrets Manager não podem usar os recursos deversionamento ou de histórico do Parameter Store.

• O Parameter Store honra os estágios de versão do Secrets Manager. Se você fizer referência a umestágio de versão, ele poderá usar apenas letras, números, um ponto (.), um hífen (-) ou um sublinhado(_). Todos os outros símbolos especificados no estágio da versão provocam falha na referência.

Como fazer referência a um segredo do SecretsManager usando o Parameter StoreO procedimento a seguir descreve como fazer referência a um segredo do Secrets Manager usando APIsdo Parameter Store. O procedimento faz referência a outros procedimentos no AWS Secrets ManagerUser Guide.

Note

Antes de começar, verifique se você tem permissão para fazer referência a segredos SecretsManager em parâmetros do Parameter Store. Se tiver privilégios de administrador no SecretsManager e no Systems Manager, você poderá fazer referência ou recuperar segredos usandoAPIs do Parameter Store. Se você fizer referência a um segredo do Secrets Manager em umparâmetro do Parameter Store, mas não tiver permissão para acessar o segredo, a referência nãofuncionará. Para obter mais informações, consulte Autenticação e controle de acesso para o AWSSecrets Manager no AWS Secrets Manager User Guide.

Para fazer referência a um segredo do Secrets Manager usando o Parameter Store

1. Crie um segredo no Secrets Manager. Para obter mais informações, consulte Criação egerenciamento de segredos com o AWS Secrets Manager.

2. Faça referência a um segredo usando a AWS CLI o AWS Tools for Windows PowerShell ou o SDK.Ao fazer referência a um segredo do Secrets Manager, o nome do parâmetro deve começar como seguinte caminho reservado: /aws/reference/secretsmanager/. Especificando esse caminho, oSystems Manager sabe recuperar o segredo do Secrets Manager em vez do Parameter Store. Estessão alguns parâmetros de exemplo que fazem referência corretamente aos segredos do SecretsManager:

• /aws/reference/secretsmanager/CFCreds1• /aws/reference/secretsmanager/DBPass

Este é um exemplo de código Java que faz referência a uma chave de acesso e a uma chavesecreta armazenadas no Secrets Manager. Esse exemplo de código define um cliente do AmazonDynamoDB. O código recupera dados da configuração e credenciais do Parameter Store. Osdados da configuração são armazenados como um parâmetro de string no Parameter Store, eas credenciais são armazenadas no Secrets Manager. Embora os dados da configuração e ascredenciais sejam armazenados em serviços separados, os dois conjuntos de dados podem seracessados no Parameter Store usando a API GetParameter.

/*** Initialize AWS System Manager Client with default credentials*/AWSSimpleSystemsManagement ssm = AWSSimpleSystemsManagementClientBuilder.defaultClient(); ... /*** Example method to launch DynamoDB client with credentials different from default* @return DynamoDB client

48

https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html

AWS Systems Manager Guia do usuárioComo fazer referência a um segredo do

Secrets Manager usando o Parameter Store

*/AmazonDynamoDB getDynamoDbClient() { //Getting AWS credentials from Secrets manager using GetParameter BasicAWSCredentials differentAWSCreds = new BasicAWSCredentials( getParameter("/aws/reference/secretsmanager/access-key"), getParameter("/aws/reference/secretsmanager/secret-key")); //Initialize the DDB Client with different credentials final AmazonDynamoDB client = AmazonDynamoDBClient.builder() .withCredentials(new AWSStaticCredentialsProvider(differentAWSCreds)) .withRegion(getParameter("region")) //Getting config from Parameter Store .build(); return client;} /*** Helper method to retrieve SSM Parameter's value* @param parameterName identifier of the SSM Parameter* @return decrypted parameter value*/public GetParameterResult getParameter(String parameterName) { GetParameterRequest request = new GetParameterRequest(); request.setName(parameterName); request.setWithDecryption(true); return ssm.newGetParameterCall().call(request).getParameter().getValue();}

Estes são alguns exemplos da AWS CLI.

Exemplo 1 da AWS CLI: referência usando o nome do segredo

aws ssm get-parameter --name /aws/reference/secretsmanager/s1-secret --with-decryption

O comando retorna informações como as seguintes.

{ "Parameter": { "Name": "/aws/reference/secretsmanager/s1-secret", "Value": "Fl*MEishm!al875", "Type": "SecureString", "LastModifiedDate": 2018-05-14T21:47:14.743Z, "ARN": "arn:aws:secretsmanager:us-west-1:123456789:secret:s1-secret- E18LRP", "SourceResult": "{ \"CreatedDate\": 1526334434.743, \"Name\": \"s1-secret\", \"VersionId\": \"aaabbbccc-1111-222-333-123456789\", \"SecretString\": \"Fl*MEishm!al875\", \"VersionStages\": [\"AWSCURRENT\"], \"ARN\": \"arn:aws:secretsmanager:us-west- 1:123456789:secret:s1-secret-E18LRP\" }" }}

Exemplo 2 da AWS CLI: referência que inclui o ID da versão

aws ssm get-parameter --name /aws/reference/secretsmanager/s1-secret:11111-aaa-bbb-ccc-123456789 --with-decryption

49

AWS Systems Manager Guia do usuárioExecução de scripts do GitHub e Amazon S3


{ "Parameter": { "Name": "/aws/reference/secretsmanager/s1-secret", "Value": "Fl*MEishm!al875", "Type": "SecureString", "LastModifiedDate": 2018-05-14T21:47:14.743Z, "ARN": "arn:aws:secretsmanager:us-west-1:123456789:secret:s1-secret- E18LRP", "SourceResult": "{ \"CreatedDate\": 1526334434.743, \"Name\": \"s1-secret\", \"VersionId\": \"11111-aaa-bbb-ccc-123456789\", \"SecretString\": \"Fl*MEishm!al875\", \"VersionStages\": [\"AWSCURRENT\"], \"ARN\": \"arn:aws:secretsmanager:us-west- 1:123456789:secret:s1-secret-E18LRP\" }" "Selector": ":11111-aaa-bbb-ccc-123456789" }}

Exemplo 3 da AWS CLI: referência que inclui o estágio da versão

aws ssm get-parameter --name /aws/reference/secretsmanager/s1-secret:AWSCURRENT --with-decryption


{ "Parameter": { "Name": "/aws/reference/secretsmanager/s1-secret", "Value": "Fl*MEishm!al875", "Type": "SecureString", "LastModifiedDate": 2018-05-14T21:47:14.743Z, "ARN": "arn:aws:secretsmanager:us-west-1:123456789:secret:s1-secret- E18LRP", "SourceResult": "{ \"CreatedDate\": 1526334434.743, \"Name\": \"s1-secret\", \"VersionId\": \"11111-aaa-bbb-ccc-123456789\", \"SecretString\": \"Fl*MEishm!al875\", \"VersionStages\": [\"AWSCURRENT\"], \"ARN\": \"arn:aws:secretsmanager:us-west- 1:123456789:secret:s1-secret-E18LRP\" }" "Selector": ":AWSCURRENT" }}

Execução de scripts do GitHub e Amazon S3Esta seção descreve como usar o documento predefinido AWS-RunRemoteScript do SSM para fazerdownload de scripts do GitHub e Amazon S3, inclusive scripts do Ansible Playbooks, Python, Ruby ePowerShell. Ao usar este documento, você não precisa mais modificar scripts manualmente para usá-

50

AWS Systems Manager Guia do usuárioExecução de scripts do GitHub

los no Amazon EC2 nem os encapsular em documentos do SSM. A integração do Systems Manager como GitHub e o Amazon S3 promove a infraestrutura como código, o que reduz o tempo necessário paragerenciar instâncias e, ao mesmo tempo, padronizar configurações em sua frota.

Você pode também criar documentos personalizados do SSM que permitem fazer download e executarscripts ou outros documentos do SSM em locais remotos. Para obter mais informações, consulte Comocriar documentos compostos (p. 370).

Tópicos• Execução de scripts do GitHub (p. 51)• Execução de scripts do Amazon S3 (p. 56)

Execução de scripts do GitHubEsta seção descreve como fazer download e executar scripts em um repositório privado ou público doGitHub. Você pode executar tipos diferentes de script, inclusive do Ansible Playbooks, Python, Ruby ePowerShell.

Você pode também fazer download de um diretório que inclua vários scripts. Ao executar o script principalno diretório, o Systems Manager executa também qualquer script referenciado (contanto que os scriptsreferenciados estejam no diretório).

Observe os detalhes essenciais a seguir sobre a execução de scripts do GitHub.

• O Systems Manager não verifica se o script pode ser executado em uma instância. Antes de fazerdownload e executar o script, você deve verificar se o software necessário está instalado na instância.Ou você pode criar um documento composto que instale o software usando Executar o Run Commandou o State Manager e, em seguida, faça download e execute o script.

• Você é responsável por garantir que todos os requisitos do GitHub sejam atendidos. Isso inclui aatualização de seu token de acesso, conforme necessário. Você também deve tomar cuidado para nãoultrapassar o número de solicitações autenticadas ou não autenticadas. Para mais informações, consultea Documentação do GitHub.

Tópicos• Execução de playbooks do Ansible no GitHub (p. 51)• Execução de scripts do Python no GitHub (p. 54)

Execução de playbooks do Ansible no GitHubEsta seção inclui procedimentos para ajudá-lo a executar playbooks do Ansible no GitHub usando oconsole ou a AWS CLI.

Antes de começar

Se você planeja executar um script armazenado em um repositório privado do GitHub, deve criar umparâmetro SecureString do Systems Manager para o token de acesso de segurança do GitHub. Vocênão pode acessar um script em um repositório privado do GitHub transmitindo manualmente o token viaSSH. O token de acesso deve ser passado como um parâmetro SecureString do Systems Manager.Para obter mais informações sobre como criar um parâmetro SecureString, consulte Criar parâmetrosdo Systems Manager (p. 436).

51


Execução de um playbook do Ansible no GitHub (console)

Execução de playbook do Ansible no GitHub

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha Executar comando.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Executar comando.

3. Escolha Executar comando.4. Na lista Command document , escolha AWS-RunRemoteScript.5. Na seção Targets, identifique as instâncias em que você deseja executar essa operação

especificando tags ou selecionando instâncias manualmente.

Note

Se você optar por selecionar manualmente as instâncias e uma instância que você esperavisualizar não estiver incluída na lista, consulte Onde estão minhas instâncias? (p. 249)para obter dicas de solução de problemas.

6. Em Command parameters, faça o seguinte:

• Em Source Type, selecione GitHub.• Na caixa Source Info, digite as informações necessárias para acessar a origem no seguinte formato:

{"owner":"owner_name", "repository": "repository_name", "path": "path_to_scripts_or_directory", "tokenInfo":"{{ssm-secure:SecureString_parameter_name}}" }

Por exemplo:

{"owner":"TestUser1", "repository": "GitHubPrivateTest", "path": "scripts/webserver.yml", "tokenInfo":"{{ssm-secure:mySecureStringParameter}}" }

Este exemplo faz download de um diretório de scripts denominado complex-script.• No campo Command Line, digite os parâmetros para a execução do script. Aqui está um exemplo.

ansible-playbook -i “localhost,” --check -c local webserver.yml

• (Opcional) No campo Working Directory, digite o nome de um diretório na instância em que vocêdeseja fazer download e executar o script.

• (Opcional) Em Execution Timeout, especifique o número de segundos para o sistema aguardarantes de a execução do comando de script falhar.

7. Em Other parameters:

• Na caixa Comment, digite informações sobre esse comando.• Em Timeout (seconds), especifique o número de segundos para o sistema aguardar até a falha de

execução do comando total.8. (Opcional) Em Rate control:

• Em Concurrency, especifique um número ou uma porcentagem de instâncias nas quais executar ocomando ao mesmo tempo.

52



Note

Se tiver selecionado destinos escolhendo tags do Amazon EC2 e não tiver certeza dequantas instâncias usam tags selecionadas, limite o número de instâncias que podemexecutar o documento ao mesmo tempo especificando uma porcentagem.

• Em Error threshold, especifique quando parar de executar o comando em outras instâncias depoisde falhar em alguns ou em uma porcentagem de instâncias. Por exemplo, se você especificar 3erros, Systems Manager deixará de enviar o comando quando o 4° erro for recebido. As instânciasque continuam processando o comando também podem enviar erros.

9. Na seção Output options (Opções de saída), se você quiser salvar a saída do comando em umarquivo, selecione Write command output to an Amazon S3 bucket (Gravar saída do comando em umbucket do S3). Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.

Note

As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket doS3 são as do perfil de instância atribuído à instância, e não as do usuário do IAM que realizaessa tarefa. Para obter mais informações, consulte Como configurar o acesso ao SystemsManager (p. 13).

10. Na seção SNS Notifications, se você quiser notificações enviadas sobre o status da execução decomando, marque a caixa de seleção Enable SNS notifications.

Para obter mais informações sobre como configurar notificações do Amazon SNS para RunCommand, consulte Configurar notificações do Amazon SNS para o Run Command (p. 217).

11. Escolha Run.

Execução de um playbook do Ansible no GitHub por meio da AWS CLI

1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Vocêdeve ter privilégios de administrador no Amazon EC2 ou deve ter recebido a permissão apropriada noIAM. Para obter mais informações, consulte Pré-requisitos do Systems Manager (p. 8).

aws configure

O sistema solicita que você especifique o seguinte.

AWS Access Key ID [None]: key_nameAWS Secret Access Key [None]: key_nameDefault region name [None]: regionDefault output format [None]: ENTER

2. Execute o comando a seguir para fazer download e executar um script no GitHub.

aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "instance-IDs" --parameters '{"sourceType":["GitHub"],"sourceInfo":["{\"owner\":\"owner_name\", \"repository\": \"repository_name\", \"path\": \"path_to_file_or_directory\", \"tokenInfo\":\"{{ssm-secure:name_of_your_SecureString_parameter}}\" }"],"commandLine":["commands_to_run"]}'

Aqui está um exemplo.

aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "i-1234abcd" --parameters '{"sourceType":["GitHub"],"sourceInfo":["{\"owner\":\"TestUser1\", \"repository\": \"GitHubPrivateTest\", \"path\": \"scripts/webserver.yml\",

53


\"tokenInfo\":\"{{ssm-secure:mySecureStringParameter}}\" }"],"commandLine":["ansible-playbook -i “localhost,” --check -c local webserver.yml"]}'

Execução de scripts do Python no GitHubEsta seção inclui procedimentos para ajudá-lo a executar scripts do Python no GitHub usando o console oua AWS CLI.

Execução de um script do Python no GitHub (console)

Execução de um script do Python no GitHub


-ou-




Note



• Em Source Type, selecione GitHub.• Na caixa de texto Source Info, digite as informações necessárias para acessar a origem no seguinte

formato:

{"owner":"owner_name", "repository": "repository_name", "path": "path_to_scripts_or_directory", "tokenInfo":"{{ssm-secure:SecureString_parameter_name}}" }

Por exemplo:

{"owner":"TestUser1", "repository":"GitHubPrivateTest", "path": "scripts/python/complex-script","tokenInfo":"{{ssm-secure:mySecureStringParameter}}"}

Este exemplo faz download de um diretório de scripts denominado complex-script.• No campo Command Line, digite os parâmetros para a execução do script. Aqui está um exemplo.

mainFile.py argument-1 argument-2

Este exemplo executa mainFile.py, que, por sua vez, pode executar outros scripts no diretóriocomplex-script.


54








Note




Note




11. Escolha Run.

Execução de um script do Python no GitHub por meio da AWS CLI


aws configure



2. Execute o comando a seguir para fazer download e executar um script no GitHub.

55

AWS Systems Manager Guia do usuárioExecução de scripts do Amazon S3

aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "instance-IDs" --parameters '{"sourceType":["GitHub"],"sourceInfo":["{\"owner\":\"owner_name\", \"repository\":\"repository_name\", \"path\": \"path_to_script_or_directory"}"],"commandLine":["commands_to_run"]}'


aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "i-abcd1234" --parameters '{"sourceType":["GitHub"],"sourceInfo":["{\"owner\":\"TestUser1\", \"repository\":\"GitHubTestPublic\", \"path\": \"scripts/python/complex-script\"}"],"commandLine":["mainFile.py argument-1 argument-2 "]}'

Este exemplo faz download de um diretório de scripts denominado complex-script. A entradacommandLine executa mainFile.py, que, por sua vez, pode executar outros scripts no diretóriocomplex-script.

Execução de scripts do Amazon S3Esta seção descreve como fazer download e executar scripts do Amazon S3. Você pode executar tiposdiferentes de script, inclusive scripts do Ansible Playbooks, Python, Ruby e PowerShell.

Você pode também fazer download de um diretório que inclua vários scripts. Ao executar o script principalno diretório, o Systems Manager executa também qualquer script referenciado (contanto que os scriptsreferenciados estejam no diretório).

Observe os detalhes essenciais a seguir sobre a execução de scripts do Amazon S3.

• O Systems Manager não verifica se o script pode ser executado em uma instância. Antes de fazerdownload e executar o script, você deve verificar se o software necessário está instalado na instância.Ou você pode criar um documento composto que instale o software usando Executar o Run Commandou o State Manager e, em seguida, faça download e execute o script.

• Verifique se sua conta de usuário, função ou grupo no AWS Identity and Access Management (IAM) tempermissão para ler no bucket do S3.

Tópicos• Execução de scripts do Ruby no Amazon S3 (p. 56)• Execução de um script do PowerShell no Amazon S3 (p. 58)

Execução de scripts do Ruby no Amazon S3Esta seção inclui procedimentos para ajudá-lo a executar scripts do Ruby no Amazon S3 usando o consoledo EC2 ou a AWS CLI.

Execução de um script do Ruby no Amazon S3 (console)

Execução de um script do Ruby no Amazon S3


-ou-

56






Note



• Em Source Type, selecione S3.• Na caixa de texto Source Info, digite as informações necessárias para acessar a origem no seguinte

formato:

{"path":"https://s3.amazonaws.com/path_to_script"}

Por exemplo:

{"path":"https://s3.amazonaws.com/rubytest/scripts/ruby/helloWorld.rb"}

• No campo Command Line, digite os parâmetros para a execução do script. Aqui está um exemplo.

helloWorld.rb argument-1 argument-2







Note




57


Note




11. Escolha Run.

Execução de um script do Ruby no S3 por meio da AWS CLI


aws configure



2. Execute o comando a seguir para fazer download e executar um script noAmazon S3.

aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "instance-IDs" --parameters'{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.amazonaws.com/path_to_script\"}"],"commandLine":["script_name_and_arguments"]}'


aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "i-abcd1234" --parameters'{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.amazonaws.com/RubyTest/scripts/ruby/helloWorld.rb\"}"],"commandLine":["helloWorld.rb argument-1 argument-2"]}'

Execução de um script do PowerShell no Amazon S3Esta seção inclui procedimentos para ajudá-lo a executar scripts do PowerShell no Amazon S3 usando oconsole do EC2 ou a AWS CLI.

Execução de um script do PowerShell no Amazon S3 (console)

Execução de um script do PowerShell no Amazon S3


-ou-

58






Note



• Em Source Type, selecione S3.• Na caixa de texto Source Info, digite as informações necessárias para acessar a origem no seguinte

formato:

{"path": "https://s3.amazonaws.com/path_to_script"}

Por exemplo:

{"path": "https://s3.amazonaws.com/PowerShellTest/powershell/helloPowershell.ps1"}

• No campo Command Line, digite os parâmetros para a execução do script. Aqui está um exemplo.

helloPowershell.ps1 argument-1 argument-2







Note




59

AWS Systems Manager Guia do usuárioUso do Executar comando para

tirar snapshots de volumes do EBS

Note




11. Escolha Run.

Execução de um script do PowerShell no S3 por meio da AWS CLI


aws configure



2. Execute o comando a seguir para fazer download e executar um script noAmazon S3.

aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "instance-IDs" --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\": \"https://s3.amazonaws.com/path_to_script\"}"],"commandLine":["script_name_and_arguments"]}'


aws ssm send-command --document-name "AWS-RunRemoteScript" --instance-ids "i-1234abcd" --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\": \"https://s3.amazonaws.com/TestPowershell/powershell/helloPowershell.ps1\"}"],"commandLine":["helloPowershell.ps1 argument-1 argument-2"]}'

Uso do Executar comando para tirar snapshots devolumes do EBS

Com o Executar comando, você pode gerar snapshots consistentes com o aplicativo de todos os volumesdo Amazon Elastic Block Store (Amazon EBS) anexados às instâncias Windows do Amazon EC2. Oprocesso de snapshot usa o Windows Volume Shadow Copy Service (VSS) para fazer backups no nívelda imagem dos aplicativos que reconhecem o VSS, incluindo os dados de transações pendentes entreesses aplicativos e o disco. Além disso, você não precisa desligar as instâncias ou desconectá-las quandoprecisar fazer backup de todos os volumes anexados.

60

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSVolumes.html

https://technet.microsoft.com/en-us/library/ee923636(v=ws.10).aspx


Não existem custos adicionais para usar snapshots do EBS habilitados para VSS. Você paga apenaspelos snapshots do EBS criados pelo processo de backup. Para obter mais informações, consulte Como écalculada a fatura de snapshot do EBS?

Como funcionam os bancos de dados públicosVeja um exemplo de como funciona o processo de tirar snapshots do EBS consistentes com os aplicativose habilitados para VSS.

1. Você verifica e configura os pré-requisitos do Systems Manager.2. Você especifica parâmetros para o documento do SSM AWSEC2-CreateVssSnapshot e o executa

usando o Executar comando. Você não pode criar um snapshot do EBS habilitado para VSS paraum volume específico. No entanto, você pode especificar um parâmetro para excluir o volume deinicialização do processo de backup.

3. O agente VSS em sua instância coordena todas as operações de E/S em andamento para a execuçãode aplicativos.

4. O sistema libera todos os buffers de E/S e temporariamente todas as operações de E/S. A pausa durano máximo dez segundos.

5. Durante essa pausa, o sistema cria snapshots de todos os volumes anexados à instância.6. A pausa é suspensa e as operações de E/S são retomadas.7. O sistema adiciona todos os snapshots recém-criados à lista de snapshots do EBS. O sistema marca

todos os snapshots do EBS habilitados para VSS que foram criados com êxito por esse processocom AppConsistent:true. Essa tag ajuda a identificar os snapshots criados por esse processo, emcontraposição a outros processos. Se o sistema encontrar um erro, o snapshot criado por esse processonão incluirá a tag AppConsistent: true.

8. Caso você precise restaurar usando um snapshot, poderá fazê-lo com o processo padrão do EBSde criação de um volume por meio de um snapshot ou poderá restaurar todos os volumes para umainstância usando um script de exemplo, que é descrito posteriormente nesta seção.

Antes de começarAntes de criar snapshots do EBS habilitados para VSS usando o Executar comando, examine os requisitose limitações a seguir e execute as tarefas necessárias.

• Os snapshots do EBS habilitados para VSS são comportados para instâncias que executam o WindowsServer 2008 R2 ou posterior. (O Windows Server 2008 R2 Core não é comportado no momento.)Verifique se suas instâncias atendem a todos os requisitos para do Amazon EC2 Windows. Para obtermais informações, consulte Configuração do AWS Systems Manager (p. 7).

• Atualize suas instâncias para usar o Agente do SSM versão 2.2.58.0 ou posterior. Se estiver usandouma versão mais antiga do Agente do SSM, poderá atualizá-lo usando o Executar comando. Para obtermais informações, consulte Exemplo: atualizar o SSM Agent (p. 227).

• O Systems Manager requer permissão para executar ações em suas instâncias. Você deve configurarcada instância com uma função de perfil de instância do AWS Identity and Access Management (IAM)para o Systems Manager. Para obter mais informações, consulte Como configurar o acesso ao SystemsManager (p. 13).

• O Systems Manager precisa de permissões para criar e marcar os snapshots do EBS habilitados paraVSS. Você pode configurar uma função do IAM que habilite essas permissões. Você deve configurarcada instância com uma função para criar e marcar os snapshots. Para obter mais informações,consulte Como criar uma função do IAM para snapshots habilitados para VSS (p. 62) em Tarefas deconfiguração.

61

https://aws.amazon.com/premiumsupport/knowledge-center/ebs-snapshot-billing/

https://aws.amazon.com/premiumsupport/knowledge-center/ebs-snapshot-billing/

AWS Systems Manager Guia do usuárioAntes de começar

Note

Se você não deseja atribuir a função do snapshot às suas instâncias, pode usar o Executarcomando e o documento predefinido AWSEC2-ManageVssIO do SSM para pausartemporariamente as operações de E/S, criar snapshots do EBS habilitados para VSS e reiniciaras operações de E/S. Esse processo é executado no contexto do usuário que executa ocomando. Se o usuário tiver permissão suficiente para criar e marcar snapshots, o SystemsManager poderá criar e marcar snapshots do EBS habilitados para VSS sem precisar de outrafunção de snapshot do IAM na instância. As instâncias ainda assim devem ser configuradascom a função de perfil de instância. Para obter mais informações, consulte Como criarsnapshots do EBS habilitados para VSS usando o documento AWSEC2-ManageVssIO do SSM(avançado) (p. 69).

• O Systems Manager requer a instalação de componentes do VSS em suas instâncias. Se você precisarinstalar os componentes do VSS necessários, poderá fazer download e executar um pacote do VSSpara o Systems Manager em suas instâncias. Se você planeja usar licenças próprias da Microsoft parao VSS (BYOL), mesmo assim precisará instalar os componentes do VSS para o Systems Manager.Para obter mais informações, consulte Faça download e instale componentes do VSS para o SystemsManager (p. 63) em Tarefas de configuração.

Tarefas de configuração• Como criar uma função do IAM para snapshots habilitados para VSS (p. 62)• Faça download e instale componentes do VSS para o Systems Manager (p. 63)

Como criar uma função do IAM para snapshots habilitados paraVSSEsta seção inclui um procedimento para criação de uma política do IAM e procedimentos específicos paraa criação de uma função do IAM que usa a política que você criou no primeiro procedimento. Essa políticapermite que o Systems Manager crie snapshots, marque esses snapshots e anexe metadados como um IDde dispositivo às tags de snapshot padrão criadas pelo sistema.

Para criar uma política do IAM para snapshots habilitados para VSS

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Políticas e, em seguida, Criar política.3. Na página Create policy (Criar política), escolha a guia JSON e copie e cole a seguinte política JSON

na caixa de texto.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:CreateSnapshot" ], "Resource": "*"

62



} ]}

4. Na página Review Policy, digite um nome no campo Policy Name e escolha Create Policy. O sistemao leva de volta ao console do IAM.

Use o procedimento a seguir para criar uma função de serviço do IAM para snapshots habilitados paraVSS. Essa função inclui políticas para o Amazon EC2 e o Systems Manager.

Para criar uma função do IAM para snapshots do EBS habilitados para VSS

1. No painel de navegação, escolha Roles e Create role.2. Na página Select type of trusted entity, em AWS Service, escolha EC2.3. Na seção Select your use case, escolha EC2 e, em seguida, Next: Permissions.4. Na página Attach permissions policy (Anexar política de permissões), escolha a política que você

acabou de criar e escolha Next: Review (Próximo: revisar).5. Na página Review, digite um nome na caixa Role name e, em seguida, uma descrição.6. Selecione Create role. O sistema faz com que você retorne para a página Roles.7. Escolha a função que você acabou de criar. A função Summary page opens (Abrir página de resumo).8. Escolha Anexar política.9. Procure e escolha AmazonEC2RoleforSSM.10. Escolha Anexar política.11. Anexe essa função às instâncias para as quais você deseja criar snapshots do EBS habilitados para

VSS. Para obter mais informações, consulte Anexar uma função do IAM a uma instância no Guia dousuário do Amazon EC2.

Faça download e instale componentes do VSS para o SystemsManagerO Systems Manager requer a instalação de componentes do VSS em suas instâncias. Use o procedimentoa seguir para configurar uma associação do State Manager que faz download e instala automaticamenteos componentes usando o pacote AwsVssComponents. A associação do State Manager fará download einstalará automaticamente novas versões do pacote quando publicadas pela AWS. O pacote instala doiscomponentes: um solicitante de VSS e um fornecedor de VSS. O sistema copia esses componentes paraum diretório na instância e, em seguida, registra a DLL do fornecedor como um fornecedor de VSS.

Se você não desejar que o Systems Manager faça download e instale automaticamente novas versõesdo pacote quando se tornarem disponíveis, poderá usar o Executar comando e o documento AWS-ConfigureAWSPackage do SSM para instalar o pacote em suas instâncias, como descrito posteriormentenesta seção.

Para criar uma associação do State Manager que faz download e instala automaticamente opacote AwsVssComponents

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha State Manager.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha State Manager.

3. Escolha Create an Association.

63




4. (Opcional) No campo Name, digite um nome descritivo.5. Na lista Command Document, escolha AWS-ConfigureAWSPackage.6. Na seção Parameters, no menu Action, escolha Install.7. No campo Name, digite AwsVssComponents.8. No campo Version, verifique se latest foi preenchida automaticamente.9. Na seção Targets, identifique as instâncias em que você deseja executar essa operação


Note


10. Na seção Specify schedule, escolha uma opção.11. Na seção Output options (Opções de saída), se você quiser salvar a saída do comando em um

arquivo, selecione Write command output to an Amazon S3 bucket (Gravar saída do comando em umbucket do S3). Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.

Note


12. Escolha Create Association e depois Close. O sistema tenta criar a associação nas instâncias eaplicar imediatamente o estado. O status da associação mostra Pending.

13. No canto direito da página Association, escolha o botão de atualização. Se você criou a associaçãoem uma ou mais instâncias do EC2 para Windows, o status mudará para Success. Se suas instânciasnão estiverem configuradas corretamente para o Systems Manager o status mostrará Failed.

14. Se o status for Failed, verifique se o Agente do SSM está sendo executado na instância e se ainstância está configurada com uma função do IAM para o Systems Manager. Para obter maisinformações, consulte Pré-requisitos do Systems Manager (p. 8).

Instalação do pacote do VSS por meio da AWS CLI

Use o procedimento a seguir para fazer download e instalar o pacote AwsVssComponents em suasinstâncias usando o Executar comando por meio da AWS CLI. O pacote instala dois componentes: umsolicitante de VSS e um fornecedor de VSS. O sistema copia esses componentes para um diretório nainstância e, em seguida, registra a DLL do fornecedor como um fornecedor de VSS.

Para instalar o pacote do VSS por meio da AWS CLI


aws configure



64

AWS Systems Manager Guia do usuárioComo criar snapshots do EBS habilitados para VSS

2. Execute o comando a seguir para fazer download e instalar os componentes do VSS necessários parao Systems Manager.

aws ssm send-command --document-name "AWS-ConfigureAWSPackage" --instance-ids "i-12345678" --parameters '{"action":["Install"],"name":["AwsVssComponents"]}'

Instalação do pacote do VSS por meio do Tools for Windows PowerShellUse o procedimento a seguir para fazer download e instalar o pacote AwsVssComponents em suasinstâncias usando o Executar comando por meio do Tools for Windows PowerShell. O pacote instala doiscomponentes: um solicitante de VSS e um fornecedor de VSS. O sistema copia esses componentes paraum diretório na instância e, em seguida, registra a DLL do fornecedor como um fornecedor de VSS.

Para instalar o pacote do VSS por meio do AWS Tools for Windows PowerShell

1. Abra o AWS Tools for Windows PowerShell e execute o seguinte comando para especificar suascredenciais. Você deve ter privilégios de administrador no Amazon EC2 ou deve ter recebido apermissão apropriada no IAM. Para obter mais informações, consulte Pré-requisitos do SystemsManager (p. 8).

Set-AWSCredentials –AccessKey key_name –SecretKey key_name

2. Execute o seguinte comando para definir a região para sua sessão de PowerShell. O exemplo usa aregião us-east-2.

Set-DefaultAWSRegion -Region us-east-2

3. Execute o comando a seguir para fazer download e instalar os componentes do VSS necessários parao Systems Manager.

Send-SSMCommand -DocumentName AWS-ConfigureAWSPackage -InstanceId "$instance"-Parameter @{'action'='Install';'name'='AwsVssComponents'}

Como criar snapshots do EBS habilitados para VSSEsta seção inclui procedimentos para criar snapshots do EBS habilitados para VSS usando o console doAmazon EC2, a AWS CLI e o Tools for Windows PowerShell.

Tópicos• Como criar snapshots do EBS habilitados para VSS usando o console (p. 65)• Como criar snapshots do EBS habilitados para VSS usando a AWS CLI (p. 67)• Criar snapshots do EBS habilitados para VSS usando o AWS Tools for Windows PowerShell (p. 68)

Como criar snapshots do EBS habilitados para VSS usando oconsolePara criar snapshots do EBS habilitados para VSS usando o console


-ou-

65




3. Escolha Run a Command.4. Na lista Command document , escolha AWSEC2-CreateVssSnapshot.5. Na seção Targets, identifique as instâncias em que você deseja executar essa operação


Note


6. Na seção Command parameters:

a. Escolha uma opção na lista Exclude Boot Volume. Use este parâmetro para excluir volumes deinicialização do processo de backup.

b. No campo Description, digite uma descrição. Esta descrição é aplicada a qualquer snapshotcriado por esse processo (opcional, mas recomendado).

c. No campo Tags, digite os valores e chaves para as tags que você deseja aplicar a qualquersnapshot criado por esse processo. As tags podem ajudar você a localizar, gerenciar e restaurarvolumes em uma lista de snapshots. Por padrão, o sistema preenche o parâmetro tag com umachave Name. Para o valor dessa chave, especifique um nome que deseja aplicar a snapshotscriados por esse processo. Se você desejar especificar outras tags, separe-as usando ponto-e-vírgula. Por exemplo, Key=Environment,Value=Test;Key=User,Value=TestUser1.

Esse parâmetro é opcional, mas recomendamos que você marque os snapshots. Por padrão,os sistemas marcam os snapshots com o ID do dispositivo e AppConsistent (para indicarsnapshots do EBS bem-sucedidos, consistentes com o aplicativo e habilitados para VSS).





Note




Note

As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket doS3 são as do perfil de instância atribuído à instância, e não as do usuário do IAM que realiza

66


essa tarefa. Para obter mais informações, consulte Como configurar o acesso ao SystemsManager (p. 13).



11. Escolha Run.

Se bem-sucedido, o comando preenche a lista de snapshots do EBS com os novos snapshots. Vocêpode localizar esses snapshots na lista de snapshots do EBS procurando as tags que especificouou então AppConsistent. Se a execução de comando for malsucedida, exiba a saída de comandodo Systems Manager para obter detalhes sobre o motivo da falha na execução. Se o comando forconcluído com êxito, mas houver falha no backup de um volume específico, você poderá solucionaressa falha na lista de volumes do EBS.

Se o comando falhou e você está usando o Systems Manager com VPC endpoint, verifique se vocêconfigurou o endpoint com.amazonaws.region.ec2. Sem o endpoint do EC2 definido, a chamadapara enumerar os volumes anexados do EBS falha, o que faz com que o comando do SystemsManager falhe. Para obter mais informações sobre como configurar VPC endpoint com SystemsManager, consulte Configuração de VPC endpoints VPC para o Systems Manager (p. 18).

Note

Você pode automatizar os backups criando uma tarefa de janela de manutenção que usa odocumento AWSEC2-CreateVssSnapshot do SSM. Para obter mais informações, consulteComo trabalhar com Janela de manutençãos (p. 312).

Como criar snapshots do EBS habilitados para VSS usando aAWS CLIUse o procedimento a seguir para criar snapshots do EBS habilitados para VSS usando o a AWS CLI. Aoexecutar o comando, você pode especificar os parâmetros a seguir:

• Instância (obrigatório): especifique uma ou mais instâncias Windows do Amazon EC2. Você podeespecificar manualmente instâncias ou você especificar tags.

• Descrição (opcional): especifique detalhes sobre esse backup.• Tags (opcional): especifique pares de chave/valor de tags que você deseja atribuir aos

snapshots. As tags podem ajudar você a localizar, gerenciar e restaurar volumes em umalista de snapshots. Por padrão, o sistema preenche o parâmetro tag com uma chave Name.Para o valor dessa chave, especifique um nome que deseja aplicar a snapshots criados poresse processo. Você também pode adicionar tags personalizadas usando o formato a seguir:Key=Environment,Value=Test;Key=User,Value=TestUser1.

Esse parâmetro é opcional, mas recomendamos que você marque os snapshots. Por padrão, ossistemas marcam os snapshots com o ID do dispositivo e AppConsistent (para indicar snapshots doEBS bem-sucedidos, consistentes com o aplicativo e habilitados para VSS).

• Excluir volume de inicialização (opcional): use esse parâmetro para excluir volumes de inicialização doprocesso de backup.

Para criar snapshots do EBS habilitados para VSS usando a AWS CLI


67


aws configure



2. Execute o comando a seguir para criar snapshots do EBS habilitados para VSS.

aws ssm send-command --document-name "AWSEC2-CreateVssSnapshot" --instance-ids "i-12345678" --parameters '{"ExcludeBootVolume":["False"],"description":["Description"],"tags":["Key=key_name,Value=tag_value"]}'

Se bem-sucedido, o comando preenche a lista de snapshots do EBS com os novos snapshots. Você podelocalizar esses snapshots na lista de snapshots do EBS procurando as tags que especificou ou entãoAppConsistent. Se a execução de comando for malsucedida, exiba a saída de comando para obterdetalhes sobre o motivo da falha na execução.

Você pode automatizar os backups criando uma tarefa de janela de manutenção que usa o documentoAWSEC2-CreateVssSnapshot do SSM. Para obter mais informações, consulte Como trabalhar com Janelade manutençãos (p. 312).

Criar snapshots do EBS habilitados para VSS usando o AWSTools for Windows PowerShellUse o procedimento a seguir para criar snapshots do EBS habilitados para VSS usando o AWS Tools forWindows PowerShell. Ao executar o comando, você pode especificar os parâmetros a seguir:

• Instância (obrigatório): especifique uma ou mais instâncias Windows do Amazon EC2. Você podeespecificar manualmente instâncias ou você especificar tags.

• Descrição (opcional): especifique detalhes sobre esse backup.• Tags (opcional): especifique pares de chave/valor de tags que você deseja atribuir aos

snapshots. As tags podem ajudar você a localizar, gerenciar e restaurar volumes em umalista de snapshots. Por padrão, o sistema preenche o parâmetro tag com uma chave Name.Para o valor dessa chave, especifique um nome que deseja aplicar a snapshots criados poresse processo. Você também pode adicionar tags personalizadas usando o formato a seguir:Key=Environment,Value=Test;Key=User,Value=TestUser1.

Esse parâmetro é opcional, mas recomendamos que você marque os snapshots. Por padrão, ossistemas marcam os snapshots com o ID do dispositivo e AppConsistent (para indicar snapshots doEBS bem-sucedidos, consistentes com o aplicativo e habilitados para VSS).

• Excluir volume de inicialização (opcional): use esse parâmetro para excluir volumes de inicialização doprocesso de backup.

Para criar snapshots do EBS habilitados para VSS usando o AWS Tools for Windows PowerShell


68

AWS Systems Manager Guia do usuárioComo criar snapshots do EBS habilitados para VSS usandoo documento AWSEC2-ManageVssIO do SSM (avançado)




3. Execute o comando a seguir para criar snapshots do EBS habilitados para VSS.

Send-SSMCommand -DocumentName AWSEC2-CreateVssSnapshot -InstanceId "$instance" -Parameter @{'ExcludeBootVolume'='False';'description'='a_description';'tags'='Key=key_name,Value=tag_value'}

Se bem-sucedido, o comando preenche a lista de snapshots do EBS com os novos snapshots. Você podelocalizar esses snapshots na lista de snapshots do EBS procurando as tags que especificou ou entãoAppConsistent. Se a execução de comando for malsucedida, exiba a saída de comando para obterdetalhes sobre o motivo da falha na execução. Se o comando for concluído com êxito, mas houver falha nobackup de um volume específico, você poderá solucionar essa falha na lista de snapshots do EBS.

Você pode automatizar os backups criando uma tarefa de janela de manutenção que usa o documentoAWSEC2-CreateVssSnapshot do SSM. Para obter mais informações, consulte Como trabalhar com Janelade manutençãos (p. 312).

Como criar snapshots do EBS habilitados para VSSusando o documento AWSEC2-ManageVssIO do SSM(avançado)Você pode usar o script a seguir e o documento predefinido AWSEC2-ManageVssIO do SSM parapausar temporariamente as operações de E/S, criar snapshots do EBS habilitados para VSS e reiniciaras operações de E/S. Esse processo é executado no contexto do usuário que executa o comando. Seo usuário tiver permissão suficiente para criar e marcar snapshots, o Systems Manager poderá criar emarcar snapshots do EBS habilitados para VSS sem precisar de outra função de snapshot do IAM nainstância.

Entretanto, o documento AWSEC2-CreateVssSnapshot exige que você atribua a função de snapshot doIAM a cada instância para a qual deseja criar snapshots do EBS. Se não desejar fornecer mais permissõesdo IAM às suas instâncias por motivo de política ou conformidade, poderá usar o script a seguir.

Antes de começar

Observe os detalhes essenciais a seguir sobre esse processo:

• Esse processo usa um script do PowerShell (CreateVssSnapshotAdvancedScript.ps1) para tirarsnapshots de todos os volumes nas instâncias que você especificar, exceto os volumes raiz. Se precisartirar snapshots de volumes raiz, deverá usar o documento do SSM AWSEC2-CreateVssSnapshot.

• O script chama o documento AWSEC2-ManageVssIO duas vezes. A primeira vez com o parâmetroAction definido como Freeze, que pausa todas as operações de E/S nas instâncias. Na segunda vez,o parâmetro Action é definido como Thaw, que força a retomada das operações de E/S.

• Não tente usar o documento AWSEC2-ManageVssIO sem usar o scriptCreateVssSnapshotAdvancedScript.ps1. A limitação no VSS requer que as ações Freeze e Thaw sejamchamadas a não mais de dez segundos de distância, e chamar manualmente essas ações sem o scriptpode gerar erros.

69

AWS Systems Manager Guia do usuárioComo restaurar volumes por meio de

snapshots do EBS habilitados para VSS

Para criar snapshots do EBS habilitados para VSS usando o documento AWSEC2-ManageVssIOdo SSM





3. Faça download do arquivo CreateVssSnapshotAdvancedScript.zip e extraia o respectivo conteúdo.4. Abra o script em um editor de texto simples, edite a chamada de exemplo na parte inferior do script e,

em seguida, execute-o.

Se bem-sucedido, o comando preenche a lista de snapshots do EBS com os novos snapshots. Você podelocalizar esses snapshots na lista de snapshots do EBS procurando as tags que especificou ou entãoAppConsistent. Se a execução de comando for malsucedida, exiba a saída de comando para obterdetalhes sobre o motivo da falha na execução. Se o comando tiver sido concluído com êxito, mas tiverhavido falha no backup de um volume específico, você poderá solucionar essa falha na lista de volumes doEBS.

Como restaurar volumes por meio de snapshots doEBS habilitados para VSSVocê pode usar o script RestoreVssSnapshotSampleScript.ps1 para restaurar volumes em uma instânciapor meio de snapshots do EBS habilitados para VSS. Esse script executa as seguintes tarefas:

• Interrompe uma instância• Remove todos os discos existentes da instância (exceto o volume de inicialização, se ele tiver sido

excluído)• Cria novos volumes por meio dos snapshots• Anexa os volumes à instância usando a tag do ID do dispositivo no snapshot• Reinicia a instância

Important

O script a seguir separa todos os volumes anexados a uma instância e, em seguida, cria novosvolumes por meio de um snapshot. É essencial fazer um backup correto da instância. Os volumesantigos não são excluídos. Se desejar, você pode editar o script para excluir os volumes antigos.

Para restaurar volumes por meio de snapshots do EBS habilitados para VSS


70

samples/CreateVssSnapshotAdvancedScript.zip

AWS Systems Manager Guia do usuárioUso de perfis do Chef InSpec como Systems Manager Compliance




3. Faça download do arquivo RestoreVssSnapshotSampleScript.zip e extraia o respectivo conteúdo.4. Abra o script em um editor de texto simples, edite a chamada de exemplo na parte inferior do script e,

em seguida, execute-o.

Uso de perfis do Chef InSpec com o SystemsManager Compliance

Agora o Systems Manager se integra com o Chef InSpec. InSpec é uma estrutura de tempo de execuçãode código aberto que permite criar perfis legíveis no GitHub ou no Amazon S3. Em seguida, você podeusar o Systems Manager para executar verificações de compatibilidade e visualizar instâncias compatíveise não compatíveis. Um perfil é um requisito de segurança, compatibilidade ou política de seu ambiente decomputação. Por exemplo, você pode criar perfis que executam as seguintes verificações ao verificar suasinstâncias com o Systems Manager Compliance:

• Verificar se portas específicas estão abertas ou fechadas.• Verificar se aplicativos específicos estão em execução.• Verificar se determinados pacotes estão instalados.• Verificar propriedades específicas em chaves do Registro do Windows.

Você pode criar perfis do InSpec para instâncias do Amazon EC2 e para servidores no local ou máquinasvirtuais (VMs) que você gerencia com o Systems Manager. O seguinte exemplo de perfil do Chef InSpecverifica se a porta 22 está aberta.

control 'Scan Port' do impact 10.0 title 'Server: Configure the service port' desc 'Always specify which port the SSH server should listen to. Prevent unexpected settings.' describe sshd_config do its('Port') { should eq('22') } endend

O InSpec inclui um conjunto de recursos que ajudam você a escrever rapidamente verificações e controlesde auditoria. O InSpec usa a Domain-specific Language (DSL) do InSpec para escrever esses controlesno Ruby. Você também pode usar perfis criados por uma grande comunidade de usuários do InSpec. Porexemplo, o projeto DevSec chef-os-hardening</ulink> no GitHub inclui dezenas de perfis para ajudá-lo aproteger suas instâncias e servidores. Você pode criar e armazenar perfis no GitHub ou no Amazon SimpleStorage Service (Amazon S3).

Como funcionam os bancos de dados públicosEsta é a forma como o processo de usar perfis do InSpec com o Systems Manager Compliance funciona.

71

samples/RestoreVssSnapshotSampleScript.zip

https://www.chef.io/inspec/

https://www.inspec.io/docs/reference/dsl_inspec/

https://github.com/dev-sec/chef-os-hardening

AWS Systems Manager Guia do usuárioExecução de uma verificação de Compliance do InSpec

1. Identifique perfis do InSpec predefinidos que você deseja usar ou crie seus próprios. Você pode usarperfis predefinidos no GitHub para começar. Para obter informações sobre como criar seus própriosperfis do InSpec, consulte Compliance Automation with InSpec.

2. Armazene perfis em um repositório GitHub público ou privado ou em um bucket do Amazon S3.3. Execute o Compliance com seus perfis do InSpec usando o documento AWS-RunInspecChecks do

SSM. Você pode iniciar uma verificação do Compliance usando o Executar comando (para verificaçõessob demanda) ou programar verificações de Compliance normais usando o State Manager.

4. Identifique as instâncias incompatíveis usando a API Compliance ou o console do Systems ManagerCompliance.

Note

O Chef usa um cliente em suas instâncias para processar o perfil. Você não precisa instalar ocliente. Quando o Systems Manager executa o documento AWS-RunInspecChecks do SSM, osistema verifica se o cliente está instalado. Caso contrário, o Systems Manager instala o clientedo Chef durante a verificação e, em seguida, desinstala o cliente após a verificação ser concluída.

Execução de uma verificação de Compliance doInSpecEsta seção inclui informações sobre como executar uma verificação de Compliance do InSpec usando oconsole do Systems Manager e a AWS CLI. O procedimento do console mostra como configurar o StateManager para executar a verificação. O procedimento da AWS CLI mostra como configurar o Executarcomando para executar a verificação.

Execução de uma verificação de Compliance do InSpec com oState Manager usando o consolePara executar uma verificação de Compliance do InSpec com o State Manager usando o consoledo AWS Systems Manager

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha State Manager.

-ou-


3. Escolha Create Association.4. Na seção Provide association details (Fornecer detalhes da associação), digite um nome.5. Na lista Command document (Documento de comandos), escolha AWS-RunInspecChecks.6. Na lista Document version (Versão do documento), escolha Latest at runtime (Mais recente em tempo

de execução).7. Na seção Parameters (Parâmetros), na lista Source Type (Tipo de origem), escolha GitHub ou S3.

Se você escolher GitHub, digite o caminho para um perfil do InSpec em um repositório GitHub públicoou privado no campo Source Info (Informações de origem). Este é um caminho de exemplo para umperfil público fornecido pela equipe do Systems Manager no seguinte local: https://github.com/awslabs/amazon-ssm/tree/master/Compliance/InSpec/PortCheck.

{"owner":"awslabs","repository":"amazon-ssm","path":"Compliance/InSpec/PortCheck","getOptions":"branch:master"}

72

https://github.com/search?p=1&q=topic%3Ainspec+org%3Adev-sec&type=Repositories

https://learn.chef.io/modules/learn-the-inspec-basics#/


https://github.com/awslabs/amazon-ssm/tree/master/Compliance/InSpec/PortCheck

https://github.com/awslabs/amazon-ssm/tree/master/Compliance/InSpec/PortCheck


Se você escolher S3, digite uma URL válida para um perfil do InSpec em um bucket do Amazon S3 nocampo Source Info (Informações de origem).

Para mais informações sobre como o Systems Manager se integra com o GitHub e o Amazon S3,consulte Execução de scripts do GitHub e Amazon S3 (p. 50).

8. Na seção Targets, identifique as instâncias em que você deseja executar essa operaçãoespecificando tags ou selecionando instâncias manualmente.

Note


9. Na seção Specify schedule (Especificar programação), use as opções do construtor de programaçãopara criar uma programação de quando você deseja que a verificação do Compliance seja executada.


Note


11. Escolha Create Association. O sistema cria a associação e executa automaticamente a verificação doCompliance.

12. Aguarde vários minutos até que a verificação seja concluída e, em seguida, escolha Compliance nopainel de navegação.

13. Em Corresponding managed instances (Instâncias gerenciadas correspondentes), localize asinstâncias em que a coluna Compliance Type (Tipo de compatibilidade) é Custom:Inspec.

14. Escolha o ID de uma instância para visualizar os detalhes dos status de incompatibilidade.

Execução de uma verificação de Compliance do InSpec com oExecutar comando usando a AWS CLI1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Você

deve ter privilégios de administrador no Amazon EC2 ou deve ter recebido a permissão apropriada noIAM. Para obter mais informações, consulte Pré-requisitos do Systems Manager (p. 8).

aws configure



2. Execute um dos seguintes comandos para executar um perfil do InSpec no GitHub ou no Amazon S3.

O comando usa os seguintes parâmetros:

• sourceType: GitHub ou Amazon S3

73


• sourceInfo: URL para a pasta de perfil do InSpec no GitHub ou um bucket do Amazon S3. A pastabase deve conter o arquivo base do InSpec (*.yml) e todos os controles relacionados (*.rb).

GitHub

aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:tag_name","Values":["tag_value"]}]' --parameters '{"sourceType":["GitHub"],"sourceInfo":["{\"owner\":\"owner_name\", \"repository\":\"repository_name\", \"path\": \"Inspec.yml_file"}"]}'


aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:testEnvironment","Values":["webServers"]}]' --parameters '{"sourceType":["GitHub"],"getOptions":"branch:master","sourceInfo":["{\"owner\":\"awslabs\", \"repository\":\"amazon-ssm\", \"path\": \"Compliance/InSpec/PortCheck\"}"]}'

Amazon S3

aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:tag_name","Values":["tag_value"]}]' --parameters'{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.amazonaws.com/directory/Inspec.yml_file\"}"]}'


aws ssm send-command --document-name "AWS-RunInspecChecks" --targets '[{"Key":"tag:testEnvironment","Values":["webServers"]}]' --parameters'{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.amazonaws.com/Compliance/InSpec/PortCheck.yml\"}"]}'

3. Execute o comando a seguir para visualizar um resumo da verificação do Compliance.

aws ssm list-resource-compliance-summaries --filters Key=ComplianceType,Values=Custom:Inspec

4. Execute o comando a seguir para analisar uma instância que é incompatível.

aws ssm list-compliance-items --resource-ids instance_ID --resource-type ManagedInstance --filters Key=DocumentName,Values=AWS-RunInspecChecks

Serviços relacionados da AWS

Os seguintes serviços relacionados podem ajudá-lo a avaliar o Compliance e a trabalhar com o Chef.

• O Amazon Inspector permite que você execute avaliações de segurança em suas instâncias com basenas vulnerabilidades comuns descritas nos padrões da Central Internet Security (CIS).

• O AWS OpsWorks for Chef Automate permite executar um servidor do Chef Automate na AWS.

74

https://docs.aws.amazon.com/inspector/latest/APIReference/

https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/


Grupos de recursos do AWSSystems Manager

Um grupo de recursos é um conjunto de recursos da AWS que estão na mesma região da AWS e atendemaos critérios fornecidos em uma consulta. As consultas são criadas no console de Grupos de recursosou passadas como argumento para comandos de Grupos de recursos na CLI da AWS. Com o Grupos derecursos, você pode criar um console personalizado que organiza e consolida informações com base emcritérios que você especifica em tags. Depois de criar grupos em Grupos de Recursos, use as ferramentasdo AWS Systems Manager como Automação para simplificar as tarefas de gerenciamento em seus gruposde recursos. Você também pode usar grupos como base para visualizar informações de monitoramento econfiguração no Systems Manager. Para obter mais informações, consulte Grupos de recursos da AWS.

75

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html

AWS Systems Manager Guia do usuárioInventário

Insights do AWS Systems ManagerO AWS Systems Manager (anteriormente Amazon EC2 Systems Manager) fornece os recursos ecapacidades a seguir para exibir centralmente dados sobre recursos da AWS.

Tópicos• Gerenciador de inventário do AWS Systems Manager (p. 76)• Conformidade de configuração do AWS Systems Manager (p. 122)

Gerenciador de inventário do AWS SystemsManager

Você pode usar o Inventário do AWS Systems Manager para coletar metadados do sistema operacional(SO), de aplicativos e de instâncias em instâncias do Amazon EC2 e servidores locais ou máquinasvirtuais (VMs) no ambiente híbrido. Você pode consultar os metadados para entender rapidamente quaisinstâncias estão executando o software e as configurações exigidas pela sua política de software e quaisinstâncias precisam ser atualizadas.

Tópicos• Conceitos básicos sobre Inventário (p. 76)• Sobre o Inventário do Systems Manager (p. 77)• Configurar a coleta de inventário (p. 86)• Configurando a Sincronização de dados de recursos para inventário (p. 88)• Visualização do histórico do inventário e do controle de alterações (p. 92)• Agregação de dados do inventário (p. 93)• Consultar uma coleta de inventário (p. 102)• Excluir inventário personalizado (p. 103)• Demonstrações do Gerenciador de inventário do Systems Manager (p. 111)• Resolução de problemas com o inventário do Systems Manager (p. 121)

Conceitos básicos sobre InventárioPara começar a usar o Inventário, conclua as seguintes tarefas.

Tarefa Para obter mais informações

Verifique os pré-requisitos do Systems Manager. Pré-requisitos do Systems Manager (p. 8)

Configure o Inventário criando uma associação doState Manager do Systems Manager.

Configurar a coleta de inventário (p. 86)(console do Amazon EC2)

Demonstração: usar a AWS CLI para coletar oinventário (p. 113)

76

AWS Systems Manager Guia do usuárioSobre o Inventário do Systems Manager

Sobre o Inventário do Systems ManagerAo configurar o Inventário do Systems Manager, você especifica o tipo de metadados a ser coletado, asinstâncias de onde os metadados devem ser coletados e um cronograma para a coleta de metadados.Essas configurações são salvas com sua conta AWS como uma associação do State Manager do SystemsManager. Uma associação é simplesmente uma configuração.

Note

O Inventário apenas coleta metadados. Ele não coleta dados pessoais ou de propriedade.

Tópicos• Inventário de todas as instâncias gerenciadas na sua conta da AWS (p. 77)• Tipos de dados configuráveis no Gerenciamento de inventário (p. 78)• Os metadados coletados pelo Inventário (p. 79)• Como trabalhar com inventário de arquivos e do Registro do Windows (p. 82)• Trabalhar com inventário personalizado (p. 84)• Serviços relacionados da AWS (p. 86)

Inventário de todas as instâncias gerenciadas na sua conta daAWSVocê pode criar facilmente um inventário de todas as instâncias gerenciadas na sua conta da AWS pormeio de uma associação de inventário global. Uma associação global de inventário realiza as seguintesações:

• Aplica automaticamente a configuração de inventário global (associação) a todas as instânciasgerenciadas existentes na sua conta da AWS. As instâncias que já possuem uma associação deinventário são ignoradas quando a associação de inventário global é aplicada e executada. Quandouma instância é ignorada, os estados detalhados da mensagem de status Overridden By ExplicitInventory Association. Essas instâncias são ignoradas pela associação global, mas aindainformam o inventário quando executam sua associação de inventário atribuída.

• Adiciona automaticamente novas instâncias criadas na sua conta da AWS à associação global deinventário.

Note

Se uma instância for configurada para a associação de inventário global e você atribuir umaassociação específica a essa instância, o inventário de Systems Manager desclassificará aassociação global e aplicará a associação específica.

Você pode configurar uma associação global de inventário no console do AWS Systems Manager,escolhendo a opção de destino Selecting all managed instances in this account (Selecionar todas asinstâncias gerenciadas nesta conta) ao configurar a coleta de inventário. Para obter mais informações,consulte Configurar a coleta de inventário (p. 86). Para criar uma associação de inventário globalusando a AWS CLI, use a opção curinga para o valor instanceIds, conforme mostrado no exemplo aseguir:

aws ssm create-association --name AWS-GatherSoftwareInventory --targets Key=InstanceIds,Values=* --schedule-expression "rate(1 day)" --parameters applications=Enabled,awsComponents=Enabled,customInventory=Enabled,instanceDetailedInformation=Enabled,networkConfig=Enabled,services=Enabled,windowsRoles=Enabled,windowsUpdates=Enabled

77


Note

As associações globais de inventário estão disponíveis no Agente do SSM versão 2.0.790.0 ouposterior. Para obter informações sobre como atualizar o Agente do SSM nas suas instâncias,consulte Exemplo: atualizar o SSM Agent (p. 227).

Tipos de dados configuráveis no Gerenciamento de inventárioA tabela a seguir descreve os diferentes aspectos da coleção de Inventário que você pode configurar.

Configuração Detalhes

Tipo de informações para coletar Você pode configurar o Inventário para coletar osseguintes tipos de metadados:

• Aplicativos: nomes de aplicativos, editores,versões etc.

• Componentes da AWS: driver do EC2, agentes,versões etc.

• Arquivos: nome, tamanho, versão, data deinstalação, horário de modificação e últimoacesso etc.

• Configuração de rede:: endereço IP, endereçoMAC, DNS, gateway, máscara de sub-rede etc.

• Atualizações do Windows: ID de hotfix, instaladopor, instalado por data etc.

• Detalhes de instância: nome do sistema, nomedo sistema operacional (SO), versão do SO,última inicialização, DNS, domínio, grupo detrabalho, arquitetura do SO etc.

• Serviços: nome, nome de exibição, status,serviços dependentes, tipo de serviço, tipo deinício etc.

• Registro do Windows: caminho da chave doregistro, nome do valor, tipo de valor e valor.

• Funções do Windows: nome, nome de exibição,caminho, tipo de recurso, estado de instalaçãoetc.

• Inventário personalizado: metadados queforam atribuídos a uma instância gerenciada,como descrito em Trabalhar com inventáriopersonalizado (p. 84).

Note

Para ver uma lista de todos osmetadados coletados pelo Inventário,consulte Os metadados coletados peloInventário (p. 79).

Instâncias das quais coletar informações Você pode escolher colocar em inventário todasas instâncias em sua conta da AWS, selecionarinstâncias individualmente ou grupos de destinosde instâncias usando tags do Amazon EC2. Para

78


Configuração Detalhesobter mais informações sobre como executar acoleta de inventário em todas as suas instâncias,consulte Inventário de todas as instânciasgerenciadas na sua conta da AWS (p. 77).

Quando coletar informações Você pode especificar um intervalo de coleta emtermos de minutos, horas, dias e semanas. Omenor intervalo de coleta é a cada 30 minutos.

Dependendo da quantidade de dados coletados, o sistema pode demorar vários minutos para informar osdados na saída que você especificou. Após a coleta das informações, os metadados são enviados atravésde um canal HTTPS seguro para um repositório da AWS de texto simples, acessível apenas na sua contada AWS. Você pode visualizar os dados no bucket do Amazon S3 que especificou ou na guia Inventorydo console do Amazon EC2 da sua instância gerenciada. A guia Inventory inclui vários filtros predefinidospara ajudá-lo a consultar os dados.

Para começar a coleta de inventário na sua instância gerenciada, consulte Configurar a coleta deinventário (p. 86) e Demonstração: usar a AWS CLI para coletar o inventário (p. 113).

Os metadados coletados pelo InventárioO exemplo a seguir mostra a lista completa de metadados coletados por cada plug-in do Inventário.

[ { "typeName": "AWS:InstanceInformation", "version": "1.0", "attributes":[ { "name": "AgentType", "dataType" : "STRING"}, { "name": "AgentVersion", "dataType" : "STRING"}, { "name": "ComputerName", "dataType" : "STRING"}, { "name": "IamRole", "dataType" : "STRING"}, { "name": "InstanceId", "dataType" : "STRING"}, { "name": "IpAddress", "dataType" : "STRING"}, { "name": "PlatformName", "dataType" : "STRING"}, { "name": "PlatformType", "dataType" : "STRING"}, { "name": "PlatformVersion", "dataType" : "STRING"}, { "name": "ResourceType", "dataType" : "STRING"} ] }, { "typeName" : "AWS:Application", "version": "1.1", "attributes":[ { "name": "Name", "dataType": "STRING"}, { "name": "ApplicationType", "dataType": "STRING"}, { "name": "Publisher", "dataType": "STRING"}, { "name": "Version", "dataType": "STRING"}, { "name": "InstalledTime", "dataType": "STRING"}, { "name": "Architecture", "dataType": "STRING"}, { "name": "URL", "dataType": "STRING"}, { "name": "Summary", "dataType": "STRING"}, { "name": "PackageId", "dataType": "STRING"}, { "name": "Release", "dataType": "STRING"}, { "name": "Epoch", "dataType": "STRING"} ] }, { "typeName" : "AWS:File",

79


"version": "1.0", "attributes":[ { "name": "Name", "dataType": "STRING"}, { "name": "Size", "dataType": "STRING"}, { "name": "Description", "dataType": "STRING"}, { "name": "FileVersion", "dataType": "STRING"}, { "name": "InstalledDate", "dataType": "STRING"}, { "name": "ModificationTime", "dataType": "STRING"}, { "name": "LastAccessTime", "dataType": "STRING"}, { "name": "ProductName", "dataType": "STRING"}, { "name": "InstalledDir", "dataType": "STRING"}, { "name": "ProductLanguage", "dataType": "STRING"}, { "name": "CompanyName", "dataType": "STRING"}, { "name": "ProductVersion", "dataType": "STRING"} ] }, { "typeName": "AWS:AWSComponent", "version": "1.0", "attributes":[ { "name": "Name", "dataType": "STRING"}, { "name": "ApplicationType", "dataType": "STRING"}, { "name": "Publisher", "dataType": "STRING"}, { "name": "Version", "dataType": "STRING"}, { "name": "InstalledTime", "dataType": "STRING"}, { "name": "Architecture", "dataType": "STRING"}, { "name": "URL", "dataType": "STRING"} ] }, { "typeName": "AWS:WindowsUpdate", "version":"1.0", "attributes":[ { "name": "HotFixId", "dataType": "STRING"}, { "name": "Description", "dataType": "STRING"}, { "name": "InstalledTime", "dataType": "STRING"}, { "name": "InstalledBy", "dataType": "STRING"} ] }, { "typeName": "AWS:Network", "version":"1.0", "attributes":[ { "name": "Name", "dataType": "STRING"}, { "name": "SubnetMask", "dataType": "STRING"}, { "name": "Gateway", "dataType": "STRING"}, { "name": "DHCPServer", "dataType": "STRING"}, { "name": "DNSServer", "dataType": "STRING"}, { "name": "MacAddress", "dataType": "STRING"}, { "name": "IPV4", "dataType": "STRING"}, { "name": "IPV6", "dataType": "STRING"} ] }, { "typeName": "AWS:PatchSummary", "version":"1.0", "attributes":[ { "name": "PatchGroup", "dataType": "STRING"}, { "name": "BaselineId", "dataType": "STRING"}, { "name": "SnapshotId", "dataType": "STRING"}, { "name": "OwnerInformation", "dataType": "STRING"}, { "name": "InstalledCount", "dataType": "NUMBER"}, { "name": "InstalledOtherCount", "dataType": "NUMBER"}, { "name": "NotApplicableCount", "dataType": "NUMBER"}, { "name": "MissingCount", "dataType": "NUMBER"}, { "name": "FailedCount", "dataType": "NUMBER"},

80


{ "name": "OperationType", "dataType": "STRING"}, { "name": "OperationStartTime", "dataType": "STRING"}, { "name": "OperationEndTime", "dataType": "STRING"} ] }, { "typeName": "AWS:ComplianceItem", "version":"1.0", "attributes":[ { "name": "ComplianceType", "dataType": "STRING"}, { "name": "ExecutionId", "dataType": "STRING"}, { "name": "ExecutionType", "dataType": "STRING"}, { "name": "ExecutionTime", "dataType": "STRING"}, { "name": "Id", "dataType": "STRING"}, { "name": "Title", "dataType": "STRING"}, { "name": "Status", "dataType": "STRING"}, { "name": "Severity", "dataType": "STRING"}, { "name": "DocumentName", "dataType": "STRING"}, { "name": "DocumentVersion", "dataType": "STRING"}, { "name": "Classification", "dataType": "STRING"}, { "name": "PatchBaselineId", "dataType": "STRING"}, { "name": "PatchSeverity", "dataType": "STRING"}, { "name": "PatchState", "dataType": "STRING"}, { "name": "PatchGroup", "dataType": "STRING"}, { "name": "InstalledTime", "dataType": "STRING"} ] }, { "typeName": "AWS:ComplianceSummary", "version":"1.0", "attributes":[ { "name": "ComplianceType", "dataType": "STRING"}, { "name": "PatchGroup", "dataType": "STRING"}, { "name": "PatchBaselineId", "dataType": "STRING"}, { "name": "Status", "dataType": "STRING"}, { "name": "OverallSeverity", "dataType": "STRING"}, { "name": "ExecutionId", "dataType": "STRING"}, { "name": "ExecutionType", "dataType": "STRING"}, { "name": "ExecutionTime", "dataType": "STRING"}, { "name": "CompliantCriticalCount", "dataType": "NUMBER"}, { "name": "CompliantHighCount", "dataType": "NUMBER"}, { "name": "CompliantMediumCount", "dataType": "NUMBER"}, { "name": "CompliantLowCount", "dataType": "NUMBER"}, { "name": "CompliantInformationalCount", "dataType": "NUMBER"}, { "name": "CompliantUnspecifiedCount", "dataType": "NUMBER"}, { "name": "NonCompliantCriticalCount", "dataType": "NUMBER"}, { "name": "NonCompliantHighCount", "dataType": "NUMBER"}, { "name": "NonCompliantMediumCount", "dataType": "NUMBER"}, { "name": "NonCompliantLowCount", "dataType": "NUMBER"}, { "name": "NonCompliantInformationalCount", "dataType": "NUMBER"}, { "name": "NonCompliantUnspecifiedCount", "dataType": "NUMBER"} ] }, { "typeName": "AWS:InstanceDetailedInformation", "version":"1.0", "attributes":[ { "name": "CPUModel", "dataType": "STRING"}, { "name": "CPUCores", "dataType": "NUMBER"}, { "name": "CPUs", "dataType": "NUMBER"}, { "name": "CPUSpeedMHz", "dataType": "NUMBER"}, { "name": "CPUSockets", "dataType": "NUMBER"}, { "name": "CPUHyperThreadEnabled", "dataType": "STRING"}, { "name": "OSServicePack", "dataType": "STRING"} ] },

81


{ "typeName": "AWS:Service", "version":"1.0", "attributes":[ { "name": "Name", "dataType": "STRING"}, { "name": "DisplayName", "dataType": "STRING"}, { "name": "ServiceType", "dataType": "STRING"}, { "name": "Status", "dataType": "STRING"}, { "name": "DependentServices", "dataType": "STRING"}, { "name": "ServicesDependedOn", "dataType": "STRING"}, { "name": "StartType", "dataType": "STRING"} ] }, { "typeName": "AWS:WindowsRegistry", "version":"1.0", "attributes":[ { "name": "KeyPath", "dataType": "STRING"}, { "name": "ValueName", "dataType": "STRING"}, { "name": "ValueType", "dataType": "STRING"}, { "name": "Value", "dataType": "STRING"} ] }, { "typeName": "AWS:WindowsRole", "version":"1.0", "attributes":[ { "name": "Name", "dataType": "STRING"}, { "name": "DisplayName", "dataType": "STRING"}, { "name": "Path", "dataType": "STRING"}, { "name": "FeatureType", "dataType": "STRING"}, { "name": "DependsOn", "dataType": "STRING"}, { "name": "Description", "dataType": "STRING"}, { "name": "Installed", "dataType": "STRING"}, { "name": "InstalledState", "dataType": "STRING"}, { "name": "SubFeatures", "dataType": "STRING"}, { "name": "ServerComponentDescriptor", "dataType": "STRING"}, { "name": "Parent", "dataType": "STRING"} ] }]

Note

Com o lançamento da versão 2.5, RPM Package Manager substitui o atributo serial com Epoch.O atributo Epoch é um número inteiro crescente de forma uniforme, como Serial. Quando vocêcoloca em inventário usando o tipo AWS:Application, observe que um valor maior para Epochsignifica uma versão mais recente. Se valores Epoch forem iguais ou vazios, em seguida, use ovalor do atributo Versão para determinar a versão mais recente.

Como trabalhar com inventário de arquivos e do Registro doWindowsO Inventário do Systems Manager permite que você pesquise e inventarie arquivos em sistemasoperacionais Windows e Linux. Você pode também pesquisar e inventariar o Registro do Windows.

Arquivos: você pode coletar informações de metadados sobre arquivos, incluindo nomes de arquivo, horaem que os arquivos foram criados, hora da última modificação e acesso e tamanhos de arquivo, entreoutras. Para iniciar a coleta de inventário de arquivos, você especifica um caminho de arquivo em que vocêdeseja realizar o inventário, um ou mais padrões que definem os tipos de arquivo que deseja inventariare se o caminho deve ser percorrido recursivamente. O Systems Manager inventaria todos os metadados

82


de arquivo para arquivos que estão no caminho especificado e correspondem ao padrão. O inventário dearquivo usa a entrada de parâmetro a seguir.

{"Path": string,"Pattern": array[string],"Recursive": true,"DirScanLimit" : number // Optional}

• Path: o caminho do diretório no qual você deseja inventariar arquivos. No Windows, você pode usarvariáveis do ambiente, como %PROGRAMFILES%, desde que a variável aponte para um único caminhode diretório. Por exemplo, se você usar um %PATH% que aponte para vários caminhos de diretório, oInventário lança um erro.

• Pattern: uma matriz de padrões para identificar arquivos.• Recursive: um valor booleano que indica se o Inventário deve percorrer recursivamente os diretórios.• DirScanLimit: um valor opcional que especifica quantos diretórios devem ser percorridos. Use este

parâmetro para minimizar o impacto sobre o desempenho de suas instâncias. Por padrão, o Inventárioverifica 5.000 diretórios no máximo.

Note

O Inventário coleta metadados para 500 arquivos no máximo, em todos os caminhosespecificados.

Veja alguns exemplos de como especificar os parâmetros ao executar um inventário de arquivos.

• No Linux, colete metadados de arquivos .sh no diretório /home/ec2-user, excluindo todos ossubdiretórios.

[{"Path":"/home/ec2-user","Pattern":["*.sh", "*.sh"],"Recursive":false}]

• No Windows, colete metadados de todos os arquivos ".exe" na pasta Arquivos de programa, incluindosubdiretórios recursivamente.

[{"Path":"C:\Program Files","Pattern":["*.exe"],"Recursive":true}]

• No Windows, colete metadados de padrões de log específicos.

[{"Path":"C:\ProgramData\Amazon","Pattern":["*amazon*.log"],"Recursive":true}]

• Limite a contagem de diretórios ao executar uma coleta recursiva.

[{"Path":"C:\Users","Pattern":["*.ps1"],"Recursive":true, "DirScanLimit": 1000}]

Registro do Windows: você pode coletar chaves e valores do Registro do Windows. Você pode escolherum caminho de chave e coletar todos os valores e chaves recursivamente. Você pode também coletardeterminada chave de registro e o respectivo valor para um caminho específico. O Inventário coleta ocaminho da chave, o nome, o tipo e o valor.

{"Path": string, "Recursive": boolean,"ValueNames": array[string] // optional

83


}

• Path: o caminho para a chave do Registro.• Recursive: um valor booleano que indica se o Inventário deve percorrer recursivamente os caminhos do

Registro.• ValueNames: uma matriz de nomes de valor para a realização de inventário de chaves do Registro. Se

você usar este parâmetro, o Systems Manager inventariará apenas os nomes de valor especificadospara o caminho especificado.

Note

O Inventário coleta no máximo 250 valores de chave do Registro para todos os caminhosespecificados.

Veja alguns exemplos de como especificar os parâmetros ao realizar um inventário de do Registro doWindows.

• Colete todos os valores e chaves recursivamente para um caminho específico.

[{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Amazon","Recursive": true}]

• Colete todos os valores e chaves para um caminho específico (pesquisa recursiva desativa).

[{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER", "Recursive": false}]

• Colete uma chave específica usando a opção ValueNames.

{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\MachineImage","ValueNames":["AMIName"]}

Trabalhar com inventário personalizadoVocê pode atribuir quaisquer metadados desejados às suas instâncias criando um inventáriopersonalizado. Por exemplo, digamos que você gerencie um grande número de servidores em racks noseu datacenter e esses servidores foram configurados como instâncias gerenciadas do Systems Manager.Atualmente, você armazena informações sobre a localização de racks de servidor em uma planilha.Com o inventário personalizado, você pode especificar a localização do rack de cada instância como ummetadado para a instância. Quando você coleta inventário usando o Systems Manager, os metadadossão coletados com outros metadados do Inventário. Você pode então transferir todos os metadados doInventário para um bucket do Amazon S3 central usando a opção Resource Data Sync e consultar osdados.

Para atribuir um inventário personalizado a uma instância, você pode usar a ação da API PutInventory doSystems Manager, conforme descrito em Demonstração: atribuir metadados de inventário personalizadosa uma instância (p. 112). Como alternativa, você pode criar um arquivo JSON de inventáriopersonalizado e enviá-lo para a instância Esta seção descreve como criar o arquivo JSON.

{ "SchemaVersion": "1.0", "TypeName": "Custom:RackInformation", "Content": { "Location": "US-EAST-02.CMH.RACK1", "InstalledTime": "2016-01-01T01:01:01Z", "vendor": "DELL", "Zone" : "BJS12", "TimeZone": "UTC-8"

84

sysman-inventory-resource-data-sync.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_PutInventory.html


} }

Você também pode especificar vários itens no arquivo, conforme mostrado no exemplo a seguir.

{ "SchemaVersion": "1.0","TypeName": "Custom:PuppetModuleInfo", "Content": [{ "Name": "puppetlabs/aws", "Version": "1.0" }, { "Name": "puppetlabs/dsc", "Version": "2.0" } ]}

O esquema JSON para inventário personalizado requer seções SchemaVersion, TypeName e Content,mas você pode definir as informações nessas seções.

{ "SchemaVersion": "user_defined", "TypeName": "Custom:user_defined", "Content": { "user_defined_attribute1": "user_defined_value1", "user_defined_attribute2": "user_defined_value2", "user_defined_attribute3": "user_defined_value3", "user_defined_attribute4": "user_defined_value4" } }

TypeName é limitado a 100 caracteres. Além disso, a seção TypeName deve começar com Custom.Por exemplo, Custom: PuppetModuleInfo. Tanto a opção Custom quanto a opção Data que vocêespecifica devem começar com uma letra maiúscula. Os exemplos a seguir causariam uma exceção:"CUSTOM:RackInformation", "custom:rackinformation".

A seção Content inclui atributos e dados. Esses itens não são sensíveis a maiúsculas e minúsculas.No entanto, se você definir um atributo (por exemplo: "Vendor": "DELL"), deverá sempre fazerreferência a esse atributo em seus arquivos de inventário personalizados. Se você especificar "Vendor":"DELL" (usando um "V" maiúsculo em Vendor) em um arquivo e, em seguida, especificar "vendor":"DELL" (usando um "v" minúsculo em vendor) em outro arquivo, o sistema retornará um erro.

Note

Você deve salvar o arquivo com a extensão .json.

Depois de criar o arquivo, você deve salvá-lo na instância. A tabela a seguir mostra o local em que osarquivos JSON do inventário personalizado devem ser armazenados na instância:

Sistema operacional Caminho

Windows %SystemDrive%\ProgramData\Amazon\SSM\InstanceData\<instance-id>\inventory\custom

Linux /var/lib/amazon/ssm/<instance-id>/inventory/custom

85

AWS Systems Manager Guia do usuárioConfigurar a coleta de inventário

Para obter um exemplo de como usar o inventário personalizado, consulte o tópico sobre Utilização dedisco da sua frota usando tipos de inventário personalizados do EC2 Systems Manager.

Serviços relacionados da AWSO Systems Manager Inventory fornece um snapshot do seu inventário atual para ajudá-lo a gerenciar apolítica de softwares e a melhorar a postura de segurança de toda a sua frota. Você pode ampliar seusrecursos de gerenciamento de inventário e migração usando os seguintes serviços da AWS.

• O AWS Config fornece um registro histórico das alterações no seu inventário, juntamente com acapacidade de criar regras para gerar notificações quando um item de configuração é alterado. Paraobter mais informações, consulte Registro do inventário de instâncias gerenciado do Amazon EC2 noAWS Config Developer Guide.

• O AWS Application Discovery Service foi projetado para coletar inventário sobre o tipo de SO, oinventário de aplicativo, os processos, as conexões e as métricas de desempenho do servidor de suasVMs no local para dar suporte a uma migração bem-sucedida para o AWS. Para obter mais informações,consulte o Application Discovery Service User Guide.

Configurar a coleta de inventárioEsta seção descreve como configurar a coleta de inventário em uma ou mais instâncias gerenciadasusando o console do Systems Manager. Esta seção também descreve como agregar dados de inventáriode várias contas e regiões da AWS em um único bucket do Amazon S3 usando o Resource Data Sync doSystems Manager. Para obter um exemplo de como configurar a coleta de inventário usando a AWS CLI,consulte Demonstrações do Gerenciador de inventário do Systems Manager (p. 111).

Antes de começar

Antes de configurar a coleta de inventário, conclua as seguintes tarefas.

• Atualize o Agente do SSM nas instâncias que você deseja. Ao executar a versão mais recentedo Agente do SSM, você garante que pode coletar metadados para todos os tipos de inventáriocomportados. Para obter informações sobre como atualizar o Agente do SSM usando o State Manager,consulte Demonstração: atualizar automaticamente o Agente do SSM (CLI) (p. 346).

• Verifique se as suas instâncias atendem aos pré-requisitos do Systems Manager. Para obter maisinformações, consulte Pré-requisitos do Systems Manager (p. 8).

• (Opcional) Crie um arquivo JSON para coletar inventário personalizado. Para obter mais informações,consulte Trabalhar com inventário personalizado (p. 84).

Configurar a coletaEsta seção inclui informações sobre como configurar o Inventário do Systems Manager para coletarmetadados de suas instâncias gerenciadas usando o console do Systems Manager. Você pode coletarrapidamente os metadados de todas as instâncias em uma determinada conta da AWS (e em qualquerinstância futura que possa ser criada nessa conta) ou coletar seletivamente dados do inventário usandotags ou IDs de instâncias.

Note

Quando você configura a coleta de inventário, primeiro cria uma associação do StateManager do Systems Manager. O Systems Manager coleta os dados de inventário quando aassociação é executada. Se você não criar a associação primeiro e tentar invocar o plug-inaws:softwareInventory usando, por exemplo, o Executar comando, o sistema retornará o seguinteerro:

86

https://aws.amazon.com/blogs/mt/get-disk-utilization-of-your-fleet-using-ec2-systems-manager-custom-inventory-types/

https://aws.amazon.com/blogs/mt/get-disk-utilization-of-your-fleet-using-ec2-systems-manager-custom-inventory-types/

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html#recording-managed-instance-inventory

https://docs.aws.amazon.com/application-discovery/latest/userguide/

AWS Systems Manager Guia do usuárioConfigurar a coleta de inventário

The aws:softwareInventory plugin can only be invoked via ssm-associate.

Observe também que uma instância pode ter apenas uma associação de Inventário configuradapor vez. Se você configurar uma instância com duas ou mais associações, a associação não seráexecutada, e não serão coletados dados de inventário.

Para configurar a coleta de inventário

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha Inventory.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Inventory no painel de navegação.

3. Escolha Setup Inventory.4. Na seção Targets (Destinos), identifique as instâncias em que você deseja executar essa operação,

escolhendo uma das seguintes opções.

• Selecting all managed instances in this account (Selecionar todas as instâncias gerenciadas nestaconta) – Esta opção seleciona todas as instâncias gerenciadas para as quais não há associaçãode inventário existente. Se você escolher essa opção, as instâncias que já tinham associaçõesde inventário serão ignoradas durante a coleta de inventário e mostradas com um status Skipped(Ignorada) nos resultados do inventário. Para obter mais informações, consulte Inventário de todasas instâncias gerenciadas na sua conta da AWS (p. 77).

• Specifying a tag (Especificar uma tag) – Essa opção permite que você especifique uma únicatag para identificar instâncias na sua conta das quais você deseja coletar inventário. Se vocêusar uma tag, todas as instâncias criadas no futuro com a mesma tag também informarão oinventário. Se houver uma associação de inventário existente com todas as instâncias, o uso deuma tag para selecionar instâncias específicas como um destino para um inventário diferentesubstitui a associação da instância no grupo de destino All managed instances (Todas as instânciasgerenciadas). Instâncias com a tag especificada são ignoradas na coleção de inventário futura de Allmanaged instances (Todas as instâncias gerenciadas).

• Manually selecting instances (Seleção manual de instâncias) – Essa opção permite escolherinstâncias gerenciadas específicas na sua conta. A escolha explícita de instâncias específicasusando essa opção substitui as associações de inventário no destino All managed instances (Todasas instâncias gerenciadas). A instância é ignorada na coleção de inventário futura de All managedinstances (Todas as instâncias gerenciadas).

5. Na seção Schedule, escolha com que frequência deseja que o sistema colete metadados deinventário das suas instâncias.

6. Na seção Parameters, use as listas para habilitar ou desabilitar diferentes tipos de coleta deinventário. Consulte os exemplos a seguir se desejar criar uma pesquisa de inventário para arquivosou o Registro do Windows.

Arquivos

• No Linux, colete metadados de arquivos .sh no diretório /home/ec2-user, excluindo todos ossubdiretórios.

[{"Path":"/home/ec2-user","Pattern":["*.sh", "*.sh"],"Recursive":false}]

• No Windows, colete metadados de todos os arquivos ".exe" na pasta Arquivos de programa,incluindo subdiretórios recursivamente.

[{"Path":"C:\Program Files","Pattern":["*.exe"],"Recursive":true}]

87


AWS Systems Manager Guia do usuárioConfigurando a Sincronização dedados de recursos para inventário

• No Windows, colete metadados de padrões de log específicos.

[{"Path":"C:\ProgramData\Amazon","Pattern":["*amazon*.log"],"Recursive":true}]

• Limite a contagem de diretórios ao executar uma coleta recursiva.

[{"Path":"C:\Users","Pattern":["*.ps1"],"Recursive":true, "DirScanLimit": 1000}]

Registro do Windows

• Colete todos os valores e chaves recursivamente para um caminho específico.

[{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Amazon","Recursive": true}]

• Colete todos os valores e chaves para um caminho específico (pesquisa recursiva desativa).

[{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER", "Recursive": false}]

• Colete uma chave específica usando a opção ValueNames.

{"Path":"HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\MachineImage","ValueNames":["AMIName"]}

Para obter mais informações sobre como coletar inventário de um arquivo e do Registro do Windows,consulte Como trabalhar com inventário de arquivos e do Registro do Windows (p. 82).

7. Na seção Advanced, escolha Sync inventory execution logs to an S3 bucket, se quiser armazenar ostatus de execução da associação em um bucket do Amazon S3.

8. Escolha Setup Inventory. O Systems Manager cria uma associação do State Manager e executaimediatamente o Inventário nas instâncias.

9. No painel de navegação, escolha State Manager. Verifique se uma nova associação foi criada e usa odocumento AWS-GatherSoftwareInventory. Além disso, verifique se o campo Status mostra Success.Se você tiver escolhido a opção Sync inventory execution logs to an S3 bucket, poderá visualizardados de log no Amazon S3 depois de alguns minutos. Se você desejar visualizar dados de inventáriode uma instância específica, escolha Managed Instances no painel de navegação.

10. Escolha uma instância e, em seguida, View details.11. Na página de detalhes da instância, selecione Inventory. Use as listas Inventory type para filtrar o

inventário.

Depois de configurar a coleta de inventário, recomendamos que você configure a Sincronização de dadosde recursos do Systems Manager. A Sincronização de dados de recursos centraliza todos os dados deInventário em um bucket do Amazon S3 de destino e atualiza automaticamente o armazenamento centralquando novos dados de Inventário são coletados. Com todos os dados de inventário armazenados emum bucket do Amazon S3 de destino, você pode usar serviços como o Amazon Athena e o AmazonQuickSight para consultar e analisar os dados agregados. Para obter mais informações, consulteConfigurando a Sincronização de dados de recursos para inventário (p. 88).

Configurando a Sincronização de dados de recursospara inventárioVocê pode usar a Sincronização de dados de recursos do Systems Manager para enviar dados deinventário coletados de todas as suas instâncias gerenciadas para um único bucket do Amazon S3. Em

88


seguida, a Sincronização de dados de recursos atualiza automaticamente os dados centralizados quandonovos dados de inventário são coletados. Com todos os dados de inventário armazenados em um bucketdo Amazon S3 de destino, você pode usar serviços como o Amazon Athena e o Amazon QuickSight paraconsultar e analisar os dados agregados.

Por exemplo, digamos que você tenha configurado o inventário para coletar dados sobre o sistemaoperacional (SO) e os aplicativos executados em uma frota de 150 instâncias gerenciadas. Algumasdessas instâncias estão localizadas em um datacenter híbrido e outras estão sendo executadas noAmazon EC2 em várias Regiões da AWS. Se você não tiver configurado a Sincronização de dados derecursos, precisará coletar os dados de inventário coletados para cada instância ou deverá criar scriptspara coletar essas informações. Você precisaria então compatibilizar os dados em um aplicativo parapoder executar consultas e analisá-los.

Com a Sincronização de dados de recursos, você executa uma operação única que sincroniza todosos dados de Inventário de todas as instâncias gerenciadas. Quando você cria a sincronização, podeespecificar instâncias gerenciadas de várias contas e regiões AWS. Depois que a sincronização for criadacom êxito, o Systems Manager criará uma linha de base de todos os dados do Inventário e o salva nobucket do Amazon S3 de destino. Quando novos dados de inventário são coletados, o Systems Manageratualiza automaticamente os dados no bucket do Amazon S3. É possível compatibilizar os dados de formarápida e econômica para o Amazon Athena e o Amazon QuickSight.

O Diagrama 1 mostra como a Sincronização de dados de recursos agrega dados de inventário deinstâncias gerenciadas no Amazon EC2 e um ambiente híbrido para um bucket do Amazon S3 de destino.Esse diagrama também mostra como a Sincronização de dados de recursos funciona com várias contasda AWS e Regiões da AWS.

Diagrama 1: Sincronização de dados de recursos com várias contas da AWS e regiões da AWS

Se você excluir uma instância gerenciada, a Sincronização de dados de recursos preservará o arquivo deInventário para a instância excluída. No entanto, para executar instâncias, a Sincronização de dados derecursos substitui automaticamente os arquivos de inventário antigos quando novos arquivos são criados egravados no bucket do Amazon S3. Se quiser acompanhar as alterações de inventário ao longo do tempo,você poderá usar o serviço AWS Config para rastrear o tipo de recurso MangagedInstanceInventory. Paraobter mais informações, consulte o tópico de Conceitos básicos sobre o AWS Config.

Conteúdo relacionado

89

https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html


• A Sincronização de dados de recursos usa as seguintes ações de API: CreateResourceDataSync,ListResourceDataSync e DeleteResourceDataSync.

• O Amazon QuickSight é um serviço de análise de negócios que facilita a criação de visualizações paraque você possa analisar e reunir informações sobre seus dados. Conectar-se ao Athena no QuickSighté um processo de um único clique. Você não precisa fornecer endpoints ou um nome de usuário euma senha. Você pode simplesmente escolher o Athena como sua fonte de dados, escolher o bancode dados e as tabelas para analisar e começar a visualizar os dados no QuickSight. Para obter maisinformações, consulte Amazon QuickSight User Guide.

• O Amazon Athena é um serviço de consulta interativo que facilita a análise de dados no Amazon S3usando consultas SQL padrão. O Athena não requer uma instância do Amazon EC2 a ser executadae, portanto, não há nenhuma infraestrutura para gerenciar. Você paga apenas pelas consultas queexecuta. Para mais informações, consulte Amazon Athena User Guide.

Tópicos• Criar uma sincronização de dados de recurso para inventário (p. 90)

Criar uma sincronização de dados de recurso para inventárioUse o procedimento a seguir para criar uma Sincronização de dados de recursos para inventário usandoos consoles do Amazon S3 e AWS Systems Manager. Você também pode usar o AWS CloudFormationpara criar ou excluir uma sincronização de dados de recursos. Para usar AWS CloudFormation, adicione orecurso AWS::SSM::ResourceDataSync ao seu modelo de AWS CloudFormation. Para obter informações,consulte um dos seguintes recursos da documentação:

• Recursos do AWS CloudFormation para sincronização de dados de recursos no AWS Systems Manager(blog)

• Como trabalhar com modelos do AWS CloudFormation no AWS CloudFormation User Guide

Note

Você pode usar o AWS Key Management Service (AWS KMS) para criptografar dados deinventário no bucket do Amazon S3. Para obter um exemplo de como criar uma sincronizaçãocriptografada usando a AWS CLI e como trabalhar com os dados centralizados no AmazonAthena e no Amazon QuickSight, consulte Demonstração: usar a Sincronização de dados derecursos para agregar dados de inventário (p. 115).

Para criar e configurar um bucket do Amazon S3 para sincronização de dados de recursos

1. Open the Amazon S3 console at https://console.aws.amazon.com/s3/.2. Crie um bucket para armazenar seus dados de Inventário agregados. Para obter mais informações,

consulte Criar um Bucket no Amazon Simple Storage Service Getting Started Guide. Anote o nome dobucket e a região da AWS em que você o criou.

3. Escolha a guia Permissions e depois escolha Bucket Policy.4. Copie e cole a seguinte política de bucket no editor de políticas. Substitua bucket-name e

account-id pelo o nome do bucket do Amazon S3 que você criou e um ID de conta da AWS válido.Opcionalmente, substitua bucket-prefix pelo nome de um prefixo do Amazon S3 (subdiretório). Sevocê não criou um prefixo, remova bucket-prefix/ do ARN nesta política.

Note

Para informações sobre como visualizar o ID da sua conta da AWS, consulte ID da sua contada AWS e seu alias no IAM User Guide.

{

90

https://docs.aws.amazon.com/ssm/latest/APIReference/API_CreateResourceDataSync.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_ListResourceDataSync.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_DeleteResourceDataSync.html

https://docs.aws.amazon.com/quicksight/latest/user/

https://docs.aws.amazon.com/athena/latest/ug/

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-resourcedatasync.html

https://aws.amazon.com//blogs/mt/aws-cloudformation-resource-for-resource-data-sync-in-aws-systems-manager/

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html

https://console.aws.amazon.com/s3/


https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html


"Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::bucket-name/bucket-prefix/*/accountid=account-id/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Para criar uma sincronização de dados de recurso

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Managed Instances.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Managed Instances.

3. Escolha Resource Data Syncs e depois Create resource data sync.4. No campo Sync name, digite um nome para a configuração de sincronização.5. No campo Bucket name, digite o nome do bucket do Amazon S3 que você criou no início desse

procedimento.6. (Opcional) No campo Bucket prefix, digite o nome de um prefixo de bucket do Amazon S3

(subdiretório).7. No campo Bucket region, escolha This region se o bucket do Amazon S3 que você criou estiver

localizado na região atual da AWS. Se o bucket estiver localizado em uma região diferente da AWS,escolha Another region e digite o nome da região.

Note

Se a sincronização e o bucket do Amazon S3 de destino estiverem localizados em diferentesregiões, talvez você fique sujeito a preços de transferência de dados. Para obter maisinformações, consulte a Definição de preço do Amazon S3.

8. No campo KMS Key ARN (ARN da chave do KMS), digite ou cole um ARN da chave do KMS paracriptografar dados de inventário no Amazon S3.

9. Escolha Criar.

91


https://aws.amazon.com//s3/pricing/

AWS Systems Manager Guia do usuárioVisualização do histórico do

inventário e do controle de alterações

Visualização do histórico do inventário e do controlede alteraçõesVocê pode visualizar o histórico do inventário e o controle de alterações de todas as suas instânciasgerenciadas usando o AWS Config. O AWS Config fornece uma visão detalhada da configuração dosrecursos da AWS em sua conta da AWS. Isso inclui como os recursos estão relacionados um com o outroe como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e asconfigurações foram alterados ao longo do tempo. Para visualizar o histórico do inventário e o controle dealterações, você deve ativar os seguintes recursos no AWS Config.

• SSM:ManagedInstanceInventory• SSM:PatchCompliance• SSM:AssociationCompliance

Note

Habilitando o SSM:PatchCompliance e o SSM:AssociationCompliance, você pode visualizara aplicação de patches do Patch Manager e o histórico de conformidade de associaçõese o controle de alterações do State Manager. Para obter mais informações sobre ogerenciamento de conformidade para esses recursos, consulte Trabalhar com a conformidade deconfiguração (p. 126).

O procedimento a seguir descreve como habilitar a gravação do histórico do inventário e do controlede alterações no AWS Config usando a AWS CLI. Para obter mais informações sobre como escolher econfigurar esses recursos no AWS Config, consulte Seleção dos recursos que são registrados pelo AWSConfig no AWS Config Developer Guide. Para obter informações sobre a definição de preço do AWSConfig, consulte Definição de preço.

Antes de começar

O AWS Config exige permissões do AWS Identity and Access Management (IAM) para obter detalhes daconfiguração sobre os recursos do Systems Manager. No procedimento a seguir, você deve especificar umNome de recurso da Amazon (ARN) para uma função do IAM que concede permissão ao AWS Config pararecursos do Systems Manager. Você pode anexar a política gerenciada AWSConfigRole à função do IAMque você atribuiu ao &AWS Config. Para obter informações sobre como criar uma função do IAM e atribuira política gerenciada AWSConfigRole para essa função, consulte Criação de uma função para delegarpermissões a um serviço da AWS no IAM User Guide.

Para habilitar a gravação do histórico do inventário e do controle de alterações no AWS Config

1. Faça download da versão mais recente da AWS CLI para sua máquina local.2. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Você

deve ter privilégios de administrador ou ter recebido a permissão apropriada no AWS Identity andAccess Management (IAM).

aws configure



92

https://docs.aws.amazon.com/config/latest/developerguide/

https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html


https://aws.amazon.com//config/pricing/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html



AWS Systems Manager Guia do usuárioAgregação de dados do inventário

3. Copie e cole o seguinte exemplo de JSON em um editor de texto simples e salve-o comorecordingGroup.json.

{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::SSM::AssociationCompliance", "AWS::SSM::PatchCompliance", "AWS::SSM::ManagedInstanceInventory" ]}

4. Execute o seguinte comando para carregar o arquivo recordingGroup.json no AWS Config.

aws configservice put-configuration-recorder --configuration-recorder name=myRecorder,roleARN=arn:aws:iam::123456789012:role/myConfigRole --recording-group file://recordingGroup.json

5. Execute o seguinte comando para iniciar a gravação do histórico do inventário e do controle dealterações.

aws configservice start-configuration-recorder --configuration-recorder-name myRecorder

Depois de configurar o histórico e o controle de alterações, você pode buscar uma instância gerenciadaespecífica no histórico escolhendo o botão AWS Config no console do Systems Manager.

Você pode acessar o botão AWS Config na página Managed Instances (Instâncias gerenciadas) ou napágina Inventory (Inventário). Dependendo do tamanho de seu monitor, talvez seja necessário rolar para olado direito da página para ver o botão.

Agregação de dados do inventárioDepois de configurar suas instâncias gerenciadas para o inventário do AWS Systems Manager, você podevisualizar contagens agregadas dos dados do inventário. Por exemplo, digamos que você configuroudezenas ou centenas de instâncias gerenciadas para coletar o tipo de inventário AWS:Application. Usandoas informações desta seção, você pode ver uma contagem exata de quantas instâncias estão configuradaspara coletar esses dados.

Você também pode ver detalhes específicos do inventário agregando por um tipo de dados. Por exemplo,o tipo de inventário AWS:InstanceInformation coleta informações da plataforma do sistema operacionalcom o tipo de dados Platform. Agregando dados pelo tipo de dados Platform, você pode verrapidamente quantas instâncias estão executando o Windows e quantas estão executando o Linux.

Os procedimentos desta seção descrevem como visualizar contagens agregadas dos dados do inventáriousando a AWS CLI. Você também pode visualizar contagens agregadas pré-configuradas no console doAWS Systems Manager na página Inventory (Inventário). Esses painéis pré-configurados são chamadosde Visões do inventário e oferecem correção com um clique de problemas de configuração do inventário.

Observe os seguintes detalhes importantes sobre as contagens de agregação de dados do inventário:

• O inventário do Systems Manager armazena dados do inventário por 30 dias. Isso significa que ascontagens agregadas do inventário incluem todos os dados coletados durante os últimos 30 dias.

• O inventário mostra dados que foram enviados por uma instância ao longo do seu ciclo de vida. Seuma instância foi configurada anteriormente para relatar um determinado tipo de dados do inventário,por exemplo, AWS:Network, e você alterar a configuração mais tarde para interromper a coleta desse

93


tipo, as contagens de agregação ainda mostrarão os dados de AWS:Network até que a instância sejaencerrada.

• Se uma instância foi configurada anteriormente para coletar dados do inventário, e você encerrar essainstância, as contagens do inventário ainda mostrarão os dados da instância excluída por 30 dias.

Para obter informações sobre como configurar rapidamente e coletar dados do inventário de todas asinstâncias em uma determinada conta da AWS (e de qualquer instância futura que possa ser criada nessaconta), consulte Configurar a coleta (p. 86).

Tópicos• Agregação de dados do inventário para ver contagens de instâncias que coletam tipos de dados

específicos (p. 94)• Agregação de dados do inventário com grupos para ver quais instâncias estão e quais não estão

configuradas para coletar um tipo de inventário (p. 98)

Agregação de dados do inventário para ver contagens deinstâncias que coletam tipos de dados específicosVocê pode usar a ação GetInventory da API para visualizar contagens agregadas de instânciasque coletam um ou mais tipos de inventário e tipos de dados. Por exemplo, o tipo de inventárioAWS:InstanceInformation permite visualizar um agregado de sistemas operacionais usando a açãoGetInventory da API com o tipo de dados AWS:InstanceInformation.PlatformType. Este é um exemplo docomando da AWS CLI e a saída:

aws ssm get-inventory --aggregators "Expression=AWS:InstanceInformation.PlatformType"

O sistema retorna informações como as seguintes.

{ "Entities":[ { "Data":{ "AWS:InstanceInformation":{ "Content":[ { "Count":"7", "PlatformType":"windows" }, { "Count":"5", "PlatformType":"linux" } ] } } } ]}

Conceitos básicos

Determine os tipos de inventário e os tipos de dados dos quais você deseja visualizar contagens. Vocêpode visualizar uma lista de tipos de inventário e tipos de dados compatíveis com a agregação executandoo seguinte comando na AWS CLI:

aws ssm get-inventory-schema --aggregator

94

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetInventory.html


O comando retorna uma lista JSON de tipos de inventário e tipos de dados compatíveis com a agregação.O campo TypeName (Nome do tipo) mostra os tipos de inventário compatíveis. E o campo Name (Nome)mostra cada tipo de dados. Por exemplo, na lista a seguir, o tipo de inventário AWS:Application inclui tiposde dados Nome e Versão.

{ "Schemas": [ { "TypeName": "AWS:Application", "Version": "1.1", "DisplayName": "Application", "Attributes": [ { "DataType": "STRING", "Name": "Name" }, { "DataType": "STRING", "Name": "Version" } ] }, { "TypeName": "AWS:InstanceInformation", "Version": "1.0", "DisplayName": "Platform", "Attributes": [ { "DataType": "STRING", "Name": "PlatformName" }, { "DataType": "STRING", "Name": "PlatformType" }, { "DataType": "STRING", "Name": "PlatformVersion" } ] }, { "TypeName": "AWS:ResourceGroup", "Version": "1.0", "DisplayName": "ResourceGroup", "Attributes": [ { "DataType": "STRING", "Name": "Name" } ] }, { "TypeName": "AWS:Service", "Version": "1.0", "DisplayName": "Service", "Attributes": [ { "DataType": "STRING", "Name": "Name" }, { "DataType": "STRING", "Name": "DisplayName" },

95


{ "DataType": "STRING", "Name": "ServiceType" }, { "DataType": "STRING", "Name": "Status" }, { "DataType": "STRING", "Name": "StartType" } ] }, { "TypeName": "AWS:WindowsRole", "Version": "1.0", "DisplayName": "WindowsRole", "Attributes": [ { "DataType": "STRING", "Name": "Name" }, { "DataType": "STRING", "Name": "DisplayName" }, { "DataType": "STRING", "Name": "FeatureType" }, { "DataType": "STRING", "Name": "Installed" } ] } ]}

Você pode agregar dados para qualquer um dos tipos de inventário listados criando um comando que usaa seguinte sintaxe:

aws ssm get-inventory --aggregators "Expression=InventoryType.DataType"

Aqui estão alguns exemplos.

Exemplo 1

Este exemplo agrega uma contagem das funções do Windows usadas por suas instâncias.

aws ssm get-inventory --aggregators "Expression=AWS:WindowsRole.Name"

Exemplo 2

Este exemplo agrega uma contagem dos aplicativos instalados em suas instâncias.

aws ssm get-inventory --aggregators "Expression=AWS:Application.Name"

Combinação de vários agregadores

96


Você também pode combinar vários tipos de inventário e tipos de dados em um comando para ajudar aentender melhor os dados. Aqui estão alguns exemplos.

Exemplo 1

Este exemplo agrega uma contagem dos tipos de sistema operacional usados por suas instâncias. Eletambém retorna o nome específico dos sistemas operacionais.

aws ssm get-inventory --aggregators '[{"Expression": "AWS:InstanceInformation.PlatformType", "Aggregators":[{"Expression": "AWS:InstanceInformation.PlatformName"}]}]'

Exemplo 2

Este exemplo agrega uma contagem dos aplicativos em execução em suas instâncias e a versãoespecífica de cada aplicativo.

aws ssm get-inventory --aggregators '[{"Expression": "AWS:Application.Name", "Aggregators":[{"Expression": "AWS:Application.Version"}]}]'

Se preferir, você pode criar uma expressão de agregação com um ou mais tipos de inventário e tipos dedados em um arquivo JSON e chamar o arquivo na AWS CLI. O JSON no arquivo deve usar a seguintesintaxe:

[ { "Expression": "string", "Aggregators": [ { "Expression": "string" } ] }]


Este é um exemplo que usa vários tipos de inventário e tipos de dados.

[ { "Expression": "AWS:Application.Name", "Aggregators": [ { "Expression": "AWS:Application.Version", "Aggregators": [ { "Expression": "AWS:InstanceInformation.PlatformType" } ] } ] }]

Use o comando a seguir para chamar o arquivo na AWS CLI.

aws ssm get-inventory --aggregators file://file_name.json

97


O comando retorna informações como as seguintes:

{"Entities": [ {"Data": {"AWS:Application": {"Content": [ {"Count": "3", "PlatformType": "linux", "Version": "2.6.5", "Name": "audit-libs"}, {"Count": "2", "PlatformType": "windows", "Version": "2.6.5", "Name": "audit-libs"}, {"Count": "4", "PlatformType": "windows", "Version": "6.2.8", "Name": "microsoft office"}, {"Count": "2", "PlatformType": "windows", "Version": "2.6.5", "Name": "chrome"}, {"Count": "1", "PlatformType": "linux", "Version": "2.6.5", "Name": "chrome"}, {"Count": "2", "PlatformType": "linux", "Version": "6.3", "Name": "authconfig"} ] } }, "ResourceType": "ManagedInstance"} ]}

Agregação de dados do inventário com grupos para ver quaisinstâncias estão e quais não estão configuradas para coletar umtipo de inventárioOs grupos permitem que você veja rapidamente uma contagem de quais instâncias gerenciadas estão equais não estão configuradas para coletar um ou mais tipos de inventário. Com grupos, você especifica umou mais tipos de inventário e um filtro que usa o operador exists.

Por exemplo, digamos que você tem quatro instâncias gerenciadas configuradas para coletar os seguintestipos de inventário:

• Instância 1: AWS:Application• Instância 2: AWS:File• Instância 3: AWS:Application, AWS:File• Instância 4: AWS:Network

Você pode executar o seguinte comando na AWS CLI para ver quantas instâncias estão configuradas paracoletar os tipos de inventário AWS:Application e AWS:File. A resposta também retorna uma contagem daquantidade de instâncias que não estão configuradas para coletar esses dois tipos de inventário.

98


aws ssm get-inventory --aggregators 'Groups=[{Name=ApplicationAndFile,Filters=[{Key=TypeName,Values=[AWS:Application],Type=Exists},{Key=TypeName,Values=[AWS:File],Type=Exists}]}]'

A resposta do comando mostra que apenas uma instância gerenciada está configurada para coletar ostipos de inventário AWS:Application e AWS:File.

{ "Entities":[ { "Data":{ "ApplicationAndFile":{ "Content":[ { "notMatchingCount":"3" }, { "matchingCount":"1" } ] } } } ]}

Note

Os grupos não retornam contagens de tipo de dados. Além disso, você não pode detalhar osresultados para ver os IDs das instâncias que estão ou não configuradas para coletar o tipo deinventário.

Se preferir, você pode criar uma expressão de agregação com um ou mais tipos de inventário em umarquivo JSON e chamar o arquivo na AWS CLI. O JSON no arquivo deve usar a seguinte sintaxe:

{ "Aggregators":[ { "Groups":[ { "Name":"Name", "Filters":[ { "Key":"TypeName", "Values":[ "Inventory_type" ], "Type":"Exists" }, { "Key":"TypeName", "Values":[ "Inventory_type" ], "Type":"Exists" } ] } ] } ]}

99



Use o comando a seguir para chamar o arquivo na AWS CLI.

aws ssm get-inventory --cli-input-json file://file_name.json

Exemplos adicionais

Os exemplos a seguir mostram como agregar dados de inventário para ver quais instâncias gerenciadasestão e não estão configuradas para coletar os tipos de Inventário especificados. Estes exemplos usama AWS CLI. Cada exemplo inclui um comando completo com filtros que você pode executar na linha decomando e um arquivo input.json de exemplo se você preferir inserir as informações em um arquivo.

Exemplo 1

Este exemplo agrega uma contagem de instâncias que estão e que não estão configuradas para coletar ostipos de inventário AWS:Application ou AWS:File.

Execute o seguinte comando na AWS CLI.

aws ssm get-inventory --aggregators 'Groups=[{Name=ApplicationORFile,Filters=[{Key=TypeName,Values=[AWS:Application, AWS:File],Type=Exists}]}]'

Se preferir usar um arquivo, copie e cole o seguinte exemplo em um arquivo e salve-o como input.json.

{ "Aggregators":[ { "Groups":[ { "Name":"ApplicationORFile", "Filters":[ { "Key":"TypeName", "Values":[ "AWS:Application", "AWS:File" ], "Type":"Exists" } ] } ] } ]}


aws ssm get-inventory --cli-input-json file://input.json


{ "Entities":[ { "Data":{ "ApplicationORFile":{ "Content":[ {

100


"notMatchingCount":"1" }, { "matchingCount":"3" } ] } } } ]}

Exemplo 2

Este exemplo agrega uma contagem de instâncias que estão e que não estão configuradas para coletar ostipos de inventário AWS:Application, AWS:File e AWS:Network.


aws ssm get-inventory --aggregators 'Groups=[{Name=Application,Filters=[{Key=TypeName,Values=[AWS:Application],Type=Exists}]}, {Name=File,Filters=[{Key=TypeName,Values=[AWS:File],Type=Exists}]}, {Name=Network,Filters=[{Key=TypeName,Values=[AWS:Network],Type=Exists}]}]'

Se preferir usar um arquivo, copie e cole o seguinte exemplo em um arquivo e salve-o como input.json.

{ "Aggregators":[ { "Groups":[ { "Name":"Application", "Filters":[ { "Key":"TypeName", "Values":[ "AWS:Application" ], "Type":"Exists" } ] }, { "Name":"File", "Filters":[ { "Key":"TypeName", "Values":[ "AWS:File" ], "Type":"Exists" } ] }, { "Name":"Network", "Filters":[ { "Key":"TypeName", "Values":[ "AWS:Network" ], "Type":"Exists"

101

AWS Systems Manager Guia do usuárioConsultar uma coleta de inventário

} ] } ] } ]}


aws ssm get-inventory --cli-input-json file://input.json


{ "Entities":[ { "Data":{ "Application":{ "Content":[ { "notMatchingCount":"2" }, { "matchingCount":"2" } ] }, "File":{ "Content":[ { "notMatchingCount":"2" }, { "matchingCount":"2" } ] }, "Network":{ "Content":[ { "notMatchingCount":"3" }, { "matchingCount":"1" } ] } } } ]}

Consultar uma coleta de inventárioDepois de coletar dados de inventário, você pode usar os recursos de filtro no Systems Manager paraconsultar uma lista de instâncias gerenciados que atendam a certos critérios de filtro.

Para consultar instâncias com base em filtros de inventário

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

102


AWS Systems Manager Guia do usuárioExcluir inventário personalizado

2. No painel de navegação, escolha Inventory.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Inventory no painel de navegação.

3. Na seção Filter by resource groups, tags or inventory types, escolha a caixa de filtro. Uma lista defiltros predefinidos será exibida.

4. Escolha um atributo para filtrar. Por exemplo, escolha AWS:Application. Se solicitado, escolha umatributo secundário para filtrar. Por exemplo, escolha AWS:Application.Name.

5. Escolha um delimitador da lista. Por exemplo, escolha Begin with. Uma caixa de texto é exibida nofiltro.

6. Digite um valor nessa caixa de texto. Por exemplo, digite Amazon (o SSM Agent é chamado deAmazon SSM Agent).

7. Pressione Enter. O sistema retorna uma lista de instâncias gerenciados que incluem um nome deaplicativo que começa com a palavra Amazon.

Note

Você pode combinar vários filtros para refinar sua pesquisa.

Excluir inventário personalizadoVocê pode usar a ação da API DeleteInventory para excluir um tipo de inventário personalizado e os dadosassociados a esse tipo. Chame o comando delete-inventory usando a AWS CLI para excluir todos osdados de um tipo de inventário. Você chama o comando delete-inventory com SchemaDeleteOptionpara excluir um tipo de inventário personalizado.

Note

Um tipo de inventário também é chamado de esquema de inventário.

O parâmetro SchemaDeleteOption inclui as opções a seguir:

• DeleteSchema: esta opção exclui o tipo personalizado especificado e todos os dados associados a ele.Se desejar, você pode recriar o esquema mais tarde.

• DisableSchema: se você escolher essa opção, o sistema desativará a versão atual, excluirá todos osdados dela e ignorará todos os novos dados se a versão for menor ou igual à versão desativada. Vocêpode habilitar esse tipo de inventário novamente chamando a ação PutInventory para uma versãoposterior à versão desabilitada.

Para excluir ou desativar o inventário personalizado usando a AWS CLI


deve ter privilégios de administrador no Amazon EC2 ou deve ter recebido a permissão apropriada noAWS Identity and Access Management (IAM).

aws configure


AWS Access Key ID [None]: key_nameAWS Secret Access Key [None]: key_nameDefault region name [None]: region

103

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteInventory.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutInventory.html



Default output format [None]: ENTER

3. Execute o seguinte comando para usar a opção dry-run para ver quais dados serão excluídos dosistema. Esse comando não exclui nenhum dado.

aws ssm delete-inventory --type-name "Custom:custom_type_name" --dry-run


{ "DeletionSummary":{ "RemainingCount":3, "SummaryItems":[ { "Count":2, "RemainingCount":2, "Version":"1.0" }, { "Count":1, "RemainingCount":1, "Version":"2.0" } ], "TotalCount":3 }, "TypeName":"Custom:custom_type_name"}

Para obter informações sobre como entender o resumo de exclusão do inventário, consulte Noçõesbásicas sobre o Resumo de exclusão do inventário (p. 108).

4. Execute o seguinte comando para excluir todos os dados de um tipo de inventário personalizado.

aws ssm delete-inventory --type-name "Custom:custom_type_name"

Note

O resultado desse comando não mostra o andamento da exclusão. Por esse motivo,TotalCount e Contagem Restante são sempre os mesmos porque o sistema ainda nãoexcluiu nada. Você pode usar o comando "describe-inventory-deletions" para mostrar oandamento da exclusão, conforme descrito mais adiante neste tópico.


{ "DeletionId":"system_generated_deletion_ID", "DeletionSummary":{ "RemainingCount":3, "SummaryItems":[ { "Count":2, "RemainingCount":2, "Version":"1.0" }, { "Count":1, "RemainingCount":1, "Version":"2.0" } ],

104


"TotalCount":3 }, "TypeName":"custom_type_name"}

O sistema exclui todos os dados do tipo de inventário personalizado especificado do serviço deinventário do Systems Manager.

5. Execute o comando a seguir. O comando executa as seguintes ações para a versão atual do tipo deinventário: desabilita a versão atual, exclui todos os dados dela e ignora todos os novos dados se aversão for anterior ou igual à versão desabilitada.

aws ssm delete-inventory --type-name "Custom:custom_type_name" --schema-delete-option "DisableSchema"


{ "DeletionId":"system_generated_deletion_ID", "DeletionSummary":{ "RemainingCount":3, "SummaryItems":[ { "Count":2, "RemainingCount":2, "Version":"1.0" }, { "Count":1, "RemainingCount":1, "Version":"2.0" } ], "TotalCount":3 }, "TypeName":"Custom:custom_type_name"}

Você pode visualizar um tipo de inventário desabilitado usando o comando a seguir.

aws ssm get-inventory-schema --type-name Custom:custom_type_name

6. Execute o seguinte comando para excluir um tipo de inventário.

aws ssm delete-inventory --type-name "Custom:custom_type_name" --schema-delete-option "DeleteSchema"

O sistema exclui o esquema e todos os dados de inventário do tipo personalizado especificado.


{ "DeletionId":"system_generated_deletion_ID", "DeletionSummary":{ "RemainingCount":3, "SummaryItems":[ { "Count":2, "RemainingCount":2, "Version":"1.0"

105


}, { "Count":1, "RemainingCount":1, "Version":"2.0" } ], "TotalCount":3 }, "TypeName":"Custom:custom_type_name"}

Visualizar o status de exclusãoVocê pode verificar o status de uma operação de exclusão usando o comando "describe-inventory-deletions" da AWS CLI. Você pode especificar um ID de exclusão para visualizar o status de umadeterminada operação de exclusão. Ou você pode omitir o ID de exclusão para visualizar uma lista detodas as exclusões executadas nos últimos 30 dias.

1. Execute o seguinte comando para visualizar o status de uma operação de exclusão. O sistemaretornou o ID de exclusão no resumo de exclusão do inventário.

aws ssm describe-inventory-deletions --deletion-id system_generated_deletion_ID

O sistema retorna o status mais recente. A operação de exclusão pode não estar concluída. O sistemaretorna informações como as seguintes.

{"InventoryDeletions": [ {"DeletionId": "system_generated_deletion_ID", "DeletionStartTime": 1521744844, "DeletionSummary": {"RemainingCount": 1, "SummaryItems": [ {"Count": 1, "RemainingCount": 1, "Version": "1.0"} ], "TotalCount": 1}, "LastStatus": "InProgress", "LastStatusMessage": "The Delete is in progress", "LastStatusUpdateTime": 1521744844, "TypeName": "Custom:custom_type_name"} ]}

Se a operação de exclusão for bem-sucedida, a mensagem LastStatusMessage indica: Exclusãobem-sucedida.

{"InventoryDeletions": [ {"DeletionId": "system_generated_deletion_ID", "DeletionStartTime": 1521744844, "DeletionSummary": {"RemainingCount": 0, "SummaryItems": [

106


{"Count": 1, "RemainingCount": 0, "Version": "1.0"} ], "TotalCount": 1}, "LastStatus": "Complete", "LastStatusMessage": "Deletion is successful", "LastStatusUpdateTime": 1521745253, "TypeName": "Custom:custom_type_name"} ]}

2. Execute o seguinte comando para visualizar uma lista de todas as exclusões executadas nos últimos30 dias.

aws ssm describe-inventory-deletions --max-results a number

{"InventoryDeletions": [ {"DeletionId": "system_generated_deletion_ID", "DeletionStartTime": 1521682552, "DeletionSummary": {"RemainingCount": 0, "SummaryItems": [ {"Count": 1, "RemainingCount": 0, "Version": "1.0"} ], "TotalCount": 1}, "LastStatus": "Complete", "LastStatusMessage": "Deletion is successful", "LastStatusUpdateTime": 1521682852, "TypeName": "Custom:custom_type_name"}, {"DeletionId": "system_generated_deletion_ID", "DeletionStartTime": 1521744844, "DeletionSummary": {"RemainingCount": 0, "SummaryItems": [ {"Count": 1, "RemainingCount": 0, "Version": "1.0"} ], "TotalCount": 1}, "LastStatus": "Complete", "LastStatusMessage": "Deletion is successful", "LastStatusUpdateTime": 1521745253, "TypeName": "Custom:custom_type_name"}, {"DeletionId": "system_generated_deletion_ID", "DeletionStartTime": 1521680145, "DeletionSummary": {"RemainingCount": 0, "SummaryItems": [ {"Count": 1, "RemainingCount": 0, "Version": "1.0"} ], "TotalCount": 1}, "LastStatus": "Complete", "LastStatusMessage": "Deletion is successful", "LastStatusUpdateTime": 1521680471,

107


"TypeName": "Custom:custom_type_name"} ], "NextToken": "next-token"

Noções básicas sobre o Resumo de exclusão do inventárioPara ajudá-lo a compreender o conteúdo do resumo de exclusão do inventário, considere o exemploa seguir. Um usuário atribuiu o inventário Custom:RackSpace a três instâncias. Os itens de inventário1 e 2 usam o tipo personalizado versão 1.0 ("SchemaVersion":"1.0"). O item de inventário 3 usa o tipopersonalizado versão 2.0 ("SchemaVersion":"2.0").

Inventário personalizado do RackSpace 1

{ "CaptureTime":"2018-02-19T10:48:55Z", "TypeName":"CustomType:RackSpace", "InstanceId":"i-1234567890", "SchemaVersion":"1.0" "Content":[ { content of custom type omitted } ]}





O usuário executa o comando a seguir para visualizar quais dados serão excluídos.

aws ssm delete-inventory --type-name "Custom:RackSpace" --dry-run


{ "DeletionId":"1111-2222-333-444-66666", "DeletionSummary":{

108


"RemainingCount":3, "TotalCount":3, TotalCount and RemainingCount are the number of items that would be deleted if this was not a dry run. These numbers are the same because the system didn't delete anything. "SummaryItems":[ { "Count":2, The system found two items that use SchemaVersion 1.0. Neither item was deleted. "RemainingCount":2, "Version":"1.0" }, { "Count":1, The system found one item that uses SchemaVersion 1.0. This item was not deleted. "RemainingCount":1, "Version":"2.0" } ],

}, "TypeName":"Custom:RackSpace"}

O usuário executa o comando a seguir para excluir o inventário Custom:RackSpace.Note

O resultado desse comando não mostra o andamento da exclusão. Por esse motivo, TotalCount eContagem Restante são sempre os mesmos porque o sistema ainda não excluiu nada. Você podeusar o comando "describe-inventory-deletions" para mostrar o andamento da exclusão.

aws ssm delete-inventory --type-name "Custom:RackSpace"


{ "DeletionId":"1111-2222-333-444-7777777", "DeletionSummary":{ "RemainingCount":3, There are three items to delete "SummaryItems":[ { "Count":2, The system found two items that use SchemaVersion 1.0. "RemainingCount":2, "Version":"1.0" }, { "Count":1, The system found one item that uses SchemaVersion 2.0. "RemainingCount":1, "Version":"2.0" } ], "TotalCount":3 }, "TypeName":"RackSpace"}

Exibindo ações de exclusão de inventário no CloudWatch EventsVocê pode configurar o Amazon CloudWatch Events para criar um evento sempre que um usuário excluirInventário personalizado. O CloudWatch oferece três tipos de eventos para excluir operações de inventáriopersonalizado:

109


• Excluir ação de uma instância: se o Inventário personalizado de uma instância gerenciada específica foiexcluído com êxito ou não.

• Excluir resumo da ação: Um resumo da ação de exclusão.• Aviso de tipo de inventário personalizado desabilitado: um evento de aviso se um usuário chamou a

ação de API do PutInventory para um tipo de inventário personalizado que foi desativado anteriormente.

Veja exemplos de cada evento:

Delete action for an instance (Excluir ação de uma instância)

{ "version":"0", "id":"998c9cde-56c0-b38b-707f-0411b3ff9d11", "detail-type":"Inventory Resource State Change", "source":"aws.ssm", "account":"478678815555", "time":"2018-05-24T22:24:34Z", "region":"us-east-1", "resources":[ "arn:aws:ssm:us-east-1:478678815555:managed-instance/i-0a5feb270fc3f0b97" ], "detail":{ "action-status":"succeeded", "action":"delete", "resource-type":"managed-instance", "resource-id":"i-0a5feb270fc3f0b97", "action-reason":"", "type-name":"Custom:MyInfo" }}

Delete action summary (Excluir resumo da ação)

{ "version":"0", "id":"83898300-f576-5181-7a67-fb3e45e4fad4", "detail-type":"Inventory Resource State Change", "source":"aws.ssm", "account":"478678815555", "time":"2018-05-24T22:28:25Z", "region":"us-east-1", "resources":[

], "detail":{ "action-status":"succeeded", "action":"delete-summary", "resource-type":"managed-instance", "resource-id":"", "action-reason":"The delete for type name Custom:MyInfo was completed. The deletion summary is: {\"totalCount\":2,\"remainingCount\":0,\"summaryItems\":[{\"version\":\"1.0\",\"count\":2,\"remainingCount\":0}]}", "type-name":"Custom:MyInfo" }}

Warning for disabled custom Inventory type (Aviso para tipo de inventário personalizado desativado)

{ "version":"0",

110


AWS Systems Manager Guia do usuárioDemonstrações de Inventário

"id":"49c1855c-9c57-b5d7-8518-b64aeeef5e4a", "detail-type":"Inventory Resource State Change", "source":"aws.ssm", "account":"478678815555", "time":"2018-05-24T22:46:58Z", "region":"us-east-1", "resources":[ "arn:aws:ssm:us-east-1:478678815555:managed-instance/i-0ee2d86a2cfc371f6" ], "detail":{ "action-status":"failed", "action":"put", "resource-type":"managed-instance", "resource-id":"i-0ee2d86a2cfc371f6", "action-reason":"The inventory item with type name Custom:MyInfo was sent with a disabled schema verison 1.0. You must send a version greater than 1.0", "type-name":"Custom:MyInfo" }}

Use o procedimento a seguir para criar uma regra CloudWatch Events de operações de exclusão deinventário personalizado. Este procedimento mostra como criar uma regra que envia notificações paraexcluir operações de Inventário personalizado em um tópico do Amazon SNS. Antes de começar, verifiquese você tem um tópico do Amazon SNS ou crie um novo. Para obter mais informações, consulte GettingStarted no Amazon Simple Notification Service Developer Guide.

Para configurar o CloudWatch Events para excluir operações de inventário

1. Sign in to the AWS Management Console and open the CloudWatch console at https://console.aws.amazon.com/cloudwatch/.

2. No painel de navegação esquerdo, escolha Events e depois escolha Create rule.3. Em Event Source, verifique se a opção Event Pattern está selecionada.4. No campo Service Name, escolha EC2 Simple Systems Manager (SSM).5. No campo Event Type (Tipo de evento), escolha Inventory (Inventário).6. Verifique se Any detail type (Qualquer tipo de detalhe) está selecionado e, em seguida, escolha Add

targets (Adicionar destinos).7. Na lista Select target type (Selecionar tipo de destino), escolha SNS topic (Tópico DNS), e depois

escolha seu tópico na lista.8. Na lista Configure input (Configurar entrada), verifique se Matched event (Evento combinado) está

selecionado.9. Escolha Configure details.10. Especifique um nome e uma descrição e depois escolha Create rule (Criar regra).

Demonstrações do Gerenciador de inventário doSystems ManagerUse as seguintes demonstrações para coletar e gerenciar dados de Inventário. Recomendamos que vocêrealize inicialmente essas demonstrações com instâncias gerenciadas em um ambiente de teste.

Antes de começar

Antes de começar a usar essas demonstrações, execute as tarefas a seguir.

• Atualize o Agente do SSM nas instâncias que você deseja. Ao executar a versão mais recentedo Agente do SSM, você garante que pode coletar metadados para todos os tipos de inventário

111

https://docs.aws.amazon.com/sns/latest/dg/GettingStarted.html


https://console.aws.amazon.com/cloudwatch/



comportados. Para obter informações sobre como atualizar o Agente do SSM usando o State Manager,consulte Demonstração: atualizar automaticamente o Agente do SSM (CLI) (p. 346).

• Verifique se as suas instâncias atendem aos pré-requisitos do Systems Manager. Para obter maisinformações, consulte Pré-requisitos do Systems Manager (p. 8).

• (Opcional) Crie um arquivo JSON para coletar inventário personalizado. Para obter mais informações,consulte Trabalhar com inventário personalizado (p. 84).

Tópicos• Demonstração: atribuir metadados de inventário personalizados a uma instância (p. 112)• Demonstração: usar a AWS CLI para coletar o inventário (p. 113)• Demonstração: usar a Sincronização de dados de recursos para agregar dados de

inventário (p. 115)

Demonstração: atribuir metadados de inventário personalizados auma instânciaO procedimento a seguir envolve o processo de usar a ação de API PutInventory para atribuir metadadosde Inventário personalizados a uma instância gerenciada. Esse exemplo atribui informações de localizaçãode rack a uma instância. Para obter mais informações sobre o Inventário personalizado, consulte Trabalharcom inventário personalizado (p. 84).

Para atribuir metadados de Inventário personalizados a uma instância



aws configure



3. Execute o seguinte comando para atribuir informações de localização de rack a uma instância.

aws ssm put-inventory --instance-id "ID" --items '[{"CaptureTime": "2016-08-22T10:01:01Z", "TypeName": "Custom:RackInfo", "Content":[{"RackLocation": "Bay B/Row C/Rack D/Shelf E"}], "SchemaVersion": "1.0"}]'

4. Execute o seguinte comando para visualizar as entradas de inventário personalizadas para essainstância.

aws ssm list-inventory-entries --instance-id ID --type-name "Custom:RackInfo"

O sistema responde com informações como as seguintes.

{ "InstanceId": "ID", "TypeName": "Custom:RackInfo",

112

https://docs.aws.amazon.com/ssm/latest/APIReference/API_PutInventory.html



"Entries": [ { "RackLocation": "Bay B/Row C/Rack D/Shelf E" } ], "SchemaVersion": "1.0", "CaptureTime": "2016-08-22T10:01:01Z"}

5. Execute o seguinte comando para visualizar os metadados personalizados.

aws ssm get-inventory


{ "Entities": [ { "Data": { "AWS:InstanceInformation": { "Content": [ { "ComputerName": "WIN-9JHCEPEGORG.WORKGROUP", "InstanceId": "ID", "ResourceType": "EC2Instance", "AgentVersion": "3.19.1153", "PlatformVersion": "6.3.9600", "PlatformName": "Windows Server 2012 R2 Standard", "PlatformType": "Windows" } ], "TypeName": "AWS:InstanceInformation", "SchemaVersion": "1.0" } }, "Id": "ID" } ]}

Demonstração: usar a AWS CLI para coletar o inventárioO procedimento a seguir demonstra passo a passo o processo de usar o Inventário para coletarmetadados de uma instância do Amazon EC2. Quando você configura a coleta de inventário, primeirocria uma associação do State Manager do Systems Manager. O Systems Manager coleta os dados deinventário quando a associação é executada. Se você não criar a associação primeiro e tentar invocar oplug-in aws:softwareInventory usando, por exemplo, o Executar comando, o sistema retornará o seguinteerro:

The aws:softwareInventory plugin can only be invoked via ssm-associate.

Note

Uma instância pode ter apenas uma associação de Inventário configurada por vez. Se vocêconfigurar uma instância com duas ou mais associações de Inventário, a associação não seráexecutada, e não serão coletados dados de inventário.

Para coletar o inventário de uma instância

1. Faça download da versão mais recente da AWS CLI para sua máquina local.

113



2. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Vocêdeve ter privilégios de administrador no Amazon EC2 ou deve ter recebido a permissão apropriada noAWS Identity and Access Management (IAM).

aws configure



3. Execute o comando a seguir para criar uma associação do State Manager que execute o Inventário nainstância. Esse comando configura o serviço para executar a cada seis horas e coletar a configuraçãode rede, o Windows Update e os metadados de aplicativos de uma instância.

aws ssm create-association --name "AWS-GatherSoftwareInventory" --targets "Key=instanceids,Values=an instance ID" --schedule-expression "cron(0 0/30 * 1/1 * ? *)" --output-location "{ \"S3Location\": { \"OutputS3Region\": \"region-id\", \"OutputS3BucketName\": \"Test bucket\", \"OutputS3KeyPrefix\": \"Test\" } }" --parameters "networkConfig=Enabled,windowsUpdates=Enabled,applications=Enabled"

region-id representa a região da AWS em que a instância está localizada, como us-east-2 para USEast (Ohio) Region.


{ "AssociationDescription": { "ScheduleExpression": "cron(0 0/30 * 1/1 * ? *)", "OutputLocation": { "S3Location": { "OutputS3KeyPrefix": "Test", "OutputS3BucketName": "Test bucket", "OutputS3Region": "us-east-2" } }, "Name": "The name you specified", "Parameters": { "applications": [ "Enabled" ], "networkConfig": [ "Enabled" ], "windowsUpdates": [ "Enabled" ] }, "Overview": { "Status": "Pending", "DetailedStatus": "Creating" }, "AssociationId": "1a2b3c4d5e6f7g-1a2b3c-1a2b3c-1a2b3c-1a2b3c4d5e6f7g", "DocumentVersion": "$DEFAULT", "LastUpdateAssociationDate": 1480544990.06, "Date": 1480544990.06, "Targets": [ { "Values": [

114


"i-1a2b3c4d5e6f7g" ], "Key": "InstanceIds" } ] }}

Você pode direcionar grupos extensos de instâncias usando o parâmetro Targets com tags do EC2.Por exemplo:

aws ssm create-association --name "AWS-GatherSoftwareInventory" --targets "Key=tag:Environment,Values=Production" --schedule-expression "cron(0 0/30 * 1/1 * ? *)" --output-location "{ \"S3Location\": { \"OutputS3Region\": \"us-east-2\", \"OutputS3BucketName\": \"Test bucket\", \"OutputS3KeyPrefix\": \"Test\" } }" --parameters "networkConfig=Enabled,windowsUpdates=Enabled,applications=Enabled"

Você também pode inventariar arquivos e chaves do Registro do Windows em uma instância doWindows usando o files e windowsRegistry tipos de inventário com expressões. Para obter maisinformações sobre esses tipos de inventário, consulte Como trabalhar com inventário de arquivos e doRegistro do Windows (p. 82).

aws ssm create-association --name "AWS-GatherSoftwareInventory" --targets "Key=instanceids,Values=i-0704358e3a3da9eb1" --schedule-expression "cron(0 0/30 * 1/1 * ? *)" --parameters '{"files":["[{\"Path\": \"C:\\Program Files\", \"Pattern\": [\"*.exe\"], \"Recursive\": true}]"], "windowsRegistry": ["[{\"Path\":\"HKEY_LOCAL_MACHINE\\Software\\Amazon\", \"Recursive\":true}]"]}' --profile dev-pdx

4. Execute o seguinte comando para visualizar o status da associação.

aws ssm describe-instance-associations-status --instance-id an instance ID


{"InstanceAssociationStatusInfos": [ { "Status": "Pending", "DetailedStatus": "Associated", "Name": "reInvent2016PolicyDocumentTest", "InstanceId": "i-1a2b3c4d5e6f7g", "AssociationId": "1a2b3c4d5e6f7g-1a2b3c-1a2b3c-1a2b3c-1a2b3c4d5e6f7g", "DocumentVersion": "1" }]}

Demonstração: usar a Sincronização de dados de recursos paraagregar dados de inventárioA etapa a seguir descreve como criar uma configuração de Sincronização de dados de recursosusando a AWS CLI. A Sincronização de dados de recursos compatibiliza automaticamente os dados deInventário de todas as suas instâncias gerenciadas em um bucket do Amazon S3 central. A sincronizaçãoatualiza automaticamente os dados no bucket do Amazon S3 central quando novos dados de Inventáriosão descobertos. Essa demonstração também descreve como usar o Amazon Athena e o AmazonQuickSight para consultar e analisar os dados agregados. Para obter informações sobre como criar

115


uma Sincronização de dados de recursos usando o console do Amazon EC2, consulte Configurando aSincronização de dados de recursos para inventário (p. 88).

Note

Essa demonstração inclui informações sobre como criptografar a sincronização usando o AWSKey Management Service (AWS KMS). O inventário não coleta dados específicos do usuário,patenteados ou confidenciais e, portanto, a criptografia é opcional. Para obter mais informaçõessobre o AWS KMS, consulte AWS Key Management Service Developer Guide.

Antes de começar

Antes de começar essa demonstração, você deve coletar metadados de Inventário das suas instânciasgerenciadas. Para fins das seções sobre o Amazon Athena e o Amazon QuickSight nesta demonstração,recomendamos que você colete metadados de Aplicativo. Para obter mais informações sobre como coletardados de Inventário, consulte Demonstração: usar a AWS CLI para coletar o inventário (p. 113).

(Opcional) Se quiser criptografar a sincronização usando o AWS KMS, você deverá criar uma nova chaveque inclua a política a seguir, ou deverá atualizar uma chave existente e adicionar essa política a ela.

{ "Version":"2012-10-17", "Id":"ssm-access-policy", "Statement":[ { "Sid":"ssm-access-policy-statement", "Action":[ "kms:GenerateDataKey" ], "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Resource":"arn:aws:kms:region:AWS-account-ID:key/KMS-key-id" } ]}

Para criar uma sincronização de dados de recurso para inventário



3. Depois de criar o bucket, escolha a guia Permissions e depois escolha Bucket Policy.4. Copie e cole a seguinte política de bucket no editor de políticas. Substitua bucket-name e

account-id pelo o nome do bucket do Amazon S3 que você criou e um ID de conta da AWS válido.Opcionalmente, substitua bucket-prefix pelo nome de um prefixo do Amazon S3 (subdiretório). Sevocê não criou um prefixo, remova bucket-prefix/ do ARN na política.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" },

116

https://docs.aws.amazon.com/kms/latest/developerguide/




"Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::bucket-name/bucket-prefix/*/accountid=account-id/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

5. (Opcional) Se quiser criptografar a sincronização, você deverá adicionar a seguinte política ao bucket.Repita a etapa anterior para adicionar a seguinte política ao bucket.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::bucket-name/prefix/*", "Condition":{ "StringEquals":{ "s3:x-amz-server-side-encryption":"aws:kms", "s3:x-amz-server-side-encryption-aws-kms-key-id":"arn:aws:kms:region:AWS-account-ID:key/KMS-key-ID" } } } ]}



aws configure



8. (Opcional) Se quiser criptografar a sincronização, execute o seguinte comando para verificar se apolítica do bucket está aplicando o requisito de chave do KMS.

117



aws s3 cp ./A file in the bucket s3://bucket-name/prefix/ --sse aws:kms --sse-kms-key-id "arn:aws:kms:region:AWS-account-ID:key/KMS-key-id" --region region

9. Execute o seguinte comando para criar uma configuração de Sincronização de dados de recursoscom o bucket do Amazon S3 que você criou no início deste procedimento. Esse comando cria umasincronização da Região da AWS à qual você está conectado no momento.

Note


aws ssm create-resource-data-sync --sync-name a name --s3-destination "BucketName=the name of the S3 bucket,Prefix=the name of the prefix, if specified,SyncFormat=JsonSerDe,Region=the region where the S3 bucket was created"

Você pode usar o parâmetro region para especificar onde a configuração de sincronização deve sercriada. No exemplo a seguir, dados de Inventário da Região us-west-1 serão sincronizados no bucketdo Amazon S3 na Região us-west-2.

aws ssm create-resource-data-sync --sync-name InventoryDataWest --s3-destination "BucketName=InventoryData,Prefix=HybridEnv,SyncFormat=JsonSerDe,Region=us-west-2" --region us-west-1

(Opcional) Se quiser criptografar a sincronização usando o AWS KMS, execute o seguinte comandopara criar a sincronização. Se você criptografar a sincronização, a chave do AWS KMS e o bucket doAmazon S3 deverão estar na mesma Região.

aws ssm create-resource-data-sync --sync-name sync-name --s3-destination "BucketName=bucket-name,Prefix=prefix,SyncFormat=JsonSerDe,AWSKMSKeyARN=arn:aws:kms:region:AWS-account-ID:key/KMS-key-id,Region=bucket-region" --region region

10. Execute o seguinte comando para visualizar o status da configuração de sincronização.

aws ssm list-resource-data-sync

Se você criou a configuração de sincronização em uma Região diferente, deverá especificar oparâmetro region, como mostra o exemplo a seguir.

aws ssm list-resource-data-sync --region us-west-1

11. Depois que a configuração de sincronização tiver sido criada com sucesso, navegue pelo bucket dedestino no Amazon S3. Os dados de inventário deverão aparecer em poucos minutos.

Trabalhar com os dados no Amazon Athena

A seção a seguir descreve como visualizar e consultar os dados no Amazon Athena. Antes de começar,recomendamos que você saiba mais sobre o Athena. Para obter mais informações, consulte O que éAmazon Athena? e Trabalhar com dados no Amazon Athena User Guide.

Para visualizar e consultar os dados no Amazon Athena

1. Open the Athena console at https://console.aws.amazon.com/athena/.

118


https://docs.aws.amazon.com/athena/latest/ug/what-is.html

https://docs.aws.amazon.com/athena/latest/ug/what-is.html

https://docs.aws.amazon.com/athena/latest/ug/work-with-data.html

https://console.aws.amazon.com/athena/home


2. Copie e cole a seguinte instrução no editor de consultas e escolha Run Query.

CREATE DATABASE ssminventory

O sistema cria um banco de dados chamado ssminventory.3. Copie e cole a seguinte instrução no editor de consultas e escolha Run Query. Substitua bucket-

name e bucket-prefix pelo nome e prefixo do destino do Amazon S3.

CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_Application (Name string,ApplicationType string,Publisher string,Version string,InstalledTime string,Architecture string,URL string,Summary string,PackageId string) PARTITIONED BY (AccountId string, Region string, ResourceType string)ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'WITH SERDEPROPERTIES ( 'serialization.format' = '1') LOCATION 's3://bucket-name/bucket-prefix/AWS:Application/'


MSCK REPAIR TABLE ssminventory.AWS_Application

O sistema particiona a tabela.

Note

Se você criar Sincronizações de dados de recursos a partir de Regiões ou contas da AWSadicionais, você deverá executar esse comando novamente para atualizar as partições.Talvez você também precise atualizar sua política de bucket do Amazon S3.

5. Para visualizar seus dados, escolha o ícone de exibição ao lado da tabela AWS_Application.


SELECT a.name, a.version, count( a.version) frequency from aws_application a wherea.name = 'aws-cfn-bootstrap'group by a.name, a.versionorder by frequency desc

A consulta retorna uma contagem de diferentes versões de aws-cfn-bootstrap, que é um aplicativo daAWS presente em instâncias do Amazon EC2 para Linux e Windows.

7. Copie e cole individualmente as seguintes instruções no editor de consultas, substitua bucket-name e bucket-prefix por informações para o Amazon S3 e depois escolha Run Query. Essasinstruções configuram tabelas de Inventário adicionais no Athena.

CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_AWSComponent ( `ResourceId` string,

119


`Name` string, ÀpplicationType` string, `Publisher` string, `Version` string, ÌnstalledTime` string, Àrchitecture` string, ÙRL` string)PARTITIONED BY (AccountId string, Region string, ResourceType string)ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'WITH SERDEPROPERTIES ( 'serialization.format' = '1') LOCATION 's3://bucket-name/bucket-prefix/AWS:AWSComponent/'

MSCK REPAIR TABLE ssminventory.AWS_AWSComponent

CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_WindowsUpdate ( `ResourceId` string, `HotFixId` string, `Description` string, ÌnstalledTime` string, ÌnstalledBy` string)PARTITIONED BY (AccountId string, Region string, ResourceType string)ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'WITH SERDEPROPERTIES ( 'serialization.format' = '1') LOCATION 's3://bucket-name/bucket-prefix/AWS:WindowsUpdate/'

MSCK REPAIR TABLE ssminventory.AWS_WindowsUpdate

CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_InstanceInformation ( ÀgentType` string, ÀgentVersion` string, `ComputerName` string, ÌamRole` string, ÌnstanceId` string, ÌpAddress` string, `PlatformName` string, `PlatformType` string, `PlatformVersion` string)PARTITIONED BY (AccountId string, Region string, ResourceType string)ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'WITH SERDEPROPERTIES ( 'serialization.format' = '1') LOCATION 's3://bucket-name/bucket-prefix/AWS:InstanceInformation/'

MSCK REPAIR TABLE ssminventory.AWS_InstanceInformation

CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_Network ( `ResourceId` string, `Name` string, `SubnetMask` string, `Gateway` string, `DHCPServer` string, `DNSServer` string, `MacAddress` string, ÌPV4` string, ÌPV6` string)PARTITIONED BY (AccountId string, Region string, ResourceType string)

120

AWS Systems Manager Guia do usuárioResolução de problemas com oinventário do Systems Manager

ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'WITH SERDEPROPERTIES ( 'serialization.format' = '1') LOCATION 's3://bucket-name/bucket-prefix/AWS:Network/'

MSCK REPAIR TABLE ssminventory.AWS_Network

CREATE EXTERNAL TABLE IF NOT EXISTS ssminventory.AWS_PatchSummary ( `ResourceId` string, `PatchGroup` string, `BaselineId` string, `SnapshotId` string, ÒwnerInformation` string, ÌnstalledCount` int, ÌnstalledOtherCount` int, `NotApplicableCount` int, `MissingCount` int, `FailedCount` int, ÒperationType` string, ÒperationStartTime` string, ÒperationEndTime` string)PARTITIONED BY (AccountId string, Region string, ResourceType string)ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'WITH SERDEPROPERTIES ( 'serialization.format' = '1') LOCATION 's3://bucket-name/bucket-prefix/AWS:PatchSummary/'

MSCK REPAIR TABLE ssminventory.AWS_PatchSummary

Trabalhar com os dados no Amazon QuickSight

A seção a seguir fornece uma visão geral com links para construir uma visualização no AmazonQuickSight.

Para construir uma visualização no Amazon QuickSight

1. Cadastre-se no Amazon QuickSight e faça login no console do QuickSight.2. Crie um conjunto de dados a partir da tabela AWS_Application e quaisquer outras tabelas que você

tenha criado. Para obter mais informações, consulte Criar um conjunto de dados usando dados doAmazon Athena.

3. Una tabelas. Por exemplo, você pode unir a coluna instanceid de AWS_InstanceInformationporque ela corresponde à coluna resourceid em outras tabelas de inventário. Para obter maisinformações sobre como unir tabelas, consulte o tópico sobre como Unir tabelas.

4. Crie uma visualização. Para obter mais informações, consulte o tópico sobre como Trabalhar com oAmazon QuickSight Visuals.

Resolução de problemas com o inventário do SystemsManagerEste tópico inclui informações sobre como resolver erros comuns ou problemas com o inventário doSystems Manager.

UnsupportedAgent

121

https://quicksight.aws/

https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-set-athena.html

https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-set-athena.html

https://docs.aws.amazon.com/quicksight/latest/user/joining-tables.html

https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html

https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html

AWS Systems Manager Guia do usuárioConformidade

Se o status detalhado de uma associação de inventário exibir UnsupportedAgent e o Association status(Status de associação) exibir Failed (Falhou), significa que a versão do Agente do SSM na instâncianão está correta. Para criar uma associação de inventário global (para inventariar todas as instânciasna sua conta da AWS), por exemplo, você precisa usar o Agente do SSM versão 2.0.790.0 ou posterior.Você pode ver a versão do agente em execução em cada uma das suas instâncias na página ManagedInstances (Instâncias gerenciadas) na coluna Agent version (Versão do agente). Para obter informaçõessobre como atualizar o Agente do SSM nas suas instâncias, consulte Exemplo: atualizar o SSMAgent (p. 227).

Skipped

Se o status da associação de inventário de uma instância exibir Skipped (Ignorada), significa que vocêcriou uma associação de inventário global, mas a instância ignorada já tinha uma associação de inventárioatribuída a ela. A associação de inventário global não foi atribuída a essa instância, e nenhum inventário foicoletado pela associação global de inventário. No entanto, a instância ainda relatará dados de inventárioquando a associação de inventário específica for executada.

Failed (Falha)

Se o status da associação de inventário de uma instância exibir Failed (Falhou), isso pode significarque a instância tem várias associações de inventário atribuídas a ela. Uma instância só pode ter umaassociação de inventário atribuída por vez. Uma associação de inventário usa o documento AWS-GatherSoftwareInventory SSM. Você pode executar o seguinte comando usando a AWS CLI paravisualizar uma lista de associações para uma instância.

aws ssm describe-instance-associations-status --instance-id instance ID

Conformidade de configuração do AWS SystemsManager

Você pode usar a Conformidade de configuração do AWS Systems Manager para verificar sua frotade instâncias gerenciadas no que diz respeito à conformidade de patches e a inconsistências deconfiguração. Você pode coletar e agregar dados de várias contas e regiões da AWS, e depois fazerbuscas detalhadas em recursos específicos que não são compatíveis. Por padrão, a Conformidadede configuração exibe dados da conformidade atual sobre a aplicação de patch do Patch Manager doSystems Manager e as associações do State Manager do Systems Manager. A conformidade do SystemsManager oferece os seguintes benefícios e recursos adicionais:

• Visualizar o histórico de conformidade e o controle de alterações para dados de aplicação de patch doPatch Manager e associações State Manager usando o AWS Config.

• Personalizar a conformidade do Systems Manager para criar seus próprios tipos de conformidade combase em seus requisitos de TI ou de negócios.

• Corrigir problemas usando o Executar comando do Systems Manager, State Manager ou AmazonCloudWatch Events.

• Portar dados para o Amazon Athena e o Amazon QuickSight para gerar relatórios no âmbito da frota.

A Conformidade de configuração é oferecida sem custo adicional. Você paga apenas pelos recursos daAWS que você utilizar.

Note

O Systems Manager se integra com o Chef InSpec. InSpec é uma estrutura de tempo deexecução de código aberto que permite criar perfis legíveis no GitHub ou no Amazon S3. Em

122


AWS Systems Manager Guia do usuárioConceitos básicos sobre a Conformidade de configuração

seguida, você pode usar o Systems Manager para executar verificações de compatibilidade evisualizar instâncias compatíveis e não compatíveis. Para obter mais informações, consulte Usode perfis do Chef InSpec com o Systems Manager Compliance (p. 71).

Tópicos• Conceitos básicos sobre a Conformidade de configuração (p. 123)• Criar uma sincronização de dados de recursos para conformidade de configuração (p. 124)• Trabalhar com a conformidade de configuração (p. 126)• Corrigir problemas de conformidade (p. 129)• Demonstração da Conformidade de configuração (AWS CLI) (p. 129)

Conceitos básicos sobre a Conformidade deconfiguraçãoPara começar a usar a Conformidade de configuração, conclua as seguintes tarefas.


A Conformidade de configuração funcionacom dados de aplicação de patches do PatchManager, associações do State Manager e tiposde conformidade personalizados em instânciasgerenciadas do Systems Manager. Verifique seas suas instâncias do Amazon EC2 e máquinashíbridas estão configuradas como instânciasgerenciadas, verificando os pré-requisitos doSystems Manager.

Pré-requisitos do Systems Manager (p. 8)

Atualize o Agente do SSM em suas instânciasgerenciadas para a versão mais recente.

Instalar e configurar o Agente do SSM (p. 19)

Se você planeja monitorar a conformidadede patches, verifique se configurou o PatchManager do Systems Manager. Você deve realizaroperações de aplicação de patches usando oPatch Manager antes que a Conformidade deconfiguração possa exibir dados de conformidadede patch.

Patch Manager do AWS SystemsManager (p. 251)

Se você planeja monitorar a conformidade deassociações, verifique se criou associações doState Manager. Você deve criar associações paraque a Conformidade de configuração possa exibiros dados de conformidade de associação.

State Manager do AWS SystemsManager (p. 335)

(Opcional) Configure o sistema para visualizaro histórico de conformidade e o controle dealterações.

Visualização do histórico da configuraçãode conformidade e do controle dealterações (p. 128)

(Opcional) Crie tipos de conformidadepersonalizados.

Demonstração da Conformidade de configuração(AWS CLI) (p. 129)

(Opcional) Crie uma sincronização de dadosde recursos para agregar todos os dados de

Criar uma sincronização de dados de recursospara conformidade de configuração (p. 124)

123

AWS Systems Manager Guia do usuárioCriar uma sincronização de dados de

recursos para conformidade de configuração

Tarefa Para obter mais informaçõesconformidade em um bucket do Amazon S3 dedestino.

Criar uma sincronização de dados de recursos paraconformidade de configuraçãoVocê pode usar a sincronização de dados de recursos do Systems Manager para enviar dados deconformidade de todas as suas instâncias gerenciadas para um bucket do Amazon S3 de destino.Quando você cria a sincronização, pode especificar instâncias gerenciadas de várias contas da AWS,regiões da AWS e seu ambiente híbrido local. Em seguida, a sincronização de dados de recursos atualizaautomaticamente os dados centralizados quando novos dados de conformidade são coletados. Comtodos os dados de conformidade armazenados em um bucket do Amazon S3 de destino, você pode usarserviços como o Amazon Athena e o Amazon QuickSight para consultar e analisar os dados agregados. Aconfiguração da sincronização de dados de recursos para conformidade de configuração é uma operaçãoúnica.

O gráfico a seguir mostra como a sincronização de dados de recursos agrega todos os dados de diferentescontas, regiões e seu ambiente híbrido em um repositório central.

Use o procedimento a seguir para criar uma sincronização de dados de recursos para conformidade deconfiguração usando o console do Amazon EC2.

Para criar e configurar um bucket do Amazon S3 para sincronização de dados de recursos



3. Escolha a guia Permissions e depois escolha Bucket Policy.

124



AWS Systems Manager Guia do usuárioCriar uma sincronização de dados de

recursos para conformidade de configuração

4. Copie e cole a seguinte política de bucket no editor de políticas. Substitua Bucket-Name eAccount-ID pelo o nome do bucket do Amazon S3 que você criou e um ID de conta da AWS válido.Opcionalmente, substitua Bucket-Prefix pelo nome de um prefixo do Amazon S3 (subdiretório). Sevocê não criou um prefixo, remova Bucket-Prefix/ do ARN na política.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::Bucket-Name" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::Bucket-Name/Bucket-Prefix/*/accountid=Account_ID_number/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Para criar uma sincronização de dados de recursos

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Managed Instances.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Managed Instances.

3. Escolha Resource Data Syncs e depois Create resource data sync.4. No campo Sync name, digite um nome para a configuração de sincronização.5. No campo Bucket name, digite o nome do bucket do Amazon S3 que você criou no início desse

procedimento.6. (Opcional) No campo Bucket prefix, digite o nome de um prefixo de bucket do Amazon S3

(subdiretório).7. No campo Bucket region, escolha This region se o bucket do Amazon S3 que você criou estiver

localizado na região atual da AWS. Se o bucket estiver localizado em uma região diferente da AWS,escolha Another region e digite o nome da região.

Note


125



AWS Systems Manager Guia do usuárioTrabalhar com a conformidade de configuração

8. Escolha Criar.

Trabalhar com a conformidade de configuraçãoA Conformidade de configuração coleta e relata dados sobre o status da aplicação de patches do PatchManager, das associações do State Manager e dos tipos de conformidade personalizados. Esta seçãoinclui detalhes sobre cada um desses tipos de conformidade e sobre como visualizar os dados deconformidade do Systems Manager. Esta seção também inclui informações sobre como visualizar ohistórico de conformidade e o controle de alterações.

Note

Agora o Systems Manager se integra com o Chef InSpec. InSpec é uma estrutura de tempo deexecução de código aberto que permite criar perfis legíveis no GitHub ou no Amazon S3. Emseguida, você pode usar o Systems Manager para executar verificações de compatibilidade evisualizar instâncias compatíveis e não compatíveis. Para obter mais informações, consulte Usode perfis do Chef InSpec com o Systems Manager Compliance (p. 71).

Tópicos• Sobre a conformidade de patches (p. 126)• Sobre a conformidade de associações do State Manager (p. 127)• Sobre a conformidade personalizada (p. 127)• Visualização de dados da conformidade atual (p. 127)• Visualização do histórico da configuração de conformidade e do controle de alterações (p. 128)

Sobre a conformidade de patchesApós usar o Patch Manager do Systems Manager para instalar patches em suas instâncias, asinformações do status de conformidade ficam imediatamente disponíveis no console ou em resposta acomandos da AWS CLI ou a ações correspondentes da API do Systems Manager.

Para cada patch, o sistema relata um dos seguintes valores de status de compatibilidade:

• Installed: o patch já estava instalado, ou o Patch Manager o instalou quando o documento AWS-RunPatchBaseline foi executado na instância.

• Installed_Other: o patch não está na linha de base, mas está instalado na instância. Uma pessoa podetê-lo instalado manualmente.

• Missing: o patch foi aprovado na linha de base, mas não está instalado na instância. Se você configurara tarefa do documento AWS-RunPatchBaseline para verificar (em vez de instalar), o sistema relata essestatus para os patches que foram localizados durante a verificação, mas que não foram instalados.

• Not_Applicable: o patch está aprovado na linha de base, mas o serviço ou recurso que o utilizanão está instalado na instância. Por exemplo, um patch para um serviço de servidor Web mostraráNot_Applicable se for aprovado na linha de base, mas o serviço Web não é instalado na instância.

• Failed: o patch foi aprovado na linha de base, mas não pôde ser instalado. Para solucionar essasituação, reveja o resultado do comando para obter informações que possam ajudá-lo a entender oproblema.

Note

Se quiser atribuir um status de conformidade de patch específico a uma instância, você pode usaro comando da CLI put-compliance-items ou a ação da API PutComplianceItems. A atribuição dostatus de conformidade não tem suporte no console.

126


https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html


Sobre a conformidade de associações do State ManagerApós criar uma ou mais associações do State Manager, as informações de status de conformidadeficam imediatamente disponíveis no console ou em resposta a comandos da AWS CLI ou a açõescorrespondentes da API do Systems Manager. Para associações, a Conformidade de configuração mostraos status de Compliant ou de Non-compliant e a gravidade de Unspecified.

Sobre a conformidade personalizadaVocê pode atribuir metadados de conformidade a uma instância gerenciada. Esses metadadospodem ser agregados com outros dados de conformidade para fins de relatórios de conformidade. Porexemplo, digamos que sua empresa execute as versões 2.0, 3.0 e 4.0 do software X em suas instânciasgerenciadas. A empresa deseja padronizar na versão 4.0, o que significa que as instâncias que executamas versões 2.0 e 3.0 não são compatíveis. Você pode usar a ação de API PutComplianceItems paraobservar explicitamente quais instâncias gerenciadas estão executando versões antigas do softwareX. Atualmente, só é possível atribuir metadados de conformidade usando a AWS CLI, o AWS Toolsfor Windows PowerShell ou os SDKs. O seguinte comando de exemplo da CLI atribui metadados deconformidade a uma instância gerenciada e especifica o tipo de conformidade no formato necessárioCustom:.

aws ssm put-compliance-items --resource-id i-1234567890 --resource-type ManagedInstance --compliance-type Custom:SoftwareXCheck --execution-summary ExecutionTime=AnyStringToDenoteTimeOrDate, --items Id=Version2.0,Title=SoftwareXVersion,Severity=CRITICAL,Status=NON_COMPLIANT

Os gerentes de conformidade podem então visualizar resumos ou criar relatórios sobre quais instânciassão ou não são compatíveis. Você pode atribuir um máximo de 10 tipos de conformidade personalizadosdiferentes a uma instância.

Para obter um exemplo de como criar um tipo de conformidade personalizado e visualizar dados deconformidade, consulte Demonstração da Conformidade de configuração (AWS CLI) (p. 129).

Visualização de dados da conformidade atualEsta seção descreve como visualizar dados de conformidade no console do AWS Systems Managerusando a AWS CLI. Para obter informações sobre como visualizar o histórico de conformidade de patchese de associações e o controle de alterações, consulte Visualização do histórico da configuração deconformidade e do controle de alterações (p. 128).

Tópicos• Visualização de dados da conformidade atual (Console) (p. 127)• Visualização de dados da conformidade atual (CLI) (p. 128)

Visualização de dados da conformidade atual (Console)Use o procedimento a seguir para visualizar dados de conformidade no console do Systems Manager.

Para visualizar relatórios da conformidade atual no console do Systems Manager

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Compliance (Conformidade).

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, selecione o ícone do menu ( ) para abriro painel de navegação e, em seguida, selecione Compliance (Conformidade) no painel de navegação.

127

https://docs.aws.amazon.com/ssm/latest/APIReference/API_PutComplianceItems.html



3. Na área Corresponding managed instances (Instâncias gerenciadas correspondentes), escolha o IDde uma instância para visualizar seu relatório detalhado de conformidade de configuração.

Note

Para obter mais informações sobre soluções de problemas com conformidade, consulte Corrigirproblemas de conformidade (p. 129).

Visualização de dados da conformidade atual (CLI)Você pode visualizar resumos de dados de conformidade de aplicação de patches, associações e tipos deconformidade personalizados na AWS CLI usando os seguintes comandos da AWS CLI.

list-compliance-summaries

retorna uma contagem de resumo de status de associação compatíveis e não compatíveis, de acordocom o filtro que você especificou. (API: ListComplianceSummaries)

list-resource-compliance-summaries

Retorna uma contagem de resumo no nível de recursos. O resumo inclui informações sobrestatus compatíveis e não compatíveis, bem como contagens detalhadas de severidadede itens de conformidade, de acordo com os critérios de filtro que você especifica. (API:ListResourceComplianceSummaries)

Você pode visualizar dados de conformidade adicionais de aplicação de patches executando os seguintescomandos na AWS CLI.

describe-patch-group-state

retorna o estado de conformidade de patches agregados de alto nível para um grupo de patches. (API:DescribePatchGroupState)

describe-instance-patch-states-for-patch-group

retorna o estado do patch de alto nível para as instâncias no grupo de patches especificado. (API:DescribeInstancePatchStatesForPatchGroup)

Note

Para ver uma ilustração de como configurar a aplicação de patches e visualizar os detalhes deconformidade de patches usando a AWS CLI, consulte Demonstrações do Patch Manager doSystems Manager (p. 277).

Visualização do histórico da configuração de conformidade e docontrole de alteraçõesA Conformidade de configuração do Systems Manager exibe dados de conformidade da aplicação depatches e das associações atuais de suas instâncias gerenciadas. Você pode visualizar o histórico deconformidade da aplicação de patches e de associações e o controle de alterações usando o AWS Config.O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS em sua conta daAWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados nopassado, de modo que você possa ver como os relacionamentos e as configurações foram alterados aolongo do tempo. Para visualizar o histórico de conformidade da aplicação de patches e das associações eo controle de alterações, você deve ativar os seguintes recursos no AWS Config:

• SSM:PatchCompliance• SSM:AssociationCompliance

128

https://docs.aws.amazon.com/cli/latest/reference/ssm/list-compliance-summaries.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_ListComplianceSummaries.html

https://docs.aws.amazon.com/cli/latest/reference/ssm/list-resource-compliance-summaries.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_ListResourceComplianceSummaries.html

https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-group-state.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_DescribePatchGroupState.html

https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patch-states-for-patch-group.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html

https://docs.aws.amazon.com/config/latest/developerguide/

AWS Systems Manager Guia do usuárioCorrigir problemas de conformidade

Para obter informações sobre como escolher e configurar esses recursos específicos no AWS Config,consulte Seleção dos recursos que são registrados pelo AWS Config no AWS Config Developer Guide.

Note

Para obter informações sobre a definição de preço do AWS Config, consulte Definição de preço.

Corrigir problemas de conformidadeVocê pode corrigir problemas de conformidade de patches e associações rapidamente usando o RunCommand do Systems Manager. Você pode definir destinos para IDs de instâncias ou tags do AmazonEC2 e executar o documento AWS-RefreshAssociation ou AWS-RunPatchBaseline. Se a atualização daassociação ou a nova execução da linha de base do patch não resolver o problema de conformidade,você precisará investigar suas associações, linhas de base de patches ou configurações de instânciapara entender por que as execuções do Executar comando não resolveram o problema. Para obter maisinformações sobre como executar um comando, consulte Executar comandos usando o Executar comandodo Systems Manager (p. 225).

Você também pode configurar o CloudWatch Events para executar uma ação em resposta a eventosde Conformidade de configuração. Por exemplo, se uma ou mais instâncias não conseguirem instalaratualizações de patch críticas ou executar uma associação que instale um software antivírus, você poderáconfigurar o CloudWatch para executar o documento AWS-RunPatchBaseline ou AWS-RefreshAssocationquando o evento de Conformidade de configuração ocorrer. Use o procedimento a seguir para configurar aConformidade com a configuração como o destino de um evento do CloudWatch.

Para configurar a Conformidade de configuração como o destino de um evento do CloudWatch


2. No painel de navegação esquerdo, escolha Events e depois escolha Create rule.3. Escolha Padrão de evento. A opção Event Pattern permite criar uma regra que gera eventos para

ações específicas em serviços da AWS.4. No campo Service Name, escolha EC2 Simple Systems Manager (SSM)5. No campo Event Type, escolha Configuration Compliance.6. Escolha Add target.7. Na lista Select target type, escolha SSM Run Command.8. Na lista Document, escolha um documento do SSM para executar quando seu destino for invocado.

Por exemplo, escolha AWS-RefreshAssociation para um evento de associação fora de conformidadeou escolha AWS-RunPatchBaseLine para um evento de patch fora de conformidade.

9. Especifique informações para os campos e parâmetros restantes.Note

Campos e parâmetros obrigatórios têm um asterisco (*) ao lado do nome. Para criar umdestino, você deve especificar um valor para cada parâmetro ou campo obrigatório. Se nãofizer isso, o sistema criará a regra, mas ela não será executada.

10. Escolha Configure details e conclua o assistente.

Demonstração da Conformidade de configuração(AWS CLI)O procedimento a seguir envolve o processo de usar a ação de API PutComplianceItems para atribuirmetadados de conformidade personalizados a um recurso. Você também pode usar essa ação de APIpara atribuir manualmente metadados de conformidade de associações ou patches a uma instância, como

129


https://aws.amazon.com//config/pricing/



https://docs.aws.amazon.com/ssm/latest/APIReference/API_PutComplianceItems.html

AWS Systems Manager Guia do usuárioDemonstração da Conformidade de configuração (AWS CLI)

especificado na demonstração a seguir. Para obter mais informações sobre conformidade personalizada,consulte Sobre a conformidade personalizada (p. 127).

Para atribuir metadados de conformidade personalizados a uma instância gerenciada



aws configure



3. Execute o seguinte comando para atribuir metadados de conformidade personalizados a umainstância. Atualmente, o único tipo de recurso com suporte é ManagedInstance.

aws ssm put-compliance-items --resource-id Instance ID --resource-type ManagedInstance --compliance-type Custom:User-defined string --execution-summary ExecutionTime=User-defined time and/or date value --items Id=User-defined ID,Title=User-defined title,Severity=One or more comma-separated severities:CRITICAL,MAJOR,MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANt

4. Repita a etapa anterior para atribuir metadados de conformidade personalizados adicionais a uma oumais instâncias. Você também pode atribuir manualmente metadados de conformidade de patches oude associação a instâncias gerenciadas usando os seguintes comandos:

Metadados de conformidade de associações

aws ssm put-compliance-items --resource-id Instance ID --resource-type ManagedInstance --compliance-type Association --execution-summary ExecutionTime=User-defined time and/or date value --items Id=User-defined ID,Title=User-defined title,Severity=One or more comma-separated severities:CRITICAL,MAJOR,MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{DocumentName=The SSM document for the association,DocumentVersion=A version number}"

Metadados de conformidade de patches

aws ssm put-compliance-items --resource-id Instance ID --resource-type ManagedInstance --compliance-type Patch --execution-summary ExecutionTime=User-defined time and/or date value,ExecutionId=User-defined ID,ExecutionType=Command --items Id=for example, KB12345,Title=User-defined title,Severity=One or more comma-separated severities:CRITICAL,MAJOR,MINOR,INFORMATIONAL, or UNSPECIFIED,Status=COMPLIANT or NON_COMPLIANT,Details="{PatchGroup=Name of group,PatchSeverity=The patch severity, for example, CRITICAL}"

5. Execute o seguinte comando para visualizar uma lista de itens de conformidade para uma instânciagerenciada específica. Use filtros para busca detalhada em dados de conformidade específicos.

aws ssm list-compliance-items --resource-ids Instance ID --resource-types ManagedInstance --filters One or more filters.

130


AWS Systems Manager Guia do usuárioDemonstração da Conformidade de configuração (AWS CLI)

Os exemplos a seguir mostram como usar esse comando com filtros.

aws ssm list-compliance-items --resource-ids i-1234567890abcdef0 --resource-type ManagedInstance --filters Key=DocumentName,Values=AWS-RunPowerShellScript Key=Status,Values=NON_COMPLIANT,Type=NotEqual Key=Id,Values=cee20ae7-6388-488e-8be1-a88cc6c46dcc Key=Severity,Values=UNSPECIFIED

aws ssm list-resource-compliance-summaries --filters Key=OverallSeverity,Values=UNSPECIFIED

aws ssm list-resource-compliance-summaries --filters Key=OverallSeverity,Values=UNSPECIFIED Key=ComplianceType,Values=Association Key=InstanceId,Values=i-1234567890abcdef0

6. Execute o seguinte comando para visualizar um resumo dos status de conformidade. Use filtros parabusca detalhada em dados de conformidade específicos.

aws ssm list-resource-compliance-summaries --filters One or more filters.


aws ssm list-resource-compliance-summaries --filters Key=ExecutionType,Values=Command

aws ssm list-resource-compliance-summaries --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=OverallSeverity,Values=CRITICAL

7. Execute o seguinte comando para visualizar uma contagem de resumo de recursos compatíveise não compatíveis para um tipo de conformidade. Use filtros para busca detalhada em dados deconformidade específicos.

aws ssm list-compliance-summaries --filters One or more filters.


aws ssm list-compliance-summaries --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=PatchGroup,Values=TestGroup

aws ssm list-compliance-summaries --filters Key=AWS:InstanceInformation.PlatformType,Values=Windows Key=ExecutionId,Values=4adf0526-6aed-4694-97a5-145222f4c2b6

131

AWS Systems Manager Guia do usuárioAutomação

Ações do AWS Systems ManagerO AWS Systems Manager (anteriormente, Amazon EC2 Systems Manager) fornece os seguintes recursospara medidas em relação a recursos da AWS.

Tópicos• Automação do AWS Systems Manager (p. 132)• Executar comando do AWS Systems Manager (p. 213)• Patch Manager do AWS Systems Manager (p. 251)• Janela de manutençãos do AWS Systems Manager (p. 300)• State Manager do AWS Systems Manager (p. 335)

Automação do AWS Systems ManagerA Automação do Systems Manager é um serviço hospedado da AWS que simplifica tarefas comuns demanutenção e implantação de instâncias e sistemas. Por exemplo, é possível usar a Automação comoparte do seu processo de gerenciamento de alterações para manter suas s (s) atualizadas com o buildde aplicativos mais recente. Ou, digamos que você queira criar um backup de um banco de dados e fazerupload desse backup no Amazon S3 todas as noites. Com a Automação, você pode evitar a implantaçãode scripts e da lógica de agendamento diretamente na instância. Em vez disso, pode executar atividadesde manutenção por meio de etapas do AWS Lambda e do Executar comando do Systems Managercoordenadas pelo serviço de Automação.

A Automação permite que você faça o seguinte.

• Pré-instale e configure aplicativos e agentes nas suas s (s) usando um processo simplificado e repetitivoque você pode auditar.

• Crie fluxos de trabalho para configurar e gerenciar instâncias e recursos da AWS.• Crie seus próprios fluxos de trabalho personalizados ou use fluxos de trabalho predefinidos mantidos

pela AWS.• Receba notificações sobre tarefas e fluxos de trabalho de Automação usando o Amazon CloudWatch

Events• Monitore o progresso e os detalhes de execução da Automação usando o console do Amazon EC2 ou

do AWS Systems Manager.

Tópicos• Conceitos da Automação do AWS Systems Manager (p. 133)• Casos de uso da Automação (p. 133)• Inícios rápidos de automação (p. 136)• Configurar a Automação (p. 141)• Demonstrações da Automação do Systems Manager (p. 149)• Trabalhar com documentos de Automação (p. 154)• Exemplos da Automação do Systems Manager (p. 171)

132

AWS Systems Manager Guia do usuárioConceitos da Automação do AWS Systems Manager

• Variáveis de sistema de Automação (p. 193)• Solução de problemas com a Automação do Systems Manager (p. 202)

Conceitos da Automação do AWS Systems ManagerA Automação do AWS Systems Manager usa os conceitos a seguir.

Conceito Detalhes

Documento de automação Um documento de Automação do SystemsManager define o fluxo de trabalho de Automação(as ações que o Systems Manager realiza emsuas instâncias gerenciadas e recursos daAWS). A Automação inclui vários documentosde Automação predefinidos que você pode usarpara executar tarefas comuns, como reiniciaruma ou mais instâncias do Amazon EC2 ou criaruma (). Os documentos usam JSON (JavaScriptObject Notation) ou YAML e incluem etapas eparâmetros especificados por você. As etapas sãoexecutadas em ordem sequencial. Para obter maisinformações, consulte Trabalhar com documentosde Automação (p. 154).

Ação de Automação O fluxo de trabalho de Automação definido emum documento de Automação inclui uma oumais etapas. Cada etapa é associada a umaação ou plug-in específico. A ação determina asentradas, o comportamento e as saídas da etapa.As etapas são definidas na seção mainSteps doseu documento de Automação. Para obter maisinformações, consulte o Referência do documentode Automação do Systems Manager (p. 398).

Fila de Automação Cada conta da AWS pode executar 25 automaçõessimultaneamente. Se você tentar executar maisdo que isso, o Systems Manager inserirá asexecuções adicionais em uma fila e exibirá ostatus Pendente. Quando uma Automação forconcluída (ou atingir um estado terminal), aprimeira execução na fila será iniciada. Cadaconta da AWS pode enfileirar 75 execuções deAutomação.

Casos de uso da AutomaçãoEsta seção inclui casos de usos comuns para a Automação do AWS Systems Manager.

Execução de tarefas comuns de TI

A Automação pode simplificar tarefas comuns de TI como alterar o estado de uma ou mais instâncias(usando um fluxo de trabalho de aprovação) e gerenciar estados de instância de acordo com sua própriaprogramação. Aqui estão alguns exemplos:

133

AWS Systems Manager Guia do usuárioCasos de uso da Automação

• Use o documento AWS-StopInstance para solicitar que um ou mais usuários do AWS Identity andAccess Management (IAM) aprovem a ação de interrupção da instância. Assim que a aprovação érecebida, a Automação interrompe a instância.

• Use o documento AWS-StopInstance para interromper automaticamente as instâncias de acordo comuma programação usando o Amazon CloudWatch Events ou uma tarefa de Janela de manutenção. Porexemplo, você pode configurar um fluxo de trabalho da Automação para interromper instâncias todasexta-feira à noite e, em seguida, reiniciá-las toda segunda-feira de manhã.

• Use o documento AWS-UpdateCloudFormationStackWithApproval para atualizar recursos que foramimplantados usando o modelo do CloudFormation. A atualização aplica-se a um novo modelo. Vocêpode configurar a Automação para solicitar aprovação de um ou mais usuários do IAM antes de aatualização começar.

Execução segura e em massa de tarefas problemáticas

O Systems Manager inclui recursos que o ajudam a focalizar grandes grupos de instâncias usando tags doEC2 e controles de velocidade que o ajudam a implementar alterações de acordo com os limites que vocêdefinir.

Use o documento AWS-RestartInstanceWithApproval para focalizar um Grupo de recursos da AWS queinclui várias instâncias. Você pode configurar o fluxo de trabalho da Automação para usar os controlesde velocidade. Por exemplo, você pode especificar o número de instâncias que devem ser reiniciadassimultaneamente. Você pode especificar também um número máximo de erros que são permitidos antesdo cancelamento do fluxo de trabalho da Automação.

Simplificação de tarefas complexas

A Automação oferece automações com um único clique para simplificar tarefas complexas, como a criaçãode s (s) de ouro, e a recuperação de instâncias inacessíveis do EC2. Aqui estão alguns exemplos:

• Use os documentos AWS-UpdateLinuxAMI e AWS-UpdateWindowsAMI para criar s de ouro de uma deorigem. Você pode executar scripts personalizados antes e depois que as atualizações são aplicadas.Você pode também incluir ou excluir pacotes específicos com relação à instalação.

• Use o documento AWSSupport-ExecuteEC2Rescue para recuperar instâncias que apresentamproblemas. Uma instância pode ficar inacessível por vários motivos, como configurações incorretasde rede, problemas de RDP ou configurações de firewall. A solução de problemas e a recuperaçãode acesso à instância anteriormente exigiam dezenas de etapas manuais para reaver o acesso.O documento AWSSupport-ExecuteEC2Rescue permite que você recupere o acesso por meio daespecificação de um ID de instância e do clique em um botão.

Melhoria das operações de segurança

Por meio de administração delegada, você pode restringir ou elevar permissões de usuário para diversostipos de tarefa.

A administração delegada permite que você forneça permissões para determinadas tarefas emdeterminados recursos sem precisar conceder permissão direta a um usuário para acessar os recursos.Isso melhora seu perfil de segurança de modo geral. Por exemplo, suponha que o Usuário1 não tempermissão para reiniciar instâncias do EC2, mas você deseja autorizar o usuário a fazer isso. Em vez deconceder permissões diretas ao Usuário1, você pode:

• Criar uma função do IAM com as permissões necessárias para conseguir interromper e iniciar instânciasdo EC2.

• Criar um documento de Automação e incorporar a função no documento. (A maneira mais fácil de fazerisso é personalizar o documento AWS-RestartEC2Instance e incorporar a função no documento, em vezde atribuir uma função de serviço de Automação [ou a função assume].)

134

AWS Systems Manager Guia do usuárioCasos de uso da Automação

• Modificar as permissões do IAM para o Usuário1 e conceder a esse usuário permissão para executar odocumento. Veja um exemplo de como você pode alterar o documento:

"Version": "2012-10-17", "Statement": [ { "Action": "ssm:StartAutomationExecution", "Effect": "Allow", "Resource": [ "ARN of the document you created in Step 2” ] } ]}

Agora, o Usuário1 pode executar esse documento e reiniciar instâncias.

Compartilhamento de melhores práticas

A Automação lhe permite compartilhar melhores práticas com o restante de sua organização.

Você pode criar melhores práticas para gerenciamento de recursos em documentos da Automação ecompartilhar facilmente esses documentos em regiões e grupos da AWS. Você pode também restringir osvalores permitidos para os parâmetros que o documento aceita. Veja um exemplo de um documento deAutomação que executa novas instâncias do EC2 e obriga os usuários a especificar apenas determinadosIDs de AMI:

Note

Substitua o valor da e o valor do MySecurityKeyName e IamInstanceProfileName,conforme necessário.

{ "description":"Launch Allowed EC2 instances", "schemaVersion":"0.3", "assumeRole": "{{ AutomationAssumeRole }}", "parameters":{ "AMIID":{ "type":"String", "description":"Instance to value", "allowedValues" : [ "ami-e3bb7399","ami-55ef662f" ] }, "AutomationAssumeRole": { "type": "String", "description": "(Optional) The ARN of the role that allows Automation to perform the actions on your behalf.", "default": "" } }, "mainSteps":[ { "name":"launchInstances", "action":"aws:runInstances", "timeoutSeconds":1200, "maxAttempts":1, "onFailure":"Abort", "inputs":{ "ImageId":"{{ AMIID }}", "InstanceType":"t2.micro", "KeyName":"MySecurityKeyName", "MinInstanceCount":1,

135

AWS Systems Manager Guia do usuárioInícios rápidos de automação

"MaxInstanceCount":1, "IamInstanceProfileName":"ManagedInstanceProfile" } } ]}

Esse documento garante que os usuários só possam iniciar instâncias t2.micro dos IDs de AMIespecificados.

Inícios rápidos de automaçãoEsta seção inclui demonstrações para ajudar você a executar um fluxo de trabalho de automação simplesdo Systems Manager, em questão de minutos. Cada demonstração usa uma abordagem diferentepara configurar e executar fluxos de trabalho da Automação. Sugerimos que você execute essasdemonstrações em um ambiente de teste em que tenha permissões de administrador no AWS Identity andAccess Management (IAM).

Tópicos• Início rápido 1: conduzir um fluxo de trabalho da Automação como usuário atual autenticado (p. 136)• Início rápido 2: conduzir um fluxo de trabalho da Automação usando uma função de serviço do

IAM (p. 137)• Início Rápido 3: usar a administração delegada para melhorar a segurança da Automação (p. 137)

Início rápido 1: conduzir um fluxo de trabalho da Automaçãocomo usuário atual autenticadoEsta demonstração mostra como executar um fluxo de trabalho da automação que reinicia uma instânciagerenciada usando o documento AWS-RestartEC2Instance. O fluxo de trabalho é executado no contextodo usuário atual do IAM. Isso significa que você não precisa configurar outras permissões do IAM, desdeque tenha permissão para executar o documento da Automação e qualquer ação chamada por essedocumento. Se tiver permissões de administrador no IAM, isso significa que você tem permissão paraexecutar essa Automação.

Para executar o documento de automação como o atual usuário autenticado

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Managed Instances.3. Copie o ID de instância de um ou mais instâncias gerenciadas que você deseja reiniciar.4. No painel de navegação, escolha Automation e depois Execute automation.5. Na lista Automation document, escolha AWS-RestartEC2Instance.6. Na seção Document details, verifique se Document version está definida como 1 (Default).7. Deixe as configurações padrão como estão nas seções Execution Mode e Targets and Rate Control.8. Na seção Input parameters, cole um ou mais IDs na caixa Instance ID. Separa os IDs de instância

com uma vírgula (,).

Note

Você pode copiar e colar uma lista vertical de IDs de instância (IDs separados por retornos decarro) porque o sistema separa automaticamente cada ID de instância.

9. Escolha Execute automation. O console exibe o status de execução da Automação.

136



Início rápido 2: conduzir um fluxo de trabalho da Automaçãousando uma função de serviço do IAMEsta demonstração mostra como executar um fluxo de trabalho da automação que reinicia uma instânciagerenciada usando o documento AWS-RestartEC2Instance. O fluxo de trabalho executa a automaçãousando uma função de serviço do IAM (ou função admissão). A função de serviço concede ao serviço deAutomação permissão para executar ações em seu nome. A configuração de uma função de serviço é útilquando você deseja restringir permissões e executar ações com o privilégio mínimo. Por exemplo, se vocêdesejar restringir os privilégios de um usuário em um recurso, como uma instância do EC2, mas desejarque o usuário execute um fluxo de trabalho de automação que realiza um conjunto de ações específicas epermitidas. Nesse cenário, você pode criar uma função de serviço com privilégios superiores e permitir queo usuário execute o fluxo de trabalho de automação.

Antes de começar

Antes de concluir o procedimento a seguir, você deve criar a função de serviço do IAM e configuraruma relação de confiança para a Automação. Para obter mais informações, consulte os procedimentosa seguir. Tarefa 1: criar uma função de serviço para a Automação (p. 144) e Tarefa 2: adicionar umrelacionamento de confiança para Automação (p. 145).

Para executar o documento de automação usando uma função de serviço

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Managed Instances.3. Copie o ID de instância de um ou mais instâncias gerenciadas que você deseja reiniciar.4. No painel de navegação, escolha Automation e depois Execute automation.5. Na lista Automation document, escolha AWS-RestartEC2Instance.6. Na seção Document details, verifique se Document version está definida como 1 (Default).7. Deixe as configurações padrão como estão nas seções Execution Mode e Targets and Rate Control.8. Na seção Input parameters, cole um ou mais IDs na caixa Instance ID. Separa os IDs de instância

com uma vírgula (,).Note

Você pode copiar e colar uma lista vertical de IDs de instância (IDs separados por retornos decarro) porque o sistema separa automaticamente cada ID de instância.

9. Na caixa Automation Assume Role, cole o ARN da função de serviço do IAM.10. Escolha Execute automation. O console exibe o status de execução da Automação.

Para obter mais exemplos de como usar a Automação do Systems Manager, consulte Demonstraçõesda Automação do Systems Manager (p. 149). Para obter informações sobre como começar a usar aAutomação, consulte Configurar a Automação (p. 141).

Início Rápido 3: usar a administração delegada para melhorar asegurança da AutomaçãoAo executar uma automação do AWS Systems Manager, por padrão, ela será executada no contexto dousuário do AWS Identity and Access Management (IAM) que iniciou a execução. Isso significa que, porexemplo, se sua conta de usuário do IAM tem permissões de administrador, a Automação é executadacom permissões de administrador e acesso total aos recursos que estão sendo configurados pelaAutomação. Como melhores práticas de segurança, recomendamos que você execute as automaçõesusando uma função de serviço do IAM (também chamada de função de admissão) que é configurada coma política gerenciada AmazonSSMAutomationRole. O uso de uma função de serviço do IAM para executara Automação é chamado de administração delegada.

137



Quando você usa uma função de serviço, a automação tem permissão para ser executada nos recursosda AWS, mas o usuário que executou a automação tem acesso restrito (ou nenhum acesso) a essesrecursos. Por exemplo, você pode configurar uma função de serviço e usá-la com a Automação parareiniciar uma ou mais instâncias do Amazon EC2. A Automação reinicia as instâncias, mas a função deserviço não concede permissão ao usuário para acessar essas instâncias.

Você pode especificar uma função de serviço em tempo de execução ao executar uma automação ou vocêpode criar documentos de automação personalizados e especificar a função de serviço diretamente nodocumento. Se você especificar uma função de serviço, seja em tempo de execução ou em um documentode automação, o serviço será executado no contexto da função de serviço especificada. Se você nãoespecificar uma função de serviço, o sistema criará uma sessão temporária no contexto do usuário eexecutará a automação.

Note

Você deve especificar uma função de serviço para as Automações que você espera que sejamexecutadas por mais de 12 horas. Se você iniciar uma Automação de execução prolongada nocontexto de um usuário, a sessão temporária do usuário expirará após 12 horas.

A administração delegada garante maior segurança e controle de seus recursos da AWS. Ela tambémgarante uma experiência de auditoria aprimorada, pois as ações estão sendo executadas nos recursos poruma função de serviço central em vez de várias contas do IAM.

Para ilustrar melhor como a administração delegada pode funcionar em uma organização, este tópicomostra as tarefas a seguir como se elas fossem realizadas por três pessoas diferentes em umaorganização:

• Criar uma conta de usuário de teste do IAM chamada AutomationRestrictedOperator (administrador)• Criar uma função de serviço do IAM para Automação (administrador)• Criar um documento de Automação simples (com base em um documento de Automação pré-existente)

que especifique a função de serviço (autor do documento SSM)• Executar a automação como usuário de teste (operador restrito)

Em algumas organizações, todas essas três tarefas são executadas pela mesma pessoa, mas identificaras diferentes funções aqui pode ajudar você a entender como a administração delegada permite umasegurança mais aprimorada em organizações mais complexas.

Important

Como melhores práticas de segurança, recomendamos que você sempre use uma função deserviço para executar automações, mesmo se você for um administrador que executa todas essastarefas.

Os procedimentos nesta seção fornecem links para tópicos em outros guias da AWS ou outros tópicosdo Systems Manager. Recomendamos que você abra links para outros tópicos em uma nova guia no seunavegador da Web para que você saiba onde parou nesse tópico.

Tópicos• Criar uma conta de usuário de teste (p. 138)• Criar uma função de serviço do IAM para Automação (p. 139)• Criar um documento de Automação personalizado (p. 139)• Executar o documento de automação personalizado (p. 140)

Criar uma conta de usuário de testeEsta seção descreve como criar uma conta de usuário de teste do IAM com permissões restritas. Oconjunto de permissões permite que o usuário execute automações, mas o usuário não tem acesso aos

138


recursos da AWS visados pelas automações. O operador também pode visualizar os resultados dasAutomações. Comece criando a política de permissões personalizada do IAM e, em seguida, crie a contade usuário e atribua permissões a ela.

Criar um usuário de teste do IAM

1. Crie uma política de permissões chamada OperatorRestrictedPermissions. Para obter informaçõessobre como criar uma nova política de permissões do IAM, consulte Criar uma política do IAM(console) no IAM User Guide. Crie a política na guia JSON e especifique o conjunto de permissões aseguir.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:DescribeAutomationExecutions", "ssm:DescribeAutomationStepExecutions", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:GetDocument", "ssm:ListDocuments", "ssm:ListDocumentVersions", "ssm:StartAutomationExecution" ], "Resource":"*" } ]}

2. Crie uma nova conta de usuário do IAM chamada AutomationRestrictedOperator. Para obterinformações sobre como criar um novo usuário do IAM, consulte Criar usuários do IAM (console) no IAM User Guide. Quando solicitado, selecione Attach existing policies directly (Anexar políticasexistentes diretamente) e selecione a política que você acabou de criar.

3. Anote o nome de usuário, a senha e o Console login link (Link de login do console). Você fará loginnessa conta mais adiante neste tópico.

Criar uma função de serviço do IAM para Automação

O procedimento a seguir fornece links para outros tópicos para ajudá-lo a criar a função de serviço econfigurar a Automação para confiar nessa função.

Para criar a função de serviço e permitir que a Automação confie nela

1. Crie a função de serviço de Automação. Para obter mais informações, consulte Tarefa 1: criar umafunção de serviço para a Automação (p. 144).

2. Anote o Nome de recurso da Amazon (ARN) da função de serviço. Você especificará esse ARN nopróximo procedimento.

3. Configure uma política de confiança para que a Automação confie na função de serviço. Paraobter mais informações, consulte Tarefa 2: adicionar um relacionamento de confiança paraAutomação (p. 145).

Criar um documento de Automação personalizado

Esta seção descreve como criar um documento de Automação personalizado que reinicie as instânciasdo Amazon EC2. A AWS fornece um documento do SSM padrão para reiniciar instâncias chamado

139

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console


AWS-RestartEC2Instance. O procedimento a seguir copia o conteúdo desse documento para mostrarcomo inserir a função de serviço em um documento quando você criar o seu. Ao especificar o serviçodiretamente no documento, o usuário executando o documento não requer permissões iam: PassRole.Sem permissões iam: PassRole, o usuário não pode usar a função de serviço em outro lugar na AWS.

Para criar um documento de Automação personalizado

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha Documents.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Documents no painel de navegação.

3. Escolha Create Document.4. No campo Name (Nome), digite um nome para o documento, como Restart-EC2InstanceDemo.5. Na lista Document type, escolha Automation document.6. Na seção Content (Conteúdo), selecione JSON e, em seguida, cole o conteúdo a seguir. Substitua

AssumeRoleARN pelo ARN da função de serviço que você criou no procedimento anterior.

{ "description": "Restart EC2 instances(s)", "schemaVersion": "0.3", "assumeRole": "service role ARN", "parameters": { "InstanceId": { "type": "StringList", "description": "(Required) EC2 Instance to restart" } }, "mainSteps": [ { "name": "stopInstances", "action": "aws:changeInstanceState", "inputs": { "InstanceIds": "{{ InstanceId }}", "DesiredState": "stopped" } }, { "name": "startInstances", "action": "aws:changeInstanceState", "inputs": { "InstanceIds": "{{ InstanceId }}", "DesiredState": "running" } } ]}

7. Escolha Create Document.

Executar o documento de automação personalizado

O procedimento a seguir descreve como executar o documento que você acabou de criar como operadorrestrito criado anteriormente neste tópico. O usuário pode executar o documento que você criouanteriormente, pois suas permissões de conta do IAM permitem a visualização e execução do documento.No entanto, o usuário não pode fazer login em instâncias que você reiniciará com esta Automação.

140


AWS Systems Manager Guia do usuárioConfigurar a Automação

1. No https://console.aws.amazon.com/ec2/, copie os IDs de instância para uma ou mais instâncias quevocê deseja reiniciar usando a Automação a seguir.

2. Faça logout no Console de Gerenciamento da AWS e, em seguida, faça login novamente usando aconta de usuário de teste Console login link (Link de login do console) que você copiou anteriormente.

3. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.4. No painel de navegação, escolha Automation.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Automation.

5. Escolha Execute automation.6. Selecione o documento de Automação personalizado criado anteriormente nesse tópico.7. Na seção Document details, verifique se Document version está definida como 1 (Default).8. Na seção Execution mode, escolha Execute the entire automation at once.9. Deixe a opção Targets and Rate Control desativada.10. Na seção Input parameters (Parâmetros de entrada), digite um ou mais IDs de instância que você

deseja reiniciar e, em seguida, selecione Execute automation (Executar Automação).

O Execution details (Detalhes de execução) descreve o status de execução da Automação. Etapa 1:interrompe as instâncias. Etapa 2 reinicia-as.

Configurar a AutomaçãoA configuração da Automação requer que você verifique o acesso do usuário ao serviço de Automaçãoe configure funções para que o serviço possa executar ações em suas instâncias. Opcionalmente, vocêpode também configurar a Automação para enviar eventos ao Amazon CloudWatch Events. Você podeainda configurar um fluxo de trabalho de Automação para ser executado quando ocorrer um eventoespecífico do CloudWatch. Esse procedimento é conhecido como especificação da Automação comodestino de um evento do CloudWatch.

Tópicos• Configuração de acesso à Automação do Systems Manager (p. 141)• Configurar o CloudWatch Events para a Automação do Systems Manager (opcional) (p. 147)• Configurar a Automação como um destino do CloudWatch Events (opcional) (p. 148)

Configuração de acesso à Automação do Systems ManagerA configuração de acesso à Automação do Systems Manager exige que você execute as tarefas a seguir.

1. Verificar o acesso do usuário: verifique se você tem permissão para executar fluxos de trabalho deAutomação. Se sua conta de usuário, grupo ou função do AWS Identity and Access Management (IAM)receber permissões de administrador, isso significa que você tem acesso à Automação do SystemsManager. Se não tiver permissões de administrador, um administrador deverá lhe conceder permissãoatribuindo a política gerenciada AmazonSSMFullAccess ou uma política que ofereça permissõescomparáveis à sua conta, grupo ou função do IAM.

2. Configurar acesso a instâncias criando e atribuindo uma função de perfil de instância (obrigatório): todainstância que executa um fluxo de trabalho de Automação requer uma função de perfil de instânciado IAM. Essa função concede à Automação permissão para realizar ações em suas instâncias, comoexecutar comandos ou iniciar e interromper serviços. Se você tiver criado anteriormente uma função deperfil de instância para o Systems Manager, tal como descrito em Tarefa 2: criar um Perfil de instância

141




para o Systems Manager (p. 14), no tópico Como configurar o acesso ao Systems Manager, poderáusar essa mesma função de perfil de instância para a Automação. Para obter informações sobre comoanexar essa função a uma instância existente, consulte Como anexar uma função do IAM a umainstância, no Guia do usuário do Amazon EC2.

Note

Antes, a Automação exigia especificar uma função de serviço (ou uma função de admissão) paraque o serviço tivesse permissão para realizar ações em seu nome. A Automação não exige maisessa função, pois o serviço agora opera usando o contexto do usuário que invocou a execução.No entanto, as seguintes situações ainda exigem que você especifique uma função de serviçopara Automação:

• Quando você deseja restringir os privilégios de um usuário em um recurso, mas deseja queesse usuário execute um fluxo de trabalho de automação que exija privilégios superiores. Nestecenário, você pode criar uma função de serviço com privilégios mais altos e permitir que ousuário execute o fluxo de trabalho.

• As operações que você espera executar por mais de 12 horas exigem uma função de serviço.

Se você precisar criar uma função de serviço e uma função de perfil de instância para a Automação,poderá usar um dos métodos a seguir.

Tópicos• Método 1: usar o AWS CloudFormation para configurar funções para Automação (p. 142)• Método 2: usar o IAM para configurar funções para Automação (p. 144)

Método 1: usar o AWS CloudFormation para configurar funções para Automação

Você pode criar uma função de perfil de instância do IAM e uma função de serviço para a Automaçãousando um modelo do AWS CloudFormation.

Depois de criar a função de perfil de instância, você deverá atribuí-la a qualquer instância que planejaconfigurar usando a Automação. Para obter informações sobre como atribuir a função a uma instânciaexistente, consulte Anexando uma função do IAM a uma instância, no Guia do usuário do Amazon EC2.Para obter informações sobre como atribuir a função ao criar uma nova instância, consulte Tarefa 3: criaruma instância do Amazon EC2 que usa o perfil de instância do Systems Manager (p. 15), no tópico Comoconfigurar o acesso ao Systems Manager.

Note

Você também pode usar essas funções e seus nomes de recursos da Amazon (ARNs) emdocumentos de automação, como o documento AWS-UpdateLinuxAmi. Usar essas funções ouseus ARNs em documentos de Automação permite que a Automação realize ações em suasinstâncias gerenciadas, execute novas instâncias e realize ações em seu nome. Para visualizarum exemplo, veja Demonstração da CLI de Automação: aplicar patch a uma AMI Linux (p. 151).

Tópicos• Criar a função de perfil de instância e a função de serviço usando o AWS CloudFormation (p. 142)• Copiar informações de função para a Automação (p. 143)

Criar a função de perfil de instância e a função de serviço usando o AWS CloudFormation

Use o procedimento a seguir para criar as funções do IAM necessárias para a Automação do SystemsManager usando o AWS CloudFormation.

142





Para criar as funções do IAM necessárias

1. Escolha o botão Launch Stack. O botão abre o console do AWS CloudFormation e preenche o campoSpecify an Amazon S3 template URL com a URL para o modelo da Automação do Systems Manager.

Note

Escolha View para visualizar o modelo.

Exibir Executar

Exibir

2. Escolha Next.3. Na página Specify Details, no campo Stack Name, opte por manter o valor padrão ou especifique seu

próprio valor. Escolha Next.4. Na página Options, você não precisa fazer seleções. Escolha Next.5. Na página Review, role para baixo e escolha a opção I acknowledge that AWS CloudFormation might

create IAM resources.6. Escolha Criar.

O AWS CloudFormation mostra o status CREATE_IN_PROGRESS por cerca de três minutos. O statusmudará para CREATE_COMPLETE depois que a pilha tiver sido criada e suas funções estiverem prontaspara uso.

Copiar informações de função para a Automação

Use o procedimento a seguir para copiar as informações sobre a função de perfil de instância e a funçãode serviço de Automação por meio do console do AWS CloudFormation. É necessário especificar essasfunções ao executar um documento de Automação.

Note

Você não precisará copiar informações de função usando esse procedimento se executar osdocumentos AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi. Esses documentos já possuemas funções necessárias especificadas como valores padrão. As funções especificadas nessesdocumentos usam as políticas gerenciadas do IAM.

Para copiar nomes de funções

1. Open the AWS CloudFormation console at https://console.aws.amazon.com/cloudformation.2. Marque a caixa de seleção ao lado da pilha de Automação que você criou no procedimento anterior.3. Escolha a guia Resources.4. A tabela Resources inclui três itens na coluna Logical ID: AutomationServiceRole,

ManagedInstanceProfile e ManagedInstanceRole.5. Copie o valor Physical ID para ManagedInstanceProfile. O ID físico será semelhante a Automation-

ManagedInstanceProfile-1a2b3c4. Esse é o nome da sua função de perfil de instância.6. Cole a função de perfil de instância em um arquivo de texto para uso posterior.7. Escolha o link Physical ID para AutomationServiceRole. O console do IAM é aberto em um resumo da

função de serviço de Automação.8. Copie o nome de recurso da Amazon (ARN) ao lado de Role ARN. O ARN é semelhante ao seguinte:

arn:aws:iam::12345678:role/Automation-AutomationServiceRole-1A2B3C4D5E9. Cole o ARN em um arquivo de texto para uso posterior.

143

https://s3.amazonaws.com/aws-ssm-downloads-us-east-1/templates/automationsetup.yaml

https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=Systems-Manager-Automation-Setup&templateURL=https://s3.amazonaws.com/aws-ssm-downloads-us-east-1/templates/automationsetup.yaml

https://console.aws.amazon.com/cloudformation/


Você terminou de configurar as funções necessárias para Automação. Agora, você pode usar a funçãode perfil de instância e o ARN da função de serviço de Automação nos seus documentos de Automação.Para obter mais informações, consulte Demonstração do console de Automação: aplicar patch a uma AMILinux (p. 149) e Demonstração da CLI de Automação: aplicar patch a uma AMI Linux (p. 151).

Método 2: usar o IAM para configurar funções para Automação

A configuração de acesso à Automação do Systems Manager exige que você execute as tarefas a seguir.

1. Verificar o acesso do usuário: verifique se você tem permissão para executar fluxos de trabalho deAutomação. Se sua conta de usuário, grupo ou função do AWS Identity and Access Management (IAM)receber permissões de administrador, isso significa que você tem acesso à Automação do SystemsManager. Se não tiver permissões de administrador, um administrador deverá lhe conceder permissãoatribuindo a política gerenciada AmazonSSMFullAccess ou uma política que ofereça permissõescomparáveis à sua conta, grupo ou função do IAM.

2. Configurar acesso a instâncias criando e atribuindo uma função de perfil de instância (obrigatório): todainstância que executa um fluxo de trabalho de Automação requer uma função de perfil de instânciado IAM. Essa função concede à Automação permissão para realizar ações em suas instâncias, comoexecutar comandos ou iniciar e interromper serviços. Se você tiver criado anteriormente uma função deperfil de instância para o Systems Manager, tal como descrito em Tarefa 2: criar um Perfil de instânciapara o Systems Manager (p. 14), no tópico Como configurar o acesso ao Systems Manager, poderáusar essa mesma função de perfil de instância para a Automação. Para obter informações sobre comoanexar essa função a uma instância existente, consulte Como anexar uma função do IAM a umainstância, no Guia do usuário do Amazon EC2.

Note

Antes, a Automação exigia especificar uma função de serviço (ou uma função de admissão) paraque o serviço tivesse permissão para realizar ações em seu nome. A Automação não exige maisessa função, pois o serviço agora opera usando o contexto do usuário que invocou a execução.No entanto, as seguintes situações ainda exigem que você especifique uma função de serviçopara Automação:

• Quando você deseja restringir os privilégios de um usuário em um recurso, mas deseja queesse usuário execute um fluxo de trabalho de automação que exija privilégios superiores. Nestecenário, você pode criar uma função de serviço com privilégios mais altos e permitir que ousuário execute o fluxo de trabalho.

• As operações que você espera executar por mais de 12 horas exigem uma função de serviço.

Se você precisar criar uma função de perfil de instância e uma função de serviço para a Automação doSystems Manager, execute as tarefas a seguir.

Tarefas• Tarefa 1: criar uma função de serviço para a Automação (p. 144)• Tarefa 2: adicionar um relacionamento de confiança para Automação (p. 145)• Tarefa 3: anexar a política iam:PassRole à sua função de Automação (p. 146)• Tarefa 4: configurar o acesso do usuário à Automação (p. 146)• Tarefa 5: criar uma função de perfil de instância (p. 147)

Tarefa 1: criar uma função de serviço para a Automação

Use o procedimento a seguir para criar uma função de serviço (ou a função assume) para a Automação doSystems Manager.

144




Note

Você também pode usar essas funções e seus nomes de recursos da Amazon (ARNs) emdocumentos de automação, como o documento AWS-UpdateLinuxAmi. Usar essas funções ouseus ARNs em documentos de Automação permite que a Automação realize ações em suasinstâncias gerenciadas, execute novas instâncias e realize ações em seu nome. Para visualizarum exemplo, veja Demonstração da CLI de Automação: aplicar patch a uma AMI Linux (p. 151).

Para criar uma função do IAM e permitir que ela seja assumida pela Automação

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e Create role.3. Na página Select type of trusted entity, em AWS Service, escolha EC2.4. Na seção Select your use case, escolha EC2 e, em seguida, Next: Permissions.5. Na página Attached permissions policy, procure a política AmazonSSMAutomationRole, escolha essa

política e, em seguida, escolha Next: Review.6. Na página Review, digite um nome na caixa Role name e, em seguida, uma descrição.7. Selecione Create role. O sistema faz com que você retorne para a página Roles.8. Na página Roles, escolha a função que você acabou de criar para abrir a página Summary. Anote

os valores de Role Name e Role ARN. Você especificará o ARN da função ao anexar a políticaiam:PassRole à sua conta do IAM no próximo procedimento. Você pode também especificar o nomeda função e o ARN nos documentos de Automação.

Deixe a página Summary aberta.

Note

A política AmazonSSMAutomationRole atribui a permissão de função de Automação aum subconjunto de funções do AWS Lambda na sua conta. Essas funções começam com"Automation". Se você planeja usar a Automação com funções Lambda, o ARN Lambda deveráusar o seguinte formato:

"arn:aws:lambda:*:*:function:Automation*"

Se você tiver funções Lambda cujos ARNs não usam esse formato, também precisará anexaruma política Lambda adicional à sua função de automação, como a política AWSLambdaRole.A política ou função adicional deve fornecer acesso mais amplo às funções Lambda na conta daAWS.

Tarefa 2: adicionar um relacionamento de confiança para Automação

Use o procedimento a seguir para configurar a política de função de serviço para confiar na Automação.

Para adicionar uma relação de confiança para Automação

1. Na página Summary da função que você acabou de criar, escolha a guia Trust Relationships e, emseguida, Edit Trust Relationship.

2. Adicione "ssm.amazonaws.com", conforme mostrado no exemplo a seguir:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow",

145



"Principal":{ "Service":[ "ec2.amazonaws.com", "ssm.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ]}

3. Escolha Update Trust Policy.4. Deixe a página Summary aberta.

Tarefa 3: anexar a política iam:PassRole à sua função de Automação

Use o procedimento a seguir para anexar a política iam:PassRole à sua função de serviço de Automação.Isso permite que o serviço de Automação passe a função a outros serviços ou recursos do SystemsManager ao executar fluxos de trabalho de Automação.

Para anexar a política iam:PassRole à sua função de Automação

1. Na página Summary da função que você acabou de criar, escolha a guia Permissions.2. Escolha Add inline policy.3. Na página Create policy (Criar política), selecione a guia Visual editor (Editor visual).4. Selecione Service (Serviço) e, em seguida, selecione IAM.5. Selecione Select actions (Selecionar ações).6. Na caixa de texto Filter actions (Filtrar ações), digite PassRole e selecione a opção PassRole.7. Selecione Resources (Recursos). Verifique se Specific (Específico) está selecionado e, em seguida,

selecione Add ARN (Adicionar ARN).8. No campo Specify ARN for role (Especificar ARN para função) cole o ARN da função de Automação

que você copiou no final da Tarefa 1. O sistema preenche automaticamente os campos Account(Conta) e Role name with path (Nome de função com caminho).

9. Escolha Add (Adicionar).10. Escolha Revisar política.11. Na página Review Policy (Revisar política), digite um nome e, em seguida, selecione Create Policy

(Criar política).

Tarefa 4: configurar o acesso do usuário à Automação

Se sua conta de usuário, grupo ou função do AWS Identity and Access Management (IAM) receberpermissões de administrador, isso significa que você tem acesso à Automação do Systems Manager. Senão tiver permissões de administrador, um administrador deverá lhe conceder permissão atribuindo apolítica gerenciada AmazonSSMFullAccess ou uma política que ofereça permissões comparáveis à suaconta, grupo ou função do IAM.

Use o seguinte procedimento para configurar uma conta de usuário para usar Automação. A conta deusuário que você escolher terá permissão para configurar e executar a automação. Se você precisar criaruma nova conta de usuário, consulte Criação de um usuário do IAM na sua conta da AWS, no IAM UserGuide.

Para configurar acesso de usuário e anexar a política iam:PassRole a uma conta de usuário

1. No painel de navegação do console do IAM, escolha Users e depois escolha a conta de usuário quevocê deseja configurar.

146

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html


2. Na guia Permissions, na lista de políticas, verifique se a política AmazonSSMFullAccess estálistada ou se existe uma política comparável que conceda à conta permissão para acessar o SystemsManager.

3. Escolha Add inline policy.4. Na página Set Permissions, selecione Policy Generator e Select.5. Verifique se Effect está definido como Allow.6. Em AWS Services, escolha AWS Identity and Access Management.7. Em Actions, escolha PassRole.8. No campo Amazon Resource Name (ARN), cole o ARN da função de serviço de Automação que você

copiou no final da Tarefa 1.9. Escolha Add Statement e Next Step.10. Na página Review Policy, selecione Apply Policy.

Tarefa 5: criar uma função de perfil de instância

Toda instância que executa um fluxo de trabalho de Automação requer uma função de perfil de instânciado IAM. Essa função concede à Automação permissão para realizar ações em suas instâncias, comoexecutar comandos ou iniciar e interromper serviços. Se você tiver criado anteriormente uma função deperfil de instância para o Systems Manager, tal como descrito em Tarefa 2: criar um Perfil de instânciapara o Systems Manager (p. 14), no tópico Como configurar o acesso ao Systems Manager, poderá usaressa mesma função de perfil de instância para a Automação. Se você não tiver criado uma função de perfilde instância, como descrito no tópico, faça isso agora. Para obter informações sobre como anexar essafunção a uma instância existente, consulte Como anexar uma função do IAM a uma instância, no Guia dousuário do Amazon EC2.

Você terminou de configurar as funções necessárias para Automação. Agora, você pode usar a funçãode perfil de instância e o ARN da função de serviço de Automação nos seus documentos de Automação.Para obter mais informações, consulte Demonstração do console de Automação: aplicar patch a uma AMILinux (p. 149) e Demonstração da CLI de Automação: aplicar patch a uma AMI Linux (p. 151).

Configurar o CloudWatch Events para a Automação do SystemsManager (opcional)Você pode configurar o Amazon CloudWatch Events para notificá-lo sobre eventos da Automaçãodo Systems Manager. Por exemplo, pode configurar o CloudWatch Events para enviar notificaçõesquando uma etapa de Automação falha ou é bem-sucedida. Você também pode configurar o CloudWatchEvents para enviar notificações se o fluxo de trabalho de Automação falhar ou for bem-sucedido. Use oprocedimento a seguir para configurar o CloudWatch Events para enviar uma notificação sobre eventos deAutomação.

Para configurar o CloudWatch Events para Automação


2. Escolha Events na navegação esquerda e depois escolha Create rule.3. Em Event Source, verifique se a opção Event Pattern está selecionada.4. No campo Service Name, escolha EC2 Simple Systems Manager (SSM)5. No campo Event Type, escolha Automation.6. Escolha os tipos de detalhes e os status para os quais deseja receber notificações e depois escolha

Add targets.

147





7. Na lista Select target type, escolha um tipo de destino. Para obter informações sobre os diferentestipos de destinos, consulte a documentação correspondente da Ajuda da AWS.

8. Escolha Configurar detalhes.9. Especifique os detalhes da regra e escolha Create rule.

Da próxima vez em que você executar a Automação, o CloudWatch Events enviará detalhes de eventos aodestino especificado.

Configurar a Automação como um destino do CloudWatch Events(opcional)Você pode iniciar um fluxo de trabalho de Automação especificando um documento de Automaçãocomo o destino de um evento do Amazon CloudWatch. É possível iniciar fluxos de trabalho de acordocom um cronograma ou quando ocorrer um evento específico do sistema AWS. Por exemplo, digamosque você crie um documento de Automação chamado BootStrapInstances, que instala softwares emuma instância quando esta é iniciada. Para especificar o documento BootStrapInstances (e o fluxo detrabalho correspondente) como um destino de um evento do CloudWatch, primeiro crie uma nova regra doCloudWatch Events. (Aqui está uma regra de exemplo: Nome do serviço: EC2, Tipo de evento: Notificaçãode alteração de status da instância do EC2, Estado(s) específico(s): em execução, Qualquer instância.)Depois, use o seguinte procedimento para especificar o documento BootStrapInstances como o destinodo evento. Quando uma nova instância for iniciada, o sistema executará o fluxo de trabalho e instalará osoftware.

Para obter informações sobre como criar documento de Automação, consulte Trabalhar com documentosde Automação (p. 154).

Use o procedimento a seguir para configurar um fluxo de trabalho de Automação como o destino de umevento do CloudWatch.

Para configurar a Automação como um destino de um evento do CloudWatch


2. No painel de navegação esquerdo, escolha Events e depois escolha Create rule.3. Escolha Event Pattern ou Schedule. A opção Event Pattern permite criar uma regra que gera eventos

para ações específicas em serviços da AWS. A opção Schedule permite criar uma regra que geraeventos de acordo com um agendamento que você especifica usando o formato cron.

4. Escolha as opções restantes para a regra que você deseja criar e depois escolha Add target.5. Na lista Select target type, escolha SSM Automation.6. Na lista Document, escolha um documento do SSM para executar quando seu destino for invocado.7. Expanda Configure document version e escolha uma versão. $DEFAULT foi explicitamente definido

como o documento padrão no Systems Manager. Você pode escolher uma versão específica ou usara versão mais recente.

8. Expanda Configure automation parameter(s) e mantenha os valores dos parâmetros padrão (sedisponíveis) ou insira seus próprios valores.

Note

Parâmetros necessários têm um asterisco (*) ao lado do nome. Para criar um destino, vocêdeve especificar um valor para cada parâmetro obrigatório. Se não fizer isso, o sistema criaráa regra, mas ela não será executada.

9. Na seção de permissões, escolha uma opção. O CloudWatch usa a função para iniciar o fluxo detrabalho de Automação.

148



AWS Systems Manager Guia do usuárioDemonstrações de Automação


Demonstrações da Automação do Systems ManagerAs demonstrações a seguir ajudam você a começar com a Automação do Systems Manager usando umdocumento de Automação predefinido.

Antes de começar, você deve configurar funções e permissões de Automação. Para obter maisinformações, consulte Configurar a Automação (p. 141). Para obter informações sobre comocriar um documento de Automação personalizado, consulte Demonstração: criar um documento deAutomação (p. 166).

Warning

Se você criar uma AMI de uma instância em execução, existe o risco de que credenciais, dadosconfidenciais ou outras informações confidenciais da instância possam ser gravadas na novaimagem. Tenha cuidado ao criar AMIs.

Demonstrações• Demonstração do console de Automação: aplicar patch a uma AMI Linux (p. 149)• Demonstração da CLI de Automação: aplicar patch a uma AMI Linux (p. 151)

Demonstração do console de Automação: aplicar patch a umaAMI LinuxEsta demonstração da Automação do Systems Manager mostra como usar o console e o documentoAWS-UpdateLinuxAmi do Systems Manager para aplicar patches automaticamente a uma do Linux comas versões mais atualizadas dos pacotes especificados. Você pode atualizar qualquer uma das seguintesversões do Linux usando esta demonstração: AMIs do Ubuntu, CentOS, RHEL, SLES ou Amazon Linux. Odocumento AWS-UpdateLinuxAmi também automatiza a instalação de pacotes e configurações adicionaisespecíficos de sites.

A demonstração mostra como especificar parâmetros para o documento AWS-UpdateLinuxAmi em tempode execução. Se quiser adicionar etapas à sua automação ou especificar valores padrão, você poderáusar o documento AWS-UpdateLinuxAmi como modelo.

Para obter mais informações sobre como trabalhar com documentos do Systems Manager, consulteDocumentos do AWS Systems Manager (p. 349). Para obter informações sobre ações que vocêpode adicionar a um documento, consulte Referência do documento de Automação do SystemsManager (p. 398).

Quando você executa o documento AWS-UpdateLinuxAmi, a Automação realiza as seguintes tarefas.

1. Executa uma instância do Amazon EC2 temporária a partir de uma AMI Linux. A instância é configuradacom um script de dados do usuário que instala o Agente do SSM. O SSM Agent executa scriptsenviados remotamente do Executar comando do Systems Manager.

2. Atualiza a instância realizando as seguintes ações:a. (Opcional) Invoca um script de pré-atualização fornecido pelo usuário na instância.b. Atualiza ferramentas da AWS na instância, se houver ferramentas presentes.c. Atualiza pacotes de distribuição na instância usando o gerenciador de pacotes nativo.d. (Opcional) Invoca um script de pós-atualização fornecido pelo usuário na instância.

3. Interrompe a instância temporária.4. Cria uma nova AMI a partir da instância interrompida.

149


5. Encerra a instância.

Depois que a Automação conclui com êxito esse fluxo de trabalho, a nova AMI é disponibilizada na páginaAMIs do console.

Important

Se você usar a Automação para criar uma AMI a partir de uma instância, esteja ciente de que ascredenciais, as senhas, os dados ou outras informações confidenciais sobre a instância serãoregistrados na nova imagem. Tenha cuidado ao criar uma AMI a partir de uma instância.

À medida que você começar a usar a Automação, observe as seguintes restrições.

• A Automação não realiza a limpeza de recursos. Caso seu fluxo de trabalho pare antes de atingira etapa final de encerramento da instância no fluxo de trabalho do exemplo, talvez seja necessáriointerromper as instâncias manualmente ou desabilitar os serviços que foram iniciados durante o fluxo detrabalho de Automação.

• Se você usar dados de usuário com a Automação, estes deverão ser codificados em base 64.• A Automação mantém os registros de execução por 30 dias.• O Systems Manager e a Automação têm os seguintes limites de serviço.

Antes de começar

Crie uma função de perfil de instâncias do AWS Identity and Access Management (IAM) e uma função deserviço de Automação (ou uma função de admissão). Para obter mais informações sobre essas funçõese como criá-las rapidamente a partir de um modelo do AWS CloudFormation, consulte Método 1: usar oAWS CloudFormation para configurar funções para Automação (p. 142).

Recomendamos que você também colete as seguintes informações antes de começar.

• O ID de origem da para atualização.• (Opcional) A URL de um script a ser executado antes de as atualizações serem aplicadas.• (Opcional) A URL de um script a ser executado depois de as atualizações serem aplicadas.• (Opcional) Os nomes dos pacotes específicos para atualizar. Por padrão, a Automação atualiza todos os

pacotes.• (Opcional) Os nomes dos pacotes específicos para excluir da atualização.

Note

Por padrão, quando a Automação executa o documento AWS-UpdateLinuxAmi, o sistema criauma instância temporária na VPC padrão (172.30.0.0/16). Se tiver excluído a VPC padrão, vocêreceberá o seguinte erro:VPC não definida 400Para resolver esse problema, você deve fazer uma cópia do documento AWS-UpdateLinuxAmie especificar um ID de sub-rede. Para obter mais informações, consulte VPC não definida400 (p. 203).

Para criar uma AMI com patch aplicado usando a Automação


-ou-

150





3. Escolha Execute automation.4. Na lista Automation document, escolha AWS-UpdateLinuxAmi.5. Na seção Document details, verifique se Document version está definida como 1.6. Na seção Execution mode, escolha Execute the entire automation at once.7. Deixe a opção Targets and Rate Control desativada.8. Na seção Parâmetros de entrada, insira as informações coletadas na seção Antes de começar.9. Escolha Execute automation. O console exibe o status de execução da Automação.

Após o término do fluxo de trabalho, execute uma instância de teste da AMI atualizada para verificar asalterações.

Note

Se alguma etapa do fluxo de trabalho falhar, as informações sobre a falha serão listadas napágina Automation Executions. O fluxo de trabalho foi concebido para terminar a instânciatemporária após a conclusão bem-sucedida de todas as tarefas. Se uma etapa falhar, o sistematalvez não encerre a instância. Então, se uma etapa falhar, encerre manualmente a instânciatemporária.

Demonstração da CLI de Automação: aplicar patch a uma AMILinuxEsta demonstração da Automação do Systems Manager mostra como usar a AWS CLI e o documentoAWS-UpdateLinuxAmi do Systems Manager para aplicar patch automaticamente a uma do Linux. Vocêpode atualizar qualquer uma das seguintes versões do Linux usando esta demonstração: AMIs do Ubuntu,CentOS, RHEL, SLES ou Amazon Linux. O documento AWS-UpdateLinuxAmi também automatiza ainstalação de pacotes e configurações adicionais específicos de sites.

Quando você executa o documento AWS-UpdateLinuxAmi, a Automação realiza as seguintes tarefas.

1. Executa uma instância do Amazon EC2 temporária a partir de uma AMI Linux. A instância é configuradacom um script de dados do usuário que instala o Agente do SSM. O SSM Agent executa scriptsenviados remotamente do Executar comando do Systems Manager.

2. Atualiza a instância realizando as seguintes ações:a. Invoca um script de pré-atualização fornecido pelo usuário na instância.b. Atualiza ferramentas da AWS na instância, se houver ferramentas presentes.c. Atualiza pacotes de distribuição na instância usando o gerenciador de pacotes nativo.d. Invoca um script de pós-atualização fornecido pelo usuário na instância.

3. Interrompe a instância temporária.4. Cria uma nova AMI a partir da instância interrompida.5. Encerra a instância.

Depois que a Automação conclui com êxito esse fluxo de trabalho, a nova AMI é disponibilizada na páginaAMIs do console.

Important

Se você usar a Automação para criar uma AMI a partir de uma instância, esteja ciente de que ascredenciais, as senhas, os dados ou outras informações confidenciais sobre a instância serãoregistrados na nova imagem. Tenha cuidado ao criar uma AMI a partir de uma instância.

151


À medida que você começar a usar a Automação, observe as seguintes restrições.

• A Automação não realiza a limpeza de recursos. Caso seu fluxo de trabalho pare antes de atingira etapa final de encerramento da instância no fluxo de trabalho do exemplo, talvez seja necessáriointerromper as instâncias manualmente ou desabilitar os serviços que foram iniciados durante o fluxo detrabalho de Automação.

• Se você usar dados de usuário com a Automação, estes deverão ser codificados em base 64.• A Automação mantém os registros de execução por 30 dias.• O Systems Manager e a Automação têm os seguintes limites de serviço.

Antes de começar

Crie uma função de perfil de instâncias do AWS Identity and Access Management (IAM) e uma função deserviço de Automação (ou uma função de admissão). Para obter mais informações sobre essas funçõese como criá-las rapidamente a partir de um modelo do AWS CloudFormation, consulte Método 1: usar oAWS CloudFormation para configurar funções para Automação (p. 142).

Recomendamos que você também colete o ID de origem da a ser atualizada.

Note

Por padrão, quando a Automação executa o documento AWS-UpdateLinuxAmi, o sistema criauma instância temporária na VPC padrão (172.30.0.0/16). Se tiver excluído a VPC padrão, vocêreceberá o seguinte erro:VPC não definida 400Para resolver esse problema, você deve fazer uma cópia do documento AWS-UpdateLinuxAmie especificar um ID de sub-rede. Para obter mais informações, consulte VPC não definida400 (p. 203).

Para criar uma AMI com patch aplicado usando Automação

1. Faça download da AWS CLI na sua máquina local.2. Execute o seguinte comando para executar o documento AWS-UpdateLinuxAmi e execute o fluxo de

trabalho de automação. Na seção de parâmetros, especifique sua função de Automação, um ID deorigem da AMI e um perfil de instância do Amazon EC2.

aws ssm start-automation-execution \--document-name "AWS-UpdateLinuxAmi" \--parameters \SourceAmiId=ami-e6d5d2f1

O comando retorna um ID de execução. Copie esse ID para a área de transferência. Você usará esseID para visualizar o status do fluxo de trabalho.

{ "AutomationExecutionId": "ID"}

3. Para visualizar a execução do fluxo de trabalho usando a CLI, execute o seguinte comando:

aws ssm describe-automation-executions

4. Para visualizar detalhes sobre o andamento da execução, execute o seguinte comando.

aws ssm get-automation-execution --automation-execution-id ID

152




O processo de atualização pode demorar 30 minutos ou mais para ser concluído.

Note

Você pode também monitorar o status do fluxo de trabalho no console. Na lista de execução,escolha a execução que você acabou de processar e depois escolha a guia Steps. Esta guiamostra o status das ações de fluxo de trabalho.

Após o término do fluxo de trabalho, execute uma instância de teste da AMI atualizada para verificar asalterações.

Note

Se alguma etapa do fluxo de trabalho falhar, as informações sobre a falha serão listadas napágina Automation Executions. O fluxo de trabalho foi concebido para terminar a instânciatemporária após a conclusão bem-sucedida de todas as tarefas. Se uma etapa falhar, o sistematalvez não encerre a instância. Então, se uma etapa falhar, encerre manualmente a instânciatemporária.

Exemplos adicionais de CLI de Automação

Você pode gerenciar outros aspectos da execução da Automação usando as seguintes tarefas.

Interromper uma execução

Execute o seguinte para interromper um fluxo de trabalho. O comando não encerra as instânciasassociadas.

aws ssm stop-automation-execution --automation-execution-id ID

Criar versões de documentos de Automação

Não é possível alterar um documento de Automação existente, mas você pode criar uma nova versãousando o seguinte comando:

aws ssm update-document --name "patchWindowsAmi" --content file:///Users/test-user/Documents/patchWindowsAmi.json --document-version "\$LATEST"

Execute o seguinte comando para visualizar detalhes sobre as versões existentes do documento:

aws ssm list-document-versions --name "patchWindowsAmi"


{ "DocumentVersions": [ { "IsDefaultVersion": false, "Name": "patchWindowsAmi", "DocumentVersion": "2", "CreatedDate": 1475799950.484 }, { "IsDefaultVersion": false, "Name": "patchWindowsAmi", "DocumentVersion": "1",

153

AWS Systems Manager Guia do usuárioTrabalhar com documentos de Automação

"CreatedDate": 1475799931.064 } ]}

Execute o seguinte comando para atualizar a versão padrão para execução. A versão de execução padrãoapenas muda quando você a define explicitamente para uma nova versão. Criar uma nova versão dodocumento não altera a versão padrão.

aws ssm update-document-default-version --name patchWindowsAmi --document-version 2

Excluir um documento

Execute o seguinte comando para excluir um documento de automação:

aws ssm delete-document --name patchWindowsAMI

Trabalhar com documentos de AutomaçãoUm documento de Automação do Systems Manager define as ações que o Systems Manager realiza emsuas instâncias gerenciadas e recursos da AWS. Os documentos usam JSON (JavaScript Object Notation)ou YAML e incluem etapas e parâmetros especificados por você. As etapas são executadas em ordemsequencial.

documentos de Automação são documento do Systems Manager do tipo Automation, ao contrário dedocumentos de Command e Policy. Atualmente, eles oferecem suporte para a versão de esquema 0.3.Documentos do Command e do Policy usam a versão de esquema 1.2 ou 2.0.

Note

Para exibir informações sobre as ações ou os plug-ins que você pode especificar em umdocumento de Automação do Systems Manager, consulte Referência do documento deAutomação do Systems Manager (p. 398). Para visualizar informações sobre plug-ins paratodos os outros tipos de documento do SSM, consulte Referência de plug-ins de documentos doSSM (p. 375).

Tópicos• Trabalhar com documentos de Automação predefinidos (p. 154)• Criar fluxos de trabalho de automação dinâmicos (p. 163)• Demonstração: criar um documento de Automação (p. 166)

Trabalhar com documentos de Automação predefinidosPara ajudá-lo a começar rapidamente, o Systems Manager fornece os seguintes documentos deAutomação predefinidos. Esses documentos são mantidos pela Amazon Web Services.

Note

Todo nome de documento que inclui WithApproval, significa que o documento inclui a açãoaws:approve (p. 402). Essa ação pausa temporariamente uma execução de Automação até queas entidades principais designadas aprovem ou rejeitem a ação. Depois que o número necessáriode aprovações for atingido, a execução da Automação será retomada.

Você pode visualizar o JSON destes documentos no console do Systems Manager.

154



-ou-


3. Selecione um documento e, em seguida, selecione View details (Visualizar detalhes).4. Escolha a guia Content.

Nomes de documentos Finalidade

AWS-DeleteCloudFormationStack

AWS-DeleteCloudFormationStackWithApproval

Use este documento para excluir uma pilha doAWS CloudFormation. Você deve especificar o IDde pilha.

AWS-RestartEC2Instance

AWS-RestartEC2InstanceWithApproval

Use este documento para reiniciar uma oumais instâncias do Amazon EC2 (Windowsou Linux). IDs de instância separadoscom aspas e vírgulas. Por exemplo["i-0123abcd0123abcd0", "i-abcd0123abcd0123a"].Se você quer alterar o estado de umaou mais instâncias de um documentopersonalizado de Automação, especifique aação aws:changeInstanceState (p. 405) nodocumento.

AWS-StartEC2Instance

AWS-StartEC2InstanceWithApproval

Use este documento para iniciar uma oumais instâncias do Amazon EC2 (Windowsou Linux). IDs de instância separadoscom aspas e vírgulas. Por exemplo["i-0123abcd0123abcd0", "i-abcd0123abcd0123a"].Se você quer alterar o estado de umaou mais instâncias de um documentopersonalizado de Automação, especifique aação aws:changeInstanceState (p. 405) nodocumento.

AWS-StopEC2Instance

AWS-StopEC2InstanceWithApproval

Use este documento para interromperuma ou mais instâncias do Amazon EC2(Windows ou Linux). IDs de instânciaseparados com aspas e vírgulas. Por exemplo["i-0123abcd0123abcd0", "i-abcd0123abcd0123a"].Se você quer alterar o estado de umaou mais instâncias de um documentopersonalizado de Automação, especifique aação aws:changeInstanceState (p. 405) nodocumento.

AWS-TerminateEC2Instance

AWS-TerminateEC2InstanceWithApproval

Use este documento para encerrar uma oumais instâncias do Amazon EC2 (Windowsou Linux). IDs de instância separadoscom aspas e vírgulas. Por exemplo["i-0123abcd0123abcd0", "i-abcd0123abcd0123a"].Se você quer alterar o estado de umaou mais instâncias de um documento

155



Nomes de documentos Finalidadepersonalizado de Automação, especifique aação aws:changeInstanceState (p. 405) nodocumento.

AWS-UpdateCloudFormationStack

AWS-UpdateCloudFormationStackWithApproval

Use este documento para realizar uma operaçãode atualização em uma pilha existente usando ummodelo especificado. Você deve especificar umURL para o modelo que será usado para atualizara pilha. Estes documentos executam uma funçãodo AWS Lambda. Você deve fornecer um nomede recurso da Amazon (ARN) para uma funçãodo IAM que o Lambda pode usar para executar afunção.

AWS-UpdateLinuxAmi Use este documento para automatizar tarefasde manutenção de imagens. Para obtermais informações, consulte Demonstração:personalizar e atualizar AMIs Linux usando AWS-UpdateLinuxAmi (p. 156)

AWS-UpdateWindowsAmi Use este documento para automatizar tarefasde manutenção de imagens. Para obter maisinformações, consulte Demonstração: personalizare atualizar AMIs Windows usando AWS-UpdateWindowsAmi (p. 159)

AWSSupport-ExecuteEC2Rescue Use este documento para diagnosticar esolucionar problemas em instâncias do AmazonEC2. Para obter mais informações, consulteExecutar a ferramenta EC2Rescue em instânciasinacessíveis (p. 171).

AWSSupport-ResetAccess Use este documento para reabilitarautomaticamente a geração de senha deadministrador local em instâncias Windows doAmazon EC2. Para obter mais informações,consulte Redefinir senhas e chaves SSH nasinstâncias do Amazon EC2 (p. 176).

Tópicos• Demonstração: personalizar e atualizar AMIs Linux usando AWS-UpdateLinuxAmi (p. 156)• Demonstração: personalizar e atualizar AMIs Windows usando AWS-UpdateWindowsAmi (p. 159)

Demonstração: personalizar e atualizar AMIs Linux usando AWS-UpdateLinuxAmi

O documento AWS-UpdateLinuxAmi permite automatizar tarefas de manutenção de imagens sem precisarcriar o fluxo de trabalho em JSON ou YAML. Você pode usar o documento AWS-UpdateLinuxAmi pararealizar os seguintes tipos de tarefas.

• Atualize todos os pacotes de distribuição e softwares da Amazon em uma () do Amazon Linux, Red Hat,Ubuntu, SLES ou Cent OS. Este é o comportamento padrão do documento.

• Instalar o Agente do SSM em uma imagem existente para habilitar os recursos do Systems Manager,como a execução remota de comandos usando o Executar comando ou a coleta do inventário desoftware usando o Inventário.

156


• Instalar pacotes de software adicionais.

Antes de começar

Antes de começar a trabalhar com documentos de Automação, configure funções e, opcionalmente,o CloudWatch Events para Automação. Para obter mais informações, consulte Configurar aAutomação (p. 141).

O documento AWS-UpdateLinuxAmi aceita os seguintes parâmetros de entrada.

Parâmetro Type Descrição

SourceAmiId String (Obrigatório) O ID da de origem.

InstanceIamRole String (Opcional) O nome da funçãode perfil de instância doAWS Identity and AccessManagement (IAM) quevocê criou em Configurara Automação (p. 141). Afunção de perfil de instância dápermissão para a Automaçãorealizar ações nas suasinstâncias, como executarcomandos ou iniciar e pararserviços. O documento deAutomação usa apenas o nomeda função de perfil de instância.Se você especificar o nome derecurso da Amazon (ARN), aexecução da Automação falhará.

AutomationAssumeRole String (Opcional) O nome da funçãode serviço do IAM quevocê criou em Configurar aAutomação (p. 141). A funçãode serviço (também chamadade função de admissão) dá àAutomação permissão paraassumir sua função do IAM erealizar ações em seu nome. Porexemplo, a função de serviçopermite que a Automação crieuma nova ao executar a açãoaws:createImage em umdocumento de Automação. Paraesse parâmetro, o ARN completodeve ser especificado.

TargetAmiName String (Opcional) O nome da nova apósa sua criação. O nome padrão éuma string gerada pelo sistemaque inclui o ID da AMI de origem,bem como a data e a hora decriação.

InstanceType String (Opcional) O tipo de instância aser executada como o host do

157


Parâmetro Type Descriçãoespaço de trabalho. Os tipos deinstância variam de acordo com aregião. O tipo padrão é t2.micro.

PreUpdateScript String (Opcional) URL de um scripta ser executado antes de asatualizações serem aplicadas. Opadrão (\"none\") é não executarum script.

PostUpdateScript String (Opcional) URL de um scripta ser executado depois de asatualizações de pacote seremaplicadas. O padrão (\"none\") énão executar um script.

IncludePackages String (Opcional) Somente atualizaesses pacotes nomeados.Por padrão (\"all\"), todas asatualizações disponíveis sãoaplicadas.

ExcludePackages String (Opcional) Nomes de pacotespara evitar atualizações, emtodas as condições. Por padrão(\"none\"), nenhum pacote éexcluído.

Etapas da Automação

O documento AWS-UpdateLinuxAmi inclui as seguintes etapas do Automation, por padrão.

Etapa 1: launchInstance (ação aws:runInstances)

Essa etapa executa uma instância usando dados de usuário do Amazon EC2 e uma função deperfil de instância do IAM. Os dados de usuário instalam o SSM Agent apropriado, com base noseu sistema operacional. Instalar o Agente do SSM permite que você utilize recursos do SystemsManager, como o Executar comando, o State Manager e o Inventário.

Etapa 2: updateOSSoftware (ação aws:runCommand)

Essa etapa executa os seguintes comandos na instância executada:• Faz download de um script de atualização do Amazon S3.• Executa um script de pré-atualização opcional.• Atualiza pacotes de distribuição e softwares da Amazon.• Executa um script de pós-atualização opcional.

O log de execução é armazenado na pasta /tmp para que o usuário possa visualizá-lo mais tarde.

Se quiser atualizar um conjunto específico de pacotes, forneça a lista usando o parâmetroIncludePackages. Quando essa lista é fornecida, o sistema tenta atualizar somente esses pacotese suas dependências. Nenhuma outra atualização é realizada. Por padrão, quando nenhum pacote deinclusão é especificado, o programa atualiza todos os pacotes disponíveis.

Se quiser excluir a atualização de um conjunto específico de pacotes, forneça a lista ao parâmetroExcludePackages. Se essa lista for fornecida, os pacotes permanecerão na sua versão atual,

158


independentemente de qualquer outra opção especificada. Por padrão, quando nenhum pacote deexclusão é especificado, nenhum pacote é excluído.

Etapa 3: stopInstance (ação aws:changeInstanceState)

Essa etapa interrompe a instância atualizada.Etapa 4: createImage (ação aws:createImage)

Essa etapa cria uma nova com um nome descritivo que a vincula ao ID de origem e ao horáriode criação. Por exemplo: “AMI Generated by EC2 Automation on {{global:DATE_TIME}} from{{SourceAmiId}}” em que DATE_TIME e SourceID representam variáveis de Automação.

Etapa 5: terminateInstance (ação aws:changeInstanceState)

Essa etapa limpa a execução, encerrando a instância em execução.Resultado

A execução retorna o novo ID da como saída.

Você pode usar o documento AWS-UpdateLinuxAmi como modelo para criar seu próprio documento,conforme descrito na próxima seção. Para obter informações sobre ações (etapas) com suporteem documentos de Automação, consulte Referência do documento de Automação do SystemsManager (p. 398). Para obter informações sobre como usar documentos de Automação, consulteDemonstrações da Automação do Systems Manager (p. 149)

Demonstração: personalizar e atualizar AMIs Windows usando AWS-UpdateWindowsAmi

O documento AWS-UpdateWindowsAmi permite automatizar tarefas de manutenção de imagens emAMIs Windows da Amazon sem precisar criar o fluxo de trabalho em JSON ou YAML. Esse documentotem suporte para o Windows Server 2008 R2 ou posterior. Você pode usar o documento AWS-UpdateWindowsAmi para realizar os seguintes tipos de tarefas.

• Instalar todas as atualizações do Windows e atualizar softwares da Amazon (comportamento padrão).• Instalar atualizações específicas do Windows e atualizar softwares da Amazon.• Personalizar uma AMI usando seus scripts.

Antes de começar

Antes de começar a trabalhar com documentos de Automação, configure funções e, opcionalmente,o CloudWatch Events para Automação. Para obter mais informações, consulte Configurar aAutomação (p. 141).

Note

As atualizações no Agente do SSM são normalmente implementadas em regiões diferentes eem momentos distintos. Quando você personalizar ou atualizar uma , use apenas s de origempublicadas para a região na qual você está trabalhando. Isso garante que você trabalhe com oAgente do SSM mais recente lançado nessa região e evite problemas de compatibilidade.

O documento AWS-UpdateWindowsAmi aceita os seguintes parâmetros de entrada.


SourceAmiId String (Obrigatório) O ID da de origem.

159



InstanceIamRole String (Opcional) O nome da funçãode perfil de instância doAWS Identity and AccessManagement (IAM) quevocê criou em Configurara Automação (p. 141). Afunção de perfil de instância dápermissão para a Automaçãorealizar ações nas suasinstâncias, como executarcomandos ou iniciar e pararserviços. O documento deAutomação usa apenas o nomeda função de perfil de instância.Se você especificar o nome derecurso da Amazon (ARN), aexecução da Automação falhará.

AutomationAssumeRole String (Opcional) O nome da funçãode serviço do IAM quevocê criou em Configurar aAutomação (p. 141). A funçãode serviço (também chamadade função de admissão) dá àAutomação permissão paraassumir sua função do IAM erealizar ações em seu nome. Porexemplo, a função de serviçopermite que a Automação crieuma nova ao executar a açãoaws:createImage em umdocumento de Automação. Paraesse parâmetro, o ARN completodeve ser especificado.

TargetAmiName String (Opcional) O nome da nova apósa sua criação. O nome padrão éuma string gerada pelo sistemaque inclui o ID da AMI de origem,bem como a data e a hora decriação.

InstanceType String (Opcional) O tipo de instânciaa ser executada como o hostdo espaço de trabalho. Os tiposde instância variam de acordocom a região. O tipo padrão ét2.medium.

PreUpdateScript String (Opcional) Um script a serexecutado antes de atualizara AMI. Insira um script nodocumento de Automação ou emtempo de execução como umparâmetro.

160



PostUpdateScript String (Opcional) Um script a serexecutado depois de atualizara AMI. Insira um script nodocumento de Automação ou emtempo de execução como umparâmetro.

IncludeKbs String (Opcional) Especifique um oumais IDs de artigo da Basede Dados de ConhecimentoMicrosoft (KB) para incluir. Vocêpode instalar vários IDs usandovalores separados por vírgulas.Formatos válidos: KB9876543 ou9876543.

ExcludeKbs String (Opcional) Especifique um oumais IDs de artigo da Basede Dados de ConhecimentoMicrosoft (KB) para excluir. Vocêpode excluir vários IDs usandovalores separados por vírgulas.Formatos válidos: KB9876543 ou9876543.

Categorias String (Opcional) Especifiqueuma ou mais categorias deatualização. Você pode filtrarcategorias usando valoresseparados por vírgulas. Opções:Atualização crítica, Atualizaçãode segurança, Atualizaçãode definição, Pacote deatualizações, Pacote de serviços,Ferramenta, Atualização ouDriver. Os formatos válidosincluem uma única entrada, porexemplo: Atualização crítica.Como alternativa, você podeespecificar uma lista separadapor vírgulas: Atualização crítica,Atualização de segurança,Atualização de definição.

161



SeverityLevels String (Opcional) Especifique um oumais níveis de gravidade MSRCassociados a uma atualização.Você pode filtrar os níveisde gravidade usando valoresseparados por vírgulas. Opções:Crítica, Importante, Baixa,Moderada ou Não especificada.Os formatos válidos incluemuma única entrada, por exemplo:Crítica. Como alternativa, vocêpode especificar uma listaseparada por vírgulas: Crítica,Importante, Baixa.

Etapas da Automação

O documento AWS-UpdateWindowsAmi inclui as seguintes etapas de Automação, por padrão.

Etapa 1: launchInstance (ação aws:runInstances)

Essa etapa executa uma instância com uma função de perfil de instância do IAM a partir doSourceAmiID especificado.

Etapa 2: runPreUpdateScript (ação aws:runCommand)

Essa etapa permite especificar um script como uma string que é executada antes que as atualizaçõessejam instaladas.

Etapa 3: updateEC2Config (ação aws:runCommand)

Essa etapa usa o documento público AWS-InstallPowerShellModule para fazer download de ummódulo PowerShell público da AWS. O Systems Manager verifica a integridade do módulo usando umhash SHA-256. Em seguida, o Systems Manager verifica o sistema operacional para determinar sedeve atualizar EC2Config ou EC2Launch. EC2Config é executado no Windows Server 2008 R2 até oWindows Server 2012 R2. EC2Launch é executado no Windows Server 2016.

Etapa 4: updateSSMAgent (ação aws:runCommand)

Essa etapa atualiza o Agente do SSM usando o documento público AWS-UpdateSSMAgent.Etapa 5: updateAWSPVDriver (ação aws:runCommand)

Essa etapa atualiza os drivers AWS PV usando o documento público AWS-ConfigureAWSPackage.Etapa 6: updateAwsEnaNetworkDrive (ação aws:runCommand)

Esta etapa atualiza os drivers de rede ENA da AWS usando o documento público AWS-ConfigureAWSPackage.

Etapa 7: installWindowsUpdates (ação aws:runCommand)

Essa etapa instala as atualizações do Windows usando o documento público AWS-InstallWindowsUpdates. Por padrão, o Systems Manager procura e instala todas as atualizaçõesausentes. Você pode alterar o comportamento padrão especificando um dos seguintes parâmetros:IncludeKbs, ExcludeKbs, Categories ou SeverityLevels.

Etapa 8: runPostUpdateScript (ação aws:runCommand)

Essa etapa permite especificar um script como uma string que é executada após a instalação dasatualizações.

162


Etapa 9: runSysprepGeneralize (ação aws:runCommand)

Essa etapa usa o documento público AWS-InstallPowerShellModule para fazer download de ummódulo PowerShell público da AWS. O Systems Manager verifica a integridade do módulo usando umhash SHA-256. Em seguida, o Systems Manager executa sysprep usando métodos com suporte pelaAWS para EC2Launch (Windows Server 2016) ou EC2Config (Windows Server 2008 R2 até 2012 R2).

Etapa 10: stopInstance (ação aws:changeInstanceState)

Essa etapa interrompe a instância atualizada.Etapa 11: createImage (ação aws:createImage)

Essa etapa cria uma nova AMI com um nome descritivo que a vincula ao ID de origem e ao horáriode criação. Por exemplo: “AMI Generated by EC2 Automation on {{global:DATE_TIME}} from{{SourceAmiId}}” em que DATE_TIME e SourceID representam variáveis de Automação.

Etapa 12: TerminateInstance (ação aws:changeInstanceState)

Essa etapa limpa a execução, encerrando a instância em execução.Resultado

Essa seção permite designar as saídas de várias etapas ou valores de qualquer parâmetro comosaída da Automação. Por padrão, a saída é o ID da AMI Windows atualizada criada pela execução.

Você pode usar o documento AWS-UpdateWindowsAmi como modelo para criar seu próprio documento,conforme descrito na próxima seção. Para obter informações sobre ações (etapas) com suporteem documentos de Automação, consulte Referência do documento de Automação do SystemsManager (p. 398). Para obter informações sobre como usar documentos de Automação, consulteDemonstrações da Automação do Systems Manager (p. 149)

Criar fluxos de trabalho de automação dinâmicosPor padrão, as etapas (ou ações) que você define na seção mainSteps de um documento de automaçãosão executadas em ordem sequencial. Depois que uma ação é concluída, a próxima ação especificadana seção mainSteps começa. Além disso, se uma ação falhar, todo o fluxo de trabalho de automaçãofalhará (por padrão). Você pode usar as opções descritas nesta seção para criar fluxos de trabalho deautomação que executam ramificações condicionais. Isso significa que você pode criar fluxos de trabalhode automação que respondem dinamicamente às alterações de condições quando uma etapa é concluída.Veja a seguir uma lista de opções que você pode usar para criar fluxos de trabalho de automaçãodinâmicos.

• nextStep: especifica qual etapa de um fluxo de trabalho de automação deve ser processadaimediatamente após a conclusão bem-sucedida de uma etapa.

• isEnd: interrompe a execução da automação no final de determinada etapa. A execução da automaçãopara se a execução da etapa falhar ou for bem-sucedida. O valor padrão desta opção é falso.

• isCritical: designa uma etapa como essencial para a conclusão bem-sucedida da automação. Se umaetapa com essa designação falhar, a automação relatará o status final da automação como Failed (comfalha). O valor padrão desta opção é verdadeiro.

• onFailure: indica se o fluxo de trabalho deve ser anulado, continuar ou seguir para outra etapa em casode falha. O valor padrão desta opção é anular.

Exemplos de como usar as opções de fluxo de trabalho dinâmicoEsta seção inclui vários exemplos de como usar as opções de fluxo de trabalho dinâmico em umdocumento de automação. Cada exemplo nesta seção amplia o documento seguinte de automação.Este documento tem duas ações. A primeira ação é chamada InstallMsiPackage. Ela usa a açãoaws:runCommand para instalar um aplicativo em uma instância do Windows Server. A segunda ação é

163


chamada TestInstall. Ela usa a ação aws:invokeLambdaFunction para executar um teste do aplicativoinstalado, se o aplicativo foi instalado com êxito. A etapa um especifica "onFailure":"Abort". Issosignifica que, se a instalação do aplicativo não foi bem-sucedida, a execução do fluxo de trabalho deautomação é interrompida antes da etapa dois.

Exemplo 1: documento de automação com duas ações lineares

{ "schemaVersion":"0.3", "description":"Install MSI package and run validation.", "assumeRole":"{{automationAssumeRole}}", "parameters":{ "automationAssumeRole":{ "type":"String", "description":"(Required) Assume role." }, "packageName":{ "type":"String", "description":"(Required) MSI package to be installed." }, "instanceIds":{ "type":"String", "description":"(Required) Comma separated list of instances." } } "mainSteps":[ { "name":"InstallMsiPackage", "action":"aws:runCommand", "maxAttempts":2, "onFailure":"Abort", "inputs":{ "InstanceIds":[ { { instanceIds } } ], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "msiexec /i {{packageName}}" ] } } }, { "name":"TestInstall", "action":"aws:invokeLambdaFunction", "maxAttempts":1, "timeoutSeconds":500, "inputs":{ "FunctionName":"TestLambdaFunction" } } ]}

Criação de um fluxo de trabalho dinâmico que salta para diferentes etapas

O exemplo a seguir usa as opções "onFailure":"step:step_name", nextStep e isEnd para criar um fluxo detrabalho de automação dinâmico. Nesse exemplo, se a ação InstallMsiPackage falhar, o fluxo de trabalhosaltará para uma ação chamada PostFailure ("onFailure":"step:PostFailure") para executar uma funçãodo AWS Lambda a fim de realizar alguma ação no evento em que a instalação falhou. Se a instalação for

164


bem-sucedida, o processo de fluxo de trabalho saltará para a ação TestInstall ("nextStep":"TestInstall").Tanto a etapa TestInstall quanto a PostFailure usam a opção isEnd ("isEnd":" true") para que o fluxo detrabalho termine a execução quando uma dessas etapas é concluída.

Note

O uso da opção isEnd na última etapa da seção mainSteps é opcional. Se a última etapa nãosaltar para outras etapas, então o fluxo de trabalho de automação será interrompido depois deexecutar a ação na última etapa.

Exemplo 2: um fluxo de trabalho dinâmico que salta para diferentes etapas

"mainSteps":[ { "name":"InstallMsiPackage", "action":"aws:runCommand", "onFailure":"step:PostFailure", "maxAttempts":2, "inputs":{ "InstanceIds":[ { { "i-1234567890EXAMPLE,i-abcdefghiEXAMPLE" } } ], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "msiexec /i {{packageName}}" ] } }, "nextStep":"TestInstall" }, { "name":"TestInstall", "action":"aws:invokeLambdaFunction", "maxAttempts":1, "timeoutSeconds":500, "inputs":{ "FunctionName":"TestLambdaFunction" }, "isEnd":"true" }, { "name":"PostFailure", "action":"aws:invokeLambdaFunction", "maxAttempts":1, "timeoutSeconds":500, "inputs":{ "FunctionName":"PostFailureRecoveryLambdaFunction" }, "isEnd":"true" }

Note

Antes de processar um documento de automação, o sistema verifica se o documento não criaum loop infinito. Se um loop infinito for detectado, a automação retornará um erro e um círculo derastreamento mostrando as etapas que criam o loop.

Criação de um fluxo de trabalho que define etapas essenciais

165


Você pode especificar que uma etapa é essencial para o sucesso geral do fluxo de trabalho de automação.Se uma etapa essencial falhar, a automação informa o status da execução como "com falha", mesmose uma ou mais etapas forem executadas com êxito. No exemplo a seguir, o usuário identifica a etapaVerifyDependencies se a etapa InstallMsiPackage falhar ("onFailure":"step:VerifyDependencies"). Ousuário especifica que a etapa InstallMsiPackage não é essencial ("isCritical":false). Neste exemplo, se oaplicativo falhar ao instalar, a automação processará a etapa VerifyDependencies para determinar se umaou mais dependências estão ausentes, o que deve ter causado a falha na instalação do aplicativo.

Exemplo 3: definição das etapas essenciais para o fluxo de trabalho de automação

{ "name":"InstallMsiPackage", "action":"aws:runCommand", "onFailure":"step:VerifyDependencies", "isCritical":false, "maxAttempts":2, "inputs":{ "InstanceIds":[ { { instanceIds } } ], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "msiexec /i {{packageName}}" ] } }, "nextStep":"TestPackage"}

Demonstração: criar um documento de AutomaçãoEsta demonstração mostra como criar e executar um documento de Automação personalizado. Depois deexecutar a Automação, o sistema realiza as seguintes tarefas.

• Executa uma instância do Windows a partir de uma AMI especificada.• Executa um comando usando o Executar comando, que aplica atualizações do Windows à instância.• Interrompe a instância.• Cria uma nova AMI Windows.• Marca a AMI Windows.• Encerra a instância original.

Documento de amostra de Automação

A automação executa documentos de automação do Systems Manager escritos em JSON ou YAML.Esses documentos incluem as ações a serem realizadas durante a execução do fluxo de trabalho. Paraobter mais informações sobre documentos do Systems Manager, consulte Documentos do AWS SystemsManager (p. 349). Para obter informações sobre ações que você pode adicionar a um documento,consulte Referência do documento de Automação do Systems Manager (p. 398)

Note

Por padrão, quando a Automação executa o documento AWS-UpdateWindowsAmi e cria umainstância temporária, o sistema usa a VPC padrão (172.30.0.0/16). Se tiver excluído a VPCpadrão, você receberá o seguinte erro:

166


VPC não definida 400Para resolver esse problema, você deve fazer uma cópia do documento AWS-UpdateWindowsAmi e especificar um ID de sub-rede. Para obter mais informações, consulte VPCnão definida 400 (p. 203).

Para criar uma AMI com patch aplicado usando Automação

1. Colete as informações a seguir. Você especificará essas informações mais tarde neste procedimento.

• O ID de origem da para atualização.• Crie uma função de perfil de instâncias do AWS Identity and Access Management (IAM)

e uma função de serviço de Automação (ou uma função de admissão). Para obter maisinformações sobre essas funções e como criá-las rapidamente a partir de um modelo do AWSCloudFormation, consulte Método 1: usar o AWS CloudFormation para configurar funções paraAutomação (p. 142). Certifique-se de copiar o nome da função de perfil de instância e o nomede recurso da Amazon (ARN) da função de serviço de Automação, conforme descrito em Copiarinformações de função para a Automação (p. 143).

2. Copie o seguinte documento de exemplo para um editor de texto, como o Bloco de Notas. Altere ovalor de assumeRole para o ARN de função que você criou anteriormente quando criou uma funçãodo IAM para Automação e altere o valor de IamInstanceProfileName para o nome da funçãocriada anteriormente. Salve o documento em uma unidade local como patchWindowsAmi.json oupatchWindowsAmi.yaml.

{ "description":"Systems Manager Automation Demo - Patch and Create a New AMI", "schemaVersion":"0.3", "assumeRole":"the role ARN you created", "parameters":{ "sourceAMIid":{ "type":"String", "description":"AMI to patch" }, "targetAMIname":{ "type":"String", "description":"Name of new AMI", "default":"patchedAMI-{{global:DATE_TIME}}" } }, "mainSteps":[ { "name":"startInstances", "action":"aws:runInstances", "timeoutSeconds":1200, "maxAttempts":1, "onFailure":"Abort", "inputs":{ "ImageId":"{{ sourceAMIid }}", "InstanceType":"m3.large", "MinInstanceCount":1, "MaxInstanceCount":1, "IamInstanceProfileName":"the name of the IAM role you created" } }, { "name":"installMissingWindowsUpdates", "action":"aws:runCommand", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "DocumentName":"AWS-InstallMissingWindowsUpdates", "InstanceIds":[ "{{ startInstances.InstanceIds }}"

167


], "Parameters":{ "UpdateLevel":"Important" } } }, { "name":"stopInstance", "action":"aws:changeInstanceState", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "DesiredState":"stopped" } }, { "name":"createImage", "action":"aws:createImage", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceId":"{{ startInstances.InstanceIds }}", "ImageName":"{{ targetAMIname }}", "NoReboot":true, "ImageDescription":"AMI created by EC2 Automation" } }, { "name":"createTags", "action":"aws:createTags", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "ResourceType":"EC2", "ResourceIds":[ "{{createImage.ImageId}}" ], "Tags":[ { "Key": "Generated By Automation", "Value": "{{automation:EXECUTION_ID}}" }, { "Key": "From Source AMI", "Value": "{{sourceAMIid}}" } ] } }, { "name":"terminateInstance", "action":"aws:changeInstanceState", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "DesiredState":"terminated" } } ], "outputs":[

168


"createImage.ImageId" ]}

3. Faça download da AWS CLI na sua máquina local.4. Edite o comando a seguir e especifique o caminho para o arquivo patchWindowsAmi.json/yaml em sua

máquina local. Execute o comando para criar o documento de automação necessário.

Note

Para o parâmetro name, não é possível prefixar documentos com AWS. Se você especificarAWS-nome ou AWSnome, receberá um erro.

aws ssm create-document --name "patchWindowsAmi" --content file:///Users/test-user/Documents/patchWindowsAmi.json/yaml --document-type Automation

O sistema retorna informações sobre o progresso do comando.

{ "DocumentDescription": { "Status": "Creating", "Hash": "bce98f80b89668b092cd094d2f2895f57e40942bcc1598d85338dc9516b0b7f1", "Name": "test", "Parameters": [ { "Type": "String", "Name": "sourceAMIid", "Description": "AMI to patch" }, { "DefaultValue": "patchedAMI-{{global:DATE_TIME}}", "Type": "String", "Name": "targetAMIname", "Description": "Name of new AMI" } ], "DocumentType": "Automation", "PlatformTypes": [ "Windows", "Linux" ], "DocumentVersion": "1", "HashType": "Sha256", "CreatedDate": 1488303738.572, "Owner": "12345678901", "SchemaVersion": "0.3", "DefaultVersion": "1", "LatestVersion": "1", "Description": "Systems Manager Automation Demo - Patch and Create a New AMI" }}

5. Execute o seguinte comando para visualizar uma lista de documentos que você pode acessar.

aws ssm list-documents --document-filter-list key=Owner,value=Self

O sistema retorna informações como as seguintes:

{ "DocumentIdentifiers":[ {

169



"Name":" patchWindowsAmi", "PlatformTypes": [

], "DocumentVersion": "5", "DocumentType": "Automation", "Owner": "12345678901", "SchemaVersion": "0.3" } ]}

6. Execute o seguinte comando para visualizar detalhes sobre o documento patchWindowsAmi.

aws ssm describe-document --name patchWindowsAmi


{ "Document": { "Status": "Active", "Hash": "99d5b2e33571a6bb52c629283bca0a164026cd201876adf0a76de16766fb98ac", "Name": "patchWindowsAmi", "Parameters": [ { "DefaultValue": "ami-3f0c4628", "Type": "String", "Name": "sourceAMIid", "Description": "AMI to patch" }, { "DefaultValue": "patchedAMI-{{global:DATE_TIME}}", "Type": "String", "Name": "targetAMIname", "Description": "Name of new AMI" } ], "DocumentType": "Automation", "PlatformTypes": [

], "DocumentVersion": "5", "HashType": "Sha256", "CreatedDate": 1478904417.477, "Owner": "12345678901", "SchemaVersion": "0.3", "DefaultVersion": "5", "LatestVersion": "5", "Description": "Automation Demo - Patch and Create a New AMI" }}

7. Execute o seguinte comando para processar o documento patchWindowsAmi e execute o fluxo detrabalho de automação. Esse comando aceita dois parâmetros de entrada: o ID da AMI a receberpatch e o nome da nova AMI. O exemplo de comando abaixo usa uma AMI do EC2 recente paraminimizar o número de patches que precisam ser aplicados. Se você executar esse comando maisde uma vez, deverá especificar um valor exclusivo para targetAMIname. Nomes de AMI devem serexclusivos.

aws ssm start-automation-execution --document-name="patchWindowsAmi" --parameters sourceAMIid="ami-bd3ba0aa"

170

AWS Systems Manager Guia do usuárioExemplos de Automação

O comando retorna um ID de execução. Copie esse ID para a área de transferência. Você usará esseID para visualizar o status do fluxo de trabalho.

{ "AutomationExecutionId": "ID"}

Você pode monitorar o status do fluxo de trabalho no console do Verifique o console para ver seuma nova instância está sendo executada. Assim que a execução da instância é concluída, vocêpode confirmar se a ação do Executar comando foi executada. Depois que a execução do Executarcomando estiver concluída, você verá uma nova AMI em sua lista de imagens de AMI.

8. Para visualizar a execução do fluxo de trabalho usando a CLI, execute o seguinte comando:

aws ssm describe-automation-executions

9. Para visualizar detalhes sobre o andamento da execução, execute o seguinte comando.

aws ssm get-automation-execution --automation-execution-id ID

Note

Dependendo do número de patches aplicados, o processo de aplicação de patch do Windowsexecutado nesse fluxo de trabalho de amostra poderá demorar 30 minutos ou mais para serconcluído.

Para obter mais exemplos de como usar a Automação, incluindo exemplos baseados na demonstraçãoque você acabou de concluir, consulte Exemplos da Automação do Systems Manager (p. 171).

Exemplos da Automação do Systems ManagerOs exemplos a seguir mostram como usar a Automação do Systems Manager para simplificar tarefascomuns de manutenção de instâncias e sistemas. Observe que alguns desses exemplos expandem oexemplo de como atualizar uma AMI do Windows, descrito em Demonstração: criar um documento deAutomação (p. 166).

Exemplos• Executar a ferramenta EC2Rescue em instâncias inacessíveis (p. 171)• Redefinir senhas e chaves SSH nas instâncias do Amazon EC2 (p. 176)• Simplificar a aplicação de patch de AMIs usando a Automação, o Lambda e o Parameter

Store (p. 181)• Usar a Automação com o Jenkins (p. 186)• Aplicar patch a uma e atualizar um grupo de Auto Scaling (p. 188)

Executar a ferramenta EC2Rescue em instâncias inacessíveisO EC2Rescue pode ajudá-lo a diagnosticar e solucionar problemas em instâncias do Linux e WindowsServer do Amazon EC2. Você pode executar a ferramenta manualmente, conforme descrito em Usaro EC2Rescue para Linux Server e Usar o EC2Rescue para Windows Server. Ou você pode executar aferramenta automaticamente usando a automação do Systems Manager e o documento AWSSupport-ExecuteEC2Rescue. O documento AWSSupport-ExecuteEC2Rescue foi projetado para realizar umacombinação de ações do Systems Manager, ações do AWS CloudFormation e funções Lambda queautomatizam as etapas normalmente necessárias para usar EC2Rescue.

171

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Linux-Server-EC2Rescue.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Linux-Server-EC2Rescue.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html


Você pode usar o documento AWSSupport-ExecuteEC2Rescue para solucionar problemas epotencialmente corrigir diferentes tipos de problemas do sistema operacional (SO). Veja os seguintestópicos para uma lista completa:

Windows: consulte Rescue Action em Usar o EC2Rescue para Windows Server com a linha de comando.

Linux: Alguns módulos do EC2Rescue para Linux detectam e tentam corrigir problemas. Para maisinformações, consulte o documento aws-ec2rescue-linux para cada módulo do GitHub.

Como funcionam os bancos de dados públicos

A resolução de problemas com uma instância com Automação e o documento AWSSupport-ExecuteEC2Rescue funcionam da seguinte maneira:

• Você especifica o ID da instância inacessível e executa o fluxo de trabalho de automação.• O sistema cria uma VPC temporária e, em seguida, executa uma série de funções Lambda para

configurar a VPC.• O sistema identifica uma sub-rede para sua VPC temporária na mesma Zona de disponibilidade da sua

instância original.• O sistema executa uma instância temporária auxiliar do , habilitada para o SSM.• O sistema interrompe sua instância original e cria um backup. Em seguida, atribui o volume raiz original

à instância auxiliar.• O sistema usa o Executar comando para executar o EC2Rescue na instância auxiliar. O EC2Rescue

identifica e tenta corrigir problemas no volume raiz original anexado. Ao terminar, o EC2Rescue anexa ovolume raiz de volta à instância original.

• O sistema reinicia sua instância original e encerra a instância temporária. O sistema também encerra aVPC temporária e as funções Lambda criadas no início da automação.

Antes de começar

Antes de executar a automação a seguir:

• Copie o ID da instância inacessível. Você especificará esse ID no procedimento.• Opcionalmente, colete o ID de uma sub-rede na mesma zona de disponibilidade como sua instância

inacessível. A instância EC2Rescue será criada nessa sub-rede. Se não especificar uma sub-rede, aAutomação criará uma nova VPC temporária em sua conta AWS. Verifique se a sua conta da AWSpossui pelo menos uma VPC disponível. Por padrão, você pode criar cinco VPCs em uma Região. Sevocê já tiver criado cinco VPCs na Região, a automação falhará sem fazer alterações na sua instância.Para obter mais informações, consulte VPC e suas sub-redes.

• Opcionalmente, você pode criar e especificar uma função do AWS Identity and Access Management(IAM) para Automação. Se você não especificar essa função, a automação será executada no contextodo usuário que executou a automação. Para obter mais informações sobre como criar funções paraAutomação, consulte Início rápido 2: conduzir um fluxo de trabalho da Automação usando uma funçãode serviço do IAM (p. 137).

Conceder permissões a AWSSupport-EC2Rescue para realizar ações nas suas instâncias

O EC2Rescue precisa de permissão para realizar uma série de ações nas suas instâncias durantea execução da Automação. Essas ações invocam os serviços AWS Lambda, IAM e Amazon EC2para tentar corrigir problemas com as suas instâncias de forma segura. Se você tiver permissões emnível de administrador na sua conta da AWS e/ou VPC, poderá executar a automação sem configurarpermissões, conforme descrito nesta seção. Se não tiver permissões em nível de Administrador, você ouum administrador deverá configurar permissões usando uma das seguintes opções.

172

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-cli.html#ec2rw-rescue

https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs

https://docs.aws.amazon.com/vpc/latest/adminguide/VPC_Appendix_Limits.html#vpc-limits-vpcs-subnets


• Conceder permissões usando políticas do IAM (p. 173)• Conceder permissões usando um modelo do AWS CloudFormation (p. 174)

Conceder permissões usando políticas do IAM

Você pode anexar a seguinte política do IAM à sua conta de usuário, grupo ou função do IAM como umapolítica embutida ou pode criar uma nova política gerenciada do IAM e anexá-la à sua conta de usuário,grupo ou função. Para obter mais informações sobre como adicionar uma política embutida à sua conta deusuário, grupo ou função, consulte Como trabalhar com políticas embutidas. Para obter mais informaçõessobre como criar uma nova política gerenciada, consulte Como trabalhar com políticas gerenciadas.

Note

Se criar uma nova política gerenciada do IAM, deverá também anexar a ela a política gerenciadaAmazonSSMAutomationRole para que suas instâncias possam se comunicar com a API doSystems Manager.

Política do IAM para AWSSupport-EC2Rescue

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:An-AWS-Account-ID:function:AWSSupport-EC2Rescue-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::awssupport-ssm.*/*.template", "arn:aws:s3:::awssupport-ssm.*/*.zip" ], "Effect": "Allow" }, { "Action": [ "iam:CreateRole", "iam:CreateInstanceProfile", "iam:GetRole", "iam:GetInstanceProfile", "iam:PutRolePolicy", "iam:DetachRolePolicy", "iam:AttachRolePolicy", "iam:PassRole", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DeleteInstanceProfile" ], "Resource": [ "arn:aws:iam::An-AWS-Account-ID:role/AWSSupport-EC2Rescue-*", "arn:aws:iam::An-AWS-Account-ID:instance-profile/AWSSupport-EC2Rescue-*" ],

173

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html


"Effect": "Allow" }, { "Action": [ "lambda:CreateFunction", "ec2:CreateVpc", "ec2:ModifyVpcAttribute", "ec2:DeleteVpc", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:DetachInternetGateway", "ec2:DeleteInternetGateway", "ec2:CreateSubnet", "ec2:DeleteSubnet", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:CreateRouteTable", "ec2:AssociateRouteTable", "ec2:DisassociateRouteTable", "ec2:DeleteRouteTable", "ec2:CreateVpcEndpoint", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:Describe*" ], "Resource": "*", "Effect": "Allow" } ]}

Conceder permissões usando um modelo do AWS CloudFormation

O AWS CloudFormation automatiza o processo de criação de funções e políticas do IAM, usando ummodelo pré-configurado. Use o procedimento a seguir para criar as funções e políticas do IAM necessáriaspara a Automação de EC2Rescue usando o AWS CloudFormation.

Para criar as funções e políticas do IAM necessárias para EC2Rescue

1. Escolha o botão Launch Stack. O botão abre o console do AWS CloudFormation e preenche o campoSpecify an Amazon S3 template URL com a URL para o modelo do EC2Rescue.

Note


Exibir Executar

Exibir




O AWS CloudFormation mostra o status CREATE_IN_PROGRESS por cerca de três minutos. Ostatus mudará para CREATE_COMPLETE depois que a pilha tiver sido criada.

174

https://s3.amazonaws.com/awssupport-ssm.us-east-1/cfn/EC2Rescue/AWSSupport-EC2RescueRole.json

https://console.aws.amazon.com/cloudformation/home?region=us-east-2#/stacks/new?stackName=EC2Rescue-Setup&templateURL=https://s3.amazonaws.com/awssupport-ssm.us-east-2/cfn/EC2Rescue/AWSSupport-EC2RescueRole.template


7. Na lista de pilhas, escolha a opção ao lado da pilha que você acabou de criar e depois escolha a guiaOutputs.

8. Copie o conteúdo em Value. Este é o ARN de AssumeRole. Você especificará esse ARN quandoexecutar a automação.

Executar a AutomaçãoNote

O procedimento seguir descreve as etapas que você realiza no console do Amazon EC2. Vocêtambém pode realizar essas etapas no novo console do AWS Systems Manager. As etapas nonovo console serão diferentes das etapas abaixo.Important

A seguinte execução de Automação interrompe a instância inacessível. A interrupção da instânciapode resultar em perda de dados em volumes de armazenamento de instâncias anexados (sepresentes). A interrupção da instância também pode fazer com que o IP público seja alterado,caso nenhum IP do Elastic esteja associado.

Para executar a automação AWSSupport-ExecuteEC2Rescue


-ou-


3. Escolha Execute automation.4. Na seção Automation document, escolha Owned by Me or Amazon na lista.5. Na lista de documentos, escolha AWSSupport-ExecuteEC2Rescue. O proprietário do documento é a

Amazon.6. Na seção Document details, verifique se Document version está definida como versão padrão. Por

exemplo, 6 (default).7. Na seção Execution mode, escolha Execute the entire automation at once.8. Deixe a opção Targets and Rate Control desativada.9. Na seção Input parameters, especifique os parâmetros a seguir:

a. Em UnreachableInstanceId, especifique o ID da instância inacessível.b. Em LogDestination, especifique um bucket do Amazon S3 se desejar coletar logs de sistema

operacional enquanto soluciona problemas na instância. Os logs são enviados automaticamentepara o bucket especificado.

c. Em EC2RescueInstanceType, especifique um tipo de instância para a instância EC2Rescue. Otipo de instância padrão é t2.small.

d. Em SubnetId, especifique uma sub-rede em uma VPC existente na mesma zona dedisponibilidade da instância inacessível. Por padrão, o Systems Manager cria uma nova VPC,mas você pode especificar uma sub-rede em uma VPC existente, se quiser.

Note

Se não vir a opção para especificar um bucket ou um ID de sub-rede, verifique se vocêestá usando a versão Default mais recente do documento.

e. Em AssumeRole, se tiver criado funções para essa Automação usando o procedimentoCloudFormation descrito anteriormente neste tópico, especifique o ARN de AssumeRole copiadodo console do CloudFormation.

175




10. Escolha Execute automation.

A Automação cria uma de backup como parte do fluxo de trabalho. Todos os outros recursos criados pelofluxo de trabalho de Automação são automaticamente excluídos, mas essa permanece em sua conta. A échamada usando a convenção a seguir:

AMI de backup: AWSSupport-EC2Rescue:UnreachableInstanceId

Você pode localizar essa no console do Amazon EC2 procurando o ID de execução de Automação.

Redefinir senhas e chaves SSH nas instâncias do Amazon EC2Você pode usar o documento AWSSupport-ResetAccess para reabilitar automaticamente a geração desenha de administrador local em instâncias Windows do Amazon EC2 e gerar uma nova chave SSH nasinstâncias do Amazon EC2 do Linux. O documento AWSSupport-ResetAccess foi projetado para realizaruma combinação de ações do Systems Manager, de ações do AWS CloudFormation e de funções doLambda que automatizam as etapas normalmente necessárias para redefinir a senha de administradorlocal.

Você pode usar a Automação com o documento AWSSupport-ResetAccess para resolver os seguintesproblemas:

Windows

Você perdeu o par de chaves EC2: para resolver esse problema, você pode usar o documentoAWSSupport-ResetAccess para criar uma AMI ativada por senha de sua instância atual, inicie uma novainstância a partir da AMI e selecione um par de chaves que você possui.

Você perdeu a senha do administrador local: para resolver esse problema, você pode usar o documentoAWSSupport-ResetAccess para gerar uma nova senha que você pode descriptografar com o par dechaves EC2 atual.

Linux

Você perdeu seu par de chaves EC2 ou configurou o acesso SSH à instância com uma chave perdida:para resolver esse problema, você pode usar o documento AWSSupport-ResetAccess para criar uma novachave SSH para sua instância atual, que permite se conectar à instância novamente.

Note

Se sua instância Windows do EC2 for configurada para o Systems Manager, você poderá tambémredefinir a senha de administrador local usando o EC2Rescue e Executar comando. Para obtermais informações, consulte Usar o EC2Rescue para Windows Server com o Executar comandodo Systems Manager no Amazon EC2 User Guide for Windows Instances.

Como funcionam os bancos de dados públicos

A resolução de problemas de uma instância com Automação e o documento AWSSupport-ResetAccessfunciona da seguinte maneira:

• Você especifica o ID da instância e executa o fluxo de trabalho de automação.• O sistema cria uma VPC temporária e, em seguida, executa uma série de funções Lambda para

configurar a VPC.• O sistema identifica uma sub-rede para sua VPC temporária na mesma Zona de disponibilidade da sua

instância original.• O sistema executa uma instância temporária auxiliar do , habilitada para o SSM.

176

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html



• O sistema interrompe sua instância original e cria um backup. Em seguida, atribui o volume raiz originalà instância auxiliar.

• O sistema usa o Executar comando para executar o EC2Rescue na instância auxiliar. No Windows, oEC2Rescue permite a geração de senha para o administrador local usando o EC2Config ou EC2Launchno volume raiz original anexado. No Linux, o EC2Rescue gera e injeta uma nova chave SSH e salva achave privada, criptografada em Parameter Store. Ao terminar, o EC2Rescue anexa o volume raiz devolta à instância original.

• O sistema cria uma nova () de sua instância, agora que a geração de senha está habilitada. Você podeusar essa AMI para criar uma nova instância do EC2 e associar um novo par de chaves, se necessário.

• O sistema reinicia sua instância original e encerra a instância temporária. O sistema também encerra aVPC temporária e as funções Lambda criadas no início da automação.

• Windows: a instância gera uma nova senha que você pode decodificar no console do EC2 usando o parde chaves atual designado para a instância.

Linux: você pode se conectar à instância via SSH usando a chave SSH armazenada no armazenamentode parâmetro do Systems Manager como /ec2rl/openssh/instance_id/key.

Antes de começar

Antes de executar a automação a seguir:

• Copie o ID de instância da instância na qual você deseja redefinir a senha de administrador. Vocêespecificará esse ID no procedimento.

• Opcionalmente, colete o ID de uma sub-rede na mesma zona de disponibilidade como sua instânciainacessível. A instância EC2Rescue será criada nessa sub-rede. Se não especificar uma sub-rede, aAutomação criará uma nova VPC temporária em sua conta AWS. Verifique se a sua conta da AWSpossui pelo menos uma VPC disponível. Por padrão, você pode criar cinco VPCs em uma Região. Sevocê já tiver criado cinco VPCs na Região, a automação falhará sem fazer alterações na sua instância.Para obter mais informações, consulte VPC e suas sub-redes.

• Opcionalmente, você pode criar e especificar uma função do AWS Identity and Access Management(IAM) para Automação. Se você não especificar essa função, a automação será executada no contextodo usuário que executou a automação. Para obter mais informações sobre como criar funções paraAutomação, consulte Início rápido 2: conduzir um fluxo de trabalho da Automação usando uma funçãode serviço do IAM (p. 137).

Conceder permissões a AWSSupport-EC2Rescue para realizar ações nas suas instâncias

O EC2Rescue precisa de permissão para realizar uma série de ações nas suas instâncias durantea execução da Automação. Essas ações invocam os serviços AWS Lambda, IAM e Amazon EC2para tentar corrigir problemas com as suas instâncias de forma segura. Se você tiver permissões emnível de administrador na sua conta da AWS e/ou VPC, poderá executar a automação sem configurarpermissões, conforme descrito nesta seção. Se não tiver permissões em nível de Administrador, você ouum administrador deverá configurar permissões usando uma das seguintes opções.

• Conceder permissões usando políticas do IAM (p. 177)• Conceder permissões usando um modelo do AWS CloudFormation (p. 174)

Conceder permissões usando políticas do IAM

Você pode anexar a seguinte política do IAM à sua conta de usuário, grupo ou função do IAM como umapolítica embutida ou pode criar uma nova política gerenciada do IAM e anexá-la à sua conta de usuário,grupo ou função. Para obter mais informações sobre como adicionar uma política embutida à sua conta deusuário, grupo ou função, consulte Como trabalhar com políticas embutidas. Para obter mais informaçõessobre como criar uma nova política gerenciada, consulte Como trabalhar com políticas gerenciadas.

177

https://docs.aws.amazon.com/vpc/latest/adminguide/VPC_Appendix_Limits.html#vpc-limits-vpcs-subnets

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html


Note

Se criar uma nova política gerenciada do IAM, deverá também anexar a ela a política gerenciadaAmazonSSMAutomationRole para que suas instâncias possam se comunicar com a API doSystems Manager.

Política do IAM para AWSSupport-ResetAccess

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:An-AWS-Account-ID:function:AWSSupport-EC2Rescue-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::awssupport-ssm.*/*.template", "arn:aws:s3:::awssupport-ssm.*/*.zip" ], "Effect": "Allow" }, { "Action": [ "iam:CreateRole", "iam:CreateInstanceProfile", "iam:GetRole", "iam:GetInstanceProfile", "iam:PutRolePolicy", "iam:DetachRolePolicy", "iam:AttachRolePolicy", "iam:PassRole", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DeleteInstanceProfile" ], "Resource": [ "arn:aws:iam::An-AWS-Account-ID:role/AWSSupport-EC2Rescue-*", "arn:aws:iam::An-AWS-Account-ID:instance-profile/AWSSupport-EC2Rescue-*" ], "Effect": "Allow" }, { "Action": [ "lambda:CreateFunction", "ec2:CreateVpc", "ec2:ModifyVpcAttribute", "ec2:DeleteVpc", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:DetachInternetGateway", "ec2:DeleteInternetGateway", "ec2:CreateSubnet", "ec2:DeleteSubnet",

178


"ec2:CreateRoute", "ec2:DeleteRoute", "ec2:CreateRouteTable", "ec2:AssociateRouteTable", "ec2:DisassociateRouteTable", "ec2:DeleteRouteTable", "ec2:CreateVpcEndpoint", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:Describe*" ], "Resource": "*", "Effect": "Allow" } ]}

Conceder permissões usando um modelo do AWS CloudFormation

O AWS CloudFormation automatiza o processo de criação de funções e políticas do IAM, usando ummodelo pré-configurado. Use o procedimento a seguir para criar as funções e políticas do IAM necessáriaspara a Automação de EC2Rescue usando o AWS CloudFormation.

Para criar as funções e políticas do IAM necessárias para EC2Rescue

1. Escolha o botão Launch Stack. O botão abre o console do AWS CloudFormation e preenche o campoSpecify an Amazon S3 template URL com a URL para o modelo do EC2Rescue.

Note


Exibir Executar

Exibir




O AWS CloudFormation mostra o status CREATE_IN_PROGRESS por cerca de três minutos. Ostatus mudará para CREATE_COMPLETE depois que a pilha tiver sido criada.

7. Na lista de pilhas, escolha a opção ao lado da pilha que você acabou de criar e depois escolha a guiaOutputs.

8. Copie o conteúdo em Value. Este é o ARN de AssumeRole. Você especificará esse ARN quandoexecutar a automação.

Note

Este procedimento cria uma pilha do AWS CloudFormation em US East (Ohio) Region (us-east-2),mas a função do IAM criada por esse processo é um recurso global disponível em todas asregiões.

179

https://s3.amazonaws.com/awssupport-ssm.us-east-1/cfn/EC2Rescue/AWSSupport-EC2RescueRole.json

https://console.aws.amazon.com/cloudformation/home?region=us-east-2#/stacks/new?stackName=EC2Rescue-Setup&templateURL=https://s3.amazonaws.com/awssupport-ssm.us-east-2/cfn/EC2Rescue/AWSSupport-EC2RescueRole.template


Executar a AutomaçãoNote

O procedimento seguir descreve as etapas que você realiza no console do Amazon EC2. Vocêtambém pode realizar essas etapas no novo console do AWS Systems Manager. As etapas nonovo console serão diferentes das etapas abaixo.

O procedimento a seguir descreve como executar o documento AWSSupport-ResetAccess usando oconsole do Amazon EC2.

Important

A execução de Automação a seguir interrompe a instância. A interrupção da instância poderesultar em perda de dados em volumes de armazenamento de instâncias anexados (sepresentes). A interrupção da instância também pode fazer com que o IP público seja alterado,caso nenhum IP do Elastic esteja associado. Para evitar essas alterações de configuração, useo Executar comando para redefinir o acesso. Para obter mais informações, consulte Usar oEC2Rescue para Windows Server com o Executar comando do Systems Manager no AmazonEC2 User Guide for Windows Instances.

Para executar a automação AWSSupport-ResetAccess


-ou-


3. Escolha Execute automation.4. Na seção Document name, escolha Owned by Me or Amazon na lista.5. Na lista de documentos, escolha AWSSupport-ResetAccess. O proprietário do documento é a

Amazon.6. Na seção Document details, verifique se Document version está definida como versão padrão. Por

exemplo, 4 (default).7. Na seção Execution mode, escolha Execute the entire automation at once.8. Deixe a opção Targets and Rate Control desativada.9. Na seção Input parameters, especifique os parâmetros a seguir:

a. Em InstanceID, especifique o ID da instância inacessível.b. Em EC2RescueInstanceType, especifique um tipo de instância para a instância EC2Rescue. O

tipo de instância padrão é t2.small.c. Em SubnetId, especifique uma sub-rede em uma VPC existente na mesma zona de

disponibilidade da instância que você especificou. Por padrão, o Systems Manager cria uma novaVPC, mas você pode especificar uma sub-rede em uma VPC existente, se quiser.

Note

Se não vir a opção para especificar um ID de sub-rede, verifique se você está usando aversão Default mais recente do documento.

d. Em Assume Role, se tiver criado funções para essa Automação usando o procedimentoCloudFormation descrito anteriormente neste tópico, especifique o ARN de AssumeRole copiadodo console do CloudFormation.

10. Escolha Execute automation.

180






11. Para monitorar o progresso da execução, escolha a automação em execução e depois escolha a guiaSteps. Quando a execução terminar, escolha a guia Descriptions e depois View output para visualizaros resultados. Para exibir a saída de etapas individuais, escolha a guia Steps e depois escolha ViewOutputs ao lado de uma etapa.

A automação cria uma de backup e uma ativada por senha como parte do fluxo de trabalho. Todos osoutros recursos criados pelo fluxo de trabalho de Automação são automaticamente excluídos, mas essas spermanecem em sua conta. As s são chamadas usando as convenções a seguir:

• AMI de backup: AWSSupport-EC2Rescue:Instanceld• AMI ativada por senha: AWSSupport-EC2Rescue: AMI ativada por senha de InstanceId

Você pode localizar essas s procurando o ID de execução de Automação.

No Linux, a nova chave privada SSH para sua instância é salva, criptografada, Parameter Store. O nomedo parâmetro é /ec2rl/openssh/instance_id/key.

Simplificar a aplicação de patch de AMIs usando a Automação, oLambda e o Parameter StoreO seguinte exemplo expande o conceito de como atualizar uma AMI Windows, conforme descrito emDemonstração: criar um documento de Automação (p. 166). Este exemplo usa o modelo onde umaorganização mantém suas próprias AMIs patenteadas e aplicar patches a essas AMIs periodicamente, emvez de se basear em AMIs do Amazon EC2.

O procedimento a seguir mostra como aplicar patches de sistema operacional (SO) automaticamente auma Windows que já é considerada a mais atualizada ou mais recente. No exemplo, o valor padrão doparâmetro SourceAmiId é definido por um parâmetro do Parameter Store do Systems Manager chamadolatestAmi. O valor de latestAmi é atualizado por uma função AWS Lambda invocada no final do fluxode trabalho de Automação. Como resultado desse processo de Automação, o tempo e o esforço gastos naaplicação de patch das s são minimizados, pois o patch é sempre aplicado à mais atualizada.

Antes de começar

Configure funções de Automação e, opcionalmente, o CloudWatch Events para a Automação. Para obtermais informações, consulte Configurar a Automação (p. 141).

Tópicos• Tarefa 1: criar um parâmetro no Parameter Store do Systems Manager (p. 181)• Tarefa 2: criar uma função do IAM para o AWS Lambda (p. 182)• Tarefa 3: criar uma função AWS Lambda (p. 182)• Tarefa 4: criar um documento de Automação e aplicar patch à (p. 183)

Tarefa 1: criar um parâmetro no Parameter Store do Systems Manager

Crie um parâmetro de string no Parameter Store que use as seguintes informações:

• Nome: latestAmi.• Valor: um ID de do Windows Por exemplo: ami-188d6e0e.

Para obter mais informações sobre como criar um parâmetro String usando o Parameter Store, consulteCriar parâmetros do Systems Manager (p. 436).

181


Tarefa 2: criar uma função do IAM para o AWS Lambda

Use o procedimento a seguir para criar uma função de serviço do IAM para o AWS Lambda. Essa funçãoinclui as políticas gerenciadas AWSLambdaExecute e AmazonSSMFullAccess. Essas políticas dão aoLambda a permissão necessária para atualizar o valor do parâmetro latestAmi usando uma funçãoLambda e o Systems Manager.

Para criar uma função de serviço do IAM para o Lambda

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e depois Create New Role.3. Para Role name, digite um nome de função que possa ajudá-lo a identificar a finalidade dessa função,

por exemplo, lambda-ssm-role. Os nomes de função devem ser exclusivos em sua conta da AWS.Depois de digitar o nome, escolha Next Step na parte inferior da página.

Note

Como várias entidades podem fazer referência à função, não é possível alterar o nome dafunção depois que ela é criada.

4. Na página Select Role Type, escolha a seção AWS Service Roles e depois escolha AWS Lambda.5. Na página Attach Policy, escolha AWSLambdaExecute e AmazonSSMFullAccess e depois escolha

Next Step.6. Selecione Create Role.

Tarefa 3: criar uma função AWS Lambda

Use o seguinte procedimento para criar uma função Lambda que atualiza automaticamente o valor doparâmetro latestAmi.

Para criar uma função Lambda

1. Sign in to the AWS Management Console and open the AWS Lambda console at https://console.aws.amazon.com/lambda/.

2. Escolha Criar uma função Lambda.3. Na página Select blueprint, escolha Blank Function.4. Na página Configure triggers, selecione Next.5. Na página Configure function, digite Automation-UpdateSsmParam no campo Name e insira uma

descrição, se desejar.6. Na lista Runtime, selecione Python 2.7.7. Na seção Lambda function code, exclua o código pré-preenchido no campo e cole o exemplo de

código a seguir.

from __future__ import print_function

import jsonimport boto3

print('Loading function')

#Updates an SSM parameter#Expects parameterName, parameterValuedef lambda_handler(event, context): print("Received event: " + json.dumps(event, indent=2))

182


https://console.aws.amazon.com/lambda/



# get SSM client client = boto3.client('ssm')

#confirm parameter exists before updating it response = client.describe_parameters( Filters=[ { 'Key': 'Name', 'Values': [ event['parameterName'] ] }, ] )

if not response['Parameters']: print('No such parameter') return 'SSM parameter not found.'

#if parameter has a Description field, update it PLUS the Value if 'Description' in response['Parameters'][0]: description = response['Parameters'][0]['Description'] response = client.put_parameter( Name=event['parameterName'], Value=event['parameterValue'], Description=description, Type='String', Overwrite=True ) #otherwise just update Value else: response = client.put_parameter( Name=event['parameterName'], Value=event['parameterValue'], Type='String', Overwrite=True ) reponseString = 'Updated parameter %s with value %s.' % (event['parameterName'], event['parameterValue']) return reponseString

8. Na seção Lambda function handler and role, na lista Role, escolha a função de serviço para o Lambdaque você criou na Tarefa 2.

9. Escolha Next e depois Create function.10. Para testar a função Lambda, no menu Actions, escolha Configure Test Event.11. Substitua o texto existente pelo seguinte JSON.

{ "parameterName":"latestAmi", "parameterValue":"your AMI ID"}

12. Escolha Save and test. A saída deve indicar que o parâmetro foi atualizado com sucesso e incluirdetalhes sobre a atualização. Por exemplo, "Updated parameter latestAmi with value ami-123456".

Tarefa 4: criar um documento de Automação e aplicar patch àUse o seguinte procedimento para criar e executar um documento de Automação que aplica patch àque você especificou para o parâmetro latestAmi. Depois que o fluxo de trabalho de Automação for

183


concluído, o valor de latestAmi será atualizado com o ID da que acabou de receber patch. As execuçõessubsequentes usarão a criada pela execução anterior.

Para criar um documento de Automação e aplicar patch em


-ou-


3. Escolha Create Document.4. No campo Name, digite UpdateMyLatestWindowsAmi.5. Na lista Document type, escolha Automation document.6. Exclua os parênteses do campo Content e cole o seguinte documento de exemplo JSON.

Note

Você deve alterar os valores de assumeRole e IamInstanceProfileName neste exemplocom o ARN da função de serviço e a função de perfil de instância criada ao Configurar aAutomação (p. 141).

{ "description":"Systems Manager Automation Demo – Patch AMI and Update SSM Param", "schemaVersion":"0.3", "assumeRole":"the role ARN you created", "parameters":{ "sourceAMIid":{ "type":"String", "description":"AMI to patch", "default":"{{ssm:latestAmi}}" }, "targetAMIname":{ "type":"String", "description":"Name of new AMI", "default":"patchedAMI-{{global:DATE_TIME}}" } }, "mainSteps":[ { "name":"startInstances", "action":"aws:runInstances", "timeoutSeconds":1200, "maxAttempts":1, "onFailure":"Abort", "inputs":{ "ImageId":"{{ sourceAMIid }}", "InstanceType":"m3.large", "MinInstanceCount":1, "MaxInstanceCount":1, "IamInstanceProfileName":"the name of the IAM role you created" } }, { "name":"installMissingWindowsUpdates", "action":"aws:runCommand", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "DocumentName":"AWS-InstallMissingWindowsUpdates",

184



"InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "Parameters":{ "UpdateLevel":"Important" } } }, { "name":"stopInstance", "action":"aws:changeInstanceState", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "DesiredState":"stopped" } }, { "name":"createImage", "action":"aws:createImage", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceId":"{{ startInstances.InstanceIds }}", "ImageName":"{{ targetAMIname }}", "NoReboot":true, "ImageDescription":"AMI created by EC2 Automation" } }, { "name":"terminateInstance", "action":"aws:changeInstanceState", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "DesiredState":"terminated" } }, { "name":"updateSsmParam", "action":"aws:invokeLambdaFunction", "timeoutSeconds":1200, "maxAttempts":1, "onFailure":"Abort", "inputs":{ "FunctionName":"Automation-UpdateSsmParam", "Payload":"{\"parameterName\":\"latestAmi\", \"parameterValue\":\"{{createImage.ImageId}}\"}" } } ], "outputs":[ "createImage.ImageId" ]}

7. Escolha Create document para salvar o documento.8. No painel de navegação, escolha Automations e depois Execute automation.9. Na lista Automation document, escolha UpdateMyLatestWindowsAmi.

185


10. Na seção Document details, verifique se Document version está definida como 1.11. Na seção Execution mode, escolha Execute the entire automation at once.12. Deixe a opção Targets and Rate Control desativada.13. Após a conclusão da execução, escolha Parameter Store no painel de navegação e confirme se o

novo valor para latestAmi corresponde ao valor retornado pelo fluxo de trabalho de Automação. Vocêtambém pode verificar se o novo ID de AMI corresponde à saída da Automação na seção AMIs doconsole do EC2.

Usar a Automação com o JenkinsSe a sua organização usa o software Jenkins em um pipeline de CI/CD, você poderá adicionar aAutomação como uma etapa de pós-compilação para pré-instalar as versões do aplicativo em s (s). Vocêtambém pode usar o recurso de agendamento do Jenkins para chamar a Automação e criar sua própriacadência de aplicação de patches de sistema operacional (SO).

O exemplo abaixo mostra como invocar a Automação a partir de um servidor Jenkins em execução nolocal ou no Amazon EC2. Para autenticação, o servidor Jenkins usa credenciais da AWS com base emum usuário do AWS Identity and Access Management (IAM) que você cria no exemplo. Se o seu servidorJenkins estiver em execução no Amazon EC2, você também poderá autenticá-lo usando uma função deperfil de instância do IAM.

Note

Certifique-se de seguir as melhores práticas de segurança do Jenkins ao configurar sua instância.

Antes de começar

Conclua as seguintes tarefas antes de configurar a Automação com o Jenkins.

• Conclua o exemplo Simplificar a aplicação de patch de AMIs usando a Automação, oLambda e o Parameter Store (p. 181). O exemplo a seguir usa o documento de automaçãoUpdateMyLatestWindowsAmi criado nesse exemplo.

• Configure funções do IAM para Automação. O Systems Manager requer uma função de perfil deinstância e um ARN de função de serviço para processar fluxos de trabalho de Automação. Para obtermais informações, consulte Configurar a Automação (p. 141).

• Depois de configurar as funções do IAM para Automação, use o procedimento a seguir para criar umaconta de usuário do IAM para o seu servidor Jenkins. O fluxo de trabalho de Automação usa a chavede acesso e a chave secreta da conta de usuário do IAM para autenticar o servidor Jenkins durante aexecução.

Para criar uma conta de usuário para o servidor Jenkins

1. Na página Users do console do IAM, escolha Add User.2. Na seção Set user details, especifique um nome de usuário (por exemplo, Jenkins).3. Na seção Select AWS access type, escolha Programmatic Access.4. Escolha Próximo: Permissões.5. Na seção Set permissions for, escolha Attach existing policies directly.6. No campo de filtro, digite AmazonSSMFullAccess.7. Marque a caixa de seleção ao lado da política e depois escolha Next:Review.8. Verifique os detalhes e escolha Create.9. Copie a chave de acesso e chave secreta para um arquivo de texto. Você especificará essas

credenciais no próximo procedimento.

Use o seguinte procedimento para configurar a AWS CLI no seu servidor Jenkins.

186

https://console.aws.amazon.com/iam/home#users


Para configurar o servidor Jenkins para Automação

1. Faça download da AWS CLI para o seu servidor Jenkins, se ela ainda não estiver instalada. Paraobter mais informações, consulte o tópico sobre como Instalar a AWS Command Line Interface.

2. Em uma janela de terminal no servidor Jenkins, execute os seguintes comandos para configurar aAWS CLI.

sudo su – jenkinsaws configure

3. Quando solicitado, insira a chave de acesso e a chave secreta da AWS que você recebeu quandocriou o usuário Jenkins no IAM. Especifique uma região padrão. Para obter mais informaçõessobre como configurar a AWS CLI, consulte o tópico sobre como Configurar a AWS Command LineInterface.

Use o procedimento a seguir para configurar o projeto do Jenkins para invocar a Automação.

Para configurar o servidor Jenkins para invocar a Automação

1. Abra o console Jenkins em um navegador da Web.2. Escolha o projeto que deseja configurar com Automação e depois escolha Configure.3. Na guia Build, escolha Add Build Step.4. Escolha Execute shell ou Execute Windows batch command (dependendo do seu sistema

operacional).5. Na caixa Command (Comando), execute um comando de AWS CLI, como o seguinte:

aws --region the region of your source AMI ssm start-automation-execution --document-name your document name --parameters parameters for the document

O comando de exemplo a seguir usa o documento UpdateMyLatestWindowsAmi e o parâmetrodo Systems Manager latestAmi criado em Simplificar a aplicação de patch de AMIs usando aAutomação, o Lambda e o Parameter Store (p. 181):

aws --region region-id ssm start-automation-execution \ --document-name UpdateMyLatestWindowsAmi \ --parameters \ "sourceAMIid='{{ssm:latestAmi}}'"

No Jenkins, o comando se parece com exemplo na seguinte captura de tela.

187

https://docs.aws.amazon.com/cli/latest/userguide/installing.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html


6. No projeto do Jenkins, escolha Build Now. O Jenkins retorna uma saída semelhante ao exemplo aseguir.

Aplicar patch a uma e atualizar um grupo de Auto ScalingO exemplo a seguir baseia-se no exemplo Simplificar a aplicação de patch de AMIs usando a Automação,o Lambda e o Parameter Store (p. 181), adicionando uma etapa que atualiza um grupo de AutoScaling com a que acabou de receber patch. Essa abordagem garante que as novas imagens sejamautomaticamente disponibilizadas para diferentes ambientes de computação que usam grupos de AutoScaling.

A etapa final do fluxo de trabalho de Automação neste exemplo usa uma função AWS Lambda para copiaruma configuração de execução e definir o ID da da que acabou de receber patch. O grupo de Auto Scalingé atualizado com a nova configuração de execução. Neste tipo de cenário DE Auto Scaling, os usuáriospodem encerrar instâncias existentes no grupo de Auto Scaling para forçar a execução de uma novainstância que usa a nova imagem. Como alternativa, os usuários podem aguardar e permitir que eventosde aumento ou redução de escala aconteçam para executar instâncias mais recentes.

Antes de começar

Conclua as seguintes tarefas antes de começar este exemplo.

• Conclua o exemplo Simplificar a aplicação de patch de AMIs usando a Automação, oLambda e o Parameter Store (p. 181). O exemplo a seguir usa o documento de automaçãoUpdateMyLatestWindowsAmi criado nesse exemplo.

• Configure funções do IAM para Automação. O Systems Manager requer uma função de perfil deinstância e um ARN de função de serviço para processar fluxos de trabalho de Automação. Para obtermais informações, consulte Configurar a Automação (p. 141).

• Se você não conhece o Lambda, recomendamos criar uma função do Lambda simples usando o tópicoCriar uma função do Lambda simples no AWS Lambda Developer Guide. O tópico ajudará você aentender, em detalhes, algumas das etapas necessárias para criar uma função do Lambda.

Tarefa 1: criar uma função do IAM para o AWS Lambda

Use o procedimento a seguir para criar uma função de serviço do IAM para o AWS Lambda. Essa funçãoinclui as políticas gerenciadas AWSLambdaExecute e AutoScalingFullAccess. Essas políticas dão aoLambda a permissão para criar um novo grupo de Auto Scaling com a mais recente a receber patch,usando uma função Lambda.

Para criar uma função de serviço do IAM para o Lambda

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e Create role.3. Na página Select type of trusted entity (Selecionar tipo de entidade confiada), em AWS Service

(Serviço da AWS), selecione Lambda.

188

https://docs.aws.amazon.com/lambda/latest/dg/get-started-create-function.html



4. Na seção Select your use case (Selecione seu caso de uso), selecione Lambda e, em seguida, Next:Permissions (Próximo: permissões).

5. Na página Attach permissions policy (Anexar política de permissões), pesquise AWSLambdaExecutee, em seguida, selecione a opção ao lado desse item. Pesquise AutoScalingFullAccess e, em seguida,selecione a opção ao lado desse item.

6. Selecione Next: Review (Próximo: revisar).7. Na página Review (Revisar), verifique se AWSLambdaExecute e AutoScalingFullAccess estão listados

em Policies (Políticas).

8. Digite um nome na caixa Role name (Nome de função) e, em seguida, digite uma descrição.9. Selecione Create role. O sistema faz com que você retorne para a página Roles.

Tarefa 2: criar uma função AWS Lambda

Use o seguinte procedimento para criar uma função Lambda que cria automaticamente um novo grupo deAuto Scaling com a mais recente a receber patch.

Para criar uma função Lambda

1. Sign in to the AWS Management Console and open the AWS Lambda console at https://console.aws.amazon.com/lambda/.

2. Escolha Create function.3. Verifique se Author from scratch (Criar do zero) está selecionado.4. No campo Name (Nome), digite Automation-UpdateAsg.5. Na lista Runtime, selecione Python 2.7.6. Na lista Role (Função), verifique se Choose an existing role (Escolher uma função existente) está

selecionado.7. Na lista Existing role (Função existente), selecione a função criada anteriormente.8. Escolha Create function. O sistema exibe um código e uma página de configuração para Automation-

UpdateSAsg.9. Não faça alterações na seção Designer.10. Na seção Function code (Código de função), exclua o código pré-preenchido no campo

lambda_function e cole o código de exemplo a seguir.

from __future__ import print_function

189




import jsonimport datetimeimport timeimport boto3

print('Loading function')

def lambda_handler(event, context): print("Received event: " + json.dumps(event, indent=2))

# get autoscaling client client = boto3.client('autoscaling')

# get object for the ASG we're going to update, filter by name of target ASG response = client.describe_auto_scaling_groups(AutoScalingGroupNames=[event['targetASG']])

if not response['AutoScalingGroups']: return 'No such ASG'

# get name of InstanceID in current ASG that we'll use to model new Launch Configuration after sourceInstanceId = response.get('AutoScalingGroups')[0]['Instances'][0]['InstanceId']

# create LC using instance from target ASG as a template, only diff is the name of the new LC and new AMI timeStamp = time.time() timeStampString = datetime.datetime.fromtimestamp(timeStamp).strftime('%Y-%m-%d %H-%M-%S') newLaunchConfigName = 'LC '+ event['newAmiID'] + ' ' + timeStampString client.create_launch_configuration( InstanceId = sourceInstanceId, LaunchConfigurationName=newLaunchConfigName, ImageId= event['newAmiID'] )

# update ASG to use new LC response = client.update_auto_scaling_group(AutoScalingGroupName = event['targetASG'],LaunchConfigurationName = newLaunchConfigName)

return 'Updated ASG `%s` with new launch configuration `%s` which includes AMI `%s`.' % (event['targetASG'], newLaunchConfigName, event['newAmiID'])

11. Especifique as opções de configuração restantes nesta página.12. Escolha Salvar.13. Escolha Test.14. Na página Configure test event (Configurar evento de teste), verifique se Create new test event (Criar

novo evento de teste) está selecionado.15. Na lista Event template (Modelo de evento), verifique se Hello World está selecionado.16. No campo Event name (Nome de evento), digite um nome.17. Substitua o exemplo existente pelo JSON a seguir. Insira um ID da AMI e um grupo do Auto Scaling.

{ "newAmiID":"valid AMI ID", "targetASG":"name of your Auto Scaling group"}

18. Escolha Salvar.19. Escolha Test. A saída indica que o grupo do Auto Scaling foi atualizado com êxito com uma nova

configuração de execução.

190


Tarefa 3: criar um documento de Automação, aplicar patch ao e atualizar o grupode Auto ScalingUse o seguinte procedimento para criar e executar um documento de Automação que aplica patch à quevocê especificou para o parâmetro latestAmi. Em seguida, o fluxo de trabalho de Automação atualiza ogrupo de Auto Scaling para usar a mais recente a receber patch.

Para criar e executar um documento de Automação


-ou-


3. Escolha Create Document.4. No campo Name, digite PatchAmiandUpdateAsg.5. Na lista Document type, escolha Automation document.6. Exclua os parênteses do campo Content e cole o seguinte documento de exemplo JSON.

Note

Você deve alterar os valores de assumeRole e IamInstanceProfileName neste exemplocom o ARN da função de serviço e a função de perfil de instância criada ao Configurar aAutomação (p. 141).

{ "description":"Systems Manager Automation Demo - Patch AMI and Update ASG", "schemaVersion":"0.3", "assumeRole":"the service role ARN you created", "parameters":{ "sourceAMIid":{ "type":"String", "description":"AMI to patch" }, "targetAMIname":{ "type":"String", "description":"Name of new AMI", "default":"patchedAMI-{{global:DATE_TIME}}" }, "targetASG":{ "type":"String", "description":"Autosaling group to Update" } }, "mainSteps":[ { "name":"startInstances", "action":"aws:runInstances", "timeoutSeconds":1200, "maxAttempts":1, "onFailure":"Abort", "inputs":{ "ImageId":"{{ sourceAMIid }}", "InstanceType":"m3.large", "MinInstanceCount":1, "MaxInstanceCount":1, "IamInstanceProfileName":"the name of the instance IAM role you created" } },

191



{ "name":"installMissingWindowsUpdates", "action":"aws:runCommand", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "DocumentName":"AWS-InstallMissingWindowsUpdates", "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "Parameters":{ "UpdateLevel":"Important" } } }, { "name":"stopInstance", "action":"aws:changeInstanceState", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "DesiredState":"stopped" } }, { "name":"createImage", "action":"aws:createImage", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceId":"{{ startInstances.InstanceIds }}", "ImageName":"{{ targetAMIname }}", "NoReboot":true, "ImageDescription":"AMI created by EC2 Automation" } }, { "name":"terminateInstance", "action":"aws:changeInstanceState", "maxAttempts":1, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{ startInstances.InstanceIds }}" ], "DesiredState":"terminated" } }, { "name":"updateASG", "action":"aws:invokeLambdaFunction", "timeoutSeconds":1200, "maxAttempts":1, "onFailure":"Abort", "inputs": { "FunctionName": "Automation-UpdateAsg", "Payload": "{\"targetASG\":\"{{targetASG}}\", \"newAmiID\":\"{{createImage.ImageId}}\"}" } } ], "outputs":[ "createImage.ImageId"

192

AWS Systems Manager Guia do usuárioVariáveis de sistema de Automação

]}

7. Escolha Create document para salvar o documento.8. Escolha Automations e, em seguida, Execute automation.9. Na lista Automation document, escolha PatchAmiandUpdateAsg.10. Na seção Document details, verifique se Document version está definida como 1.11. Na seção Execution mode, escolha Execute the entire automation at once.12. Deixe a opção Targets and Rate Control desativada.13. Especifique um ID de AMI Windows para sourceAMIid e seu nome de grupo de Auto Scaling para

targetASG.14. Escolha Execute automation.15. Após a conclusão da execução, no console do Amazon EC2, escolha Auto Scaling e depois Launch

Configurations. Verifique se você vê a nova configuração de execução e se ela usa o novo ID de .16. Escolha Auto Scaling e depois Auto Scaling Groups. Verifique se o grupo de Auto Scaling usa a nova

configuração de execução.17. Encerre uma ou mais instâncias no seu grupo de Auto Scaling. As instâncias de substituição serão

executadas com o novo ID de AMI.

Note

Você pode automatizar ainda mais a implantação da nova editando a função Lambda paraencerrar as instâncias uniformemente. Também pode invocar sua própria função Lambda e utilizara capacidade do AWS CloudFormation de atualizar grupos de Auto Scaling. Para obter maisinformações, consulte Atributo UpdatePolicy.

Variáveis de sistema de AutomaçãoOs documentos de Automação do Systems Manager usam as seguintes variáveis. Para obter um exemplode como essas variáveis são usadas, visualize a origem JSON do documento AWS-UpdateWindowsAmi.

Note


Para visualizar a origem JSON do documento AWS-UpdateWindowsAmi

1. No console do Amazon EC2, expanda Systems Manager Shared Resources e depois escolhaDocuments.

2. Escolha AWS-UpdateWindowsAmi.3. No painel inferior, escolha a guia Content.

Variáveis de sistema

Atualmente, os documentos de Automação oferecem suporte para as seguintes variáveis de sistema.

Variável Detalhes

global:ACCOUNT_ID O ID de conta da AWS do usuário ou da função doAWS Identity and Access Management (IAM) emque a automação é executada.

193

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-attribute-updatepolicy.html



Variável Detalhes

global:DATE A data (em tempo de execução), no formato aaaa-MM-dd.

global:DATE_TIME A data e a hora (em tempo de execução), noformato aaaa-MM-dd_HH.mm.ss.

global:REGION A região em que o documento é executado. Porexemplo, us-east-2.

Variáveis de automação

Atualmente, os documentos de Automação oferecem suporte para as seguintes variáveis de automação.

Variável Detalhes

automation:EXECUTION_ID O identificador exclusivo atribuído àexecução de automação atual. Por exemplo,1a2b3c-1a2b3c-1a2b3c-1a2b3c1a2b3c1a2b3c.

Tópicos• Terminologia (p. 194)• Cenários com suporte (p. 197)• Cenários sem suporte (p. 200)

TerminologiaOs termos a seguir descrevem como as variáveis e os parâmetros são resolvidos.

Prazo Definição Exemplo

ARN constante Um ARN válido sem variáveis arn:aws:iam::123456789012:role/roleName

Parâmetro de documento Um parâmetro definido emnível de documento para umdocumento de Automação(por exemplo, instanceId). Oparâmetro é usado em umasubstituição de string básica. Seuvalor é fornecido na ocasião deinício da execução.

{ "description": "Create Image Demo", "version": "0.3", "assumeRole": "Your_Automation_Assume_Role_ARN", "parameters":{ "instanceId": { "type": "STRING", "description": "Instance to create image from" }}

Variável de sistema Uma variável geral substituídano documento quando uma partedele é avaliada.

"activities": [ { "id": "copyImage",

194


Prazo Definição Exemplo "activityType": "AWS-CopyImage", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "ImageName": "{{imageName}}", "SourceImageId": "{{sourceImageId}}", "SourceRegion": "{{sourceRegion}}", "Encrypted": true, "ImageDescription": "Test CopyImage Description created on {{global:DATE}}" } }]

Variável de automação Uma variável relativa à execuçãode automação substituída nodocumento quando uma parte dodocumento é avaliada.

{ "name": "runFixedCmds", "action": "aws:runCommand", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "DocumentName": "AWS-RunPowerShellScript", "InstanceIds": [ "{{LaunchInstance.InstanceIds}}" ], "Parameters": { "commands": [ "dir", "date", "echo {Hello {{ssm:administratorName}}}", "“{{outputFormat}}” -f “left”,”right”,”{{global:DATE}}”,”{{automation:EXECUTION_ID}}”,”{{global:TIME}}”" ] } }}

195


Prazo Definição Exemplo

Parâmetro do SSM Uma variável definida noParameter Service. Ela não édeclarada como um Parâmetrode documento. Pode exigirpermissões de acesso.

{ "description": "Run Command Demo", "schemaVersion": "0.3", "assumeRole": "arn:aws:iam::123456789012:role/roleName", "parameters": { "commands": { "type": "STRING_LIST", "description": "list of commands to run as part of first step" }, "instanceIds": { "type": "STRING_LIST", "description": "list of instances to run commands on" } }, "mainSteps": [ { "name": "runFixedCmds", "action": "aws:runCommand", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "DocumentName": "AWS-RunPowerShellScript", "InstanceIds": [ "{{LaunchInstance.InstanceIds}}" ], "Parameters": { "commands": [ "dir", "date", "echo {Hello {{ssm:administratorName}}}", ""{{outputFormat}}" -f "left","right","{{global:DATE}}","{{automation:EXECUTION_ID}}","{{global:TIME}}"" ] } }}

196


Cenários com suporte

Cenário Comentários Exemplo

ARN constante para assumeRoleao criar

Uma verificação de autorizaçãoserá realizada para verificarse o usuário de chamada tempermissão para transmitir afunção de admissão.

{ "description": "Test all Automation resolvable parameters", "schemaVersion": "0.3", "assumeRole": "arn:aws:iam::123456789012:role/roleName", "parameters": { ...

Parâmetro de documentofornecido para assumeRole nacriação

Deve ser definido na lista deparâmetros do documento. {

"description": "Test all Automation resolvable parameters", "schemaVersion": "0.3", "assumeRole": "{{dynamicARN}}", "parameters": { ...

Valor fornecido para o Parâmetrode documento no início.

O cliente fornece o valor a serusado para um parâmetro.Quaisquer entradas de execuçãofornecidas na hora de inícioprecisam ser definidas na lista deparâmetros do documento.

..."parameters": { "amiId": { "type": "STRING", "default": "ami-7f2e6015", "description": "list of commands to run as part of first step" },...

As entradas para a execuçãode automação inicial incluem:{"amiId" : ["ami-12345678"] }

Parâmetro do SSM referenciadona definição da etapa

A variável existe dentro na contado cliente, e a assumeRole dodocumento tem acesso a ela.Uma verificação será realizadana ocasião da criação paraconfirmar se assumeRole temacesso. Parâmetros do SSM nãoprecisam ser definidos na lista deparâmetros do documento.

..."mainSteps": [ { "name": "RunSomeCommands", "action": "aws:runCommand", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "DocumentName": "AWS:RunPowerShell", "InstanceIds": [{{LaunchInstance.InstanceIds}}], "Parameters": {

"commands" : [

197



"echo {Hello {{ssm:administratorName}}}"

]

} } },

...

Variável de sistema referenciadana definição de etapa

Uma variável de sistema ésubstituída no documento emtempo de execução. O valorinjetado no documento é relativoa quando ocorre a substituição.Por exemplo, o valor de umavariável de tempo injetada naetapa 1 será diferente do valorinjetado na etapa 3 devido aotempo necessário para executaras etapas intermediárias.Variáveis de sistema nãoprecisam ser definidas na lista deparâmetros do documento.

... "mainSteps": [ { "name": "RunSomeCommands", "action": "aws:runCommand", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "DocumentName": "AWS:RunPowerShell", "InstanceIds": [{{LaunchInstance.InstanceIds}}], "Parameters": {

"commands" : [

"echo {The time is now {{global:TIME}}}"

]

} } }, ...

198



Variável de automaçãoreferenciada na definição deetapa.

Variáveis de automaçãonão precisam ser definidasna lista de parâmetros dodocumento. A única variávelde Automação com suporte éautomation:EXECUTION_ID.

..."mainSteps": [ { "name": "invokeLambdaFunction", "action": "aws:invokeLambdaFunction", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "FunctionName": "Hello-World-LambdaFunction",

"Payload" : "{ "executionId" : "{{automation:EXECUTION_ID}}" }" } }...

Consulte a saída da etapaanterior na próxima definição deetapa.

Este é o redirecionamentode parâmetros. A saídade uma etapa anterior éreferenciada usando a sintaxe{{stepName.OutputName}}. Essasintaxe não pode ser usadapelo cliente para Parâmetros dedocumento. Isso é resolvido nomomento da execução para aetapa de referência. O parâmetronão está listado nos parâmetrosdo documento.

..."mainSteps": [ { "name": "LaunchInstance", "action": "aws:runInstances", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "ImageId": "{{amiId}}", "MinInstanceCount": 1, "MaxInstanceCount": 2 } }, { "name":"changeState", "action": "aws:changeInstanceState", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "InstanceIds": ["{{LaunchInstance.InstanceIds}}"], "DesiredState": "terminated" } }

...

199


Cenários sem suporte

Cenário Comentário Exemplo

Parâmetro do SSM fornecidopara assumeRole na criação

Não suportado....

{ "description": "Test all Automation resolvable parameters", "schemaVersion": "0.3", "assumeRole": "{{ssm:administratorRoleARN}}", "parameters": {

...

Parâmetro do SSM fornecidopara o Parâmetro de documentono início

O usuário fornece um parâmetrode entrada na hora de início, queé um parâmetro SSM

...

"parameters": { "amiId": { "type": "STRING", "default": "ami-7f2e6015", "description": "list of commands to run as part of first step" },

...

User supplies input : { "amiId" : "{{ssm:goldenAMIId}}" }

Definição de etapa variável A definição de uma etapa nodocumento é construída porvariáveis.

...

"mainSteps": [ { "name": "LaunchInstance", "action": "aws:runInstances", "{{attemptModel}}": 1, "onFailure": "Continue", "inputs": { "ImageId": "ami-12345678", "MinInstanceCount": 1, "MaxInstanceCount": 2 }

...

User supplies input : { "attemptModel" : "minAttempts" }

200



Referência cruzada a parâmetrosde documento

O usuário fornece um parâmetrode entrada na hora de início,que é uma referência a outroparâmetro no documento.

..."parameters": { "amiId": { "type": "STRING", "default": "ami-7f2e6015", "description": "list of commands to run as part of first step" }, "otherAmiId": { "type": "STRING", "description": "The other amiId to try if this one fails".

"default" : "{{amiId}}" },

...

201

AWS Systems Manager Guia do usuárioSolução de problemas com a

Automação do Systems Manager


Expansão de vários níveis O documento define uma variávelque é avaliada como o nome deuma variável. Ela fica dentro dosdelimitadores de variáveis (ouseja, {{ }}) e é expandida para ovalor dessa variável/parâmetro.

... "parameters": { "param1": { "type": "STRING", "default": "param2", "description": "The parameter to reference" }, "param2": { "type": "STRING", "default" : "echo {Hello world}", "description": "What to run" } }, "mainSteps": [{ "name": "runFixedCmds", "action": "aws:runCommand", "maxAttempts": 1, "onFailure": "Continue", "inputs": { "DocumentName": "AWS-RunPowerShellScript",

"InstanceIds" : ""{{LaunchInstance.InstanceIds}}, "Parameters": { "commands": [ "{{ {{param1}} }}"]

}

...

Note: The customer intention here would be to run a runCommand of "echo {Hello world}"

Solução de problemas com a Automação do SystemsManagerUse as seguintes informações para ajudá-lo a solucionar problemas com o serviço de Automação. Estetópico inclui tarefas específicas para resolver problemas com base em mensagens de erro de Automação.

Tópicos• Erros comuns de Automação (p. 203)• Falha ao iniciar a execução da automação (p. 210)• Execução iniciada, mas o status falhou (p. 211)• Execução iniciada, mas o tempo limite foi atingido (p. 213)

202



Erros comuns de AutomaçãoEsta seção inclui informações sobre erros comuns de Automação.

VPC não definida 400Por padrão, quando a Automação executa o documento AWS-UpdateLinuxAmi ou o documento AWS-UpdateWindowsAmi, o sistema cria uma instância temporária na VPC padrão (172.30.0.0/16). Se tiverexcluído a VPC padrão, você receberá o seguinte erro:

VPC não definida 400

Para resolver esse problema, você deve criar um novo documento de Automação que inclua o ID da sub-rede. Copie um documento de exemplo abaixo que inclua o parâmetro de ID de sub-rede e crie um novodocumento. Para obter informações sobre como criar um documento, consulte Demonstração: criar umdocumento de Automação (p. 166).

AWS-UpdateLinuxAmi

{ "schemaVersion":"0.3", "description":"Updates AMI with Linux distribution packages and Amazon software. For details,see https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sysman-ami-walkthrough.html", "assumeRole":"{{AutomationAssumeRole}}", "parameters":{ "SourceAmiId":{ "type":"String", "description":"(Required) The source Amazon Machine Image ID." }, "InstanceIamRole":{ "type":"String", "description":"(Required) The name of the role that enables Systems Manager (SSM) to manage the instance.", "default":"ManagedInstanceProfile" }, "AutomationAssumeRole":{ "type":"String", "description":"(Required) The ARN of the role that allows Automation to perform the actions on your behalf.", "default":"arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole" }, "SubnetId":{ "type":"String", "description":"(Required) The subnet that the created instance will be placed into." }, "TargetAmiName":{ "type":"String", "description":"(Optional) The name of the new AMI that will be created. Default is a system-generated string including the source AMI id, and the creation time and date.", "default":"UpdateLinuxAmi_from_{{SourceAmiId}}_on_{{global:DATE_TIME}}" }, "InstanceType":{ "type":"String", "description":"(Optional) Type of instance to launch as the workspace host. Instance types vary by region. Default is t2.micro.", "default":"t2.micro" }, "PreUpdateScript":{ "type":"String", "description":"(Optional) URL of a script to run before updates are applied. Default (\"none\") is to not run a script.",

203



"default":"none" }, "PostUpdateScript":{ "type":"String", "description":"(Optional) URL of a script to run after package updates are applied. Default (\"none\") is to not run a script.", "default":"none" }, "IncludePackages":{ "type":"String", "description":"(Optional) Only update these named packages. By default (\"all\"), all available updates are applied.", "default":"all" }, "ExcludePackages":{ "type":"String", "description":"(Optional) Names of packages to hold back from updates, under all conditions. By default (\"none\"), no package is excluded.", "default":"none" } }, "mainSteps":[ { "name":"launchInstance", "action":"aws:runInstances", "maxAttempts":3, "timeoutSeconds":1200, "onFailure":"Abort", "inputs":{ "ImageId":"{{SourceAmiId}}", "InstanceType":"{{InstanceType}}", "SubnetId":"{{ SubnetId }}", "UserData":"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", "MinInstanceCount":1, "MaxInstanceCount":1, "IamInstanceProfileName":"{{InstanceIamRole}}" } }, { "name":"updateOSSoftware", "action":"aws:runCommand", "maxAttempts":3, "timeoutSeconds":3600, "onFailure":"Abort", "inputs":{ "DocumentName":"AWS-RunShellScript", "InstanceIds":[ "{{launchInstance.InstanceIds}}" ], "Parameters":{ "commands":[ "set -e", "[ -x \"$(which wget)\" ] && get_contents='wget $1 -O -'", "[ -x \"$(which curl)\" ] && get_contents='curl -s -f $1'", "eval $get_contents https://aws-ssm-downloads-{{global:REGION}}.s3.amazonaws.com/scripts/aws-update-linux-instance > /tmp/aws-update-linux-instance", "chmod +x /tmp/aws-update-linux-instance", "/tmp/aws-update-linux-instance --pre-update-script '{{PreUpdateScript}}' --post-update-script '{{PostUpdateScript}}' --include-packages '{{IncludePackages}}' --exclude-packages '{{ExcludePackages}}' 2>&1 | tee /tmp/aws-update-linux-instance.log" ] } }

204



}, { "name":"stopInstance", "action":"aws:changeInstanceState", "maxAttempts":3, "timeoutSeconds":1200, "onFailure":"Abort", "inputs":{ "InstanceIds":[ "{{launchInstance.InstanceIds}}" ], "DesiredState":"stopped" } }, { "name":"createImage", "action":"aws:createImage", "maxAttempts":3, "onFailure":"Abort", "inputs":{ "InstanceId":"{{launchInstance.InstanceIds}}", "ImageName":"{{TargetAmiName}}", "NoReboot":true, "ImageDescription":"AMI Generated by EC2 Automation on {{global:DATE_TIME}} from {{SourceAmiId}}" } }, { "name":"terminateInstance", "action":"aws:changeInstanceState", "maxAttempts":3, "onFailure":"Continue", "inputs":{ "InstanceIds":[ "{{launchInstance.InstanceIds}}" ], "DesiredState":"terminated" } } ], "outputs":[ "createImage.ImageId" ]}

AWS-UpdateWindowsAmi

{ "schemaVersion":"0.3", "description":"Updates a Microsoft Windows AMI. By default it will install all Windows updates, Amazon software, and Amazon drivers. It will then sysprep and create a new AMI. Supports Windows Server 2008 R2 and greater.", "assumeRole":"{{ AutomationAssumeRole }}", "parameters":{ "SourceAmiId":{ "type":"String", "description":"(Required) The source Amazon Machine Image ID." }, "IamInstanceProfileName":{ "type":"String", "description":"(Required) The name of the role that enables Systems Manager to manage the instance.", "default":"ManagedInstanceProfile" }, "AutomationAssumeRole":{

205



"type":"String", "description":"(Required) The ARN of the role that allows Automation to perform the actions on your behalf.", "default":"arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole" }, "SubnetId": { "type": "String", "description": "(Required) The subnet that the created instance will be placed into." }, "TargetAmiName":{ "type":"String", "description":"(Optional) The name of the new AMI that will be created. Default is a system-generated string including the source AMI id, and the creation time and date.", "default":"UpdateWindowsAmi_from_{{SourceAmiId}}_on_{{global:DATE_TIME}}" }, "InstanceType":{ "type":"String", "description":"(Optional) Type of instance to launch as the workspace host. Instance types vary by region. Default is t2.medium.", "default":"t2.medium" }, "IncludeKbs":{ "type":"String", "description":"(Optional) Specify one or more Microsoft Knowledge Base (KB) article IDs to include. You can install multiple IDs using comma-separated values. When specified, the categories and security level values are ignored. Valid formats: KB9876543 or 9876543.", "default":"" }, "ExcludeKbs":{ "type":"String", "description":"(Optional) Specify one or more Microsoft Knowledge Base (KB) article IDs to exclude. You can exclude multiple IDs using comma-separated values. When specified, all these KBs are excluded from install process. Valid formats: KB9876543 or 9876543.", "default":"" }, "Categories":{ "type":"String", "description":"(Optional) Specify one or more update categories. You can filter categories using comma-separated values. By default patches for all categories are selected. If value supplied, the update list is filtered by those values. Options: Critical Update, Security Update, Definition Update, Update Rollup, Service Pack, Tool, Update or Driver. Valid formats include a single entry, for example: Critical Update. Or, you can specify a comma separated list: Critical Update,Security Update,Definition Update. NOTE: There cannot be any spaces around the commas.", "default":"" }, "SeverityLevels":{ "type":"String", "description":"(Optional) Specify one or more MSRC severity levels associated with an update. You can filter severity levels using comma-separated values. By default patches for all security levels are selected. If value supplied, the update list is filtered by those values. Options: Critical, Important, Low, Moderate or Unspecified. Valid formats include a single entry, for example: Critical. Or, you can specify a comma separated list: Critical,Important,Low.", "default":"" }, "PreUpdateScript":{ "type":"String", "description":"(Optional) A script provided as a string. It will run prior to installing OS updates.", "default":"" }, "PostUpdateScript":{

206



"type":"String", "description":"(Optional) A script provided as a string. It will run after installing OS updates.", "default":"" } }, "mainSteps":[ { "name":"LaunchInstance", "action":"aws:runInstances", "timeoutSeconds":1800, "maxAttempts":3, "onFailure":"Abort", "inputs":{ "ImageId":"{{ SourceAmiId }}", "InstanceType":"{{ InstanceType }}", "SubnetId":"{{ SubnetId }}", "MinInstanceCount":1, "MaxInstanceCount":1, "IamInstanceProfileName":"{{ IamInstanceProfileName }}" } }, { "name":"RunPreUpdateScript", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":1800, "inputs":{ "DocumentName":"AWS-RunPowerShellScript", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "Parameters":{ "commands":"{{ PreUpdateScript }}" } } }, { "name":"UpdateSSMAgent", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":600, "inputs":{ "DocumentName":"AWS-UpdateSSMAgent", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ] } }, { "name":"UpdateEC2Config", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":7200, "inputs":{ "DocumentName":"AWS-InstallPowerShellModule", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "Parameters":{ "executionTimeout":"7200", "source":"https://aws-ssm-downloads-{{global:REGION}}.s3.amazonaws.com/PSModules/AWSUpdateWindowsInstance/Latest/AWSUpdateWindowsInstance.zip",

207



"sourceHash":"14CAD416F4A054894EBD2091EA4B99E542368BE5895BDD466B567C1ABA87C87C", "commands":[ "Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Force", "Import-Module AWSUpdateWindowsInstance", "if ([Environment]::OSVersion.Version.Major -ge 10) {", " Install-AwsUwiEC2Launch -Id {{ automation:EXECUTION_ID }}", "} else {", " Install-AwsUwiEC2Config -Id {{ automation:EXECUTION_ID }}", "}" ] } } }, { "name":"UpdateAWSPVDriver", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":600, "inputs":{ "DocumentName":"AWS-ConfigureAWSPackage", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "Parameters":{ "name":"AWSPVDriver", "action":"Install" } } }, { "name":"InstallWindowsUpdates", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":14400, "inputs":{ "DocumentName":"AWS-InstallWindowsUpdates", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "Parameters":{ "Action":"Install", "IncludeKbs":"{{ IncludeKbs }}", "ExcludeKbs":"{{ ExcludeKbs }}", "Categories":"{{ Categories }}", "SeverityLevels":"{{ SeverityLevels }}" } } }, { "name":"RunPostUpdateScript", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":1800, "inputs":{ "DocumentName":"AWS-RunPowerShellScript", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "Parameters":{ "commands":"{{ PostUpdateScript }}" } }

208



}, { "name":"RunSysprepGeneralize", "action":"aws:runCommand", "maxAttempts":3, "onFailure":"Abort", "timeoutSeconds":7200, "inputs":{ "DocumentName":"AWS-InstallPowerShellModule", "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "Parameters":{ "executionTimeout":"7200", "source":"https://aws-ssm-downloads-{{global:REGION}}.s3.amazonaws.com/PSModules/AWSUpdateWindowsInstance/Latest/AWSUpdateWindowsInstance.zip", "sourceHash":"14CAD416F4A054894EBD2091EA4B99E542368BE5895BDD466B567C1ABA87C87C", "commands":[ "Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Force", "Import-Module AWSUpdateWindowsInstance", "Start-AwsUwiSysprep -Id {{ automation:EXECUTION_ID }}" ] } } }, { "name":"StopInstance", "action":"aws:changeInstanceState", "maxAttempts":3, "timeoutSeconds":7200, "onFailure":"Abort", "inputs":{ "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "CheckStateOnly":false, "DesiredState":"stopped" } }, { "name":"CreateImage", "action":"aws:createImage", "maxAttempts":3, "onFailure":"Abort", "inputs":{ "InstanceId":"{{ LaunchInstance.InstanceIds }}", "ImageName":"{{ TargetAmiName }}", "NoReboot":true, "ImageDescription":"Test CreateImage Description" } }, { "name":"CreateTags", "action":"aws:createTags", "maxAttempts":3, "onFailure":"Abort", "inputs":{ "ResourceType":"EC2", "ResourceIds":[ "{{ CreateImage.ImageId }}" ], "Tags":[ { "Key":"Original_AMI_ID", "Value":"Created from {{ SourceAmiId }}"

209



} ] } }, { "name":"TerminateInstance", "action":"aws:changeInstanceState", "maxAttempts":3, "onFailure":"Abort", "inputs":{ "InstanceIds":[ "{{ LaunchInstance.InstanceIds }}" ], "DesiredState":"terminated" } } ], "outputs":[ "CreateImage.ImageId" ]}

Falha ao iniciar a execução da automaçãoUma execução de Automação pode falhar com um erro de acesso negado ou um erro de função deadmissão inválida se você não tiver configurado corretamente usuários, funções e políticas do IAM para aAutomação.

Acesso negado

Os exemplos a seguir descrevem situações em que uma execução da Automação não foi iniciada com umerro de acesso negado.

Acesso negado à API do Systems Manager

A mensagem de erro: User: user arn is not authorized to perform:ssm:StartAutomationExecution on resource: document arn (Service:AWSSimpleSystemsManagement; Status Code: 400; Error Code:AccessDeniedException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

• Causa possível 1: o usuário do IAM que está tentando iniciar a execução da Automação não tempermissão para invocar a API StartAutomationExecution. Para resolver esse problema, anexe apolítica do IAM necessária à conta de usuário que foi usada para iniciar a execução. Para obter maisinformações, consulte Tarefa 4: configurar o acesso do usuário à Automação (p. 146).

• Causa possível 2: o usuário do IAM que está tentando iniciar a execução da Automação tem permissãopara invocar a API StartAutomationExecution, mas não tem permissão para invocar a APIusando o documento de Automação específico. Para resolver esse problema, anexe a política do IAMnecessária à conta de usuário que foi usada para iniciar a execução. Para obter mais informações,consulte Tarefa 4: configurar o acesso do usuário à Automação (p. 146).

Acesso negado por falta de permissões PassRole

A mensagem de erro: User: user arn is not authorized to perform: iam:PassRole onresource: automation assume role arn (Service: AWSSimpleSystemsManagement;Status Code: 400; Error Code: AccessDeniedException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

O usuário do IAM que tenta iniciar a execução da Automação não possui a permissão PassRole para afunção de admissão. Para resolver esse problema, anexe a política iam:PassRole à função do usuário do

210



IAM que está tentando iniciar a execução da Automação. Para obter mais informações, consulte Tarefa 3:anexar a política iam:PassRole à sua função de Automação (p. 146).

Função de admissão inválidaQuando você executa uma automação, uma função de admissão é fornecida no documento ou transmitidacomo um valor de parâmetro para o documento. Diferentes tipos de erros poderão ocorrer se a função deadmissão não for especificada ou configurada corretamente.

Função de admissão malformada

Mensagem de erro: The format of the supplied assume role ARN is invalid. A função deadmissão está mal formatada. Para resolver esse problema, verifique se uma função de admissão válidaestá especificada no seu documento de Automação ou como um parâmetro em tempo de execução aoexecutar a Automação.

A função de admissão não pode ser assumida

A mensagem de erro: The defined assume role is unable to be assumed.(Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code:InvalidAutomationExecutionParametersException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

• Causa possível 1: a função de admissão não existe. Para resolver esse problema, crie a função. Paraobter mais informações, consulte the section called “Configurar a Automação” (p. 141). Detalhesespecíficos para a criação dessa função estão descritos no seguinte tópico, Tarefa 1: criar uma funçãode serviço para a Automação (p. 144).

• Causa possível 2: a função de admissão não possui uma relação de confiança com o serviço doSystems Manager. Para resolver esse problema, crie a relação de confiança. Para obter maisinformações, consulte Tarefa 2: adicionar um relacionamento de confiança para Automação (p. 145).

Execução iniciada, mas o status falhouFalhas específicas de açãoOs documentos de automação contêm etapas, e elas são executadas em ordem. Cada etapa invoca umaou mais APIs de serviços da AWS. Essas APIs determinam as entradas, o comportamento e as saídas daetapa. Há vários locais em que um erro pode causar uma falha na etapa. As mensagens de falha indicamquando e onde um erro ocorreu.

Para ver uma mensagem de falha no console do EC2, escolha o link View Outputs da etapa com falha.Para ver uma mensagem de falha da CLI, chame get-automation-execution e procure o atributoFailureMessage em um StepExecution com falha.

Nos exemplos a seguir, uma etapa associada à ação aws:runInstance falhou. Cada exemplo exploraum tipo diferente de erro.

Imagem ausente

A mensagem de erro: Automation Step Execution fails when it is launching theinstance(s). Get Exception from RunInstances API of ec2 Service. ExceptionMessage from RunInstances API: [The image id '[ami id]' does not exist(Service: AmazonEC2; Status Code: 400; Error Code: InvalidAMIID.NotFound;Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)]. Please refer to AutomationService Troubleshooting Guide for more diagnosis details.

A ação aws:runInstances recebeu uma entrada para um ImageId que não existe. Para resolver esseproblema, atualize o documento de automação ou os valores de parâmetros com o ID de AMI correto.

A política da função de admissão não tem permissões suficientes

211



A mensagem de erro: Automation Step Execution fails when it is launching theinstance(s). Get Exception from RunInstances API of ec2 Service. ExceptionMessage from RunInstances API: [You are not authorized to perform thisoperation. Encoded authorization failure message: xxxxxxx (Service: AmazonEC2;Status Code: 403; Error Code: UnauthorizedOperation; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)]. Please refer to Automation Service TroubleshootingGuide for more diagnosis details.

A função de admissão não tem permissão suficiente para invocar a API RunInstances em instâncias doAmazon EC2. Para resolver esse problema, anexe uma política do IAM à função de admissão que tenhapermissão para invocar a API RunInstances. Para obter mais informações, consulte o Método 2: usar oIAM para configurar funções para Automação (p. 144).

Estado inesperado

A mensagem de erro: Step fails when it is verifying launched instance(s) are readyto be used. Instance i-xxxxxxxxx entered unexpected state: shutting-down.Please refer to Automation Service Troubleshooting Guide for more diagnosisdetails.

• Causa possível 1: existe um problema com a instância ou o serviço do Amazon EC2. Para resolver esseproblema, faça login na instância ou revise o log do sistema da instância para entender por que elainiciou o desligamento.

• Causa possível 2: o script de dados do usuário especificado para a ação aws:runInstances temum problema ou uma sintaxe incorreta. Verifique a sintaxe do script de dados do usuário. Além disso,verifique se os scripts de dados do usuário não desligam a instância ou invocam outros scripts quedesligam a instância.

Referência a falhas específicas de ação

Quando uma etapa falha, a mensagem de falha pode indicar qual serviço foi invocado quando a falhaocorreu. A tabela a seguir lista os serviços invocados por cada ação. Ela também fornece links parainformações sobre cada serviço.

Ação Serviço(s) da AWSinvocado(s) por estaação

Para obter informaçõessobre este serviço

Solução de problemascom conteúdo

aws:runInstances Amazon EC2 Guia do usuário doAmazon EC2

Solução de problemascom instâncias do EC2

aws:changeInstanceState Amazon EC2 Guia do usuário doAmazon EC2

Solução de problemascom instâncias do EC2

aws:runCommand Systems Manager Executar comando doSystems Manager

Solução de problemasdo Executar comando

aws:createImage Amazon EC2 s

aws:createStack AWS CloudFormation AWS CloudFormationUser Guide

Solução deproblemas do AWSCloudFormation

aws:deleteStack AWS CloudFormation AWS CloudFormationUser Guide

Solução deproblemas do AWSCloudFormation

aws:deleteImage Amazon EC2 s

212

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-troubleshoot.html






http://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html

http://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html

http://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-remote-commands.html

http://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-remote-commands.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html


https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html









AWS Systems Manager Guia do usuárioExecutar comando

Ação Serviço(s) da AWSinvocado(s) por estaação

Para obter informaçõessobre este serviço

Solução de problemascom conteúdo

aws:copyImage Amazon EC2 s

aws:createTag Amazon EC2, SystemsManager

Recurso e tags do EC2

aws:invokeLambdaFunctionAWS Lambda AWS LambdaDeveloper Guide

Solução de problemascom o Lambda

Erro interno do serviço de AutomaçãoA mensagem de erro: Internal Server Error. Please refer to Automation ServiceTroubleshooting Guide for more diagnosis details.

Um problema com o serviço de Automação está impedindo que o documento de Automação especificadoseja executado corretamente. Para resolver esse problema, entre em contato com o AWS Support.Forneça o ID de execução e o ID de cliente, se disponíveis.

Execução iniciada, mas o tempo limite foi atingidoA mensagem de erro: Step timed out while step is verifying launched instance(s)are ready to be used. Please refer to Automation Service Troubleshooting Guidefor more diagnosis details.

Uma etapa na ação aws:runInstances atingiu o tempo limite. Isso pode acontecer se a ação da etapademorar mais para ser executada do que o valor especificado para timeoutSeconds na etapa. Pararesolver esse problema, especifique um valor mais longo para timeoutSeconds. Se isso não resolver oproblema, investigue por que a etapa demora mais para ser executada do que o esperado.

Executar comando do AWS Systems ManagerO Executar comando do AWS Systems Manager permite gerenciar remotamente e de forma segura aconfiguração de suas instâncias gerenciadas. Uma instância gerenciada é uma instância do AmazonEC2 ou máquina local em seu ambiente híbrido que tenha sido configurada para o Systems Manager.O Run Command permite que você automatize tarefas administrativas comuns e execute alteraçõesde configuração ad-hoc em grande escala. Você pode usar o Executar comando por meio do ConsoleAWS, da AWS Command Line Interface, do AWS Tools for Windows PowerShell ou dos SDKs da AWS. OExecutar comando é oferecido sem custo adicional.

Os administradores usam o Executar comando para realizar os seguintes tipos de tarefa em suasinstâncias gerenciadas: instalar ou fazer bootstrap de aplicativos, criar um pipeline de implantação,capturar arquivos de log quando uma instância é encerrada em um grupo do Auto Scaling e unir instânciasa um domínio do Windows, entre outras.

Conceitos básicos

A tabela a seguir inclui informações para ajudá-lo a começar a trabalhar com o Run Command.

Tópico Detalhes

Tutorial: Gerenciar remotamente as instâncias doAmazon EC2 (Guia do usuário do Amazon EC2)

(Opcional) O tutorial mostra como enviarrapidamente um comando usando o Executar

213


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_Resources.html

https://docs.aws.amazon.com/lambda/latest/dg/

https://docs.aws.amazon.com/lambda/latest/dg/

https://docs.aws.amazon.com/lambda/latest/dg/monitoring-functions.html

https://docs.aws.amazon.com/lambda/latest/dg/monitoring-functions.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/tutorial_run_command.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/tutorial_run_command.html

AWS Systems Manager Guia do usuárioConfiguração do Executar comando

Tópico Detalhescomando com o AWS Tools for WindowsPowerShell ou a AWS Command Line Interface(AWS CLI).

Pré-requisitos do Systems Manager (p. 8) (Obrigatório) Verifique se suas instâncias atendemaos requisitos mínimos para o Executar comando,configure as funções necessárias e instale o SSMAgent.

Configuração do AWS Systems Manager emambientes híbridos (p. 39)

(Opcional) Registre servidores locais e VMs naAWS para que possa gerenciá-los usando oExecutar comando.

Executar comandos usando o Executar comandodo Systems Manager (p. 225)

Saiba como executar um comando no console doEC2 e como executar comandos para uma frota deinstâncias gerenciadas.

Demonstrações do Executar comando (p. 237) Saiba como executar comandos usando o AWSTools for Windows PowerShell ou a AWS CLI.


• Executar comandos remotamente em uma instância EC2 (Tutorial de 10 minutos)• Para obter informações sobre os limites do Systems Manager, consulte Limites do AWS Systems

Manager.

Tópicos• Configuração do Executar comando (p. 214)• Executar comandos usando o Executar comando do Systems Manager (p. 225)• Noções básicas sobre status de comando (p. 234)• Demonstrações do Executar comando (p. 237)• Solução de problemas com o Run Command do Systems Manager (p. 248)


• Como configurar o acesso ao Systems Manager (p. 13)• Instalar e configurar o Agente do SSM (p. 19)• Configuração do Executar comando como destino do CloudWatch Events (p. 217)• Amazon EC2 Systems Manager API Reference

Configuração do Executar comandoPara gerenciar instâncias usando o Executar comando, você deve primeiro configurar uma política deusuário do AWS Identity and Access Management (IAM) para qualquer usuário que executará comandose uma função de perfil de instância do IAM para qualquer instância que processará comandos. Para obtermais informações, consulte Como configurar o acesso ao Systems Manager (p. 13).

Esta seção também inclui tarefas recomendadas para monitorar a execução de comandos e restringir oacesso de comandos a instâncias marcadas. As tarefas nesta seção não são necessárias, mas podemajudar a minimizar a postura de segurança e gerenciamento diário das suas instâncias. Por este motivo,recomendamos que você conclua as tarefas nesta seção.

214

https://aws.amazon.com/getting-started/tutorials/remotely-run-commands-ec2-instance-systems-manager/





Tópicos• Configuração do Amazon CloudWatch Logs para Executar comando (p. 215)• Configuração do CloudWatch Events para Executar comando (p. 216)• Configurar notificações do Amazon SNS para o Run Command (p. 217)• Restrição de acesso ao Executar comando com base em tags de instância (p. 223)

Configuração do Amazon CloudWatch Logs para ExecutarcomandoQuando você envia um comando usando o Executar comando, você pode especificar onde desejaenviar a saída do comando. Por padrão, o Systems Manager retorna apenas os primeiros 1.200caracteres de saída do comando. Se você deseja visualizar os detalhes completos da saída do comando,você pode especificar um bucket do Amazon Simple Storage Service (Amazon S3). Ou, você podeespecificar Amazon CloudWatch Logs. Se você especificar CloudWatch Logs, Executar comando enviaperiodicamente todos os logs de erro e saída de comando para o CloudWatch Logs. Você pode monitoraros logs de saída quase em tempo real, para pesquisar valores ou frases específicas, padrões e criaralertas com base na pesquisa.

Se você configurou sua instância ou máquina híbrida local para usar a política gerenciada de AWSIdentity and Access Management (IAM) AmazonEC2RoleforSSM, em seguida, sua instância nãorequer configuração adicional para enviar a saída para o CloudWatch Logs. Você simplesmenteprecisa escolher essa opção se enviar comandos do console ou adicionar a cloud-watch-output-config seção e parâmetro CloudWatchOutputEnabled se estiver usando a AWS CLI, o Tools forWindows PowerShell ou uma ação de API. Uma seção cloud-watch-output-config e parâmetroCloudWatchOutputEnabled são descritos em mais detalhes mais adiante neste tópico.

Se você estiver usando uma política personalizada em suas instâncias, você deverá atualizar a política emcada instância para permitir que o Systems Manager envie saída e logs para o CloudWatch Logs. Adicioneos seguintes objetos de política para a sua política personalizada. Para obter mais informações sobrecomo atualizar uma política da IAM, consulte Edição de políticas de IAM.

{ "Effect":"Allow", "Action":[ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource":"*"},

Especificar CloudWatch Logs ao enviar comandosPara especificar o CloudWatch Logs como a saída quando você enviar um comando a partir do Consolede Gerenciamento da AWS, escolha CloudWatch Output (Saída de CloudWatch) na seção Output options(Opções de saída). Opcionalmente, você pode especificar o nome do grupo do CloudWatch Logs ondevocê deseja enviar uma saída de comando. Se você não especificar um nome de grupo, o SystemsManager cria automaticamente um grupo de logs para você. O grupo de logs usa o seguinte formato denomeação: aws/ssm/SystemsManagerDocumentName.

Se você executar comandos usando a AWS CLI, você deve especificar a seção cloud-watch-output-config no seu comando. Esta seção permite que você especifique o parâmetroCloudWatchOutputEnabled e, opcionalmente, o parâmetro CloudWatchLogGroupName. Aqui está umexemplo:

215

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html


aws ssm send-command --document-name "AWS-RunPowerShellScript" --parameters commands=["echo helloWorld"] --targets "Key=instanceids,Values=an instance ID” --cloud-watch-output-config '{"CloudWatchLogGroupName":"log group name","CloudWatchOutputEnabled":true}'

Como visualizar a saída de comando no CloudWatch LogsAssim que o comando começar a ser executado, o Systems Manager envia a saída para o CloudWatchLogs praticamente em tempo real. A saída em CloudWatch Logs usa o seguinte formato:

CommandID/InstanceID/PluginID/stdout

CommandID/InstanceID/PluginID/stderr

O resultado da execução é carregado a cada 30 segundos ou quando o buffer exceder 200 KB, o queacontecer primeiro.

Note

Fluxos de log são criados somente quando os dados de saída são disponibilizados. Por exemplo,se não houver dados de erro para uma execução, o stream stderr não é criado.

Aqui está um exemplo de saída do comando como ele aparece no CloudWatch Logs.

Group - /aws/ssm/AWS-RunShellScriptStreams – 1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stdout24/1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stderr

Configuração do CloudWatch Events para Executar comandoUse o Amazon CloudWatch Events para registrar mudanças no status da execução do comando. Vocêpode criar uma regra que será executada sempre que houver uma transição de estado ou quando houveruma transição para um ou mais estados que sejam de interesse.

Você pode também especificar o Executar comando como ação de destino quando ocorre um eventodo CloudWatch. Por exemplo, digamos que um evento do CloudWatch seja desencadeado quando umainstância em um grupo de Auto Scaling está prestes a terminar. Você pode configurar o CloudWatch paraque o destino desse evento seja um script do Run Command que captura os arquivos de log da instânciaantes que ele seja encerrado. Você pode também configurar uma ação do Executar comando quandouma nova instância é criada em um grupo do Auto Scaling. Por exemplo, quando o CloudWatch recebeo evento criado pela instância, o Executar comando pode habilitar a função de servidor web ou instalar osoftware na instância.

• Configuração do CloudWatch Events para Executar comando (p. 216)• Configuração do Executar comando como destino do CloudWatch Events (p. 217)

Configuração do CloudWatch Events para Executar comandoVocê pode configurar o CloudWatch Events para notificá-lo sobre alterações de status do Executarcomando ou uma alteração de status referente a uma invocação de comando específica. Use oprocedimento a seguir para configurar o CloudWatch Events para enviar uma notificação sobre o Executarcomando.

Para configurar o CloudWatch Events para o Executar comando


2. No painel de navegação esquerdo, escolha Events e depois escolha Create rule.

216




3. Em Event Source, verifique se a opção Event Pattern está selecionada.4. No campo Service Name, escolha EC2 Simple Systems Manager (SSM)5. No campo Event Type, escolha Run Command.6. Escolha os tipos de detalhes e os status para os quais deseja receber notificações e depois escolha

Add targets.7. Na lista Select target type, escolha um tipo de destino. Para obter informações sobre os diferentes

tipos de destinos, consulte a documentação correspondente da Ajuda da AWS.8. Escolha Configurar detalhes.9. Especifique os detalhes da regra e escolha Create rule.

Configuração do Executar comando como destino do CloudWatch Events

Use o procedimento a seguir para configurar uma ação do Executar comando como destino de um eventodo CloudWatch.

Para configurar o Executar comando como destino de um evento do CloudWatch


2. No painel de navegação esquerdo, escolha Events opte criar uma nova regra ou editar uma existente.3. Depois de especificar ou verificar os detalhes da regra, escolha Add target.4. Na lista Select target type, escolha SSM Executar comando.5. Na lista Document, escolha um documento do SSM. O documento determina os tipos de ação que o

Executar comando pode realizar em suas instâncias.

Note

Verifique se o documento escolhido pode ser executado no sistema operacional dainstância. Alguns documentos são executados apenas no Windows ou apenas em sistemasoperacionais Linux. Para obter mais informações sobre documentos do SSM, consulteDocumentos do AWS Systems Manager (p. 349).

6. No campo Target key, especifique InstanceIds ou tag:EC2_tag_name. Veja a seguir alguns exemplosde uma chave de destino que usa uma tag do EC2: tag:production e tag:server-role.

7. No campo Target value(s), se você escolheu InstanceIds na etapa anterior, especifique uma ou maisIDs de instância separadas por vírgulas. Se você escolhe tag:EC2_tag_name na etapa anterior,especifique um ou mais valores de tag. Depois de digitar o valor, por exemplo, servidor Web ou bancode dados, escolha Add.

8. Na seção Configure parameter(s), escolha uma opção e, em seguida, preencha todos os camposque incluem sua escolha. Use o texto de focalização para obter mais informações sobre as opções.Para obter mais informações sobre os campos de parâmetros do seu documento, consulte Executarcomandos usando o Executar comando do Systems Manager (p. 225) e escolha o procedimentopara o seu documento.

9. Na seção de permissões, escolha Create a new role for this specific resource para criar uma novafunção com a função de perfil de instância necessária para o Executar comando. Ou escolha Useexisting role. Para obter mais informações sobre as funções necessárias para o Executar comando,consulte Como configurar o acesso ao Systems Manager (p. 13).


Configurar notificações do Amazon SNS para o Run CommandÉ possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobreo status dos comandos que você envia usando o Executar comando do Systems Manager. O Amazon SNS

217




coordena e gerencia a entrega ou o envio de notificações a endpoints ou clientes assinantes. Você podereceber uma notificação sempre que um comando mudar para um novo estado ou mudar para um estadoespecífico, como Failed ou Timed out. Nos casos em que você envia um comando para várias instâncias,pode receber uma notificação para cada cópia do comando enviado para uma instância específica. Cadacópia é chamada de uma invocação.

O Amazon SNS pode entregar notificações como HTTP ou HTTPS POST, e-mail (SMTP, texto semformatação ou no formato JSON) ou como uma mensagem postada em uma fila do Amazon Simple QueueService (Amazon SQS). Para obter mais informações, consulte O que é Amazon SNS no Amazon SimpleNotification Service Developer Guide.

Configurar notificações do Amazon SNS para o Systems Manager

O Executar comando. comporta o envio de notificações do Amazon SNS para comandos que entram nosestados a seguir. Para obter informações sobre as condições que fazem com que um comando entre emum desses status, consulte Noções básicas sobre status de comando (p. 234).

• Em andamento• Bem-sucedida• Failed• Timed Out• Canceled

Note

Os comandos enviados usando o Executar comando também relatam o status Cancelando ePendente. Estes status não são capturados por notificações do Amazon SNS.

Se você configurar o Executar comando para notificações do Amazon SNS, o Amazon SNS enviarámensagens de resumo que incluem as seguintes informações:

Campo Type Descrição

EventTime String O tempo em que o eventofoi acionado. O time stamp éimportante, pois o Amazon SNSnão garante a ordem de entregadas mensagens. Exemplo:2016-04-26T13:15:30Z

DocumentName String O nome do documento doSSM usado para executar essecomando.

CommandId String O ID gerado pelo Executarcomando após o envio docomando.

ExpiresAfter Data Se esse tempo for atingidoe o comando ainda não tiveriniciado a execução, ele não seráexecutado.

OutputS3BucketName String O bucket do Amazon SimpleStorage Service (AmazonS3) em que respostas para a

218

https://docs.aws.amazon.com/sns/latest/dg/


Campo Type Descriçãoexecução do comando devemser armazenadas.

OutputS3KeyPrefix String O caminho de diretório doAmazon S3 dentro do bucketno qual as respostas para aexecução do comando devemser armazenadas.

RequestedDateTime String A data e a hora em que asolicitação foi enviada para essainstância específica.

InstanceId String A instância visada pelo comando.

Status String Status do comando para ocomando.

Se você enviar um comando para várias instâncias, o Amazon SNS poderá enviar mensagens sobre cadacópia ou invocação do comando que inclui as seguintes informações:

Campo Type Descrição

EventTime String O tempo em que o eventofoi acionado. O time stamp éimportante, pois o Amazon SNSnão garante a ordem de entregadas mensagens. Exemplo:2016-04-26T13:15:30Z

DocumentName String O nome do documento doSystems Manager usado paraexecutar esse comando.

RequestedDateTime String A data e a hora em que asolicitação foi enviada para essainstância específica.

CommandId String O ID gerado pelo Executarcomando após o envio docomando.

InstanceId String A instância visada pelo comando.

Status String Status do comando para essainvocação.

Para configurar notificações do Amazon SNS quando um comando muda de status, você deve concluir asseguintes tarefas.

Tópicos• Tarefa 1: criar uma função do IAM para notificações do Amazon SNS (p. 220)• Tarefa 2: anexar a política iam:PassRole à sua função do Amazon SNS (p. 220)• Tarefa 3: criar e se inscrever em um tópico do Amazon SNS (p. 221)

219


• Tarefa 4: enviar um comando que retorna notificações de status (p. 221)

Tarefa 1: criar uma função do IAM para notificações do Amazon SNS

Use o procedimento a seguir para criar uma função de serviço do IAM para notificações do Amazon SNS.Essa função de serviço é usada pelo Systems Manager para disparar notificações do Amazon SNS.

Para criar uma função de serviço do IAM para notificações do Amazon SNS

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e Create role.3. Na página Select type of trusted entity, em AWS Service, escolha EC2.4. Na seção Select your use case, escolha EC2 e, em seguida, Next: Permissions.5. Na página Attached permissions policy (Política de permissões anexadas), localize a política

AmazonSNSFullAccess, selecione-a e, em seguida, selecione Next: Review (Próximo: Revisar).6. Na página Review, digite um nome na caixa Role name e, em seguida, uma descrição.7. Selecione Create role. O sistema faz com que você retorne para a página Roles.8. Na página Roles, escolha a função que você acabou de criar para abrir a página Summary.9. Escolha a guia Trust Relationships e depois Edit Trust Relationship.10. Adicione "ssm.amazonaws.com" à política existente conforme ilustrado no seguinte trecho de código:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com", "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Note

Você deve adicionar uma vírgula após a entrada existente. "Service": "ec2.amazonaws.com"ou o JSON não validará.

11. Escolha Update Trust Policy.12. Copie ou anote o valor de Role ARN. Você especificará esse ARN quando enviar um comando que

esteja configurado para retornar notificações.13. Deixe a página Summary aberta.

Tarefa 2: anexar a política iam:PassRole à sua função do Amazon SNS

Para receber notificações do serviço Amazon SNS, você deve anexar a política iam: PassRole à função deserviço que você criou na Tarefa 1.

Para anexar a política iam:PassRole à função do Amazon SNS

1. Na página Summary da função que você acabou de criar, escolha a guia Permissions.

220



2. Escolha Add inline policy.3. Na página Create policy (Criar política), selecione a guia Visual editor (Editor visual).4. Selecione Service (Serviço) e, em seguida, selecione IAM.5. Selecione Select actions (Selecionar ações).6. Na caixa de texto Filter actions (Filtrar ações), digite PassRole e selecione a opção PassRole.7. Selecione Resources (Recursos). Verifique se Specific (Específico) está selecionado e, em seguida,

selecione Add ARN (Adicionar ARN).8. No campo Specify ARN for role (Especificar ARN para função) cole o ARN da função do Amazon

SNS que você copiou no final da Tarefa 1. O sistema preenche automaticamente os campos Account(Conta) e Role name with path (Nome de função com caminho).

9. Escolha Add (Adicionar).10. Escolha Revisar política.11. Na página Review Policy (Revisar política), digite um nome e, em seguida, selecione Create Policy

(Criar política).

Tarefa 3: criar e se inscrever em um tópico do Amazon SNS

Um tópico do Amazon SNS é um canal de comunicação que o Executar comando usa para enviarnotificações sobre os status dos comandos. O Amazon SNS é compatível com diferentes protocolosde comunicação, incluindo HTTP/S, e-mail e outros serviços da AWS, como o Amazon SQS. Paracomeçar a trabalhar rapidamente, recomendamos que você comece com o protocolo de e-mail. Para obterinformações sobre como criar um tópico, consulte Criar um tópico no Amazon Simple Notification ServiceDeveloper Guide.

Note

Depois de criar o tópico, copie ou anote o ARN do tópico. Você especificará esse ARN quandoenviar um comando que esteja configurado para retornar notificações de status.

Após criar o tópico, inscreva-se nele especificando um Endpoint. Se você selecionou o protocolo de e-mail,o endpoint é o endereço de e-mail no qual você deseja receber notificações. Para obter mais informaçõessobre como se inscrever em um tópico, consulte Inscrever-se em um tópico no Amazon Simple NotificationService Developer Guide.

O Amazon SNS envia um e-mail de confirmação de Notificações da AWS para o endereço de e-mail quevocê especificar. Abra o e-mail e selecione o link para Confirm subscription (Confirmar assinatura).

Você receberá uma mensagem de confirmação da AWS. O Amazon SNS agora está configurado parareceber notificações e enviar a notificação como um e-mail ao endereço de e-mail que você especificou.

Tarefa 4: enviar um comando que retorna notificações de status

Esta seção mostra como enviar um comando configurado para retornar notificações de status usando oconsole ou a AWS Command Line Interface (AWS CLI).

Para enviar um comando do console que retorna notificações


-ou-


221

https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html

https://docs.aws.amazon.com/sns/latest/dg/SubscribeTopic.html



3. Escolha Executar comando.4. Na lista Command document, escolha um documento do Systems Manager.5. Na seção Targets, identifique as instâncias em que você deseja executar essa operação


Note


6. Na seção Command parameters, especifique valores para os parâmetros necessários.7. Em Other parameters:




Note




Note


10. Na seção SNS Notifications, escolha Enable SNS notifications.11. No campo IAM role, digite ou cole o ARN da função do IAM que você criou anteriormente.12. No campo SNS topic, digite ou cole o ARN do Amazon SNS que você criou anteriormente.13. No campo Notify me on, escolha os eventos para os quais deseja receber notificações.14. No campo Notify me for, opte por receber notificações para cada cópia de um comando enviado a

várias instâncias (invocações) ou o resumo de comandos.15. Escolha Run.16. Verifique se há uma mensagem do Amazon SNS em seu e-mail e abra o e-mail. O Amazon SNS pode

levar alguns minutos para enviar o e-mail.

Para enviar um comando configurado para notificações da AWS CLI

1. Abra a AWS CLI.2. Especifique os parâmetros no seguinte comando.

222


aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "name" --parameters commands=date --service-role ServiceRole ARN --notification-config NotificationArn=SNS ARN

Por exemplo

aws ssm send-command --instance-ids "i-12345678, i-34567890" --document-name "AWS-RunPowerShellScript" --parameters commands=date --service-role arn:aws-cn:iam:: 123456789012:myrole --notification-config NotificationArn=arn:aws-cn:sns:cn-north-1:123456789012:test

3. Pressione Enter.4. Verifique se há uma mensagem do Amazon SNS em seu e-mail e abra o e-mail. O Amazon SNS pode

levar alguns minutos para enviar o e-mail.

Para obter mais informações sobre como configurar o Executar comando. na linha de comando, consulte aAmazon EC2 Systems Manager API Reference e a ;Referência da CLI da AWS do Systems Manager.

Restrição de acesso ao Executar comando com base em tags deinstânciaVocê pode restringir ainda mais a execução do comando a instâncias específicas criando uma política deusuário do IAM que inclui uma condição de que o usuário só pode executar comandos em instâncias quesão marcadas com tags específicas do Amazon EC2. No exemplo a seguir, o usuário pode usar o Executarcomando (Efeito: Permitir, ação: ssm:SendCommand) usando qualquer documento do SSM (Recurso:arn:aws:ssm:*:*:document/*) em qualquer instância (Recurso: arn:aws:ec2:*:*:instance/*) com a condiçãode que a instância seja um WebServer de finanças (ssm:resourceTag/Finance: WebServer). Se o usuárioenviar um comando para uma instância que não está marcada ou que possui qualquer outra tag que nãoseja Finance: WebServer, os resultados da execução mostrarão AccessDenied.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:*:*:document/*" ] }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ec2:*:*:instance/*" ], "Condition":{ "StringLike":{ "ssm:resourceTag/Finance":[ "WebServers" ] } } }

223




]}

Você pode criar políticas do IAM que permitem que um usuário execute comandos em instâncias que sãomarcadas com várias tags. A seguinte política permite que o usuário execute comandos em instâncias quepossuem duas tags. Se um usuário enviar um comando para uma instância que não está marcada comambas as tags, os resultados da execução mostrarão AccessDenied.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ], "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ]}

Você também pode criar políticas do IAM que permitem que um usuário execute comandos em váriosgrupos de instâncias marcadas. A seguinte política permite que o usuário execute comandos em um grupode instâncias marcadas ou em ambos os grupos.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ],

224

AWS Systems Manager Guia do usuárioExecução de comandos

"Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ]}

Para obter mais informações sobre como criar políticas de usuário do IAM, consulte Políticas gerenciadase em linha, no IAM User Guide. Para obter mais informações sobre instâncias de marcação, consulteComo marcar seus recursos do Amazon EC2 no Amazon EC2 User Guide for Linux Instances (o conteúdoaplica-se a instâncias do Windows e Linux).

Executar comandos usando o Executar comando doSystems ManagerEsta seção inclui informações sobre como enviar comandos do console do Amazon EC2 e como enviarcomandos para uma frota de instâncias usando o parâmetro Targets com tags do EC2. Ela também incluiinformações sobre como cancelar um comando.

Para obter informações sobre como enviar comandos usando o Windows PowerShell, consulteDemonstração: Usar o AWS Tools for Windows PowerShell com o Executar comando (p. 240) ouos exemplos na Referência do Tools for Windows PowerShell. Para obter informações sobre como

225

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html



enviar comandos usando a CLI da AWS, consulte Demonstração: usar a AWS CLI com a Executarcomando (p. 237) ou os exemplos na Referência da CLI do SSM.

Important

Se esta for a primeira vez que você usa o Executar comando, recomendamos a execução decomandos em uma instância de teste ou em uma instância que não esteja sendo usada em umambiente de produção.

Tópicos• Executar comandos do console (p. 226)• Comandos de envio que usam o parâmetro de versão do documento (p. 228)• Enviar comandos para uma frota (p. 229)• A reinicialização de instância gerenciada de Scripts (p. 232)• Cancelar um comando (p. 233)

Executar comandos do consoleVocê pode usar o Executar comando por meio do console para configurar instâncias sem ter de fazer loginem cada uma delas. Este tópico inclui um exemplo que mostra como atualizar o Agente do SSM (p. 227)em uma instância usando o Executar comando.

Antes de começar

Antes de enviar um comando usando o Executar comando, verifique se suas instâncias atendem aosrequisitos (p. 8) do Systems Manager.

Para enviar um comando usando o Executar comando


-ou-


3. Na lista Command document, escolha um documento do Systems Manager.4. Na seção Targets, identifique as instâncias em que você deseja executar essa operação


Note


5. Na seção Command parameters, especifique valores para os parâmetros necessários.6. Em Other parameters:




226




Note




Note




10. Escolha Run.

Para obter informações sobre como cancelar um comando, consulte the section called “Cancelar umcomando” (p. 233).

Exemplo: atualizar o SSM Agent

Você pode usar o documento AWS-UpdateSSMAgent para atualizar o Agente do SSM do Amazon EC2 emexecução em instâncias do Windows e do Linux. Você pode atualizar para a versão mais recente ou fazerdowngrade para uma versão mais antiga. Quando você executa o comando, o sistema faz download daversão da AWS, instala essa versão e desinstala a versão que existia antes do comando ser executado.Se ocorrer um erro durante esse processo, o sistema retornará à versão no servidor antes de o comandoser executado, e o status do comando mostrará que o comando falhou.

Para atualizar o Agente do SSM usando Executar comando


-ou-


3. Na lista Command document , escolha AWS-UpdateSSMAgent.4. Na seção Targets, identifique as instâncias em que você deseja executar essa operação


Note


227



5. Na seção Command parameters, especifique valores para os parâmetros a seguir, se desejar:

a. (Opcional) Em Version (Versão), digite a versão do Agente do SSM a ser instalada. Você podeinstalar versões antigas do agente. Se você não especificar uma versão, o serviço instala aversão mais recente.

b. (Opcional) Para Allow Downgrade (Permitir downgrade), escolha true para instalar uma versãoanterior do Agente do SSM. Se você escolher essa opção, deverá o número de versão maisanterior. Escolha false para instalar apenas a versão mais recente do serviço.





Note




Note




10. Escolha Run.

Comandos de envio que usam o parâmetro de versão dodocumentoVocê pode usar o parâmetro document-version para especificar qual versão de um documento do SSMusar quando o comando for executado. Você pode especificar uma das seguintes opções para esteparâmetro:

• $DEFAULT• $LATEST• Número da versão

228





Se executar comandos usando a CLI da AWS, você deverá realizar o escape das duas primeiras opçõesusando uma barra invertida. Se você especificar um número de versão, não será necessário usar a barrainvertida. Por exemplo:

--document-version "\$DEFAULT"

--document-version "\$LATEST"

--document-version "3"

Use o procedimento a seguir para executar um comando usando a AWS CLI que usa o parâmetro deversão do documento.

Para executar comandos usando a AWS CLI

1. Execute o seguinte comando para especificar suas credenciais e a região.

aws configure

2. O sistema solicita que você especifique o seguinte.



3. Listar todos os documentos disponíveis

Esse comando lista todos os documentos disponíveis para sua conta com base em permissões doIAM. O comando retorna uma lista de documentos Linux e Windows.

aws ssm list-documents

4. Use o seguinte comando para visualizar as diferentes versões de um documento.

aws ssm list-document-versions --name "document name"

5. Use o seguinte comando para executar um comando que use uma versão do documento do SSM.

aws ssm send-command --document-name "AWS-RunShellScript" --parameters commands="echo Hello",executionTimeout=3600 --instance-ids instance-ID --endpoint-url "https://us-east-2.amazonaws.com" --region "us-east-2" --document-version "\$DEFAULT, \$LATEST, or a version number"

Enviar comandos para uma frotaVocê pode enviar comandos para dezenas, centenas ou milhares de instâncias usando o parâmetrotargets (a opção Select Targets by Specifying a Tag no console do Amazon EC2). O parâmetrotargets aceita uma combinação Key,Value baseada em tags do Amazon EC2 que você especificoupara suas instâncias. Quando você executa o comando, o sistema localiza e tenta executar o comando emtodas as instâncias que correspondem às tags especificadas. Para obter mais informações sobre tags do

229

#ssm_region


Amazon EC2, consulte Como marcar seus recursos do Amazon EC2 no Guia do usuário do Amazon EC2(conteúdo aplicável a instâncias do Windows e Linux).

Note

Você também pode usar o parâmetro targets para direcionar uma lista de IDs de instânciaespecíficas, conforme descrito na próxima seção.

Para controlar a execução de comandos em centenas ou milhares de instâncias, o Run Command tambéminclui parâmetros para restringir quantas instâncias podem processar simultaneamente uma solicitação equantos erros podem ser lançados por um comando antes que este seja encerrado.

Tópicos• Direcionar várias instâncias (p. 230)• Usar controles de simultaneidade (p. 231)• Usar controles de erro (p. 232)

Direcionar várias instâncias

Você pode executar um comando e as instâncias de destino especificando tags do Amazon EC2 ou IDs deinstância. O parâmetro targets usa a seguinte sintaxe na AWS CLI:

Exemplo 1: direcionar tags

aws ssm send-command --document-name name --targets Key=tag:tag_name,Values=tag_value [...]

Note

Os comandos de exemplo nesta seção são truncados usando [...].

Exemplo 2: direcionar IDs de instância

aws ssm send-command --document-name name --targets Key=instanceids,Values=ID1,ID2,ID3 [...]

Se você marcou instâncias para diferentes ambientes usando uma Key chamada Environment e Valuesde Development, Test, Pre-production e Production, poderá enviar um comando para todas asinstâncias em um desses ambientes usando o parâmetro targets com a seguinte sintaxe:

aws ssm send-command --document-name name --targets Key=tag:Environment,Values=Development [...]

Você pode definir destinos para instâncias adicionais em outros ambientes, adicionando à lista Values.Separe itens usando vírgulas.

aws ssm send-command - -document-name name --targets Key=tag:Environment,Values=Development,Test,Pre-production [...]

Exemplo: refinar destinos usando vários critérios para Key

É possível refinar o número de destinos para o seu comando incluindo vários critérios para Key. Se vocêincluir mais de um critério para Key, o sistema direcionará instâncias que atenderem a todos os critérios. O

230



seguinte comando direciona todas as instâncias marcadas para o Departamento de finanças e marcadaspara a função de servidor de banco de dados.

aws ssm send-command --document-name name --targets Key=tag:Department,Values=Finance Key=tag:ServerRole,Values=Database [...]

Exemplo: usar vários critérios para Key e Value

Expandindo o exemplo anterior, você pode direcionar vários departamentos e várias funções de servidor,incluindo itens adicionais nos critérios Values.

aws ssm send-command --document-name name --targets Key=tag:Department,Values=Finance,Marketing Key=tag:ServerRole,Values=WebServer,Database [...]

Exemplo: direcionar instâncias marcadas usando vários critérios Values

Se você marcou instâncias para diferentes ambientes usando uma Key chamada Department e Valuesde Sales e Finance, poderá enviar um comando para todas as instâncias em um desses ambientesusando o parâmetro targets com a seguinte sintaxe:

aws ssm send-command --document-name name --targets Key=tag:Department,Values=Sales,Finance [...]

Note

Você pode especificar um máximo de 5 chaves e 5 valores para cada chave.

Se uma chave de tag (o nome da tag) ou um valor de tag incluir espaços, você deverá incluir a chave ou ovalor da tag entre aspas, conforme mostrado nos exemplos a seguir.

Exemplo 1: espaços na tag Value.

aws ssm send-command --document-name name --targets Key=tag:OS,Values="Windows Server 2016 Nano" [...]

Exemplo 2: espaços na chave tag e Value.

aws ssm send-command --document-name name --targets Key="tag:Operating System",Values="Windows Server 2016 Nano" [...]

Exemplo 3: espaços em um item em uma lista de Values.

aws ssm send-command --document-name name --targets Key=tag:Department,Values="Sales","Finance","Systems Mgmt" [...]

Usar controles de simultaneidade

Você pode controlar quantos servidores executam o comando ao mesmo tempo, usando o parâmetromax-concurrency (o campo Execute on (Executar em) no console do Amazon EC2). Você podeespecificar um número absoluto de instâncias, por exemplo, 10 ou uma porcentagem do conjunto dedestino, por exemplo, 10%. O sistema de enfileiramento entrega o comando a uma única instância eaguarda até que a invocação inicial seja concluída antes de enviar o comando para mais duas instâncias.

231


O sistema envia de forma exponencial comandos para mais instâncias até que o valor max-concurrencyseja atingido. O padrão para o valor max-concurrency é 50. Os exemplos a seguir mostram comoespecificar valores para o parâmetro max-concurrency:

aws ssm send-command --document-name name --max-concurrency 10 --targets Key=tag:Environment,Values=Development [...]

aws ssm send-command --document-name name --max-concurrency 10% --targets Key=tag:Department,Values=Finance,Marketing Key=tag:ServerRole,Values=WebServer,Database [...]

Usar controles de erro

Você também pode controlar a execução de um comando para centenas ou milhares de instânciasdefinindo um limite de erro usando os parâmetros max-errors (o campo Stop after __ errors no consoledo Amazon EC2). O parâmetro especifica quantos erros são permitidos antes que o sistema pare de enviaro comando para instâncias adicionais. Você pode especificar um número absoluto de erros, como 10,ou uma porcentagem do conjunto de destino, como 10%. Se você especificar 3, por exemplo, o sistemadeixará de enviar o comando quando o quarto erro for recebido. Se você especificar 0, o sistema deixaráde enviar o comando para instâncias adicionais depois que o primeiro resultado do erro for retornado. Sevocê enviar um comando para 50 instâncias e definir max-errors como 10%, o sistema deixará de enviaro comando para instâncias adicionais quando o sexto erro for recebido.

As invocações que já estão executando um comando quando max-errors é atingido podem serconcluídas, mas algumas dessas invocações também podem falhar. Se você precisa garantir que nãohaverá mais do que max-errors invocações com falha, defina max-concurrency como 1 para que asinvocações prossigam uma por vez. O padrão para o máximo de erros é 0. Os exemplos a seguir mostramcomo especificar valores para o parâmetro max-errors:

aws ssm send-command --document-name name --max-errors 10 --targets Key=tag:Database,Values=Development [...]

aws ssm send-command --document-name name --max-errors 10% --targets Key=tag:Environment,Values=Development [...]

aws ssm send-command --document-name name --max-concurrency 1 --max-errors 1 --targets Key=tag:Environment,Values=Production [...]

A reinicialização de instância gerenciada de ScriptsSe os scripts que você executa usando o Executar comando reinicializam as instâncias gerenciadas, vocêdeve especificar um código de saída em seu script. Se você tentar reiniciar uma instância a partir de umscript usando algum outro mecanismo, a execução do script status pode não ser atualizada corretamente,mesmo se a reinicialização for a última etapa em seu script. Para o Windows, você especifica as instânciasgerenciadas exit 3010 em seu script. Para instâncias gerenciadas do Linux, você especifica exit 194.O código de saída instrui Agente do SSM para reinicializar a instância gerenciada e, em seguida, reiniciao script após a reinicialização concluída. Antes de iniciar a reinicialização, o Agente do SSM informa oserviço Systems Manager na nuvem que a comunicação será interrompida durante a reinicialização doservidor.

Criar script idempotente

Ao desenvolver scripts que reinicializam instâncias gerenciadas, faça os scripts idempotentes para que aexecução do script continue de onde parou depois da reinicialização.

232


Veja a seguir um exemplo de um script idempotente que reinicializa a instância diversas vezes.

$name = Get current computer nameIf ($name –ne $desiredName) { Rename computer exit 3010 } $domain = Get current domain nameIf ($domain –ne $desiredDomain) { Join domain exit 3010 } If (desired package not installed) { Install package exit 3010 }

O script a seguir usa exemplos de códigos de saída para reiniciar instâncias. O exemplo do Windows-VHypver instala o aplicativo na instância e, em seguida, reinicia a instância. O exemplo instala atualizaçõesde pacote Linux no Amazon Linux e, em seguida, reinicia a instância.

Exemplo do Windows

$hyperV = Get-WindowsFeature -Name Hyper-Vif(-not $hyperV.Installed) { # Install Hyper-V and then send a reboot request to SSM Agent. Install-WindowsFeature -Name Hyper-V -IncludeManagementTools exit 3010 }

Exemplo de Amazon Linux

#!/bin/bashyum -y updateneeds-restarting -rif [ $? -eq 1 ]then exit 194else exit 0fi

Cancelar um comandoVocê pode tentar cancelar um comando desde que o serviço mostre que ele está em um estado pendenteou em execução. No entanto, mesmo que um comando ainda esteja em um desses estados, nãopoderemos garantir que o comando seja encerrado e o processo subjacente tenha parado.

Para cancelar um comando usando o console


233


AWS Systems Manager Guia do usuárioNoções básicas sobre status de comando

-ou-


3. Selecione a invocação do comando que você deseja cancelar.4. Escolha Cancel command.

Para cancelar um comando usando a AWS CLI

Use o seguinte comando.

aws ssm cancel-command --command-id "command ID" --instance-ids "instance ID"

Para obter informações sobre o status de um comando cancelado, consulte Noções básicas sobre statusde comando (p. 234).

Noções básicas sobre status de comandoO Executar comando do Systems Manager relata informações detalhadas de status sobre os estadosdiferentes pelos quais um comando passa durante o processamento e para cada instância que processouo comando. Você pode monitorar status de comandos usando os seguintes métodos.

• Clique no ícone Refresh na página Run Command do console do Amazon EC2.• Chame list-commands ou list-command-invocations usando a AWS CLI. Ou chame Get-SSMCommand

ou Get-SSMCommandInvocation usando o AWS Tools for Windows PowerShell.• Configure o CloudWatch Events para registrar alterações de status.• Configure o Amazon SNS para enviar notificações para todas as alterações de status ou para status

específicos, como Failed ou TimedOut.

Status do Executar comandoO Executar comando relata detalhes de status para três áreas: plug-ins, invocações e um status decomando geral. Um plug-in é um bloco de execução de código definido no documento do SystemsManager do seu comando. Os documentos AWS-* incluem apenas um plug-in, mas você pode criar seuspróprios documentos que usam vários plug-ins. Para obter mais informações sobre plug-ins, consulteReferência de plug-ins de documentos do SSM (p. 375).

Quando você envia um comando para várias instâncias ao mesmo tempo, cada cópia do comando queé dirigida a cada instância é uma invocação de comando. Por exemplo, se você usar o documento AWS-RunShellScript e enviar um comando ifconfig para 20 instâncias, esse comando terá 20 invocações. Cadainvocação de comando comunica individualmente o status. Os plug-ins para uma determinada invocaçãode comando também comunicam individualmente o status.

Por fim, o Executar comando inclui um status de comando agregado para todos os plug-ins e invocações.O status do comando agregado pode ser diferente do status relatado por plug-ins ou invocações, conformeobservado nas tabelas a seguir.

Note

Se você executar comandos para várias instâncias usando os parâmetros max-concurrency oumax-errors, o status do comando refletirá os limites impostos por esses parâmetros, conforme

234

https://docs.aws.amazon.com/cli/latest/reference/ssm/list-commands.html

https://docs.aws.amazon.com/cli/latest/reference/ssm/list-command-invocations.html.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMCommand.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMCommandInvocation.html


descrito nas tabelas a seguir. Para obter mais informações sobre esses parâmetros, consulteEnviar comandos para uma frota (p. 229).

Status detalhado para plug-ins de comando e invocações

Status Detalhes

Pendente O comando ainda não foi recebido pelo agentena instância. Se o comando não for recebidopelo agente antes que o valor especificado peloparâmetro Timeout (seconds) seja atingido, ostatus mudará para Delivery Timed Out.

Em andamento O comando foi recebido pelo agente ou ocomando começou a ser executado na instância.Dependendo do resultado de todos os plug-insde comando, o status mudará para Success,Failed ou Execution Timed Out. Se o agentenão estiver disponível na instância, o status docomando mostrará In Progress até que oagente esteja disponível novamente. O statusmudará para um estado terminal.

Atrasado O sistema tentou enviar o comando para ainstância, mas não foi bem-sucedido. O sistematentará novamente.

Bem-sucedida O comando foi recebido pelo Agente do SSM nainstância e retornou um código de saída igual azero. Esse status não significa que o comando foiprocessado com sucesso na instância. Este é umestado terminal.

Note

Para solucionar erros ou obter maisinformações sobre a execução decomandos, envie um comando quemanipule erros ou exceções retornandocódigos de saída apropriados (códigos desaída diferentes de zero para falhas decomando).

A entrega atingiu o tempo limite O comando não foi entregue à instância antesdo tempo limite de entrega expirado. Os temposlimite de entrega não contam para o limite de max-errors do comando pai, mas contribuem paradeterminar se o status do comando pai é Successou Incomplete. Este é um estado terminal.

A execução atingiu o tempo limite A execução do comando foi iniciada na instância,mas não foi concluída antes da expiração dotempo limite de execução. Os tempos limite deexecução contam para o limite de max-errors docomando pai. Este é um estado terminal.

Failed O comando não foi bem-sucedido na instância.Para um plug-in, isso indica que o código doresultado não foi zero. Para uma invocação decomando, isso indica que o código de resultado

235


Status Detalhespara um ou mais plug-ins não foi zero. Falhas deinvocação contam para o limite max-errors docomando pai. Este é um estado terminal.

Canceled O comando foi encerrado antes de ser concluído.Este é um estado terminal.

Não é possível entregar O comando não pode ser entregue à instância.A instância pode não existir ou pode não estarrespondendo. Invocações não entregues nãocontam para o limite de max-errors do comandopai e não contribuem para determinar se o statusdo comando pai é Success ou Incomplete. Esteé um estado terminal.

Encerrado O comando pai excedeu o limite de max-errorse as invocações de comando subsequentesforam canceladas pelo sistema. Este é um estadoterminal.

Status detalhado para um comando

Status Detalhes

Pendente O comando ainda não foi recebido por um agenteem uma instância.

Em andamento O comando foi enviado para pelo menos umainstância, mas não chegou a um estado final emtodas elas.

Atrasado O sistema tentou enviar o comando para ainstância, mas não foi bem-sucedido. O sistematentará novamente.

Bem-sucedida O comando foi recebido pelo Agente do SSMem todas as instâncias especificadas ou visadase retornou um código de saída igual a zero.Todas as invocações de comando atingiram umestado terminal e o valor de max-errors nãofoi alcançado. Esse status não significa que ocomando foi processado com sucesso em todasas instâncias especificadas ou visadas. Este é umestado terminal.

Note

Para solucionar erros ou obter maisinformações sobre a execução decomandos, envie um comando quemanipule erros ou exceções retornandocódigos de saída apropriados (códigos desaída diferentes de zero para falhas decomando).

A entrega atingiu o tempo limite O comando não foi entregue à instância antesdo tempo limite de entrega expirado. O valor de

236

AWS Systems Manager Guia do usuárioDemonstrações do Executar comando

Status Detalhesmax-errors ou mais invocações de comandosmostram um status de Delivery Timed Out.Este é um estado terminal.

A execução atingiu o tempo limite A execução do comando foi iniciada na instância,mas não foi concluída antes da expiração dotempo limite de execução. O valor de max-errorsou mais invocações de comandos mostram umstatus de Execution Timed Out. Este é umestado terminal.

Failed O comando não foi bem-sucedido na instância.O valor de max-errors ou mais invocações decomandos mostram um status de Failed. Este éum estado terminal.

Incompleto O comando foi tentado em todas as instâncias, euma ou mais das invocações não tem um valorde Success. No entanto, não houve um númerosuficiente de invocações com falha para que ostatus fosse Failed. Este é um estado terminal.

Canceled O comando foi encerrado antes de ser concluído.Este é um estado terminal.

Taxa excedida O número de instâncias visadas pelo comandoexcedeu o limite da conta para invocaçõespendentes. O sistema cancelou o comando antesde executá-lo em qualquer instância. Este é umestado terminal.

Demonstrações do Executar comandoAs demonstrações nesta seção mostram como executar comandos com o Executar comando usando aAWS Command Line Interface ou o AWS Tools for Windows PowerShell.

Tópicos• Demonstração: usar a AWS CLI com a Executar comando (p. 237)• Demonstração: Usar o AWS Tools for Windows PowerShell com o Executar comando (p. 240)

Você também pode ver comandos de amostra nas seguintes referências.

• Referência da CLI da AWS do Systems Manager• Referência do AWS Tools for Windows PowerShell do Systems Manager

Demonstração: usar a AWS CLI com a Executar comandoA demonstração de exemplo a seguir mostra como usar a CLI do AWS para ver informações sobrecomandos e parâmetros de comando, como executar comandos e como visualizar o status dessescomandos.

237




Important

Apenas administradores confiáveis devem ter permissão para usar os documentos pré-configurados do Systems Manager mostrados neste tópico. Os comandos ou scripts especificadosem documentos do Systems Manager são executados com privilégios administrativos nassuas instâncias. Se um usuário tiver permissão para executar qualquer um dos documentos doSystems Manager predefinidos (qualquer documento que comece com AWS), ele também teráacesso de administrador à instância. Para todos os outros usuários, você deve criar documentosrestritivos e compartilhá-los com usuários específicos. Para obter mais informações sobrecomo restringir acesso ao Executar comando, consulte Como configurar o acesso ao SystemsManager (p. 13).

Tópicos• Etapa 1: Conceitos básicos (p. 238)• Etapa 2: executar scripts de shell (p. 239)• Etapa 3: enviar um comando usando o documento AWS-RunShellScript - Exemplo 1 (p. 239)• Etapa 4: enviar um comando usando o documento AWS-RunShellScript - Exemplo 2 (p. 239)• Exemplos adicionais (p. 240)

Etapa 1: Conceitos básicos

Você deve ter privilégios de administrador sobre as instâncias que deseja configurar ou deve ter recebidoa permissão apropriada no IAM. Além disso, este exemplo usa US East (Ohio) Region (us-east-2). OExecutar comando está atualmente disponível nas regiões da AWS listadas em AWS Systems Managerem Amazon Web Services General Reference. Para obter mais informações, consulte Pré-requisitos doSystems Manager (p. 8).

Para executar comandos usando a AWS CLI

1. Execute o seguinte comando para especificar suas credenciais e a região.

aws configure

2. O sistema solicita que você especifique o seguinte.

AWS Access Key ID [None]: key_nameAWS Secret Access Key [None]: key_nameDefault region name [None]: region-idDefault output format [None]: ENTER


3. Listar todos os documentos disponíveis

Esse comando lista todos os documentos disponíveis para sua conta com base em permissões doIAM. O comando retorna uma lista de documentos Linux e Windows.


4. Verificar se uma instância está pronta para receber comandos

A saída do comando a seguir mostra se as instâncias estão online.

238


#ssm_region


aws ssm describe-instance-information --output text --query "InstanceInformationList[*]"

5. Use o seguinte comando para ver detalhes sobre uma instância específica.

Note

Para executar os comandos nessa demonstração, você deve substituir os IDs de instânciae comando. O ID do comando é retornado como uma resposta de send-command. O ID dainstância está disponível no console do Amazon EC2.

aws ssm describe-instance-information --instance-information-filter-list key=InstanceIds,valueSet=instance ID

Etapa 2: executar scripts de shell

Por meio do Executar comando e do documento AWS-RunShellScript, você pode executar qualquercomando ou script em uma instância do EC2 como se estivesse conectado localmente.

Para visualizar a descrição e os parâmetros disponíveis

• Use o seguinte comando para visualizar uma descrição do documento JSON do Systems Manager.

aws ssm describe-document --name "AWS-RunShellScript" --query "[Document.Name,Document.Description]"

• Use o seguinte comando para visualizar os parâmetros e detalhes disponíveis sobre esses parâmetros.

aws ssm describe-document --name "AWS-RunShellScript" --query "Document.Parameters[*]"

Etapa 3: enviar um comando usando o documento AWS-RunShellScript -Exemplo 1

Use o seguinte comando para obter informações de IP para uma instância.

aws ssm send-command --instance-ids "instance ID" --document-name "AWS-RunShellScript" --comment "IP config" --parameters commands=ifconfig --output text

Obter informações de comando com dados de resposta

O comando a seguir usa o ID de Comando que foi retornado do comando anterior para obter os detalhese os dados de resposta da execução do comando. O sistema retorna os dados da resposta se o comandofor concluído. Se a execução do comando mostrar "Pending" (pendente), você precisará executar essecomando novamente para ver os dados de resposta.

aws ssm list-command-invocations --command-id $sh_command_id --details

Etapa 4: enviar um comando usando o documento AWS-RunShellScript -Exemplo 2

O comando a seguir exibe a conta de usuário padrão executando os comandos.

239


sh_command_id=$(aws ssm send-command --instance-ids "instance ID" --document-name "AWS-RunShellScript" --comment "Demo run shell script on Linux Instance" --parameters commands=whoami --output text --query "Command.CommandId")

Obter status do comando

O comando a seguir usa o ID de Comando para obter o status da execução do comando na instância. Esteexemplo usa o ID de comando que foi retornado no comando anterior.

aws ssm list-commands --command-id "command_ID"

Obter detalhes do comando

O comando a seguir usa o ID do comando anterior para obter o status da execução do comando porinstância.

aws ssm list-command-invocations --command-id "command_ID" --details

Obter informações de comando com dados de resposta para uma instância específica

O comando a seguir retorna a saída de aws ssm send-command original para uma instância específica.

aws ssm list-command-invocations --instance-id instance ID --command-id "command_ID" --details

Exemplos adicionaisO comando a seguir retorna a versão do Python em execução em uma instância.

sh_command_id=$(aws ssm send-command --instance-ids "instance ID" --document-name "AWS-RunShellScript" --comment "Demo run shell script on Linux Instances" --parameters commands='python -V' --output text --query "Command.CommandId") sh -c 'aws ssm list-command-invocations --command-id "$sh_command_id" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}"'

O comando a seguir executa um script Python usando o Executar comando.

sh_command_id=$(aws ssm send-command --instance-ids "instance ID" --document-name "AWS-RunShellScript" --comment "Demo run shell script on Linux Instances" --parameters '{"commands":["#!/usr/bin/python","print \"Hello world from python\""]}' --output text --query "Command.CommandId") sh -c 'aws ssm list-command-invocations --command-id "$sh_command_id" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}"'

Demonstração: Usar o AWS Tools for Windows PowerShell como Executar comandoOs exemplos a seguir mostram como usar o Tools for Windows PowerShell para ver informações sobrecomandos e parâmetros de comandos, como executar comandos e como visualizar o status dessescomandos. Essa demonstração inclui um exemplo para cada um dos documentos do Systems Managerpredefinidos.

Important

Apenas administradores confiáveis devem ter permissão para usar os documentos pré-configurados do Systems Manager mostrados neste tópico. Os comandos ou scripts especificados

240


em documentos do Systems Manager são executados com privilégios administrativos nassuas instâncias. Se um usuário tiver permissão para executar qualquer um dos documentos doSystems Manager predefinidos (qualquer documento que comece com AWS), ele também teráacesso de administrador à instância. Para todos os outros usuários, você deve criar documentosrestritivos e compartilhá-los com usuários específicos. Para obter mais informações sobrecomo restringir acesso ao Executar comando, consulte Como configurar o acesso ao SystemsManager (p. 13).

Tópicos• Definir configurações de sessão do AWS Tools for Windows PowerShell (p. 241)• Listar todos os documentos disponíveis (p. 241)• Executar comandos ou scripts do PowerShell (p. 241)• Instalar um aplicativo usando o documento AWS-InstallApplication (p. 243)• Instalar um módulo PowerShell usando o documento JSON AWS-InstallPowerShellModule (p. 243)• Ingressar uma instância em um domínio usando o documento JSON AWS-

JoinDirectoryServiceDomain (p. 244)• Enviar métricas do Windows ao Amazon CloudWatch usando o documento AWS-

ConfigureCloudWatch (p. 245)• Habilitar/desabilitar a atualização automática do Windows usando o documento AWS-

ConfigureWindowsUpdate (p. 246)• Atualizar EC2Config usando o documento AWS-UpdateEC2Config (p. 247)• Gerenciamento de atualizações do Windows por meio do Executar comando (p. 248)

Definir configurações de sessão do AWS Tools for Windows PowerShell

Abra AWS Tools for Windows PowerShell no computador local e execute o seguinte comando paraespecificar suas credenciais. Você deve ter privilégios de administrador sobre as instâncias que desejaconfigurar ou deve ter recebido a permissão apropriada no IAM. Para obter mais informações, consultePré-requisitos do Systems Manager (p. 8).


Execute o seguinte comando para definir a região para sua sessão de PowerShell. O exemplo usa US East(Ohio) Region (us-east-2). O Executar comando está atualmente disponível nas regiões da AWS listadasem AWS Systems Manager em Amazon Web Services General Reference.


Listar todos os documentos disponíveis

Esse comando lista todos os documentos disponíveis para a sua conta:

Get-SSMDocumentList

Executar comandos ou scripts do PowerShell

Por meio do Executar comando e do documento AWS-RunPowerShell, você pode executar qualquercomando ou script em uma instância do EC2 como se estivesse conectado à instância usando a área detrabalho remota. Você pode emitir comandos ou digitar um caminho para um script local para executar ocomando.

241



Note

Para obter mais informações sobre reinicialização dos servidores e instâncias ao usarExecutar comando para chamar scripts, consulte A reinicialização de instância gerenciada deScripts (p. 232).

Veja a descrição e os parâmetros disponíveis

Get-SSMDocumentDescription -Name "AWS-RunPowerShellScript"

Veja mais informações sobre parâmetros

Get-SSMDocumentDescription -Name "AWS-RunPowerShellScript" | select -ExpandProperty Parameters

Enviar um comando usando o documento AWS-RunPowerShellScript

O comando a seguir mostra o conteúdo do diretório C:\Users e o conteúdo do diretório C:\ em duasinstâncias.

$runPSCommand=Send-SSMCommand -InstanceId @('Instance-ID', 'Instance-ID') -DocumentName AWS-RunPowerShellScript -Comment 'Demo AWS-RunPowerShellScript with two instances' -Parameter @{'commands'=@('dir C:\Users', 'dir C:\')}

Obter detalhes da solicitação de comando

O comando a seguir usa o ID do comando para obter o status da execução do comando em ambas asinstâncias. Este exemplo usa o ID de comando que foi retornado no comando anterior.

Get-SSMCommand -CommandId $runPSCommand.CommandId

O status do comando neste exemplo pode ser Success, Pending ou InProgress.

Obter informações de comando por instância

O comando a seguir usa o ID do comando anterior para obter o status da execução do comando porinstância.

Get-SSMCommandInvocation -CommandId $runPSCommand.CommandId


O comando a seguir retorna a saída do Send-SSMCommand original para uma instância específica.

Get-SSMCommandInvocation -CommandId $runPSCommand.CommandId -Details $true -InstanceId Instance-ID | select -ExpandProperty CommandPlugins

Cancelar um comando

O comando a seguir cancela o Send-SSMComand para o documento AWS-RunPowerShellScript.

$cancelCommandResponse=Send-SSMCommand -InstanceId @('Instance-ID','Instance-ID') -DocumentName AWS-RunPowerShellScript -Comment 'Demo AWS-RunPowerShellScript with two instances' -Parameter @{'commands'='Start-Sleep –Seconds 120; dir C:\'} Stop-SSMCommand -CommandId $cancelCommandResponse.CommandId Get-SSMCommand -CommandId $cancelCommandResponse.CommandId

Verificar o status do comando

242


O comando a seguir verifica o status do comando Cancel

Get-SSMCommand -CommandId $cancelCommandResponse.CommandId

Instalar um aplicativo usando o documento AWS-InstallApplicationPor meio do Executar comando e do documento AWS-InstallApplication, você pode instalar, reparar oudesinstalar aplicativos em instâncias. O comando requer o caminho ou endereço para um MSI.

Note



Get-SSMDocumentDescription -Name "AWS-InstallApplication"


Get-SSMDocumentDescription -Name "AWS-InstallApplication" | select -ExpandProperty Parameters

Enviar um comando usando o documento AWS-InstallApplication

O comando a seguir instala uma versão do Python na sua instância no modo autônomo e registra a saídaem um arquivo de texto local na sua unidade C:.

$installAppCommand=Send-SSMCommand -InstanceId Instance-ID -DocumentName AWS-InstallApplication -Parameter @{'source'='https://www.python.org/ftp/python/2.7.9/python-2.7.9.msi'; 'parameters'='/norestart /quiet /log c:\pythoninstall.txt'}


O comando a seguir usa o ID do comando para obter o status da execução do comando

Get-SSMCommandInvocation -CommandId $installAppCommand.CommandId -Details $true


O comando a seguir retorna os resultados da instalação do Python.

Get-SSMCommandInvocation -CommandId $installAppCommand.CommandId -Details $true -InstanceId Instance-ID | select -ExpandProperty CommandPlugins

Instalar um módulo PowerShell usando o documento JSON AWS-InstallPowerShellModuleVocê pode usar o Executar comando para instalar módulos do PowerShell em uma instância do EC2. Paraobter mais informações sobre os módulos PowerShell, consulte Módulos do Windows PowerShell.


Get-SSMDocumentDescription -Name "AWS-InstallPowerShellModule"


243

https://msdn.microsoft.com/en-us/library/dd878324%28v=vs.85%29.aspx


Get-SSMDocumentDescription -Name "AWS-InstallPowerShellModule" | select -ExpandProperty Parameters

Instalar um módulo PowerShell

O comando a seguir faz download do arquivo EZOut.zip, instala o arquivo e depois executa um comandoadicional para instalar o visualizador XPS. Por fim, a saída desse comando é carregada em um bucket doAmazon S3 chamado de demo-ssm-output-bucket.

$installPSCommand=Send-SSMCommand -InstanceId Instance-ID -DocumentName AWS-InstallPowerShellModule -Parameter @{'source'='https://gallery.technet.microsoft.com/EZOut-33ae0fb7/file/110351/1/EZOut.zip';'commands'=@('Add-WindowsFeature -name XPS-Viewer -restart')} -OutputS3BucketName demo-ssm-output-bucket


O comando a seguir usa o ID do comando para obter o status da execução do comando.

Get-SSMCommandInvocation -CommandId $installPSCommand.CommandId -Details $true

Obter informações de comando com dados de resposta para a instância

O comando a seguir retorna a saída do Send-SSMCommand original ao ID do comando específico.

Get-SSMCommandInvocation -CommandId $installPSCommand.CommandId -Details $true | select -ExpandProperty CommandPlugins

Ingressar uma instância em um domínio usando o documento JSON AWS-JoinDirectoryServiceDomainPor meio do Executar comando, você pode ingressar rapidamente uma instância em um domínio do AWSDirectory Service. Antes de executar esse comando, você deve criar um diretório. Também recomendamosque você saiba mais sobre o AWS Directory Service. Para obter mais informações, consulte O que é oAWS Directory Service?.

Atualmente, você só pode ingressar em uma instância em um domínio. Não é possível remover umainstância de um domínio.

Note



Get-SSMDocumentDescription -Name "AWS-JoinDirectoryServiceDomain"


Get-SSMDocumentDescription -Name "AWS-JoinDirectoryServiceDomain" | select -ExpandProperty Parameters

Ingressar uma instância em um domínio

O seguinte comando ingressa a instância no domínio do AWS Directory Service especificado e faz uploadde qualquer saída gerada no bucket do Amazon S3.

244

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_directory.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/


$domainJoinCommand=Send-SSMCommand -InstanceId Instance-ID -DocumentName AWS-JoinDirectoryServiceDomain -Parameter @{'directoryId'='d-9067386b64'; 'directoryName'='ssm.test.amazon.com'; 'dnsIpAddresses'=@('172.31.38.48', '172.31.55.243')} -OutputS3BucketName demo-ssm-output-bucket



Get-SSMCommandInvocation -CommandId $domainJoinCommand.CommandId -Details $true


Esse comando retorna a saída do Send-SSMCommand original para o ID do comando específico.

Get-SSMCommandInvocation -CommandId $domainJoinCommand.CommandId -Details $true | select -ExpandProperty CommandPlugins

Enviar métricas do Windows ao Amazon CloudWatch usando o documento AWS-ConfigureCloudWatchVocê pode enviar mensagens do Windows Server nos logs do aplicativo, do sistema e do Rastreamentode Eventos para Windows (ETW) para o Amazon CloudWatch Logs. Quando você habilita o registropela primeira vez, o Systems Manager envia todos os logs gerados no prazo de 1 minuto a partir domomento em que você inicia o upload de logs de aplicativo, sistema, segurança e ETW. Logs ocorridosantes dessa hora não são incluídos. Se você desativar o registro em log e depois reabilitá-lo, o SystemsManager enviará logs do ponto em que ele parou. Para quaisquer arquivos de log personalizados e logsdo IIS (Serviços de Informações da Internet), o Systems Manager lê os arquivos de log desde o início.Além disso, o Systems Manager também pode enviar dados de contador de desempenho para o AmazonCloudWatch.

Se você habilitou anteriormente a integração do CloudWatch no EC2Config, as configurações do SystemsManager substituem todas as configurações armazenadas localmente na instância no arquivo em C:\Program Files\Amazon\EC2ConfigService\Settings\AWS.EC2.Windows.CloudWatch.json. Para obter maisinformações sobre como usar o EC2Config para gerenciar contadores de desempenho e logs em umaúnica instância, consulte o tópico Enviar contadores de desempenho para o CloudWatch e logs para oCloudWatch Logs.


Get-SSMDocumentDescription -Name "AWS-ConfigureCloudWatch"


Get-SSMDocumentDescription -Name "AWS-ConfigureCloudWatch" | select -ExpandProperty Parameters

Enviar logs de aplicativo ao CloudWatch

O comando a seguir configura a instância e move logs de Aplicativos do Windows para o CloudWatch.

$cloudWatchCommand=Send-SSMCommand -InstanceID Instance-ID -DocumentName 'AWS-ConfigureCloudWatch' -Parameter @{'properties'='{"engineConfiguration": {"PollInterval":"00:00:15", "Components":[{"Id":"ApplicationEventLog", "FullName":"AWS.EC2.Windows.CloudWatch.EventLog.EventLogInputComponent,AWS.EC2.Windows.CloudWatch", "Parameters":{"LogName":"Application", "Levels":"7"}},{"Id":"CloudWatch", "FullName":"AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch", "Parameters":{"Region":"us-east-2", "LogGroup":"My-Log-Group",

245

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/send_logs_to_cwl.html



"LogStream":"i-1234567890EXAMPLE"}}], "Flows":{"Flows":["ApplicationEventLog,CloudWatch"]}}}'}



Get-SSMCommandInvocation -CommandId $cloudWatchCommand.CommandId -Details $true


O comando a seguir retorna os resultados da configuração do Amazon CloudWatch.

Get-SSMCommandInvocation -CommandId $cloudWatchCommand.CommandId -Details $true -InstanceId Instance-ID | select -ExpandProperty CommandPlugins

Enviar contadores de desempenho ao CloudWatch usando o documento AWS-ConfigureCloudWatch

O comando de demonstração a seguir faz upload de contadores de desempenho para o CloudWatch. Paraobter mais informações, consulte a Documentação do Amazon CloudWatch.

$cloudWatchMetricsCommand=Send-SSMCommand -InstanceID Instance-ID -DocumentName 'AWS-ConfigureCloudWatch' -Parameter @{'properties'='{"engineConfiguration": {"PollInterval":"00:00:15", "Components":[{"Id":"PerformanceCounter", "FullName":"AWS.EC2.Windows.CloudWatch.PerformanceCounterComponent.PerformanceCounterInputComponent,AWS.EC2.Windows.CloudWatch", "Parameters":{"CategoryName":"Memory", "CounterName":"Available MBytes", "InstanceName":"", "MetricName":"AvailableMemory", "Unit":"Megabytes","DimensionName":"", "DimensionValue":""}},{"Id":"CloudWatch", "FullName":"AWS.EC2.Windows.CloudWatch.CloudWatch.CloudWatchOutputComponent,AWS.EC2.Windows.CloudWatch", "Parameters":{"AccessKey":"", "SecretKey":"","Region":"us-east-2", "NameSpace":"Windows-Default"}}], "Flows":{"Flows":["PerformanceCounter,CloudWatch"]}}}'}

Habilitar/desabilitar a atualização automática do Windows usando o documentoAWS-ConfigureWindowsUpdatePor meio do Executar comando e do documento AWS-ConfigureWindowsUpdate, você pode habilitarou desabilitar as atualizações automáticas do Windows em suas instâncias do Windows. Esse comandoconfigura o agente de atualização do Windows para fazer download e instalar atualizações do Windowsna data e hora no dia e hora que você especificar. Se uma atualização exigir uma reinicialização, ocomputador reiniciará automaticamente 15 minutos após a instalação das atualizações. Com essecomando, você também pode configurar a atualização do Windows para verificar atualizações, mas nãopode instalá-las. O documento AWS-ConfigureWindowsUpdate é compatível com o Windows Server 2008,2008 R2, 2012, 2012 R2 e 2016.


Get-SSMDocumentDescription –Name "AWS-ConfigureWindowsUpdate"


Get-SSMDocumentDescription -Name "AWS-ConfigureWindowsUpdate" | select -ExpandProperty Parameters

Habilitar a atualização automática do Windows

O comando a seguir configura o Windows Update para fazer download e instalar atualizações diariamenteàs 22h.

246

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/


$configureWindowsUpdateCommand = Send-SSMCommand -InstanceId Instance-ID -DocumentName 'AWS-ConfigureWindowsUpdate' -Parameters @{'updateLevel'='InstallUpdatesAutomatically'; 'scheduledInstallDay'='Daily'; 'scheduledInstallTime'='22:00'}

Visualizar o status do comando para habilitar atualizações automáticas do Windows

O comando a seguir usa o ID do comando para obter o status da execução do comando para ativar aAtualização Automática do Windows.

Get-SSMCommandInvocation -Details $true -CommandId $configureWindowsUpdateCommand.CommandId | select -ExpandProperty CommandPlugins

Desabilitar a atualização automática do Windows

O seguinte comando reduz o nível de notificação do Windows Update para que o sistema verifique se háatualizações, mas não atualiza automaticamente a instância.

$configureWindowsUpdateCommand = Send-SSMCommand -InstanceId Instance-ID -DocumentName 'AWS-ConfigureWindowsUpdate' -Parameters @{'updateLevel'='NeverCheckForUpdates'}

Visualizar o status do comando para desabilitar a atualização automática do Windows

O comando a seguir usa o ID do comando para obter o status da execução do comando para desabilitar aAtualização Automática do Windows.

Get-SSMCommandInvocation -Details $true -CommandId $configureWindowsUpdateCommand.CommandId | select -ExpandProperty CommandPlugins

Atualizar EC2Config usando o documento AWS-UpdateEC2ConfigPor meio do Executar comando e do documento AWS-EC2ConfigUpdate, você pode atualizar o serviçoEC2Config em execução em suas instâncias do Windows. Esse comando pode atualizar o serviçoEC2Config para a versão mais recente ou uma versão que você especificar.


Get-SSMDocumentDescription -Name "AWS-UpdateEC2Config"


Get-SSMDocumentDescription -Name "AWS-UpdateEC2Config" | select -ExpandProperty Parameters

Atualizar EC2Config para a versão mais recente

Send-SSMCommand -InstanceId Instance-ID -DocumentName "AWS-UpdateEC2Config"


Esse comando retorna a saída do comando especificado do Send-SSMCommand anterior:

Get-SSMCommandInvocation -CommandId ID -Details $true -InstanceId Instance-ID | select -ExpandProperty CommandPlugins

Atualizar EC2Config para uma versão específica

O comando a seguir fará o downgrade do EC2Config para uma versão anterior:

247

AWS Systems Manager Guia do usuárioSolução de problemas do Executar comando

Send-SSMCommand -InstanceId Instance-ID -DocumentName "AWS-UpdateEC2Config" -Parameter @{'version'='3.8.354'; 'allowDowngrade'='true'}

Gerenciamento de atualizações do Windows por meio do Executar comandoO Executar comando inclui três documentos para ajudá-lo a gerenciar atualizações para instânciasWindows do Amazon EC2.

• AWS-FindWindowsUpdates: verifica uma instância e determina quais atualizações estão ausentes.• AWS-InstallMissingWindowsUpdates: instala atualizações ausentes na sua instância do EC2.• AWS-InstallSpecificUpdates: instala uma atualização específica.

Note


Os exemplos a seguir demonstram como realizar as tarefas de gerenciamento do Windows Updateespecificadas.

Procurar todas as atualizações do Windows ausentes

Send-SSMCommand -InstanceId Instance-ID -DocumentName 'AWS-FindWindowsUpdates' -Parameters @{'UpdateLevel'='All'}

Instalar atualizações específicas do Windows

Send-SSMCommand -InstanceId Instance-ID -DocumentName 'AWS-InstallSpecificWindowsUpdates' -Parameters @{'KbArticleIds'='123456,KB567890,987654'}

Instalar atualizações importantes do Windows ausentes

Send-SSMCommand -InstanceId Instance-ID -DocumentName 'AWS-InstallMissingWindowsUpdates' -Parameters @{'UpdateLevel'='Important'}

Instalar atualizações do Windows ausentes com exclusões específicas

Send-SSMCommand -InstanceId Instance-ID -DocumentName 'AWS-InstallMissingWindowsUpdates' -Parameters @{'UpdateLevel'='All';'ExcludeKbArticleIds'='KB567890,987654'}

Solução de problemas com o Run Command doSystems ManagerExecutar comando fornece detalhes de status com cada execução do comando. Para obter maisinformações sobre os detalhes dos status de comando, consulte Noções básicas sobre status decomando (p. 234). Você também pode usar as informações neste tópico para ajudar a solucionarproblemas com a Executar comando.

Tópicos• Onde estão minhas instâncias? (p. 249)• Obter informações de status em instâncias do Windows (p. 249)

248


• Obter informações de status em instâncias do Linux (p. 250)• Solução de problemas do Agente do SSM (p. 250)

Onde estão minhas instâncias?Na página Run a command (Executar um comando), depois de escolher um documento do SSM paraexecutar e selecionar Manually selecting instances (Selecionar instâncias manualmente) na seçãoTargets (Destinos), é exibida uma lista de instâncias entre as quais você pode escolher para a execuçãodo comando. Se uma instância que você esperava ver não estiver relacionada, verifique os seguintesrequisitos:

• Agente do SSM: verifique se a versão mais recente do Agente do SSM está instalada na instância.Somente as s (s) do Amazon EC2 do Windows e algumas s do Linux são pré-configuradas com oAgente do SSM. Para obter informações sobre como instalar ou reinstalar o Agente do SSM em umainstância, consulte Instalar e configurar o Agente do SSM em instâncias do Linux (p. 23) ou Instalar econfigurar o Agente do SSMem instâncias do Windows (p. 20).

• Função da instância do IAM: verifique se a instância está configurada com uma função do AWS Identityand Access Management (IAM) que permita que essa instância se comunique com a API do SystemsManager. Verifique também se a sua conta de usuário possui uma política de confiança do usuáriodo IAM que permite que a sua conta se comunique com a API do Systems Manager. Para obter maisinformações, consulte Como configurar o acesso ao Systems Manager (p. 13).

• Tipo de sistema operacional de destino: verifique novamente se você selecionou um documento doSSM que seja compatível com o tipo de instância que você deseja atualizar. A maioria dos documentosdo SSM oferecem suporte a instâncias do Windows e do Linux, mas nem todos. Por exemplo, se vocêselecionar o documento do SSM AWS-InstallPowerShellModule, que se aplica apenas a instânciasdo Windows, não verá as instâncias do Linux na lista de instâncias de destino.

Verificar o status da instância usando a API de integridade

Você pode usar a API Health do Amazon EC2 para determinar rapidamente as seguintes informaçõessobre as instâncias do Amazon EC2:

• O status de uma ou mais instâncias• A última vez que a instância enviou um valor de pulsação• A versão do Agente do SSM• O sistema operacional• A versão do serviço EC2Config (Windows)• O status do serviço EC2Config (Windows)

Obter informações de status em instâncias do WindowsUse o seguinte comando para obter detalhes de status sobre uma ou mais instâncias:

Get-SSMInstanceInformation -InstanceInformationFilterList @{Key="InstanceIds";ValueSet="instance-ID","instance-ID"}

Use o seguinte comando sem filtros para ver todas as instâncias registradas na sua conta que estãoatualmente informando um status online. Substitua ValueSet="Online" por "ConnectionLost" ou "Inactive"para visualizar estes status:

Get-SSMInstanceInformation -InstanceInformationFilterList @{Key="PingStatus";ValueSet="Online"}

249


Use o seguinte comando para ver quais instâncias estão executando a versão mais recente do serviçoEC2Config. Substitua ValueSet="LATEST" por uma versão específica (por exemplo, 3.0.54 ou 3.10) paravisualizar esses detalhes:

Get-SSMInstanceInformation -InstanceInformationFilterList @{Key="AgentVersion";ValueSet="LATEST"}

Obter informações de status em instâncias do LinuxUse o seguinte comando para obter detalhes de status sobre uma ou mais instâncias:

aws ssm describe-instance-information --instance-information-filter-list key=InstanceIds,valueSet=instance-ID

Use o seguinte comando sem filtros para ver todas as instâncias registradas na sua conta que estãoatualmente informando um status online. Substitua ValueSet="Online" por "ConnectionLost" ou "Inactive"para visualizar estes status:

aws ssm describe-instance-information --instance-information-filter-list key=PingStatus,valueSet=Online

Use o comando a seguir para ver quais instâncias estão executando a versão mais recente do Agentedo SSM. Substitua ValueSet="LATEST" por uma versão específica (por exemplo, 1.0.145 ou 1.0) paravisualizar esses detalhes:

aws ssm describe-instance-information --instance-information-filter-list key=AgentVersion,valueSet=LATEST

Se a operação de API describe-instance-information retornar um AgentStatus Online, sua instância estápronta para ser gerenciada usando o Executar comando. Se o status for Inactive, a instância tem um oumais dos seguintes problemas.

• Agente do SSM não está instalado.• A instância não tem conectividade de Internet de saída.• A instância não foi iniciada com uma função do IAM que permite a comunicação com a API do SSM

ou as permissões para a função do IAM não estão corretas para o Executar comando. Para obter maisinformações, consulte Como configurar o acesso ao Systems Manager (p. 13).

Solução de problemas do Agente do SSMSe você tiver problemas ao executar comandos usando o Executar comando, isso significa que pode haverum problema com o Agente do SSM. Use as seguintes informações para ajudá-lo a solucionar o problemacom o agente.

Exibir logs de agente

Agente do SSM registra informações nos arquivos a seguir. As informações nesses arquivos podem ajudara solucionar problemas.

No Windows

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log• %PROGRAMDATA%\Amazon\SSM\Logs\error.log

250

AWS Systems Manager Guia do usuárioPatch Manager

Note

O nome de arquivo padrão do seelog.xml.template. Se você modificar um seelog, você deverenomear o arquivo como seelog.xml.

No Linux

• /var/log/amazon/ssm/amazon-ssm-agent.log• /var/log/amazon/ssm/errors.log

No Linux, você pode ativar o log expandido atualizando o arquivo seelog.xml. Por padrão, o arquivo deconfiguração está localizado aqui: /etc/amazon/ssm/seelog.xml.

Para obter mais informações sobre a configuração de cihub/seelog, acesse o cihub/seelog Wiki. Para obterexemplos de configurações de cihub/seelog, acesse exemplos de cihub/seelog.

Patch Manager do AWS Systems ManagerO Patch Manager do AWS Systems Manager automatiza o processo de aplicação de patches de instânciasgerenciadas com atualizações relacionados à segurança. Para instâncias baseadas no Linux, vocêtambém pode instalar patches para atualizações não relacionadas à segurança. Você pode aplicarpatches a frotas de instâncias do Amazon EC2 ou a servidores locais e máquinas virtuais (VMs) por tipode sistema operacional. Isso inclui versões compatíveis do Windows, Ubuntu Server, Red Hat EnterpriseLinux (RHEL), SUSE Linux Enterprise Server (SLES), Amazon Linux e Amazon Linux 2. Você podeverificar instâncias para visualizar somente um relatório de patches ausentes ou verificar e instalarautomaticamente todos os patches ausentes.

Important

A AWS não faz testes de patches para Windows ou Linux antes de disponibilizá-los no PatchManager.

O Patch Manager usa linhas de base de patch, que incluem regras para a aprovação automática depatches em alguns de dias após o respectivo lançamento, bem como uma lista de patches aprovadose rejeitados. Você pode instalar patches de forma regular programando a aplicação de patches paraexecução como uma tarefa da Janela de manutenção do Systems Manager. Você também pode instalarpatches individualmente ou em grandes grupos de instâncias usando tags do Amazon EC2.

O Patch Manager se integra ao AWS Identity and Access Management (IAM), ao AWS CloudTrail e aoAmazon CloudWatch Events para fornecer uma experiência de aplicação de patch segura que incluinotificações de eventos e a capacidade de auditar o uso.

Conceitos básicos do Patch Manager

Para começar a usar o Patch Manager, execute as tarefas descritas na tabela a seguir.


Verifique os pré-requisitos do Systems Manager Pré-requisitos do Systems Manager (p. 8)

Saiba como configurar e definir patches Trabalhar com o Patch Manager (p. 270)

Configurar permissões para as Janela demanutençãos

(Obrigatório se você pretende usar esse recurso aoaplicar patch.)

Controle de acesso às Janela demanutençãos (p. 301)

251

https://github.com/cihub/seelog/wiki


AWS Systems Manager Guia do usuárioSistemas operacionais compatíveis com o Patch Manager


Crie linhas de base de patch, grupos de patches euma Janela de manutenção para executar o patchem um ambiente de teste

Demonstrações do Patch Manager do SystemsManager (p. 277)

Tópicos• Sistemas operacionais compatíveis com o Patch Manager (p. 252)• Como funcionam as operações do Patch Manager (p. 253)• Visão geral dos documentos do SSM para aplicar patches em instâncias (p. 265)• Sobre o documento AWS-RunPatchBaseline do SSM (p. 268)• Trabalhar com o Patch Manager (p. 270)• Demonstrações do Patch Manager do Systems Manager (p. 277)• Comandos da AWS CLI para o Patch Manager (p. 287)

Sistemas operacionais compatíveis com o PatchManagerO recurso Patch Manager não é compatível com todas as versões de sistemas operacionais que sãocompatíveis por outras funcionalidades de AWS Systems Manager. Para obter mais informações, consultePré-requisitos do Systems Manager (p. 8).

Ele pode ser usado para aplicar patches aos sistemas operacionais exibidos na seguinte tabela.

Sistema operacional Detalhes

Linux Somente para sistemas de 64 bits

• Red Hat Enterprise Linux (RHEL) 7.0-7.4• SUSE Linux Enterprise Server (SLES) 12• Amazon Linux 2015.03–2018.03• Amazon Linux 2 2-2.0• CentOS 7.1 e posterior

Sistemas de 64 bits e 32 bits

• Red Hat Enterprise Linux (RHEL) 6.5-6.9• Ubuntu Server 14.04 LTS e 16.04 LTS• Amazon Linux 2012.03–2017.03• CentOS 6.5 e posterior

Note

Instâncias criadas de uma AMI doAmazon Linux que estiverem usandoum proxy devem executar uma versãoatual do módulo Python requests para

252


Sistema operacional Detalhesserem compatíveis com as operaçõesdo Patch Manager. Para obter maisinformações, consulte Atualizar o módulode solicitações em Python em instânciasdo Amazon Linux que usam um servidorde proxy (p. 35).

Windows Windows Server 2008 até o Windows Server 2016,incluindo versões R2. O Patch Manager fornecetodos os patches para sistemas operacionaiscom suporte em poucas horas após a suadisponibilização pela Microsoft.

Para obter uma lista dos sistemas operacionais compatíveis com o Systems Manager, consulte Pré-requisitos do Systems Manager (p. 8).

Como funcionam as operações do Patch ManagerEsta seção fornece detalhes técnicos que explicam como o Patch Manager define quais patches devemser instalados e como ele os instala em cada sistema operacional compatível. Para sistemas operacionaisLinux, ele também fornece informações sobre como especificar um repositório de origem, em uma linhade base de patch personalizada, para patches diferentes do padrão configurado em uma instância. Estaseção também fornece detalhes sobre como as regras de linha de base de patch funcionam em diferentesdistribuições do sistema operacional Linux.

Tópicos• Como patches de segurança são selecionados (p. 253)• Como especificar um repositório de origem de patches alternativo (Linux) (p. 256)• Como os patches são instalados (p. 257)• Como funcionam as regras de linha de base de patch sistemas baseados no Linux (p. 260)

Como patches de segurança são selecionadosO foco principal do Patch Manager é instalar em instâncias as atualizações relacionadas à segurança desistemas operacionais. Por padrão, o Patch Manager não instala todos os patches disponíveis, mas simum conjunto menor de patches relacionados à segurança.

Note

Em todos os sistemas baseados em Linux com os quais o Patch Manager é compatível, vocêpode escolher um outro repositório de origem configurado para a instância, normalmente parainstalar atualizações não relacionadas à segurança. Para obter mais informações, consulte Comoespecificar um repositório de origem de patches alternativo (Linux) (p. 256).

O restante desta seção explica como o Patch Manager seleciona patches de segurança para os diferentessistemas operacionais compatíveis.

Windows

Em sistemas operacionais Microsoft Windows, o Patch Manager usa o arquivo cab wsusscn2.cab daMicrosoft como origem das atualizações de segurança disponíveis dos sistemas operacionais. Essearquivo contém informações sobre as atualizações de segurança que o Microsoft publica. O Patch

253


Manager monitora continuamente novas versões de wsusscn2.cab de forma independente em cadaregião. A lista de atualizações do Windows disponíveis em cada região é atualizada pelo menos umavez por dia. O arquivo contém apenas atualizações que a Microsoft identifica como relacionada àsegurança. Quando as informações no arquivo são processadas, o Patch Manager remove tambématualizações que foram substituídas por atualizações posteriores. Portanto, apenas a atualizaçãomais recente é exibida e disponibilizada para instalação. Por exemplo, se KB4012214 substituirKB3135456, apenas KB4012214 será disponibilizado como atualização no Patch Manager.

Para ler mais sobre o arquivo wsusscn2.cab, consulte o artigo da Microsoft Using WUA to Scan forUpdates Offline.

Faça download da versão atual do wsusscn2.cab:

• wsusscn2.cab


No Amazon Linux e no Amazon Linux 2, o serviço de linha de base de patch do Systems Managerusa repositórios pré-configurados na instância. Há dois repositórios pré-configurados (repos) em umainstância:

• ID do repo: amzn-main/latest

Nome do repo: amzn-main-Base• ID do repo: amzn-updates/latest

Nome do repo: amzn-updates-Base

Note

Todas as atualizações são obtidas por download dos repos remotos configurados nainstância. Portanto, a instância deve conseguir se conectar aos repos para a correção serrealizada.

As instâncias do Amazon Linux e do Amazon Linux 2 usam o Yum como gerenciador de pacotes, e oYum usa o conceito de uma notificação de atualização. Uma notificação de atualização é um conjuntode pacotes que corrige um problema específico. Todos os pacotes que estão em uma notificaçãode atualização são considerados de segurança pelo Patch Manager. Como pacotes individuais nãorecebem classificações ou níveis de severidade, o Patch Manager atribui aos pacotes os atributosda notificação de atualização a qual eles pertencem. Para processar pacotes que não estão em umanotificação de atualização, use o sinalizador EnableNonSecurity nas regras.

RHEL

No Red Hat Enterprise Linux, o serviço de linha de base de patch do Systems Manager usarepositórios pré-configurados (repos) na instância. Há três repositórios pré-configurados (repos) emuma instância:

• ID do repo: rhui-REGION-client-config-server-7/x86_64

Nome do repo: Red Hat Update Infrastructure 2.0 Client Configuration Server 7• ID do repo: rhui-REGION-rhel-server-releases/7Server/x86_64

Nome do repo: Red Hat Enterprise Linux Server 7 (RPMs)• ID do repo: rhui-REGION-rhel-server-rh-common/7Server/x86_64

Nome do repo: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

254

https://msdn.microsoft.com/en-us/library/windows/desktop/aa387290(v=vs.85).aspx

https://msdn.microsoft.com/en-us/library/windows/desktop/aa387290(v=vs.85).aspx

http://go.microsoft.com/fwlink/p/?LinkID=74689


Note


As instâncias do Red Hat Enterprise Linux usam o Yum como gerenciador de pacotes, e o Yumusa o conceito de uma notificação de atualização. Uma notificação de atualização é um conjuntode pacotes que corrige um problema específico. Todos os pacotes que estão em uma notificaçãode atualização são considerados de segurança pelo Patch Manager. Como pacotes individuais nãorecebem classificações ou níveis de severidade, o Patch Manager atribui aos pacotes os atributosda notificação de atualização a qual eles pertencem. Para processar pacotes que não estão em umanotificação de atualização, use o sinalizador EnableNonSecurity nas regras.

Ubuntu

No Ubuntu Server, o serviço de linha de base de patch do Systems Manager usa repositórios pré-configurados (repos) na instância. Esses repos pré-configurados são usados para obter uma lista dasatualizações de pacote disponíveis. Para isso, o Systems Manager executa um comando equivalentea sudo apt-get update.

Os pacotes são, então, filtrados dos repositórios codename-security, em que o codinome é algoparecido com trusty ou xenial. Por exemplo, no Ubuntu Server 14, o Patch Manager identificaapenas as atualizações que fazem parte de trusty-security. No Ubuntu Server 16, apenas asatualizações que fazem parte do xenial-security são identificadas.

SLES

Nas instâncias do SUSE Linux Enterprise Server (SLES), a biblioteca do ZYPP obtém a lista depatches disponíveis (um conjunto de pacotes) dos seguintes locais:

• Lista de repositórios: etc/zypp/repos.d/*• Informações do pacote: /var/cache/zypp/raw/*

As instâncias do SLES usam o Zypper como gerenciador de pacotes, e o Zypper usa o conceito deum patch. Um patch é um conjunto de pacotes que corrige um problema específico. O Patch Managerlida com todos os pacotes referenciados em um patch como relacionados à segurança. Como pacotesindividuais não recebem classificações ou níveis de severidade, o Patch Manager atribui aos pacotesos atributos do patch ao qual eles pertencem.

CentOS

No CentOS, o serviço de linha de base de patch do Systems Manager usa repositórios (repos) pré-configurados na instância. Estes são alguns exemplos de uma () do CentOS 6.9:

• ID do repositório: ultra-centos-6.9-base

Nome do repositório: UltraServe CentOS-6.9 - Base• ID do repositório: ultra-centos-6.9-extras

Nome do repositório: UltraServe CentOS-6.9 - Extras• ID do repositório: ultra-centos-6.9-updates

Nome do repositório: UltraServe CentOS-6.9 - Updates• ID do repositório: ultra-centos-6.x-glusterfs

Nome do repositório: UltraServe CentOS-6.x - GlusterFS• ID do repositório: ultra-centos-6.x-ultrarepo

Nome do repositório: UltraServe CentOS-6.x – UltraServe Repo Packages

255


Note


As instâncias do CentOS usam o Yum como o gerenciador de pacotes, e o Yum usa o conceitode uma notificação de atualização. Uma notificação de atualização é um conjunto de pacotes quecorrige um problema específico. Todos os pacotes que estão em uma notificação de atualização sãoconsiderados Pacotes de segurança pelo Patch Manager.

No entanto, os repositórios padrão do CentOS não são configurados com um aviso de atualização.Isso significa que o Patch Manager não detecta pacotes em um repositório padrão do CentOS.Para habilitar o Patch Manager para processar pacotes que não estão contidos em um aviso deatualização, você deve habilitar o sinalizador EnableNonSecurity nas regras de linha de base depatches.

Note

As notificações de atualização do CentOS são compatíveis. Os repositórios com notificaçõesde atualização podem ser obtidos por download após a inicialização.

Como especificar um repositório de origem de patches alternativo(Linux)Ao usar os repositórios padrão configurados em uma instância para operações de aplicação de patch, oPatch Manager verifica ou instala patches relacionados à segurança. Esse é o comportamento padrãodo Patch Manager. Para obter informações completas sobre como o Patch Manager seleciona e instalapatches de segurança, consulte Como patches de segurança são selecionados (p. 253).

Em sistemas Linux, no entanto, você também pode usar o Patch Manager para instalar patches que nãosão relacionados à segurança ou que estão em um repositório de origem diferente do padrão configuradona instância. Você pode especificar os repositórios de origem de patches alternativos ao criar uma linhade base de patch personalizada. Em cada linha de base de patch personalizada, você pode especificar asconfigurações de origem de patches para até 20 versões de um sistema operacional Linux compatível.

Por exemplo, se sua frota do Ubuntu Server inclui instâncias do Ubuntu Server 14.04 e Ubuntu Server16.04, você pode especificar um repositório alternativo para cada versão na mesma linha de base de patchpersonalizada. Para cada versão, insira um nome, especifique o tipo de versão do sistema operacional(produto) e forneça uma configuração do repositório. Você também pode especificar um único repositóriode origem alternativo que se aplica a todas as versões de um sistema operacional compatível.

Para obter uma lista de exemplos de situações para usar essa opção, consulte Exemplos de uso pararepositórios de origem de patches alternativos (p. 257) mais adiante neste tópico.

Para obter informações sobre linhas de base de patch padrão e personalizadas, consulte Verificar linhasde base de patch padrão ou criar um linha de base de patch personalizada (p. 271).

Note

A execução de uma linha de base de patch personalizada que especifica repositórios de patchesalternativos em uma instância não altera o repositório padrão configurado para a instância.

Utilização do console

Para especificar repositórios de origem de patches alternativos quando você está trabalhando no consoledo AWS Systems Manager, use a seção Patch sources (Origens de patches) na página Create patchbaseline (Criar linha de base de patch). Para obter informações sobre como usar as opções de Patchsources (Origens de patches), consulte Como criar uma linha de base de patch padrão (p. 278), umaparte do tópico Demonstração: corrigir um ambiente de servidor (console) (p. 278).

256


Uso de outras ferramentas para criar linhas de base de patch

Use a opção sources com outras ferramentas ao criar uma linha de base de patch.

• AWS CLI: create-patch-baseline• API do Systems Manager: API_CreatePatchBaseline• AWS Tools for Windows PowerShell do Systems Manager: New-SSMPatchBaseline

Para obter um exemplo do uso da opção --sources com a CLI, consulte Criar uma linha de base depatch com repositórios personalizados para diferentes versões do SO (p. 288).

Exemplos de uso para repositórios de origem de patches alternativosExemplo 1 – atualizações não relacionadas à segurança do Ubuntu Server

Você já está usando o Patch Manager para instalar patches de segurança em uma frota deinstâncias do Ubuntu Server usando a linha de base de patch padrão fornecida pela AWS, AWS-UbuntuDefaultPatchBaseline. Você pode criar uma nova linha de base de patch baseada nesse padrão,mas especifique nas regras de aprovação que você deseja que as atualizações não relacionadas àsegurança que fazem parte da distribuição padrão sejam instaladas também. Quando essa linha de basede patch é executada contra as instâncias, os patches para problemas relacionados ou não à segurançasão aplicados. Você também pode optar por aprovar patches não relacionados à segurança nas exceçõesde patches que você especifica para uma linha de base.

Exemplo 2 – Personal Package Archives (PPA) para o Ubuntu Server

As instâncias do Ubuntu Server estão executando o software que é distribuído por meio de um PersonalPackage Archives (PPA) para Ubuntu. Nesse caso, crie uma linha de base de patch que especifiqueum repositório PPA que você configurou na instância como repositório de origem para a operação deaplicação de patch. Em seguida, use o Executar comando para executar o documento de linha de base depatch nas instâncias.

Exemplo 3 – aplicativos corporativos internos no Amazon Linux

Você deve executar alguns aplicativos necessários para a conformidade regulamentar do setor nasinstâncias do Amazon Linux. Você pode configurar um repositório para esses aplicativos nas instâncias,usar o YUM inicialmente para instalar os aplicativos e, em seguida, atualizar ou criar uma nova linha debase de patch para incluir esse novo repositório corporativo. Depois disso, você pode usar o Executarcomando para executar o documento AWS-RunPatchBaseline com a opção Scan (Verificar) para conferirse o pacote corporativo está listado entre os pacotes instalados e está atualizado na instância. Se ele nãoestiver atualizado, você pode executar o documento novamente usando a opção Install (Instalar) paraatualizar os aplicativos.

Como os patches são instaladosO Patch Manager usa o mecanismo interno para um tipo de sistema operacional para instalar atualizaçõesem uma instância. Por exemplo, no Windows, é usada a API do Windows Update e, no Amazon Linux éusado o gerenciador de pacotes yum.

O lembrete desta seção explica como o Patch Manager instala patches em um sistema operacional.

Windows

Quando uma operação de patch é executada em uma instância do Windows, a instância solicita umsnapshot da linha de base de patch apropriada no Systems Manager. Esse snapshot contém a lista detodas as atualizações disponíveis na linha de base de patch que foram aprovadas para implantação.Essa lista de atualizações é enviada à API do Windows Update, que determina quais das atualizaçõessão aplicáveis à instância e os instala de acordo com a necessidade. Se todas as atualizações forem

257

https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-SSMPatchBaseline.html

https://launchpad.net/ubuntu/+ppas

https://launchpad.net/ubuntu/+ppas


instalados, a instância será reinicializada posteriormente quantas vezes for preciso para concluirtodas as correções necessárias. O resumo da operação de patch pode ser encontrado na saída dasolicitação do Executar comando. Os logs adicionais podem ser encontrados na instância, na pasta%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs.

Como a API do Windows Update é usada para fazer download e instalar patches, todas asconfigurações de política de grupo para Windows Update são respeitadas. Nenhuma configuraçãode política de grupo é necessária para usar o Patch Manager, mas todas as configurações definidasserão aplicadas, como para direcionar instâncias para um servidor WSUS.

Note

Por padrão, o Windows faz download de todos os patches do site do Microsoft WindowsUpdate porque o Patch Manager usa a API do Windows Update para conduzir o download ea instalação de patches. Por isso, a instância precisa conseguir acessar o site de atualizaçãodo Microsoft Windows Update; do contrário, a aplicação de patches será malsucedida.Uma alternativa é configurar um servidor WSUS para servir como repositório de patchese configurar suas instâncias para se direcionar a esse WSUS, em vez de usar políticas degrupo.


Em instâncias do Amazon Linux e do Amazon Linux 2, o fluxo de trabalho da instalação de patches éo seguinte:

1. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas ospacotes qualificados para processamento adicional.

2. Aplique o ApprovalRules conforme especificado na linha de base de patch. Cada regra deaprovação pode definir um pacote como aprovado.

3. Aplique o ApprovedPatches conforme especificado na linha de base de patch. Os patchesaprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou senenhuma regra de aprovação especificada no ApprovalRules conceder sua aprovação.

4. Aplique o RejectedPatches conforme especificado na linha de base de patch. Os patches rejeitadossão removidos da lista de patches aprovados e não são aplicados.

5. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.6. A API de atualização do YUM é aplicada a patches aprovados.7. A instância será reinicializada se todas as atualizações forem instaladas.

Note

O comando equivalente do yum para esse fluxo de trabalho é:

sudo yum update-minimal --security --bugfix

RHEL

Em instâncias do Red Hat Enterprise Linux, o fluxo de trabalho de instalação de patches é como oseguinte:




258

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-GlobalFilters

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches



https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches









Note

O comando equivalente do yum para esse fluxo de trabalho é:

sudo yum update-minimal --security --bugfix

Ubuntu

Em instâncias do Ubuntu Server, o fluxo de trabalho de instalação de patches é como o seguinte:


2. Aplique o ApprovalRules conforme especificado na linha de base de patch. Cada regra deaprovação pode definir um pacote como aprovado. Além disso, uma regra implícita é aplicada paraselecionar apenas os pacotes com atualizações nos repos de segurança. Para cada pacote, aversão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repode segurança.



5. A biblioteca de APT é usada para atualizar pacotes.6. A instância será reinicializada se todas as atualizações forem instaladas.

SLES

Em instâncias do SUSE Linux Enterprise Server (SLES), o fluxo de trabalho da instalação de patchesé da seguinte maneira:




4. Aplique o RejectedPatches conforme especificado na linha de base de patch. Os patches rejeitadossão removidos da lista de patches aprovados e não serão aplicados.

5. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.6. A API de atualização do Zypper é aplicada a patches aprovados.7. A instância será reinicializada se todas as atualizações forem instaladas.

CentOS

Em instâncias do CentOS, o fluxo de trabalho da instalação de patches é o seguinte:

259




















Como funcionam as regras de linha de base de patch sistemasbaseados no LinuxAs regras na linha de base de patch para distribuições do Linux funcionam de forma diferente dependendodo tipo de distribuição. Ao contrário das atualizações de patch em instâncias do Windows, as regrassão avaliadas em cada instância para levar em conta os repos na instância. O Patch Manager usa ogerenciador de pacotes nativo para conduzir a instalação dos patches aprovados pela linha de base depatch.

Tópicos• Como as regras de linha de base de patch funcionam no Amazon Linux e no Amazon Linux

2 (p. 260)• Como funcionam as regras de linha de base de patch no RHEL (p. 261)• Como funcionam as regras de linha do patch no Ubuntu Server (p. 263)• Como as regras de linha de base de patch funcionam no SUSE Linux Enterprise Server (p. 264)

Como as regras de linha de base de patch funcionam no Amazon Linux e noAmazon Linux 2

Em instâncias do Amazon Linux e do Amazon Linux 2, o processo de seleção de patches é o seguinte:

1. Na instância, a biblioteca do YUM acessa o arquivo updateinfo.xml para cada repo configurado.

Note

O arquivo updateinfo.xml talvez não esteja disponível se o repo não for gerenciado pelaAmazon. Se não for encontrado nenhum updateinfo.xml, nenhum patch será aplicado.

2. Toda notificação de atualização em updateinfo.xml inclui vários atributos que denotam aspropriedades dos pacotes na notificação, tal como descrito na tabela a seguir.

Atributos de notificação de atualização

Atributo Descrição

type Corresponde ao valor do atributo de chave declassificação no tipo de dados PatchFilter dalinha de base de patch. Denota o tipo de pacoteincluído na notificação de atualização.

Possíveis valores:

260







https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html


Atributo Descrição• Segurança• Correção de bugs• Melhoria• Recomendado• Novo pacote

severity Corresponde ao valor do atributo de chavede gravidade no tipo de dados PatchFilter dalinha de base de patch. Denota a gravidade dospacotes incluídos na notificação de atualização.Normalmente, só é aplicável a notificações deatualização de segurança.

Possíveis valores:• Critical• Importante• Médio• Baixo

update_id Denota o ID do Advisory, como ALAS-2017-867.O ID do Advisory pode ser usado no atributoApprovedPatches ou RejectedPatches na linha debase de patch.

references Contém informações adicionais sobre onotificação de atualização, como um ID do CVE(formato: CVE-2017-1234567). O ID do CVEpode ser usado no atributo ApprovedPatches ouRejectedPatches na linha de base de patch.

updated Corresponde a ApproveAfterDays na linha debase de patch. Denota a data de lançamento(data de atualização) dos pacotes incluídos nanotificação de atualização. A comparação entreo time stamp atual e o valor desse atributo maisApproveAfterDays é usado para determinar se opatch é aprovado para implantação.

Note

Para obter informações sobre os formatos aceitos para listas de patches aprovados e depatches rejeitados, consulte Formatos de nomes de pacotes para listas de patches aprovadose rejeitados (p. 275).

3. O produto da instância é determinado pelo Agente do SSM. Esse atributo corresponde ao valor doatributo de chave de produto no tipo de dados PatchFilter.

4. Para cada notificação de atualização updateinfo.xml, a linha de base de patch é usada como filtro,permitindo que apenas os pacotes qualificados sejam incluídos na atualização. Se vários pacotes foremaplicáveis depois de aplicar a definição da linha de base de patch, será usada a versão mais recente.

Como funcionam as regras de linha de base de patch no RHEL

No Red Hat Enterprise Linux, o processo de seleção de patches é como o seguinte:

261






https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchRule.html#EC2-Type-PatchRule-ApproveAfterDays



1. Na instância, a biblioteca do YUM acessa o arquivo updateinfo.xml para cada repo configurado.

Note

O arquivo updateinfo.xml talvez não esteja disponível se o repo não for gerenciado pelaRed Hat. Se não for encontrado nenhum updateinfo.xml, nenhum patch será aplicado.

2. Toda notificação de atualização em updateinfo.xml inclui vários atributos que denotam aspropriedades dos pacotes na notificação, tal como descrito na tabela a seguir.

Atributos de notificação de atualização

Atributo Descrição

type Corresponde ao valor do atributo de chave declassificação no tipo de dados PatchFilter dalinha de base de patch. Denota o tipo de pacoteincluído na notificação de atualização.

Possíveis valores:• Segurança• Correção de bugs• Melhoria• Recomendado• Novo pacote

severity Corresponde ao valor do atributo de chavede gravidade no tipo de dados PatchFilter dalinha de base de patch. Denota a gravidade dospacotes incluídos na notificação de atualização.Normalmente, só é aplicável a notificações deatualização de segurança.

Possíveis valores:• Critical• Importante• Moderada• Baixo• Nenhum (Se nenhuma gravidade for

especificado na notificação de atualização ouse for uma string vazia.)

update_id Denota o ID do Advisory, como RHSA-2017:0864.O ID do Advisory pode ser usado no atributoApprovedPatches ou RejectedPatches na linha debase de patch.

references Contém informações adicionais sobre notificaçãode atualização, como um ID do CVE (formato:CVE-2017-1000371) ou ID do Bugzilla (formato:1463241). O ID do CVE e o ID do Bugzilla podemser usados no atributo ApprovedPatches ouRejectedPatches na linha de base de patch.

updated Corresponde a ApproveAfterDays na linha debase de patch. Denota a data de lançamento(data de atualização) dos pacotes incluídos na

262







https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchRule.html#EC2-Type-PatchRule-ApproveAfterDays


Atributo Descriçãonotificação de atualização. A comparação entreo time stamp atual e o valor desse atributo maisApproveAfterDays é usado para determinar se opatch é aprovado para implantação.

Note


3. O produto da instância é determinado pelo Agente do SSM. Esse atributo corresponde ao valor doatributo de chave de produto no tipo de dados PatchFilter.

4. Para cada notificação de atualização updateinfo.xml, a linha de base de patch é usada como filtro,permitindo que apenas os pacotes qualificados sejam incluídos na atualização. Se vários pacotes foremaplicáveis depois de aplicar a definição da linha de base de patch, será usada a versão mais recente.

Como funcionam as regras de linha do patch no Ubuntu Server

No Ubuntu Server, o serviço de linha de base de patch oferece filtragem nos campos Priority (Prioridade) eSection (Seção). Esses campos geralmente estão presentes em todos os pacotes do Ubuntu Server. Paradeterminar se um patch é selecionado pela linha de base de patch, o Patch Manager faz o seguinte:

1. Em sistemas Ubuntu, o equivalente a sudo apt-get update é executado para atualizar a lista depacotes disponíveis. Os repos não são configurados e os dados são extraídas dos repos configuradosem uma lista sources.

2. Em seguida, as listas GlobalFilters, ApprovalRules, ApprovedPatches e RejectedPatches são aplicadas.Somente pacotes com versões candidatas que aparecem no repo de distribuição de segurança(arquivo) são selecionados. No Ubuntu Server 14, esse repo é trusty-security. Para o UbuntuServer 16, é xenial-security.

Note


Para visualizar o conteúdo dos campos Priority e Section , execute o comando aptitude a seguir:

Note

Pode ser necessário primeiro instalar o Aptitude em sistemas Ubuntu Server 16.

aptitude search -F '%p %P %s %t %V#' '~U'

Em resposta a esse comando, todos os pacotes atualizáveis são relatados no seguinte formato:

name, priority, section, archive, candidate version

No Ubuntu Server, as regras de classificação de pacotes em diferentes estados de conformidade sãoestas:

263







• Installed: pacotes que são filtrados por meio da linha de base de patch, com a versão candidataaparecendo no trusty-security (Ubuntu Server 14) ou no xenial-security (Ubuntu Server 16),e não são atualizáveis.

• Missing: pacotes que são filtrados por meio da linha de base, com a versão candidata aparecendono trusty-security (Ubuntu Server 14) ou no xenial-security (Ubuntu Server 16), e sãoatualizáveis.

• Installed Other: pacotes que não são filtrados por meio da linha de base, com a versão candidataaparecendo no trusty-security (Ubuntu Server 14) ou no xenial-security (Ubuntu Server 16),e não são atualizáveis. O nível de conformidade desses pacotes é definido como UNSPECIFIED.

• NotApplicable: pacotes que estão incluídos no ApprovedPatches, mas não são instalados no sistema.• Failed: pacotes cuja instalação na operação de patch foi malsucedida.

Note

Para obter informações gerais sobre os valores de status de conformidade de patches que seaplicam a todos os sistemas operacionais, consulte Sobre a conformidade de patches (p. 126).

Como as regras de linha de base de patch funcionam no SUSE Linux EnterpriseServer

No SLES, cada patch inclui os atributos a seguir, que identificam as propriedades dos pacotes no patch:

• Categoria: corresponde ao valor do atributo de chave de classificação no tipo de dados PatchFilterda linha de base de patch. Denota o tipo de patch incluso na notificação de atualização. As opçõesdisponíveis incluem:• Segurança

• Recomendado

• Optional

• Recursos

• Document

• Yast

• Severidade: corresponde ao valor do atributo de chave de severidade no tipo de dados PatchFilter dalinha de base de patch. Indica o nível de severidade dos patches. As opções disponíveis incluem:• Nenhum

• Baixo

• Moderada

• Importante

• Critical

O produto da instância é determinado pelo Agente do SSM. Esse atributo corresponde ao valor do atributode chave de produto no tipo de dados PatchFilter da linha de base de patch.

Para cada patch, a linha de base de patch é usada como filtro, permitindo que somente os pacotesqualificados sejam incluídos na atualização. Se vários pacotes forem aplicáveis depois de aplicar adefinição da linha de base de patch, será usada a versão mais recente.

Note

Para obter informações sobre os formatos aceitos para listas de patches aprovados e depatches rejeitados, consulte Formatos de nomes de pacotes para listas de patches aprovados erejeitados (p. 275).

264





AWS Systems Manager Guia do usuárioVisão geral dos documentos do SSMpara aplicar patches em instâncias

Visão geral dos documentos do SSM para aplicarpatches em instânciasEste tópico descreve os sete documentos do SSM atualmente disponíveis para ajudá-lo a manter suasinstâncias gerenciadas protegidas com as mais recentes atualizações relacionadas à segurança.

No momento, recomendamos usar apenas três desses documentos em suas operações de aplicaçãode patches. Juntos, esses três documentos do SSM fornecem a você uma gama completa de opções deaplicação de patches usando o AWS Systems Manager. Dois desses documentos foram lançados após osquatro documentos do SSM herdados para substituí-los e representam expansões ou consolidações defuncionalidade.

Os três documentos recomendados do SSM incluem:

• AWS-ConfigureWindowsUpdate• AWS-InstallWindowsUpdates• AWS-RunPatchBaseline

Os quatro documentos do SSM herdados que ainda estão disponíveis para uso, mas podem sersubstituídos no futuro, incluem:

• AWS-ApplyPatchBaseline• AWS-FindWindowsUpdates• AWS-InstallMissingWindowsUpdates• AWS-InstallSpecificWindowsUpdates

Consulte as seções a seguir para obter mais informações sobre como usar esses documentos do SSM emsuas operações de aplicação de patches.

Tópicos• Documentos recomendados do SSM para aplicar patches em instâncias (p. 265)• Documentos do SSM herdados para aplicar patches em instâncias (p. 267)

Documentos recomendados do SSM para aplicar patches eminstânciasOs três documentos do SSM a seguir são recomendados para uso nas operações de aplicação de patchesde suas instâncias gerenciadas.

Documentos do SSM recomendados• AWS-ConfigureWindowsUpdate (p. 265)• AWS-InstallWindowsUpdates (p. 266)• AWS-RunPatchBaseline (p. 266)

AWS-ConfigureWindowsUpdateOferece suporte à configuração e uso de funções básicas do Windows Update para instalar atualizaçõesautomaticamente (ou desativar atualizações automáticas). Disponível em todas as regiões da AWS.

Esse documento do SSM configura o Windows Update para fazer download e instalar as atualizaçõesespecificadas e reiniciar instâncias conforme necessário. Use esse documento com o State Manager para

265


garantir que o Windows Update mantenha sua configuração. Você também pode executá-lo manualmenteusando o Executar comando para alterar a configuração do Windows Update.

Os parâmetros disponíveis neste documento oferecem suporte à especificação de uma categoria deatualizações a serem instaladas (ou se as atualizações automáticas devem ser desativadas), bem comoespecificar o dia da semana e a hora do dia para executar operações de aplicação de patches. Essedocumento do SSM é mais útil se você não precisa de controles rigorosos sobre as atualizações doWindows e não precisa coletar informações de conformidade.

Substitui estes documentos do SSM herdados:

• Nenhum

AWS-InstallWindowsUpdatesInstala atualizações em uma instância do Windows. Disponível em todas as regiões da AWS.

Esse documento do SSM fornece a funcionalidade básica de aplicação de patches nos casos em que vocêdeseja instalar uma atualização específica (usando o parâmetro Include Kbs) ou deseja instalar patchescom classificações ou categorias específicas, mas não precisa de informações de conformidade do patch.

Substitui estes documentos do SSM herdados:

• AWS-FindWindowsUpdates• AWS-InstallMissingWindowsUpdates• AWS-InstallSpecificWindowsUpdates

Os três documentos herdados executam funções diferentes, mas você pode alcançar os mesmosresultados usando diferentes configurações de parâmetro com o documento do SSM mais recente AWS-InstallWindowsUpdates. Essas configurações de parâmetro são descritas em Documentos do SSMherdados para aplicar patches em instâncias (p. 267).

AWS-RunPatchBaselineInstala patches nas suas instâncias ou verifica as instâncias para determinar se qualquer patch qualificadoestá ausente. Disponível em todas as regiões da AWS.

O AWS-RunPatchBaseline permite controlar aprovações de patches usando linhas de base de patch.Ele relata informações de conformidade de patch que você pode exibir usando as ferramentas deconformidade do Systems Manager. Essas ferramentas fornecem informações sobre o estado deconformidade de patch de suas instâncias, como quais instâncias têm patches ausentes e quais são essespatches. Para sistemas operacionais Linux, as informações de conformidade são fornecidas para patchesdo repositório de origem padrão configurado em uma instância e de qualquer repositório de origemalternativo especificado em uma linha de base de patch personalizada. Para obter mais informaçõessobre repositórios de origem alternativos, consulte Como especificar um repositório de origem de patchesalternativo (Linux) (p. 256). Para obter mais informações sobre as ferramentas de conformidade doSystems Manager, consulte Conformidade de configuração do AWS Systems Manager (p. 122).

Substitui estes documentos herdados:

• AWS-ApplyPatchBaseline

O documento herdado AWS-ApplyPatchBaseline se aplica apenas a instâncias do Windows. O AWS-RunPatchBaseline mais recente fornece o mesmo suporte para sistemas Windows e Linux. A versão2.0.834.0 ou posterior do Agente do SSM é necessária para usar o documento AWS-RunPatchBaseline.

Para obter mais informações sobre o documento do SSM AWS-RunPatchBaseline, consulte Sobre odocumento AWS-RunPatchBaseline do SSM (p. 268).

266


Documentos do SSM herdados para aplicar patches eminstânciasOs quatro documentos do SSM a seguir ainda estão disponíveis para uso nas operações de aplicação depatches. Porém, eles podem ser substituídos no futuro, portanto, não recomendamos o seu uso. Em vezdisso, use os documentos descritos em Documentos recomendados do SSM para aplicar patches eminstâncias (p. 265).

Documentos do SSM herdados• AWS-ApplyPatchBaseline (p. 267)• AWS-FindWindowsUpdates (p. 267)• AWS-InstallMissingWindowsUpdates (p. 267)• AWS-InstallSpecificWindowsUpdates (p. 267)

AWS-ApplyPatchBaseline

Oferece suporte apenas a instâncias do Windows, mas com o mesmo conjunto de parâmetros de seusubstituto, AWS-RunPatchBaseline. Não disponível em regiões da AWS lançadas após agosto de 2017.

Note

O substituto deste documento do SSM, AWS-RunPatchBaseline, requer a versão 2.0.834.0 ouposterior do Agente do SSM. Você pode usar o documento AWS-UpdateSSMAgent para atualizarsuas instâncias para a versão mais recente do agente.

AWS-FindWindowsUpdates

Substituído por AWS-InstallWindowsUpdates, que pode realizar as mesmas ações. Não disponível emregiões da AWS lançadas após abril de 2017.

Para obter o mesmo resultado que teria com esse documento do SSM herdado, use a seguinteconfiguração de parâmetro com o documento substituto recomendado, AWS-InstallWindowsUpdates:

• Action = Scan• Allow Reboot = False

AWS-InstallMissingWindowsUpdates

Substituído por AWS-InstallWindowsUpdates, que pode realizar as mesmas ações. Não disponível emqualquer região da AWS lançada após abril de 2017.


• Action = Instalar• Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

Substituído por AWS-InstallWindowsUpdates, que pode realizar as mesmas ações. Não disponível emqualquer região da AWS lançada após abril de 2017.


267

AWS Systems Manager Guia do usuárioSobre o documento AWS-RunPatchBaseline do SSM

• Action = Instalar• Allow Reboot = True• Include Kbs = lista de artigos da base de dados de conhecimento separados porvírgula

Sobre o documento AWS-RunPatchBaseline do SSMO AWS Systems Manager comporta um documento do SSM para o Patch Manager, o AWS-RunPatchBaseline, que executa as operações de patch de segurança nas instâncias. Como essedocumento é compatível com instâncias do Linux e Windows, ele pode ser executado de forma confiávelem ambos os tipos de instância quando gerenciado pelo Systems Manager. O documento executará asações adequadas a cada plataforma.

Note

O Patch Manager também comporta o documento AWS-ApplyPatchBaseline legado do SSM. Noentanto, esse documento comporta a aplicação de patches somente em instâncias do Windows.Recomendamos que você use AWS-RunPatchBaseline em vez disso por ser compatível com aaplicação de patches em instâncias do Linux e do Windows. A versão 2.0.834.0 ou posterior doAgente do SSM é necessária para usar o documento AWS-RunPatchBaseline.

Em sistemas Windows:

Em instâncias do Windows, o download do documento AWS-RunPatchBaseline faz download e invocaum módulo do PowerShell, que, por sua vez, faz download de um snapshot de linha de base de patchque se aplica à instância. Esse snapshot de linha de base de patch é passado para a API do WindowsUpdate, que controla o download e a instalação de patches aprovados, conforme apropriado.

Em sistemas Linux:

Em instâncias do Linux, o documento AWS-RunPatchBaseline invoca um módulo do Python, que,por sua vez, faz download de um snapshot de linha de base de patch que se aplica à instância. Essesnapshot de linha de base de patch usa regras e listas definidas de patches aprovados e bloqueadospara conduzir o gerenciador de pacotes apropriado para cada tipo de instância:• As instâncias do Amazon Linux, do Amazon Linux 2 e do RHEL usam o YUM. Em operações do

YUM, o Patch Manager requer o Python 2.6 ou posterior.• Em instâncias do Ubuntu Server, use APT. Nas operações do APT, o Patch Manager requer o

Python 3.• As instâncias do SUSE Linux Enterprise Server usam o Zypper. Em operações do Zypper, o Patch

Manager exige o Python 2.6 ou posterior.

Depois que todas as atualizações aprovadas e aplicáveis forem instaladas, e as reinicializações realizadasconforme a necessidade, as informações de conformidade do patch serão geradas em uma instância erelatadas ao Patch Manager. Para obter informações sobre como visualizar dados de conformidade depatches, consulte Sobre a conformidade de patches (p. 126).

Parâmetros do AWS-RunPatchBaselineO AWS-RunPatchBaseline comporta dois parâmetros. O parâmetro Operation é obrigatório. Snapshot-ID é tecnicamente opcional, mas recomendamos que você forneça um valor personalizado para elequando executar o AWS-RunPatchBaseline fora de uma Janela de manutenção e permita que o PatchManager forneça o valor automaticamente quando o documento for executado como parte de umaoperação da Janela de manutenção.

Parâmetros

268

AWS Systems Manager Guia do usuárioSobre o documento AWS-RunPatchBaseline do SSM

• Nome do parâmetro: Operation (p. 269)• Nome do parâmetro: Snapshot ID (p. 269)

Nome do parâmetro: Operation

Uso: obrigatório.

Opções: Scan | Install.

Scan

Quando você escolhe a opção Scan, o AWS-RunPatchBaseline determina o estado de conformidadedo patch da instância e relata essas informações ao Patch Manager. Scan não solicita atualizaçõespara ser instalado ou instâncias para ser reinicializado. Em vez disso, a operação identifica ondeexistem atualizações ausentes que estão aprovadas e são aplicáveis à instância.

Instalar

Quando você escolhe a opção Install, o AWS-RunPatchBaseline tenta instalar as atualizaçõesaprovadas que estão ausentes na instância. As informações de conformidade dos patches geradascomo parte da operação Install não lista as atualizações ausentes, mas podem relatar atualizaçõesem estado malsucedido se por qualquer motivo a instalação da atualização não tiver tido êxito.Sempre que uma atualização é instalada em uma instância, a instância é reinicializada para garantirque a atualização está instalada e ativa.

Nome do parâmetro: Snapshot ID

Uso: opcional.

Snapshot ID é um ID exclusivo (GUID) usado pelo Patch Manager para garantir que todas as instânciasde um conjunto que são corrigidas em uma única operação têm o mesmo conjunto de patches aprovados.Embora o parâmetro seja definido como opcional, nossa recomendação baseada em nossas melhorespráticas depende de estar executando ou não o AWS-RunPatchBaseline em uma Janela de manutenção,tal como descrito na tabela a seguir.

Melhores práticas quanto ao AWS-RunPatchBaseline

Mode Melhor prática Detalhes

Execução do AWS-RunPatchBaseline em umaJanela de manutenção

Não forneça um ID de snapshot.O Patch Manager o fornecerá porvocê.

Se usar uma Janela demanutenção para executar oAWS-RunPatchBaseline, vocênão deverá fornecer a ID desnapshot por você gerada. Nessecenário, o Systems Managerfornece um valor de GUID combase no ID de execução daJanela de manutenção. Issogarante que seja usado um IDcorreto para todas as invocaçõesdo AWS-RunPatchBaselinenessa Janela de manutenção.

Se especificar um valor nessecenário, observe que o snapshotda linha de base de patch nãopoderá se manter em vigor por

269

AWS Systems Manager Guia do usuárioTrabalhar com o Patch Manager

Mode Melhor prática Detalhesmais de 24 horas. Depois disso,um novo snapshot será gerado,mesmo que você especificar omesmo ID depois que o snapshotexpirar.

Execução do AWS-RunPatchBaseline fora de umaJanela de manutenção

Gere e especifique um valor deGUID personalizado para o ID desnapshot.¹

Quando você não estiverusando uma Janela demanutenção para executar oa AWS-RunPatchBaseline, érecomendável gerar e especificarum ID de snapshot exclusivopara cada linha de base depatch, principalmente se estiverexecutando o documento AWS-RunPatchBaseline em váriasinstâncias na mesma operação.Se não especificar um ID nessecenário, o Systems Managergerará um ID de snapshotdiferente para cada instânciapara a qual o comando forenviado. Em consequência disso,vários conjuntos de patchespodem ser especificados entre asinstâncias.

Por exemplo, digamos que estejaexecutando o documento AWS-RunPatchBaseline diretamentepor meio do Executar comandoe visando um grupo de 50instâncias. Ao especificar umID de snapshot personalizado,é gerado um único snapshotde linha de base, que é usadopara avaliar e corrigir todas asinstâncias, garantindo que elasadquiram um estado consistente.

Você pode usar qualquer ferramenta capaz de gerar um GUID para gerar um valor para o parâmetro IDde snapshot. Por exemplo, no PowerShell, você pode usar o cmdlet New-Guid para gerar um GUID noformato 12345699-9405-4f69-bc5e-9315aEXAMPLE.

Trabalhar com o Patch ManagerPara usar o Patch Manager, conclua as seguintes tarefas. Essas tarefas estão descritas com maisdetalhes nesta seção.

1. Verifique se as linhas de base de patch padrão atendem às suas necessidades ou criam linhas de basede patch que definem um conjunto padrão de patches para suas instâncias.

2. Organize instâncias em grupos de patches usando tags do Amazon EC2 (opcional, mas recomendado).3. Programe a correção usando uma Janela de manutenção que defina quais instâncias devem ser

corrigidas e quando devem ser corrigidas.

270


4. Monitore a aplicação de patches para verificar a conformidade e investigar falhas.

Tópicos• Verificar linhas de base de patch padrão ou criar um linha de base de patch personalizada (p. 271)• Organização das instâncias em grupos de patches (p. 276)• Programação de atualização de patch usando uma Janela de manutenção (p. 277)


• Para ver um exemplo sobre como criar uma linha de base de patch, grupos de patches e uma Janela demanutenção, consulte Demonstrações do Patch Manager do Systems Manager (p. 277).

• Para obter mais informações sobre as Janela de manutençãos, consulte Janela de manutençãos doAWS Systems Manager (p. 300).

• Para obter informações sobre como monitorar a conformidade de patches, consulte Sobre aconformidade de patches (p. 126).

Verificar linhas de base de patch padrão ou criar um linha debase de patch personalizadaUma linha de base de patch define quais patches são aprovados para instalação nas suas instâncias.Você pode especificar individualmente os patches aprovados ou rejeitados. Pode também criar regras deaprovação automática para especificar que determinados tipos de atualização (por exemplo, atualizaçõesessenciais) devem ser aprovados automaticamente. A lista se rejeitados substitui as regras e a lista deaprovados.

Para usar uma lista de patches aprovados para instalar pacotes específicos, primeiro remova todas asregras de aprovação automática. Se você identificar explicitamente um patch como rejeitado, ele nãoserá aprovado ou instalado, mesmo que ele corresponda a todos os critérios em uma regra de aprovaçãoautomática. Além disso, um patch é instalado em uma instância somente se ele se aplicar ao software nainstância, mesmo que tenha sido aprovado para a instância.

Tópicos• Linhas de base predefinidas versus personalizadas (p. 271)• Diferenças importantes entre aplicação de patch do Windows e do Linux (p. 274)• Formatos de nomes de pacotes para listas de patches aprovados e rejeitados (p. 275)

Linhas de base predefinidas versus personalizadas

O Patch Manager fornece linhas de base de patch predefinidas para cada um dos sistemas operacionaiscompatíveis com o Patch Manager. Você pode usar essas linhas de base no estado em que estãoconfiguradas atualmente (não é possível personalizá-las) ou pode criar suas próprias linhas de base depatch caso queira maior controle sobre quais patches são aprovados ou rejeitados para o seu ambiente.

Tópicos• Linhas de base predefinidas (p. 271)• Linhas de base personalizadas (p. 273)

Linhas de base predefinidas

A tabela a seguir descreve as linhas de base de patch predefinidas fornecidas com o Patch Manager.

271


Nome Produtos com suporte Detalhes

AWS-DefaultPatchBaseline Windows (Windows Server 2008– 2016)

Aprova todos os patchesdo sistema operacionalcom a classificação de"CriticalUpdates" (Atualizaçõescríticas) ou"SecurityUpdates" (Atualizaçõesde segurança) e um nívelde severidade do MSRC"Critical" (Crítico) ou"Important" (Importante) sete diasapós o lançamento.

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux (2012.03 –2018.03) e Amazon Linux 2 2-2.0

Aprova todos os patchesdo sistema operacionalcom a classificação de"Security" (Segurança) e níveisde severidade "Critical" (Crítico)ou "Important" (Importante)sete dias após o lançamento.Também aprova todos ospatches com uma classificaçãode "Bugfix" (Correção de erros)sete dias após o lançamento.

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server (14.04/16.04) Aprova imediatamente todosos patches relacionadosà segurança do sistemaoperacional com prioridade"Required" (Obrigatório) ou"Important" (Importante). Nãohá espera antes da aprovaçãoporque as datas de lançamentoconfiáveis não estão disponíveisnos repositórios.

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux doRedhat Enterprise Linux (6.5, 6.6,6.7, 6.8, 6.9, 7.0, 7.1, 7.2, 7.3)

Aprova todos os patchesdo sistema operacionalcom a classificação de"Security" (Segurança) e níveisde severidade "Critical" (Crítico)ou "Important" (Importante)sete dias após o lançamento.Também aprova todos ospatches com uma classificaçãode "Bugfix" (Correção de erros)sete dias após o lançamento.

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server 12 Aprova todos os patchesdo sistema operacionalcom uma classificação de"Security" (Segurança) eseveridade "Critical" (Crítico) ou"Important" (Importante) sete diasapós o lançamento.

272


Nome Produtos com suporte Detalhes

AWS-CentOSDefaultPatchBaseline

CentOS 6.5 e posterior Aprova todas as atualizaçõessete dias após elas setornarem disponíveis (incluindoatualizações que não são desegurança).

Linhas de base personalizadas

Se você criar sua própria linha de base para patch, poderá escolher quais patches serão automaticamenteaprovados, usando as seguintes categorias.

• Sistema operacional: Windows, Amazon Linux, Ubuntu Server etc.• Nome do produto: por exemplo, RHEL 6.5, Amazon Linux 2014.09, Windows Server 2012, Windows

Server 2012 R2 etc.• Classificação: por exemplo, atualizações críticas, atualizações de segurança, etc.• Severidade: por exemplo, crítica, importante, etc.

Para cada regra de aprovação automática criada, você pode especificar um atraso de aprovaçãoautomática. Esse atraso é o número de dias para aguardar após o lançamento do patch, antes que opatch seja aprovado automaticamente para a aplicação. Por exemplo, se você criar uma regra usando aclassificação Atualizações críticas e configurá-la para atraso de aprovação automática de sete dias, umnovo patch crítico lançado em 7 de janeiro será automaticamente aprovado em 14 de janeiro.

Note

Se um repositório do Linux não fornecer informações de data de lançamento para pacotes, oSystems Manager tratará o atraso de aprovação automática como tendo um valor de zero.

Você também pode especificar um nível de severidade de conformidade. Se um patch aprovado forrelatado como ausente, Compliance Level será a severidade da violação de conformidade.

Ao usar várias linhas de base de patches com diferentes atrasos de aprovação automática, vocêpode implantar patches em diferentes velocidades para diferentes instâncias. Por exemplo, você podecriar linhas de base de patches e atrasos de aprovação automática separados para ambientes dedesenvolvimento e produção. Isso permite que testar os patches no seu ambiente de desenvolvimentoantes que eles sejam implantados no seu ambiente de produção.

Lembre-se do seguinte ao criar uma linha de base de patch:

• O Patch Manager fornece uma linha de base de patch padrão para cada sistema operacional comsuporte. Em vez disso, você pode criar sua própria linha de base de patch e designá-la como a linha debase de patch padrão para o sistema operacional correspondente.

• Para instâncias locais ou que não pertençam ao Amazon EC2, o Patch Manager tenta usar sua linha debase de patch padrão personalizada. Se não existir uma linha de base de patch padrão personalizada, osistema usará a linha de base de patch predefinida para o sistema operacional correspondente.

• Se um patch estiver listado como aprovado e rejeitado na mesma linha de base de patch, o patch serárejeitado.

• Uma instância pode ter apenas uma linha de base de patch definida para ela.• Os formatos de nomes de pacotes que você pode adicionar a listas de patches aprovados e rejeitados

para uma linha de base de patch dependem do tipo de sistema operacional no qual você está aplicandopatches.

273



Para ver um exemplo de como criar uma linha de base de patch usando o console do Systems Manager oua AWS CLI, consulte Demonstrações do Patch Manager do Systems Manager (p. 277).

Diferenças importantes entre aplicação de patch do Windows e do Linux

A tabela a seguir descreve diferenças importantes entre patches do Windows e do Linux.

Note

Para aplicar patch a instâncias do Linux, essas instâncias devem executar o SSM Agent versão2.0.834.0 ou posterior. Para obter informações sobre como atualizar o agente, consulte a seçãointitulada Exemplo: atualizar o SSM Agent, em Executar comandos do console (p. 226).O documento do SSM AWS-ApplyPatchBaseline não oferece suporte a instâncias do Linux.Para aplicar linhas de base de patch a instâncias do Windows e do Linux, o documento do SSMrecomendado é AWS-RunPatchBaseline. Para obter mais informações, consulte Visão geral dosdocumentos do SSM para aplicar patches em instâncias (p. 265) e Sobre o documento AWS-RunPatchBaseline do SSM (p. 268).

Diferença Detalhes

Avaliação do patch O Patch Manager usa um processo diferentepara avaliar quais patches devem estar presentesem instâncias gerenciadas do Windows versusinstâncias gerenciadas do Linux. Para aplicaçãode patch do Windows, o Systems Manager avaliaregras de referência de patch e a lista de patchesaprovados e rejeitados diretamente no serviço.Isso pode ser feito porque os patches do Windowssão extraídos de um único repositório (WindowsUpdate).

Para patches do Linux, o Systems Manager avaliaas regras da linha de base do patch e a lista depatches aprovados e rejeitados em cada instânciagerenciada. O Systems Manager deve avaliar opatch em cada instância porque o serviço recuperaa lista de patches conhecidos e atualizações dosrepositórios configurados na instância.

Patches não aplicáveis Devido à grande quantidade de pacotesdisponíveis para sistemas operacionais Linux,o Systems Manager não relata detalhes sobrepatches no estado Not Applicable. Um patch nãoaplicável é, por exemplo, um patch para o softwareApache quando a instância não tem o Apacheinstalado. O Systems Manager relata o númerode patches não aplicáveis no resumo, mas, sevocê chamar a API DescribeInstancePatchespara uma instância, os dados retornados nãoincluirão patches com um estado não aplicável.Esse comportamento é diferente do Windows.

274

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html


Formatos de nomes de pacotes para listas de patches aprovados e rejeitados

Os formatos de nomes de pacotes que você pode adicionar a listas de patches aprovados e rejeitadosdependem do tipo de sistema operacional no qual você está aplicando patches.

Formatos de nomes de pacotes para sistemas operacionais Windows

Para sistemas operacionais Windows, especifique os patches usando IDs da Base de Dados deConhecimento Microsoft e IDs do boletim de segurança da Microsoft; por exemplo:

KB2032276,KB2124261,MS10-048

Formatos de nomes de pacotes para sistemas operacionais Linux

Os formatos que você pode especificar para patches aprovados e rejeitados em sua linha de base depatches variam de acordo com o tipo do Linux. Mais especificamente, os formatos compatíveis dependemdo gerenciador de pacotes usado pelo tipo de sistema operacional Linux.

Tópicos• Amazon Linux, Amazon Linux 2, Red Hat Enterprise Linux (RHEL) e CentOS (p. 275)• Ubuntu Server (p. 276)• SUSE Linux Enterprise Server (SLES) (p. 276)

Amazon Linux, Amazon Linux 2, Red Hat Enterprise Linux (RHEL) e CentOS

Gerenciador de pacotes: YUM

Patches aprovados: para patches aprovados, você pode especificar qualquer um dos seguintes:

• IDs Bugzilla, no formato 1234567 (o sistema processa somente números de sequências como IDsBugzilla).

• IDs CVE, no formato CVE-2018-1234567• IDs de consultoria em formatos como RHSA-2017:0864 e ALAS-2018-123• Nomes de pacotes completos em formatos como:

• example-pkg-0.710.10-2.7.abcd.x86_64

• pkg-example-EE-20180914-2.2.amzn1.noarch

• Nomes de pacotes com um único caractere curinga em formatos como:• example-pkg-*.abcd.x86_64

• example-pkg-*-20180914-2.2.amzn1.noarch

• example-pkg-EE-2018*.amzn1.noarch

Patches rejeitados: para patches rejeitados, você pode especificar qualquer um dos seguintes:

• Nomes de pacotes completos em formatos como:• example-pkg-0.710.10-2.7.abcd.x86_64

• pkg-example-EE-20180914-2.2.amzn1.noarch

• Nomes de pacotes com um único caractere curinga em formatos como:• example-pkg-*.abcd.x86_64

• example-pkg-*-20180914-2.2.amzn1.noarch

• example-pkg-EE-2018*.amzn1.noarch

275


Ubuntu Server

Gerenciador de pacotes: APT

Patches aprovados e patches rejeitados: para patches aprovados e rejeitados, especifique o seguinte:

• Nomes de pacotes no formato ExamplePkg33Note

Para listas do Ubuntu Server, não inclua elementos como arquitetura ou versões. Por exemplo,você especifica o nome do pacote ExamplePkg33 para incluir todos os seguintes em uma listade patches:• ExamplePkg33.x86.1

• ExamplePkg33.x86.2

• ExamplePkg33.x64.1

• ExamplePkg33.3.2.5-364.noarch

SUSE Linux Enterprise Server (SLES)

Gerenciador de pacotes: Zypper

Patches aprovados e patches rejeitados: para listas de patches aprovados e rejeitados, você podeespecificar o seguinte:

• Nomes de pacotes completos em formatos como:• SUSE-SLE-Example-Package-12-2018-123

• example-pkg-2018.11.4-46.17.1.x86_64.rpm

• Nomes de pacotes com um único caractere curinga, como:• SUSE-SLE-Example-Package-12-2018-*

• example-pkg-2018.11.4-46.17.1.*.rpm

Organização das instâncias em grupos de patchesUm grupo de patches é um meio opcional de organizar instâncias para aplicação de patches. Por exemplo,você pode criar grupos de patches para diferentes sistemas operacionais (Linux ou Windows), diferentesambientes (Desenvolvimento, Teste e Produção) ou diferentes funções de servidor (servidores Web,servidores de arquivos, bancos de dados). Grupos de patches podem ajudá-lo a evitar a implantaçãode patches ao conjunto incorreto de instâncias. Eles também podem ajudá-lo a evitar a implantação depatches antes que eles tenham sido adequadamente testados.

Você cria um grupo de patches usando tags do Amazon EC2. Ao contrário de outros cenários de marcaçãono Systems Manager, um grupo de patches deve ser definido com a chave de tag: Patch Group. Observeque a chave faz distinção entre maiúsculas e minúsculas. Você pode especificar qualquer valor, como"servidores Web", mas a chave deve ser Patch Group.

Note

Uma instância só pode estar em um grupo de patches.

Depois de criar um grupo de patch e marcar instâncias, você pode registrar o grupo de patches com umalinha de base de patches. Ao registrar o grupo de patches em uma linha de base de patch, você garanteque os patches corretos sejam instalados durante a execução de patches.

Quando o sistema executa a tarefa para aplicar uma linha de base de patch a uma instância, o serviçoverifica se um grupo de patches está definido para a instância. Se a instância for atribuída a um grupo

276

AWS Systems Manager Guia do usuárioDemonstrações do Patch Manager

de patches, o sistema verificará se a linha de base do patch está registrada nesse grupo. Se uma linhade base de patch for encontrada para esse grupo, o sistema a aplicará. Se uma instância não estiverconfigurada para um grupo de patches, o sistema usará automaticamente a linha de base de patch padrãoatualmente configurada.

Por exemplo, digamos que uma instância seja marcada com key=Patch Group e value=Front-EndServers. Quando o Patch Manager executa a tarefa AWS-RunPatchBaseline nessa instância, o serviçoverifica se a linha de base de patch está registrada em servidores front-end. Se uma linha de base depatch for encontrada, o sistema usa essa linha de base. Se nenhuma linha de base de patch for registradapara servidores front-end, o sistema usará a linha de base de patch padrão.

Para ver um exemplo sobre como criar uma linha de base de patch e grupos de patches usando a AWSCLI, consulte Demonstração: aplicar patches a um ambiente de servidor (AWS CLI) (p. 282). Para obtermais informações sobre tags do Amazon EC2, consulte Como marcar seus recursos do Amazon EC2 noGuia do usuário do Amazon EC2.

Programação de atualização de patch usando uma Janela demanutençãoDepois que configurar uma linha de base de patch (e opcionalmente um grupo de patches), você poderáaplicar patches à sua instância usando a Janela de manutenção. Uma Janela de manutenção podereduzir o impacto sobre a disponibilidade do servidor, permitindo que você especifique um tempo paraexecutar um processo de aplicação de patch que não interrompa as operações comerciais. Uma Janela demanutenção funciona da seguinte maneira:

1. Crie uma Janela de manutenção com uma programação para suas operações de aplicação de patch.2. Escolha os destinos da Janela de manutenção especificando a tag Patch Group para o nome de tag

e qualquer valor para o qual você tenha definido tags do Amazon EC2; por exemplo, "servidores deprodução".

3. Crie uma nova tarefa da Janela de manutenção e especifique o documento AWS-RunPatchBaseline.

Ao configurar a tarefa, você pode optar por verificar instâncias ou verificar e instalar patches nasinstâncias. Se optar por verificar instâncias, o Patch Manager verificará cada uma e gerará uma lista depatches ausentes para você rever.

Se você optar por verificar e instalar patches, o Patch Manager verificará cada instância e comparará alista de patches instalados com a lista de patches aprovados na linha de base. O Patch Manager identificapatches ausentes e, em seguida, faz download e instala todos os patches ausentes e aprovados.

Se deseja executar uma verificação ou instalação única para corrigir um problema, você pode usar oExecutar comando para chamar o documento AWS-RunPatchBaseline diretamente.

Important

Depois de instalar os patches, o Systems Manager reinicia cada instância. A reinicialização énecessária para garantir que os patches sejam instalados corretamente e garantir que o sistemanão tenha deixado a instância em um estado potencialmente ruim.

Demonstrações do Patch Manager do SystemsManagerAs demonstrações a seguir mostram como usar o console do Systems Manager ou a AWS CLI para criarlinhas de base de patches, grupos de patches e Janela de manutençãos para aplicação de patches.

Tópicos

277



• Demonstração: corrigir um ambiente de servidor (console) (p. 278)• Demonstração: aplicar patches a um ambiente de servidor (AWS CLI) (p. 282)

Demonstração: corrigir um ambiente de servidor (console)A demonstração a seguir descreve como aplicar patches a um ambiente de servidor no console doSystems Manager usando uma linha de base de patch padrão, grupos de patches e uma Janela demanutenção. Para saber mais sobre os processos descritos nessa demonstração, consulte Trabalhar como Patch Manager (p. 270).

Antes de começar

Instale ou atualize o SSM Agent nas suas instâncias. Para aplicar patch a instâncias do Linux, essasinstâncias devem executar o SSM Agent versão 2.0.834.0 ou posterior. Para obter informações sobrecomo atualizar o agente, consulte a seção intitulada Exemplo: atualizar o SSM Agent, em Executarcomandos do console (p. 226).

Além disso, a demonstração a seguir executa uma aplicação de patches durante uma Janela demanutenção. Você deve configurar funções e permissões para as Janela de manutençãos antes decomeçar. Para obter mais informações, consulte Controle de acesso às Janela de manutençãos (p. 301).

Tópicos• Como criar uma linha de base de patch padrão (p. 278)• Adicionar instâncias a um grupo de patches (p. 280)• Como criar uma Janela de manutenção para aplicação de patches (p. 280)

Como criar uma linha de base de patch padrão

O Patch Manager inclui uma linha de base de patch padrão para cada sistema operacional compatível como Patch Manager. Você pode usar essas linhas de base de patches padrão (não pode personalizá-las)ou pode criar suas próprias. O procedimento a seguir descreve como visualizar linhas de base de patchpadrão para ver se elas atendem às suas necessidades. O procedimento também descreve como criar suaprópria linha de base de patch padrão. Para saber mais sobre linhas de base de patch, consulte Verificarlinhas de base de patch padrão ou criar um linha de base de patch personalizada (p. 271).

Para criar uma linha de base padrão

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Patch Manager.

-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Patch Manager.

3. Na lista de linhas de base de patch, escolha o nome da linha de base de patch para o sistemaoperacional em que você deseja aplicar patches.

4. Escolha a guia Approval rules.

Se as regras de aprovação automática forem aceitáveis para suas instâncias, você poderá pular parao próximo procedimento, Adicionar instâncias a um grupo de patches (p. 280).

-ou-

Para criar sua própria linha de base de patch padrão, no painel de navegação, escolha Patch Managere, em seguida, Create patch baseline.

278



5. No campo Name, digite um nome para a nova linha de base de patch; por exemplo, RHEL-Default.6. (Opcional) Digite uma descrição para essa linha de base de patch.7. Na lista Operating system escolha um sistema operacional; por exemplo, Red Hat Enterprise

Linux.8. Na seção Approval rules, use os campos para criar uma ou mais regras de aprovação automática.

• Product (Produto): a versão dos sistemas operacionais a que a regra de aprovação se aplica, comoRedhatEnterpriseLinux7.4. A seleção padrão é All (Todos).

• Classification (Classificação): o tipo de patches a que a regra de aprovação se aplica, comoSecurity (Segurança). A seleção padrão é All (Todos).

• Severity (Severidade): o valor da severidade dos patches a que a regra se aplica, como Critical(Crítico). A seleção padrão é All (Todos).

• Auto approval delay (Atraso de aprovação automática): o número de dias para aguardar apóso lançamento do patch, antes que o patch seja aprovado automaticamente. Você pode inserirqualquer número inteiro de zero (0) a 100.

• (Opcional) Compliance level (Nível de conformidade): o nível de severidade que você deseja atribuira patches aprovados pela linha de base, como High (Alto).

Note

Se um patch aprovado for relatado como ausente, a opção que se deve escolher emCompliance level, como Critical ou Medium, determinará a gravidade da violação deconformidade.

• (Somente Linux) Include non-security updates (Incluir atualizações não relacionadas à segurança):marque a caixa de seleção para instalar patches não relacionados à segurança disponíveis norepositório de origem, além de patches relacionados a segurança.

Note

No SUSE Linux Enterprise Server, não é necessário marcar a caixa de seleção, pois ospatches relacionados ou não à segurança são instalados por padrão em instâncias doSLES. Para obter mais informações, consulte o conteúdo sobre o SLES em Como patchesde segurança são selecionados (p. 253).

Para obter mais informações sobre como trabalhar com regras de aprovação em uma linha de base depatch personalizada, consulte Linhas de base personalizadas (p. 273).

9. Na seção Patch exceptions, insira as listas de patches separadas por vírgula que você desejaexplicitamente aprovar e rejeitar para a linha de base. Para patches aprovados, escolha um nível deseveridade de conformidade correspondente.

Note


Se algum dos patches aprovados que você especificar não for relacionado à segurança, marquea caixa Approved patches include non-security updates (Patches aprovados incluem atualizaçõesnão relacionadas à segurança) para que esse patch também seja instalado. Aplica-se somente àsinstâncias do Linux.

10. (Opcional) Somente em instâncias do Linux: Se você deseja especificar repositórios de patchesalternativos para versões diferentes de um sistema operacional, como AmazonLinux2016.03 eAmazonLinux2017.09, faça o seguinte para cada produto na seção Patch sources (Origens depatches):

• Em Name (Nome), digite um nome para ajudá-lo a identificar a configuração de origem.

279


• Em Product (Produto), selecione a versão dos sistemas operacionais para o qual o repositório deorigem de patches é destinado, como RedhatEnterpriseLinux7.4.

• Em Configuration (Configuração), insira o valor da configuração do repositório do yum a ser usado.Por exemplo:

cachedir=/var/cache/yum/$basesearch$releaseverkeepcache=0debuglevel=2

Selecione Add another source (Adicionar outra origem) para especificar um repositório de origempara cada versão do sistema operacional adicional, até um máximo de 20.

Para obter mais informações sobre repositórios de origem de patches alternativos, consulte Comoespecificar um repositório de origem de patches alternativo (Linux) (p. 256).

11. Escolha Create patch baseline.12. Na lista de linhas de base de patch, escolha a linha de base que você deseja definir como padrão.13. Escolha Actions e, em seguida, Set default patch baseline.14. Verifique os detalhes na caixa de diálogo de confirmação Set default patch baseline e escolha Set

default.

Adicionar instâncias a um grupo de patchesPara ajudá-lo a organizar seus esforços de aplicação de patch, recomendamos que você adicioneinstâncias a grupos de patches usando tags do Amazon EC2. Os grupos de patches requerem o uso dachave de tag Patch Group. Você pode especificar qualquer valor, mas a chave da tag deve ser PatchGroup. Para obter mais informações sobre grupos de patches, consulte Organização das instâncias emgrupos de patches (p. 276).

Para adicionar instâncias a um grupo de patches

1. Abra o console do Amazon EC2 e depois escolha Instances no painel de navegação.2. Na lista de instâncias, escolha uma instância que você deseja configurar para aplicação de patch.3. No menu Actions, escolha Instance Settings, Add/Edit Tags.4. Se a instância já tiver uma ou mais tags aplicadas, escolha Create Tag.5. No campo Key, digite Patch Group.6. No campo Value, digite um valor que o ajude a entender quais instâncias receberão patches.7. Escolha Salvar.8. Repita esse procedimento para adicionar outras instâncias ao mesmo grupo de patches.

Como criar uma Janela de manutenção para aplicação de patchesPara minimizar o impacto na disponibilidade de seu servidor, recomendamos que você configure umaJanela de manutenção para executar a aplicação de patches em horários que não interrompam suasoperações comerciais. Para obter mais informações sobre as Janela de manutençãos, consulte Janela demanutençãos do AWS Systems Manager (p. 300).

Para criar uma Janela de manutenção para aplicar patches

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Janela de manutençãos.

-ou-

280




Se a página inicial do AWS Systems Manager abrir primeiro, selecione o ícone do menu ( ) para abriro painel de navegação e depois selecione Janela de manutençãos.

3. Escolha Create maintenance window.4. No campo Name, digite um nome que a designe como uma Janela de manutenção para aplicação de

patches em atualizações essenciais e importantes.5. Na seção superior Schedule, escolha as opções de programação desejadas.6. No campo Duration, digite o número de horas durante as quais deseja que a Janela de manutenção

permaneça ativa.7. No campo Stop initiating tasks, digite o número de horas antes do término da duração da Janela de

manutenção em que deseja que o sistema pare de iniciar novas tarefas.8. Escolha Create maintenance window.9. Na lista de Janela de manutençãos, escolha a Janela de manutenção que você acabou de criar e, em

seguida, Actions (Ações), Register targets (Registrar destinos).10. (Opcional) Na seção Maintenance window target details, forneça um nome, uma descrição e

informações sobre o proprietário (seu nome ou alias) para esse destino.11. Na seção Targets, escolha Specifying tags.12. Em Tag, insira uma chave de tag e um valor de tag para identificar as instâncias a serem registradas

na Janela de manutenção.13. Escolha Register target. O sistema cria um destino para a Janela de manutenção.14. Na página de detalhes da Janela de manutenção que você criou, escolha Actions, Register run

command task.15. (Opcional) Na seção Maintenance window task details, forneça um nome e uma descrição para essa

tarefa.16. Na lista Command document , escolha AWS-RunPatchBaseline.17. Na lista Task priority, escolha uma prioridade. Um (1) é a maior prioridade.18. Na seção Targets, em Target by, escolha o destino da Janela de manutenção que você criou

anteriormente neste procedimento.19. (Opcional) Em Rate control:


Note



20. Na seção Role, insira o ARN de uma função do IAM à qual o AmazonSSMMaintenanceWindowRoleesteja anexado. Para obter mais informações, consulte Controle de acesso às Janela demanutençãos (p. 301).


Note

As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket doS3 são as do perfil de instância atribuído à instância, e não as do usuário do IAM que realiza

281


essa tarefa. Para obter mais informações, consulte Como configurar o acesso ao SystemsManager (p. 13).



23. Na seção Parameters:

• Na lista Operation, escolha Scan para verificar se há patches ausentes ou escolha Install paraverificar e instalar patches ausentes.

Note

A operação Install faz com que a instância seja reiniciada (se os patches estivereminstalados). As operações Scan não causam uma reinicialização.

• Não é necessário especificar nada no campo Snapshot Id. Esse sistema gera e fornece esseparâmetro automaticamente.

• (Opcional) Na caixa Comment, insira uma nota de acompanhamento ou lembrete sobre essecomando.

• Na caixa Timeout (segundos), insira o número de segundos que o sistema deve aguardar aconclusão da operação para que ela seja considerada malsucedida.

24. Escolha Register run command task.

Assim que a tarefa da Janela de manutenção for concluída, você poderá visualizar detalhes deconformidade do patch no console do Amazon EC2, na página Managed Instances. Na barra de filtro, useos filtros AWS:PatchSummary e AWS:ComplianceItem.

Note

Você pode salvar sua consulta marcando o URL depois de especificar os filtros.

Você também pode detalhar uma instância específica escolhendo-a na página Managed Instancese depois escolhendo a guia Patch. Você também pode usar as APIs DescribePatchGroupStatee DescribeInstancePatchStatesForPatchGroup para visualizar detalhes de conformidade. Paraobter informações sobre dados de conformidade dos patches, consulte Sobre a conformidade depatches (p. 126).

Demonstração: aplicar patches a um ambiente de servidor (AWSCLI)O procedimento a seguir mostra como um usuário pode aplicar patches a um ambiente de servidor usandouma linha de base de patch personalizada, grupos de patches e uma Janela de manutenção.

Para obter um exemplo dos outros comandos da AWS CLI que você pode usar nas tarefas deconfiguração do Patch Manager, consulte Comandos da AWS CLI para o Patch Manager (p. 287).

Antes de começar

Instale ou atualize o SSM Agent nas suas instâncias. Para aplicar patch a instâncias do Linux, essasinstâncias devem executar o SSM Agent versão 2.0.834.0 ou posterior. Para obter informações sobrecomo atualizar o agente, consulte a seção intitulada Exemplo: atualizar o SSM Agent, em Executarcomandos do console (p. 226).

Além disso, a demonstração a seguir executa uma aplicação de patches durante uma Janela demanutenção. Você deve configurar funções e permissões para as Janela de manutençãos antes decomeçar. Para obter mais informações, consulte Controle de acesso às Janela de manutençãos (p. 301).

282

https://docs.aws.amazon.com/ssm/latest/APIReference/API_DescribePatchGroupState.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html


Para configurar o Patch Manager e instâncias de patches usando a AWS CLI



aws configure



3. (Windows) Execute o seguinte comando para criar um ponto de referência de patch chamado"Production-Baseline" que aprova patches para um ambiente de produção sete dias após olançamento.

aws ssm create-patch-baseline --name "Production-Baseline" --operating-system "WINDOWS" --product "WindowsServer2012R2" --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Critical,Important]},{Key=CLASSIFICATION,Values=[SecurityUpdates,Updates,UpdateRollups,CriticalUpdates]}]},ApproveAfterDays=7}]" --description "Baseline containing all updates approved for production systems"

(Linux) Execute o comando a seguir para criar uma linha de base de patch chamada "Production-Baseline" que aprova patches para um ambiente de produção sete dias após o lançamento, incluindopatches relacionados ou não à segurança inclusos no repositório de origem.

aws ssm create-patch-baseline --name "Production-Baseline" --operating-system "AMAZON_LINUX" --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values=[AmazonLinux2016.03,AmazonLinux2016.09,AmazonLinux2017.03,AmazonLinux2017.09]},{Key=SEVERITY,Values=[Critical,Important]},{Key=CLASSIFICATION,Values=[Security]}]},ApproveAfterDays=7,EnableNonSecurity=true}]" --description "Baseline containing all updates approved for production systems"


{ "BaselineId":"pb-0c10e65780EXAMPLE""}

4. Execute os seguintes comandos para registrar a linha de base de patch "Production-Baseline" paratrês grupos de patch chamados "Production," "Database Servers" e "Front-End Patch Group".

aws ssm register-patch-baseline-for-patch-group --baseline-id pb-0c10e65780EXAMPLE" --patch-group "Production"


{ "PatchGroup":"Production", "BaselineId":"pb-0c10e65780EXAMPLE""}

283



aws ssm register-patch-baseline-for-patch-group --baseline-id pb-0c10e65780EXAMPLE" --patch-group "Database Servers"


{ "PatchGroup":"Database Servers", "BaselineId":"pb-0c10e65780EXAMPLE""}

5. Execute os comandos a seguir para criar duas Janela de manutençãos para os servidores deprodução. A primeira janela é executada todas as terças-feiras às 22 horas. A segunda janela éexecutada todos os sábados às 22 horas.

aws ssm create-maintenance-window --name "Production-Tuesdays" --schedule "cron(0 0 22 ? * TUE *)" --duration 1 --cutoff 0 --no-allow-unassociated-targets


{ "WindowId":"mw-0c66948c711a3b5bd"}

aws ssm create-maintenance-window --name "Production-Saturdays" --schedule "cron(0 0 22 ? * SAT *)" --duration 2 --cutoff 0 --no-allow-unassociated-targets


{ "WindowId":"mw-09e2a75baadd84e85"}

6. Execute os comandos a seguir para registrar os servidores de produção nas duas Janela demanutençãos de produção.

aws ssm register-target-with-maintenance-window --window-id mw-0c66948c711a3b5bd --targets "Key=tag:Patch Group,Values=Production" --owner-information "Production servers" --resource-type "INSTANCE"


{ "WindowTargetId":"557e7b3a-bc2f-48dd-ae05-e282b5b20760"}

aws ssm register-target-with-maintenance-window --window-id mw-0c66948c711a3b5bd --targets "Key=tag:Patch Group,Values=Database Servers" --owner-information "Database servers" --resource-type "INSTANCE"


{ "WindowTargetId":"767b6508-f4ac-445e-b6fe-758cc912e55c"

284


}

aws ssm register-target-with-maintenance-window --window-id mw-09e2a75baadd84e85 --targets "Key=tag:Patch Group,Values=Production" --owner-information "Production servers" --resource-type "INSTANCE"


{ "WindowTargetId":"faa01c41-1d57-496c-ba77-ff9cadba4b7d"}

aws ssm register-target-with-maintenance-window --window-id mw-09e2a75baadd84e85 --targets "Key=tag:Patch Group,Values=Database Servers" --owner-information "Database servers" --resource-type "INSTANCE"


{ "WindowTargetId":"673b5840-58a4-42ab-8b80-95749677cb2e"}

7. Execute os comandos a seguir para registrar uma tarefa de patch que apenas verifica os servidores deprodução em busca de atualizações ausentes na primeira Janela de manutenção de produção.

aws ssm register-task-with-maintenance-window --window-id mw-0c66948c711a3b5bd --targets "Key=WindowTargetIds,Values=557e7b3a-bc2f-48dd-ae05-e282b5b20760" --task-arn "AWS-ApplyPatchBaseline" --service-role-arn "arn:aws:iam::12345678:role/MW-Role" --task-type "RUN_COMMAND" --max-concurrency 2 --max-errors 1 --priority 1 --task-parameters '{\"Operation\":{\"Values\":[\"Scan\"]}}'


{ "WindowTaskId":"968e3b17-8591-4fb2-932a-b62389d6f635"}

aws ssm register-task-with-maintenance-window --window-id mw-0c66948c711a3b5bd --targets "Key=WindowTargetIds,Values=767b6508-f4ac-445e-b6fe-758cc912e55c" --task-arn "AWS-ApplyPatchBaseline" --service-role-arn "arn:aws:iam::12345678:role/MW-Role" --task-type "RUN_COMMAND" --max-concurrency 2 --max-errors 1 --priority 5 --task-parameters '{\"Operation\":{\"Values\":[\"Scan\"]}}'


{ "WindowTaskId":"09f2e873-a3a7-443f-ba0a-05cf4de5a1c7"}

8. Execute os comandos a seguir para registrar uma tarefa de patch que instala atualizações ausentesnos servidores de produção na segunda Janela de manutenção.

aws ssm register-task-with-maintenance-window --window-id mw-09e2a75baadd84e85 --targets "Key=WindowTargetIds,Values=557e7b3a-bc2f-48dd-ae05-e282b5b20760" --task-arn "AWS-ApplyPatchBaseline" --service-role-arn "arn:aws:iam::12345678:role/MW-Role"

285


--task-type "RUN_COMMAND" --max-concurrency 2 --max-errors 1 --priority 1 --task-parameters '{\"Operation\":{\"Values\":[\"Install\"]}}'


{ "WindowTaskId":"968e3b17-8591-4fb2-932a-b62389d6f635"}

aws ssm register-task-with-maintenance-window --window-id mw-09e2a75baadd84e85 --targets "Key=WindowTargetIds,Values=767b6508-f4ac-445e-b6fe-758cc912e55c" --task-arn "AWS-ApplyPatchBaseline" --service-role-arn "arn:aws:iam::12345678:role/MW-Role" --task-type "RUN_COMMAND" --max-concurrency 2 --max-errors 1 --priority 5 --task-parameters '{\"Operation\":{\"Values\":[\"Install\"]}}'


{ "WindowTaskId":"09f2e873-a3a7-443f-ba0a-05cf4de5a1c7"}

9. Execute o seguinte comando para obter o resumo de conformidade de patch de alto nível para umgrupo de patches. O resumo de conformidade de patch de alto nível fornece o número de instânciascom patches nos seguintes estados para um grupo de patches: "NotApplicable", "Missing", "Failed","InstalledOther" e "Installed".

aws ssm describe-patch-group-state --patch-group "Production"


{ "InstancesWithNotApplicablePatches":0, "InstancesWithMissingPatches":0, "InstancesWithFailedPatches":1, "InstancesWithInstalledOtherPatches":4, "Instances":4, "InstancesWithInstalledPatches":3}

10. Execute o seguinte comando para obter os estados de resumo de patches por instância para umgrupo de patches. O resumo por instância fornece uma série de patches nos seguintes estados porinstância para um grupo de patches: "NotApplicable", "Missing", "Failed", "InstalledOther" e "Installed".

aws ssm describe-instance-patch-states-for-patch-group --patch-group "Production"


{ "InstancePatchStates":[ { "OperationStartTime":1481259600.0, "FailedCount":0, "InstanceId":"i-08ee91c0b17045407", "OwnerInformation":"", "NotApplicableCount":2077, "OperationEndTime":1481259757.0, "PatchGroup":"Production",

286

AWS Systems Manager Guia do usuárioComandos da AWS CLI para o Patch Manager

"InstalledOtherCount":186, "MissingCount":7, "SnapshotId":"b0e65479-79be-4288-9f88-81c96bc3ed5e", "Operation":"Scan", "InstalledCount":72 }, { "OperationStartTime":1481259602.0, "FailedCount":0, "InstanceId":"i-0fff3aab684d01b23", "OwnerInformation":"", "NotApplicableCount":2692, "OperationEndTime":1481259613.0, "PatchGroup":"Production", "InstalledOtherCount":3, "MissingCount":1, "SnapshotId":"b0e65479-79be-4288-9f88-81c96bc3ed5e", "Operation":"Scan", "InstalledCount":1 }, { "OperationStartTime":1481259547.0, "FailedCount":0, "InstanceId":"i-0a00def7faa94f1dc", "OwnerInformation":"", "NotApplicableCount":1859, "OperationEndTime":1481259592.0, "PatchGroup":"Production", "InstalledOtherCount":116, "MissingCount":1, "SnapshotId":"b0e65479-79be-4288-9f88-81c96bc3ed5e", "Operation":"Scan", "InstalledCount":110 }, { "OperationStartTime":1481259549.0, "FailedCount":0, "InstanceId":"i-09a618aec652973a9", "OwnerInformation":"", "NotApplicableCount":1637, "OperationEndTime":1481259837.0, "PatchGroup":"Production", "InstalledOtherCount":388, "MissingCount":2, "SnapshotId":"b0e65479-79be-4288-9f88-81c96bc3ed5e", "Operation":"Scan", "InstalledCount":141 } ]}

Comandos da AWS CLI para o Patch ManagerEsta seção inclui exemplos de comandos da CLI que você pode usar para realizar tarefas de configuraçãodo Patch Manager.

Para obter uma ilustração do uso da AWS CLI para aplicar um patch a um ambiente de servidor usando alinha de base de patch personalizada, consulte Demonstração: aplicar patches a um ambiente de servidor(AWS CLI) (p. 282).

Para obter mais informações sobre como usar a CLI para tarefas do AWS Systems Manager, consulte oAWS Systems Manager section of the AWS CLI Command Reference.

287



Exemplos de comandos• Criar uma linha de base de patch (p. 288)• Criar uma linha de base de patch com repositórios personalizados para diferentes versões do

SO (p. 288)• Atualizar uma linha de base de patch (p. 290)• Renomear uma linha de base de patch (p. 291)• Excluir uma linha de base de patch (p. 292)• Listar todas as linhas de base de patch (p. 292)• Listar todas as linhas de base de patch fornecidas pela AWS (p. 293)• Listar minhas linhas de base de patches (p. 293)• Exibir uma linha de base de patch (p. 293)• Obter a linha de base padrão de patch (p. 294)• Definir a linha de base padrão de patch (p. 295)• Registrar um grupo de patches "Web Servers" em uma linha de base de patch (p. 295)• Registrar um grupo de patches "Backend" na linha de base de patch fornecida com a AWS (p. 295)• Exibir registros de grupos de patches (p. 295)• Cancelar o registro de um grupo de patches de uma linha de base de patch (p. 296)• Obter todos os patches definidos por uma linha de base de patch (p. 296)• Obter todos os patches do Windows Server 2012 que tenham uma severidade MSRC Crítica (p. 297)• Obter todos os patches disponíveis (p. 297)• Marcar uma linha de base de patch (p. 299)• Listar as tags para uma linha de base de patch (p. 299)• Remover uma tag de uma linha de base de patch (p. 299)• Obter estados de resumo de patch por instância (p. 299)• Obter detalhes de conformidade de patch para uma instância (p. 300)

Criar uma linha de base de patchO comando a seguir cria uma linha de base de patch que aprova todas as atualizações de segurançacríticas e importantes para o Windows Server 2012 R2 cinco dias após o lançamento.

aws ssm create-patch-baseline --name "Windows-Server-2012R2" --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Important,Critical]},{Key=CLASSIFICATION,Values=SecurityUpdates},{Key=PRODUCT,Values=WindowsServer2012R2}]},ApproveAfterDays=5}]" --description "Windows Server 2012 R2, Important and Critical security updates"



Criar uma linha de base de patch com repositóriospersonalizados para diferentes versões do SOAplica-se somente às instâncias do Linux. O comando a seguir mostra como especificar o repositório depatches a ser usado para uma determinada versão do sistema operacional Amazon Linux. Este exemplo

288


usa um repositório de origem ativado por padrão no Amazon Linux 2017.09, mas pode ser adaptado paraoutro repositório de origem que você configurou para uma instância.

Note

Para demonstrar melhor este comando mais complexo, estamos usando a opção --cli-input-json com opções adicionais armazenadas em um arquivo JSON externo.

1. Crie um arquivo JSON com um nome como my-patch-repository.json e adicione o seguinteconteúdo a ele:

{ "Description": "My patch repository for Amazon Linux 2017.09", "Name": "Amazon-Linux-2017.09", "OperatingSystem": "AMAZON_LINUX", "ApprovalRules": { "PatchRules": [ { "ApproveAfterDays": 7, "EnableNonSecurity": true, "PatchFilterGroup": { "PatchFilters": [ { "Key": "SEVERITY", "Values": [ "Important", "Critical" ] }, { "Key": "CLASSIFICATION", "Values": [ "Security", "Bugfix" ] }, { "Key": "PRODUCT", "Values": [ "AmazonLinux2017.09" ] } ] } } ] }, "Sources": [ { "Name": "My-AL2017.09", "Products": [ "AmazonLinux2017.09" ], "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes" } ]}

2. No diretório em que você salvou o arquivo, execute o seguinte comando:

289


aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.json


{ "BaselineId": "pb-12343b962ba63wxya"}

Atualizar uma linha de base de patchO comando a seguir adiciona dois patches como rejeitados e um patch como aprovado para uma linha debase de patch existente.

Note


aws ssm update-patch-baseline --baseline-id pb-0c10e65780EXAMPLE" --rejected-patches "KB2032276" "MS10-048" --approved-patches "KB2124261"


{ "BaselineId":"pb-0c10e65780EXAMPLE"", "Name":"Windows-Server-2012R2", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[

] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ],

290


"Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001494.035, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates"}

Renomear uma linha de base de patchaws ssm update-patch-baseline --baseline-id pb-0c10e65780EXAMPLE" --name "Windows-Server-2012-R2-Important-and-Critical-Security-Updates"


{ "BaselineId":"pb-0c10e65780EXAMPLE"", "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[

] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 }

291


] }, "ModifiedDate":1481001795.287, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates"}

Excluir uma linha de base de patch

aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE""



Listar todas as linhas de base de patch

aws ssm describe-patch-baselines


{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE"" } ]}

Veja a seguir outro comando que lista todas as linhas de base de patch em uma Região.

aws ssm describe-patch-baselines --region us-east-2 --filters "Key=OWNER,Values=[All]"


{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true,

292


"BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE"" } ]}

Listar todas as linhas de base de patch fornecidas pela AWS

aws ssm describe-patch-baselines --region us-east-2 --filters "Key=OWNER,Values=[AWS]"


{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"" } ]}

Listar minhas linhas de base de patches

aws ssm describe-patch-baselines --region us-east-2 --filters "Key=OWNER,Values=[Self]"


{ "BaselineIdentities":[ { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE"" } ]}

Exibir uma linha de base de patch

aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE"


293


{ "BaselineId":"pb-0c10e65780EXAMPLE"", "Name":"Windows-Server-2012R2", "PatchGroups":[ "Web Servers" ], "RejectedPatches":[

], "GlobalFilters":{ "PatchFilters":[

] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1480997823.81, "CreatedDate":1480997823.81, "ApprovedPatches":[

], "Description":"Windows Server 2012 R2, Important and Critical security updates"}

Obter a linha de base padrão de patch

aws ssm get-default-patch-baseline --region us-east-2


{ "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE""}

294


Definir a linha de base padrão de patchaws ssm register-default-patch-baseline --region us-east-2 --baseline-id "pb-0c10e65780EXAMPLE""


Registrar um grupo de patches "Web Servers" em uma linha debase de patchaws ssm register-patch-baseline-for-patch-group --baseline-id "pb-0c10e65780EXAMPLE"" --patch-group "Web Servers"


{ "PatchGroup":"Web Servers", "BaselineId":"pb-0c10e65780EXAMPLE""}

Registrar um grupo de patches "Backend" na linha de base depatch fornecida com a AWSaws ssm register-patch-baseline-for-patch-group --region us-east-2 --baseline-id "arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"" --patch-group "Backend"


{ "PatchGroup":"Backend", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE""}

Exibir registros de grupos de patchesaws ssm describe-patch-groups --region us-east-2


{ "PatchGroupPatchBaselineMappings":[ { "PatchGroup":"Backend", "BaselineIdentity":{ "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":false, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE""

295


} }, { "PatchGroup":"Web Servers", "BaselineIdentity":{ "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":true, "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates", "BaselineId":"pb-0c10e65780EXAMPLE"" } } ]}

Cancelar o registro de um grupo de patches de uma linha debase de patch

aws ssm deregister-patch-baseline-for-patch-group --region us-east-2 --patch-group "Production" --baseline-id "arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE""


{ "PatchGroup":"Production", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE""}

Obter todos os patches definidos por uma linha de base de patch

aws ssm describe-effective-patches-for-patch-baseline --region us-east-2 --baseline-id "pb-0c10e65780EXAMPLE""


{ "NextToken":"--token string truncated--", "EffectivePatches":[ { "PatchStatus":{ "ApprovalDate":1384711200.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)", "ReleaseDate":1384279200.0, "MsrcClassification":"Critical", "Language":"All",

296


"KbNumber":"KB2876331", "MsrcNumber":"MS13-089", "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d" } }, { "PatchStatus":{ "ApprovalDate":1428858000.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"Windows Server 2012 R2 Update is a cumulative set of security updates, critical updates and updates. You must install Windows Server 2012 R2 Update to ensure that your computer can continue to receive future Windows Updates, including security updates. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.", "Classification":"SecurityUpdates", "Title":"Windows Server 2012 R2 Update (KB2919355)", "ReleaseDate":1428426000.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2919355", "MsrcNumber":"MS14-018", "Id":"8452bac0-bf53-4fbd-915d-499de08c338b" } } ---output truncated---

Obter todos os patches do Windows Server 2012 que tenhamuma severidade MSRC Críticaaws ssm describe-available-patches --region us-east-2 --filters Key=PRODUCT,Values=WindowsServer2012 Key=MSRC_SEVERITY,Values=Critical


{ "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 (KB2727528)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2727528", "MsrcNumber":"MS12-072", "Id":"1eb507be-2040-4eeb-803d-abc55700b715" }, {

297


"ContentUrl":"https://support.microsoft.com/en-us/kb/2729462", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 3.5 on Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2729462", "MsrcNumber":"MS12-074", "Id":"af873760-c97c-4088-ab7e-5219e120eab4" } ---output truncated---

Obter todos os patches disponíveisaws ssm describe-available-patches --region us-east-2


{ "NextToken":"--token string truncated--", "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2032276", "ProductFamily":"Windows", "Product":"WindowsServer2008R2", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2008 R2 x64 Edition (KB2032276)", "ReleaseDate":1279040400.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2032276", "MsrcNumber":"MS10-043", "Id":"8692029b-a3a2-4a87-a73b-8ea881b4b4d6" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2124261", "ProductFamily":"Windows", "Product":"Windows7", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows 7 (KB2124261)", "ReleaseDate":1284483600.0, "MsrcClassification":"Important", "Language":"All", "KbNumber":"KB2124261",

298


"MsrcNumber":"MS10-065", "Id":"12ef1bed-0dd2-4633-b3ac-60888aa8ba33" } ---output truncated---

Marcar uma linha de base de patch

aws ssm add-tags-to-resource --resource-type "PatchBaseline" --resource-id "pb-0c10e65780EXAMPLE"" --tags "Key=Project,Value=Testing"

Listar as tags para uma linha de base de patch

aws ssm list-tags-for-resource --resource-type "PatchBaseline" --resource-id "pb-0c10e65780EXAMPLE""

Remover uma tag de uma linha de base de patch

aws ssm remove-tags-from-resource --resource-type "PatchBaseline" --resource-id "pb-0c10e65780EXAMPLE"" --tag-keys "Project"

Obter estados de resumo de patch por instânciaO resumo por instância fornece uma série de patches nos seguintes estados por instância:"NotApplicable", "Missing", "Failed", "InstalledOther" e "Installed".

aws ssm describe-instance-patch-states --instance-ids i-08ee91c0b17045407 i-09a618aec652973a9 i-0a00def7faa94f1c i-0fff3aab684d01b23


{ "InstancePatchStates":[ { "OperationStartTime":"2016-12-09T05:00:00Z", "FailedCount":0, "InstanceId":"i-08ee91c0b17045407", "OwnerInformation":"", "NotApplicableCount":2077, "OperationEndTime":"2016-12-09T05:02:37Z", "PatchGroup":"Production", "InstalledOtherCount":186, "MissingCount":7, "SnapshotId":"b0e65479-79be-4288-9f88-81c96bc3ed5e", "Operation":"Scan", "InstalledCount":72 }, { "OperationStartTime":"2016-12-09T04:59:09Z", "FailedCount":0, "InstanceId":"i-09a618aec652973a9", "OwnerInformation":"", "NotApplicableCount":1637, "OperationEndTime":"2016-12-09T05:03:57Z", "PatchGroup":"Production", "InstalledOtherCount":388, "MissingCount":2,

299

AWS Systems Manager Guia do usuárioJanela de manutençãos

"SnapshotId":"b0e65479-79be-4288-9f88-81c96bc3ed5e", "Operation":"Scan", "InstalledCount":141 } ---output truncated---

Obter detalhes de conformidade de patch para uma instância

aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407


{ "NextToken":"--token string truncated--", "Patches":[ { "KBId":"KB2919355", "Severity":"Critical", "Classification":"SecurityUpdates", "Title":"Windows 8.1 Update for x64-based Systems (KB2919355)", "State":"Installed", "InstalledTime":"2014-03-18T12:00:00Z" }, { "KBId":"KB2977765", "Severity":"Important", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 4.5.1 and 4.5.2 on Windows 8.1 and Windows Server 2012 R2 x64-based Systems (KB2977765)", "State":"Installed", "InstalledTime":"2014-10-15T12:00:00Z" }, { "KBId":"KB2978126", "Severity":"Important", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 4.5.1 and 4.5.2 on Windows 8.1 (KB2978126)", "State":"Installed", "InstalledTime":"2014-11-18T12:00:00Z" }, ---output truncated---

Janela de manutençãos do AWS Systems ManagerAs Janela de manutençãos do AWS Systems Manager permitem que você defina uma programaçãode quando executar ações possivelmente interruptivas em suas instâncias, como aplicar patches a umsistema operacional, atualizar drivers ou instalar um software ou patches. Toda Janela de manutençãotem uma programação, uma duração, um conjunto de destinos registrados e um conjunto de tarefasregistradas. Por meio das Janela de manutençãos, você pode executar tarefas como as seguintes:

• Instalar ou atualizar aplicativos.• Aplicar patches.• Instalar ou atualizar o agente do SSM.• Executar comandos do PowerShell e scripts de shell do Linux usando uma tarefa do Executar comando

do Systems Manager.

300

AWS Systems Manager Guia do usuárioControlling Access

• Construir imagens de máquina da Amazon (AMIs), fazer o bootstrapping de softwares e configurarinstâncias usando a Automação do Systems Manager.

• Executar funções do AWS Lambda que desencadeiam ações adicionais, como varrer instâncias paraatualizações de patches.

• Executar máquinas de estado do AWS Step Function para realizar tarefas como remover uma instânciade um ambiente do Elastic Load Balancing, aplicar patch a uma instância e, em seguida, adicionar ainstância de volta ao ambiente do Elastic Load Balancing.

Tópicos• Controle de acesso às Janela de manutençãos (p. 301)• Como trabalhar com Janela de manutençãos (p. 312)• Demonstrações da Janela de manutenção do Systems Manager (p. 317)

Controle de acesso às Janela de manutençãosAntes que os usuários de sua conta possam criar e programar tarefas de Janela de manutenção, elesprecisam receber as permissões necessárias. O processo para conceder essas permissões consiste emduas tarefas:

1. Tarefa 1: fornecer ao serviço Janela de manutenção as permissões do AWS Identity and AccessManagement (IAM) necessárias para executar tarefas de Janela de manutenção em suas instâncias.Você precisa executar uma das seguintes ações:• Criar uma função de serviço personalizada para as tarefas da Janela de manutenção• Criar uma função vinculada a serviço para o Systems Manager

Você especifica uma dessas funções como parte da configuração ao criar uma tarefa da Janela demanutenção. Isso permite que o Systems Manager execute tarefas nas Janela de manutençãos em seunome.

Note

Uma função vinculada ao serviço para o Systems Manager já pode ter sido criada em suaconta. No momento, a função vinculada ao serviço também fornece permissões para o recursode inventário.

Para ajudar a decidir se uma função de serviço personalizada ou a função vinculada ao serviço doSystems Manager deve ser usada com uma tarefa da Janela de manutenção, consulte Devo usar umafunção vinculada ao serviço ou uma função de serviço personalizada para executar tarefas da Janela demanutenção? (p. 301).

2. Tarefa 2: Conceder permissões iam:PassRole aos usuários em sua conta que atribuirão tarefasàs Janela de manutençãos. Isso permite que os usuários passem a função ao serviço da Janela demanutenção. Sem essa permissão explícita, um usuário não pode atribuir tarefas a uma Janela demanutenção.

Devo usar uma função vinculada ao serviço ou uma funçãode serviço personalizada para executar tarefas da Janela demanutenção?Para executar tarefas de manutenção em suas instâncias de destino, o serviço Janela de manutençãodeve ter permissão para acessar e executar tarefas em suas instâncias. Você pode fornecer essapermissão especificando a função vinculada ao serviço do Systems Manager ou uma função do serviçopersonalizada como parte da configuração de uma tarefa.

301


O tipo de função a ser escolhida depende de dois fatores:

Função de serviço personalizada: use uma função de serviço personalizada para tarefas da Janela demanutenção nos seguintes casos:

• Se desejar usar o Amazon Simple Notification Service (Amazon SNS) para enviar notificaçõesrelacionadas a tarefas da Janela de manutenção executadas por meio do Executar comando. Você podehabilitar as notificações do SNS ao criar uma tarefa da Janela de manutenção.

• Para usar um conjunto de permissões mais restritivas que as fornecidas pela função vinculada aoserviço. A função vinculada ao serviço é compatível com restrições muito limitadas em nível derecurso. Por exemplo, digamos que você deseja permitir que as tarefas da Janela de manutençãosejam executadas em um conjunto limitado de instâncias, ou que você deseja permitir que apenasdeterminados documentos do SSM sejam executados em instâncias de destino. Nesses casos, vocêespecifica permissões mais restritivas em uma função de serviço personalizada.

Função vinculada ao serviço do Systems Manager: recomendamos usar uma função vinculada ao serviçodo Systems Manager em todos os outros casos.

Para obter mais informações sobre a função vinculada ao serviço do Systems Manager, consultePermissões da função vinculada a serviço do Systems Manager (p. 484).

Tópicos• Controlar o acesso às Janela de manutençãos (Console) (p. 302)• Controlar o acesso às Janela de manutençãos (AWS CLI) (p. 305)• Controlar o acesso às Janela de manutençãos (Tools for Windows PowerShell) (p. 308)• Solução de problemas de permissões do IAM Janela de manutenção (p. 311)

Controlar o acesso às Janela de manutençãos (Console)Os procedimentos a seguir descrevem como usar o console do AWS Systems Manager para criar asfunções e permissões necessárias para Janela de manutençãos.

Tópicos• (Opcional) Tarefa 1: Criar uma função de serviço personalizada para as Janela de

manutençãos (p. 302)• Tarefa 2: Atribuir a política PassRole do IAM para um usuário ou grupo do IAM (p. 304)

(Opcional) Tarefa 1: Criar uma função de serviço personalizada para as Janela demanutençãos

Use o procedimento a seguir para criar uma função de serviço personalizada para as Janela demanutençãos, para que o Systems Manager possa executar tarefas em seu nome.

Important

A custom service role is not required if you choose to use a Systems Manager service-linked roleto let Janela de manutençãos run tasks on your behalf instead. If you do not have a SystemsManager service-linked role in your account, you can create it when you create or update a Janelade manutenção task using the Systems Manager console. For more information, see the followingtopics:

• Devo usar uma função vinculada ao serviço ou uma função de serviço personalizada paraexecutar tarefas da Janela de manutenção? (p. 301)

• Permissões da função vinculada a serviço do Systems Manager (p. 484)

302


• Como atribuir tarefas a uma Janela de manutenção (Console) (p. 313)

Para criar uma função de serviço personalizada

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e Create role.3. Faça as seguintes seleções:

1. Select type of trusted entity (Selecionar tipo de entidade confiada) área: AWS service (Serviço daAWS)

2. Choose the service that will use this role (Selecionar o serviço que usará essa função) área: EC23. Select your use case (Selecionar o caso de uso) área: EC2

4. Escolha Próximo: Permissões.5. Na lista de políticas, marque a caixa de seleção ao lado de AmazonSSMMaintenanceWindowRole e,

em seguida, escolha Next: Review.6. Em Role name (Nome da função), insira um nome que identifique essa função como uma função das

Janela de manutençãos, por exemplo, my-maintenance-window-role.7. Opcional: altere a descrição de função padrão para refletir o objetivo dessa função. Por exemplo:

"Executa tarefas da janela de manutenção em seu nome".8. Selecione Create role. O sistema faz com que você retorne para a página Roles.9. Escolha o nome da função que você acabou de criar.10. Escolha a guia Relacionamentos de confiança e, em seguida, selecione Editar relacionamento de

confiança.11. Exclua a política atual e depois copie e cole a seguinte política no campo Policy Document:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":[ "ssm.amazonaws.com", "sns.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ]}

Note

"sns.amazonaws.com" é necessário somente se você for usar o Amazon SNS paraenviar notificações relacionadas a tarefas da Janela de manutenção executadas por meio doExecutar comando. Consulte a Etapa 13 mais adiante para obter mais informações.

12. Escolha Update Trust Policy e copie ou anote o nome da função e o valor de Role ARN na páginaSummary. Você especificará essas informações ao criar sua Janela de manutenção.

13. Se você for configurar uma Janela de manutenção para enviar notificações sobre status de comandousando o Amazon SNS, quando executada por meio de uma tarefa de comando do Executarcomando, faça o seguinte:

1. Escolha a guia Permissions.

303



2. Escolha Add inline policy e, em seguida, a guia JSON.3. Em Policy Document, cole o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "sns-access-role-arn" } ]}

sns-access-role-arn representa o ARN da função existente do IAM para enviar notificaçõesdo SNS relacionadas à Janela de manutenção, no formato arn:aws:iam::account-id:role/role-name. Por exemplo: arn:aws:iam::111222333444:role/my-sns-access-role.

Note

No console do Systems Manager, esse ARN é selecionado na lista IAM Role na páginaRegister run command task. Para obter mais informações, consulte Como atribuir tarefas auma Janela de manutenção (Console) (p. 313). Na API do Systems Manager, esse ARNé inserido como o valor de ServiceRoleArn na solicitação SendCommand.

4. Escolha Revisar política.5. Na caixa Name, digite um nome para identificá-lo como uma política para permite o envio

notificações do Amazon SNS.14. Selecione Create policy.

Tarefa 2: Atribuir a política PassRole do IAM para um usuário ou grupo do IAM

When you register a task with a Janela de manutenção, you specify either a custom service role or aSystems Manager service-linked role to run the actual task operations. This is the role that the servicewill assume when it runs tasks on your behalf. Before that, to register the task itself, you must assign theIAM PassRole policy to an IAM user account or an IAM group. This allows the IAM user or IAM group tospecify, as part of registering those tasks with the Janela de manutenção, the role that should be usedwhen running tasks.

Dependendo se você está atribuindo a permissão iam: Passrole para um usuário individual ou umgrupo, use um dos seguintes procedimentos para fornecer as permissões mínimas necessárias pararegistrar tarefas com um Janela de manutenção.

Para atribuir a política PassRole do IAM a uma conta de usuário do IAM

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. Escolha Users (Usuários), e escolha o nome da conta de usuário que você deseja atualizar.3. Nas guias Permissions (Permissões), na lista de políticas, verifique se a política

AmazonSSMFullAccess está listada ou se existe uma política comparável que dê ao usuário doIAM a permissão para chamar a API do Systems Manager. Adicione a permissão se ela não estiverincluída. Para mais informações, consulte Como anexar políticas do IAM (console) no IAM User Guide.

4. Escolha Add inline policy.5. Na página Create policy (Criar política), na guia Visual edtior (Editor visual), na área Select a service

(Selecionar um serviço), escolha IAM.6. Na área Actions (Ações), escolha PassRole.

304

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html#EC2-SendCommand-request-ServiceRoleArn


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#attach-managed-policy-console


Tip

Digite passr na caixa de filtro para localizar rapidamente PassRole.7. Escolha a linha Resources (Recursos) e escolha Add ARN (Adicionar ARN).8. No campo Specify ARN for role (Especificar ARN para função), cole o ARN da função que você criou

no procedimento anterior e escolha Save changes (Salvar alterações).9. Escolha Revisar política.10. Na página Review policy (Revisar política), digite um nome na caixa Name (Nome) para identificar

essa política de PassRole e, em seguida, escolha Create policy (Criar política).

Para atribuir a política PassRole do IAM a um grupo do IAM

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Groups.3. Na lista de grupos, selecione o nome do grupo ao qual você deseja atribuir a permissão

iam:PassRole.4. Na área Inline Policies (Políticas em linha), faça um dos seguintes:

• Se nenhuma política em linha tiver sido adicionada, selecione clique aqui.• Se uma ou mais políticas em linha tiverem sido adicionadas, escolha Create Group Policy (Criar

políticas de grupo).5. Selecione Policy Generator (Gerador de políticas) e, em seguida, Select (Selecionar).6. Faça as seguintes seleções:

1. Effect (Efeito): permitir2. AWS Service (Serviço da AWS): Identity and Access Management3. Actions (Ações): PassRole4. Amazon Resource Name (ARN) (nome de recurso da Amazon [ARN]): digite o ARN da função

do Janela de manutenção que você criou em (Opcional) Tarefa 1: Criar uma função de serviçopersonalizada para as Janela de manutençãos (p. 302)

7. Escolha Add Statement e Next Step.8. Selecione Apply Policy.

Controlar o acesso às Janela de manutençãos (AWS CLI)Os procedimentos a seguir descrevem como usar a AWS CLI para criar as funções e permissõesnecessárias para as Janela de manutençãos.




Important

A custom service role is not required if you choose to use a Systems Manager service-linked roleto let Janela de manutençãos run tasks on your behalf instead. If you do not have a Systems

305



Manager service-linked role in your account, you can create it when you create or update a Janelade manutenção task using the Systems Manager console. For more information, see the followingtopics:


• Permissões da função vinculada a serviço do Systems Manager (p. 484)• Como atribuir tarefas a uma Janela de manutenção (Console) (p. 313)

1. Copie e cole a seguinte política de confiança em um arquivo de texto. Salve o arquivo com o seguintenome e extensão: mw-role-trust-policy.json.

Note

"sns.amazonaws.com" é necessário somente se você for usar o Amazon SNS para enviarnotificações relacionadas a tarefas da Janela de manutenção executadas por meio da APISendCommand ou send-command na AWS CLI.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":[ "ssm.amazonaws.com", "sns.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ]}

2. Abra a AWS CLI e execute o seguinte comando no diretório onde você colocou mw-role-trust-policy.json para criar uma função Janela de manutenção chamada mw-task-role. O comandoatribui a política que você criou na etapa anterior a essa função.

aws iam create-role --role-name mw-task-role --assume-role-policy-document file://mw-role-trust-policy.json


{ "Role":{ "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Action":"sts:AssumeRole", "Effect":"Allow", "Principal":{ "Service":[ "ssm.amazonaws.com", "ec2.amazonaws.com", "sns.amazonaws.com" ] } } ]

306



}, "RoleId":"AROAIIZKPBKS2LEXAMPLE", "CreateDate":"2017-04-04T03:40:17.373Z", "RoleName":"mw-task-role", "Path":"/", "Arn":"arn:aws:iam::123456789012:role/mw-task-role" }}

Note

Anote o RoleName e o Arn. Você os especificará quando criar uma Janela de manutenção.3. Execute o seguinte comando para anexar a política gerenciada

AmazonSSMMaintenanceWindowRole à função que você criou na etapa 2.

aws iam attach-role-policy --role-name mw-task-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonSSMMaintenanceWindowRole

Tarefa 2: Atribuir a política PassRole do IAM para um usuário ou grupo do IAMWhen you register a task with a Janela de manutenção, you specify either a custom service role or aSystems Manager service-linked role to run the actual task operations. This is the role that the servicewill assume when it runs tasks on your behalf. Before that, to register the task itself, you must assign theIAM PassRole policy to an IAM user account or an IAM group. This allows the IAM user or IAM group tospecify, as part of registering those tasks with the Janela de manutenção, the role that should be usedwhen running tasks.

Para atribuir a política PassRole do IAM a uma conta de usuário ou grupo do IAM

1. Copie e cole a seguinte política do IAM em um editor de texto e salve-a com o seguinte nome eextensão de arquivo: mw-passrole-policy.json.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1491345526000", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:PassRole", "ssm:RegisterTaskWithMaintenanceWindow" ], "Resource":[ "*" ] } ]}

2. Abra a AWS CLI.3. Se você estiver atribuindo a permissão a um usuário ou grupo do IAM, execute um dos seguintes

comandos.

• Para um usuário do IAM:

aws iam put-user-policy --user-name user-name --policy-name "policy-name" --policy-document path-to-document

307



Em user-name, especifique o usuário do IAM que atribuirá tarefas às Janela de manutençãos. Empolicy-name, digite um nome para identificar a política. Para path-to-document, especifiqueo caminho para o arquivo que você salvou na etapa 1. Por exemplo: file://C:\Temp\mw-passrole-policy.json

Note

Se você planejar registrar tarefas para as Janela de manutençãos usando o console doAWS Systems Manager, também deverá atribuir a política AmazonSSMFullAccess à suaconta de usuário. Execute o seguinte comando para atribuir essa política à sua conta.

aws iam attach-user-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMFullAccess --user-name user-name

• Para um grupo IAM:

aws iam put-group-policy --group-name group-name --policy-name "policy-name" --policy-document path-to-document

Em group-name, especifique o grupo do IAM cujos membros atribuirão tarefas às Janela demanutençãos. Em policy-name, digite um nome para identificar a política. Para path-to-document, especifique o caminho para o arquivo que você salvou na etapa 1. Por exemplo:file://C:\Temp\mw-passrole-policy.json

Note

Se você planejar registrar tarefas para as Janela de manutençãos usando o console doAWS Systems Manager, também deverá atribuir a política AmazonSSMFullAccess a seugrupo. Execute o seguinte comando para atribuir essa política ao seu grupo.

aws iam attach-group-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMFullAccess --group-name group-name

4. Execute o seguinte comando para verificar se a política foi atribuída ao grupo.

aws iam list-group-policies --group-name group-name

Controlar o acesso às Janela de manutençãos (Tools forWindows PowerShell)Os procedimentos a seguir descrevem como usar as Tools for Windows PowerShell para criar as funçõese permissões necessárias para as Janela de manutençãos.



308



Important

A custom service role is not required if you choose to use a Systems Manager service-linked roleto let Janela de manutençãos run tasks on your behalf instead. If you do not have a SystemsManager service-linked role in your account, you can create it when you create or update a Janelade manutenção task using the Systems Manager console. For more information, see the followingtopics:


• Permissões da função vinculada a serviço do Systems Manager (p. 484)• Como atribuir tarefas a uma Janela de manutenção (Console) (p. 313)

1. Copie e cole a seguinte política de confiança em um arquivo de texto. Salve o arquivo com o seguintenome e extensão: mw-role-trust-policy.json.

Note

"sns.amazonaws.com" é necessário somente se você for usar o Amazon SNS para enviarnotificações relacionadas a tarefas da Janela de manutenção executadas por meio da APISendCommand.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":[ "ssm.amazonaws.com", "sns.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ]}

2. Abra o Tools for Windows PowerShell e execute o seguinte comando para criar uma função com umnome que a identifique como uma função do Janela de manutenção. Por exemplo my-maintenance-window-role. A função usa a política que você criou na etapa anterior.

New-IAMRole -RoleName "mw-task-role" -AssumeRolePolicyDocument (Get-Content -raw .\mw-role-trust-policy.json)


Arn : arn:aws:iam::123456789012:role/mw-task-roleAssumeRolePolicyDocument : ExampleDoc12345678CreateDate : 4/4/2017 11:24:43Path : /RoleId : AROAIIZKPBKS2LEXAMPLERoleName : mw-task-role

309



3. Execute o seguinte comando para anexar a política gerenciadaAmazonSSMMaintenanceWindowRole à função que você criou na etapa anterior.

Register-IAMRolePolicy -RoleName mw-task-role -PolicyArn arn:aws:iam::aws:policy/service-role/AmazonSSMMaintenanceWindowRole

Tarefa 2: Atribuir a política PassRole do IAM para um usuário ou grupo do IAM

When you register a task with a Janela de manutenção, you specify either a custom service role or aSystems Manager service-linked role to run the actual task operations. This is the role that the servicewill assume when it runs tasks on your behalf. Before that, to register the task itself, you must assign theIAM PassRole policy to an IAM user account or an IAM group. This allows the IAM user or IAM group tospecify, as part of registering those tasks with the Janela de manutenção, the role that should be usedwhen running tasks.

1. Copie e cole a política do IAM a seguir em um editor de texto e salve-a com a extensão de arquivo.json.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1491345526000", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:PassRole", "ssm:RegisterTaskWithMaintenanceWindow" ], "Resource":[ "*" ] } ]}

2. Abra o Tools for Windows PowerShell.3. Se você estiver atribuindo a permissão a um usuário ou grupo do IAM, execute um dos seguintes

comandos.

• Para um usuário do IAM:

Write-IAMUserPolicy -UserName user-name -PolicyDocument (Get-Content -raw path-to-document) -PolicyName policy-name

Em user-name, especifique o usuário do IAM que atribuirá tarefas às Janela de manutençãos. Empolicy-name, digite um nome para identificar a política. Para path-to-document, especifiqueo caminho para o arquivo que você salvou na etapa 1. Por exemplo: C:\temp\passrole-policy.json

Note

Se você planejar registrar tarefas para as Janela de manutençãos usando o console doAWS Systems Manager, também deverá atribuir a política AmazonSSMFullAccess à suaconta de usuário. Execute o seguinte comando para atribuir essa política à sua conta.

310



Register-IAMUserPolicy -UserName user-name -PolicyArn arn:aws:iam::aws:policy/AmazonSSMFullAccess

• Para um grupo IAM:

Write-IAMGroupPolicy -GroupName group-name -PolicyDocument (Get-Content -raw path-to-document) -PolicyName policy-name

Em group-name, especifique o grupo do IAM que atribuirá tarefas às Janela de manutençãos. Empolicy-name, digite um nome para identificar a política. Para path-to-document, especifiqueo caminho para o arquivo que você salvou na etapa 1. Por exemplo: C:\temp\passrole-policy.json

Note

Se você planejar registrar tarefas para as Janela de manutençãos usando o console do AWSSystems Manager, também deverá atribuir a política AmazonSSMFullAccess à sua conta deusuário. Execute o seguinte comando para atribuir essa política ao seu grupo.

Register-IAMGroupPolicy -GroupName group-name -PolicyArn arn:aws:iam::aws:policy/AmazonSSMFullAccess

4. Execute o seguinte comando para verificar se a política foi atribuída ao grupo.

Get-IAMGroupPolicies -GroupName group-name

Solução de problemas de permissões do IAM Janela demanutençãoUse as informações a seguir para ajudá-lo a solucionar problemas comuns com permissões da Janela demanutenção no AWS Systems Manager.

Erro de edição de tarefa: Na página Janela de manutenção para editar umatarefa, a lista de função do IAM retorna uma mensagem de erro: "Não foi possívelencontrar a função de Janela de manutenção do IAM especificado para essatarefa. Ela pode ter sido excluída, ou pode não ter sido criada ainda."Problema 1: a função IAM Janela de manutenção originalmente especificada foi excluída depois que vocêcriou a tarefa.

Possible fixes (Correções possíveis): (1) selecione outra função da Janela de manutenção do IAM, seexistente em sua conta, ou crie uma nova e selecione-a para a tarefa. (2) Crie ou selecione uma funçãovinculada ao serviço do Systems Manager. Para obter mais informações, consulte Devo usar umafunção vinculada ao serviço ou uma função de serviço personalizada para executar tarefas da Janela demanutenção? (p. 301).

Problema 2: se a tarefa foi criado usando a AWS CLI, o Tools for Windows PowerShell ou um SDK daAWS, um nome de função do IAM não existente de Janela de manutenção poderia ter sido especificado.Por exemplo, a função IAM Janela de manutenção poderia ter sido excluída antes de você criar a tarefa,ou o nome da função poderia ter sido digitado incorretamente, como myrole em vez de my-role.

Possible fixes (Correções possíveis): (1) selecione o nome correto da função da Janela de manutençãodo IAM que deseja usar, ou crie uma nova para especificar para a tarefa. (2) Crie ou selecione uma

311

AWS Systems Manager Guia do usuárioComo trabalhar com Janela de manutençãos

função vinculada ao serviço do Systems Manager. Para obter mais informações, consulte Devo usar umafunção vinculada ao serviço ou uma função de serviço personalizada para executar tarefas da Janela demanutenção? (p. 301).

Como trabalhar com Janela de manutençãosEsta seção descreve como criar, configurar e atualizar ou excluir uma Janela de manutenção. Descrevetambém como realizar essas mesmas tarefas para destinos e tarefas de uma Janela de manutenção.

Important

Recomendamos que você crie e configure inicialmente Janela de manutençãos em um ambientede teste.

Antes de começar

Antes de criar uma Janela de manutenção, você deve configurar o acesso às Janela de manutençãos.Para obter mais informações, consulte Controle de acesso às Janela de manutençãos (p. 301).

Tópicos• Como criar uma Janela de manutenção (Console) (p. 312)• Como atribuir destinos a uma Janela de manutenção (Console) (p. 313)• Como atribuir tarefas a uma Janela de manutenção (Console) (p. 313)• Como atualizar ou excluir uma Janela de manutenção (p. 315)

Como criar uma Janela de manutenção (Console)Para criar uma Janela de manutenção, você deve fazer o seguinte:

• Crie a janela e defina seu agendamento e duração.• Atribua destinos para a janela.• Atribua tarefas a serem executadas durante a janela.

Após a conclusão dessas etapas, a Janela de manutenção é executada de acordo com a programaçãoque você definiu e executa as tarefas nos destinos que você especificou. Após a conclusão da tarefa, oSystems Manager registra os detalhes da execução.

Você pode executar os seguintes tipos de tarefas em destinos:

• Comandos por meio do Executar comando do Systems Manager• Fluxos de trabalho de automação, usando a Automação do Systems Manager• Funções, usando o AWS Lambda• Máquinas de estado, usando o AWS Step Functions

Note

No momento, o console do AWS Systems Manager não oferece suporte à execução do StepFunctions. Para registrar esse tipo de tarefa, você deve usar a AWS CLI. Para obter exemplosde como criar, configurar e atualizar uma do Janela de manutenção usando a AWS CLI,consulte Demonstrações da Janela de manutenção do Systems Manager (p. 317).

Para criar uma Janela de manutenção

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

312



2. No painel de navegação, selecione Janela de manutençãos.3. Escolha Create a Janela de manutenção.4. No campo Name, digite um nome descritivo para ajudá-lo a identificar essa Janela de manutenção

como uma Janela de manutenção de teste.5. No campo Description, insira uma descrição.6. Selecione Allow unregistered targets (Permitir destinos não registrados) se você quiser permitir

que uma tarefa da Janela de manutenção seja executada em instâncias gerenciadas, mesmo quevocê não tenha registrado essas instâncias como destinos. Se você escolher essa opção, poderáescolher as instâncias não registradas (por ID de instância) quando registrar uma tarefa na Janela demanutenção.

Se você não escolher essa opção, deverá escolher destinos anteriormente registrados quandoregistrar uma tarefa na Janela de manutenção.

7. Especifique uma programação para a Janela de manutenção usando uma das opções deprogramação.

8. No campo Duration, digite o número de horas em que a Janela de manutenção deve ser executada.9. No campo Stop initiating tasks, digite o número de horas antes do final da Janela de manutenção em

que o sistema deve parar de programar novas tarefas para execução.10. Escolha Create maintenance window. O sistema o leva de volta à página da Janela de manutenção. O

estado da Janela de manutenção que você acabou de criar é Enabled.

Como atribuir destinos a uma Janela de manutenção (Console)Depois de criar uma Janela de manutenção, atribua os destinos nos quais as tarefas serão executadas.

Para atribuir destinos a uma Janela de manutenção

1. Na lista Janela de manutenção, escolha a Janela de manutenção que você acabou de criar.2. Escolha Actions e depois Register targets.3. No campo Target Name, digite um nome para os destinos.4. No campo Description, digite uma descrição.5. No campo Owner information, especifique seu nome ou alias de trabalho. As informações do

proprietário estão incluídas em qualquer CloudWatch Events gerado durante a execução de tarefaspara esses destinos nessa Janela de manutenção.

6. Na seção Select targets by, escolha Specifying Tags para definir instâncias como destino usando tagsdo Amazon EC2 que você atribuiu a elas anteriormente. Escolha Manually Selecting Instances paraescolher instâncias individuais de acordo com seu ID de instância.

Note

Se você não visualizar as instâncias que deseja direcionar, verifique se elas estãoconfiguradas para o Systems Manager. Para obter mais informações, consulte Configuraçãodo AWS Systems Manager (p. 7).

7. Escolha Register targets.

Se quiser atribuir mais destinos a essa janela, escolha a guia Targets e depois escolha Register newtargets. Com essa opção, você pode escolher um meio diferente de direcionamento. Por exemplo, se vocêdirecionou instâncias anteriormente por ID de instância, pode registrar novos destinos e instâncias dedestino, especificando tags do Amazon EC2.

Como atribuir tarefas a uma Janela de manutenção (Console)Depois de atribuir destinos, você atribui tarefas para realizar durante a janela.

313


Para atribuir tarefas a umaJanela de manutenção

1. Na lista Janela de manutenção, escolha a Janela de manutenção que você acabou de criar.2. Selecione Actions (Ações) e, em seguida, selecione Register run command task (Registrar tarefa de

comando de execução) para executar sua opção de comandos em destinos usando um documentodo SSM ou Register automation task (Registrar tarefa de automação) para executar sua opção defluxo de trabalho de Automação em destinos usando um documento da Automação do SSM. Paraobter exemplos de como criar tarefas do Lambda e Step Functions usando a AWS CLI, consulteDemonstrações da Janela de manutenção do Systems Manager (p. 317).

3. No campo Name, digite um nome para a tarefa.4. No campo Description, digite uma descrição.5. Na lista Document, escolha o documento de Comando ou de Automação do SSM que define as

tarefas a serem executadas.6. Na lista Document version (para tarefas de Automação), escolha a versão do documento a ser usada.7. No campo Task priority, especifique uma prioridade para essa tarefa. 1 é a prioridade mais alta. As

tarefas em uma Janela de manutenção são programadas em ordem de prioridade. As tarefas que têma mesma prioridade são programadas em paralelo.

8. Na seção Targets, identifique as instâncias em que você deseja executar essa operaçãoespecificando tags ou selecionando instâncias manualmente.

Note


9. (Opcional) Em Rate control:


Note



10. Na área IAM service role (Função de serviço do IAM), escolha uma das seguintes opções parafornecer permissões ao Systems Manager para executar tarefas em instâncias de destino:

• Create and use a service-linked role for Systems Manager (Criar e usar uma função vinculada aoserviço para o Systems Manager)

As funções vinculadas a serviços oferecem uma maneira segura de delegar permissões a serviçosda AWS, pois somente o serviço vinculado pode assumir uma função vinculada ao serviço. Alémdisso, a AWS define automaticamente e configura as permissões de funções vinculadas ao serviço,de acordo com as ações que o serviço vinculado executa em seu nome.

Note

Se uma função vinculada ao serviço já tiver sido criada para sua conta, escolha Usethe service-linked role for Systems Manager (Usar a função vinculada ao serviço para oSystems Manager).

• Use a custom service role (Usar uma função de serviço personalizada)

314


Você pode criar uma função de serviço personalizada para as tarefas da Janela de manutençãose desejar usar permissões mais restritivas que as fornecidas pela função vinculada ao serviço.Ou você pode criar uma função de serviço personalizada para usar o Amazon SNS para enviarnotificações relacionadas às tarefas da Janela de manutenção executadas por meio de Executarcomando

Se for necessário criar uma função de serviço personalizada, consulte um dos seguintes tópicos:• Controlar o acesso às Janela de manutençãos (Console) (p. 302)• Controlar o acesso às Janela de manutençãos (AWS CLI) (p. 305)• Controlar o acesso às Janela de manutençãos (Tools for Windows PowerShell) (p. 308)

Para ajudar a decidir se uma função de serviço personalizada ou a função vinculada ao serviço doSystems Manager deve ser usada com uma tarefa da Janela de manutenção, consulte Devo usar umafunção vinculada ao serviço ou uma função de serviço personalizada para executar tarefas da Janelade manutenção? (p. 301).

11. Na seção Input Parameters, especifique parâmetros para o documento. Para documentos deAutomação, o sistema preenche automaticamente alguns dos valores. Você pode manter ou substituiresses valores.

12. Assista todo o assistente.

Como atualizar ou excluir uma Janela de manutençãoVocê pode atualizar ou excluir uma Janela de manutenção. Pode também atualizar ou excluir os destinosou as tarefas de uma Janela de manutenção. Se você editar os detalhes de uma Janela de manutenção,poderá alterar a programação, os destinos e as tarefas. Você também pode especificar nomes edescrições para janelas, destinos e tarefas, o que o ajuda a entender melhor a finalidade e facilita ogerenciamento da sua fila de janelas.

Esta seção descreve como atualizar ou excluir uma Janela de manutenção, metas e tarefas usando oconsole do AWS Systems Manager. Para obter exemplos de como fazer isso usando a AWS CLI, consulteDemonstração: atualizar uma Janela de manutenção (p. 325).

Como atualizar ou excluir uma Janela de manutenção (Console)Você pode atualizar uma Janela de manutenção para alterar o nome, a descrição e a programação dajanela e determinar se a janela deve permitir destinos não registrados.

Para atualizar ou excluir uma Janela de manutenção

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Janela de manutençãos.3. Escolha a Janela de manutenção que deseja atualizar ou excluir e, em seguida, execute uma das

seguintes ações:

• Escolha Delete. O sistema solicitará que você confirme suas ações.• Selecione Edit. Na página Edit maintenance window, altere os valores e as opções que você deseja

e, em seguida, escolha Edit maintenance window.

Como atualizar ou excluir os destinos de uma Janela de manutenção (Console)Você pode atualizar ou excluir os destinos de uma Janela de manutenção. Se você optar por atualizaro destino de uma Janela de manutenção, poderá especificar um novo nome, uma descrição e umproprietário para esse destino. Você também pode escolher diferentes destinos.

315



Para atualizar ou excluir os destinos de uma Janela de manutenção

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, selecione Janela de manutençãos.3. Escolha o nome da Janela de manutenção que deseja atualizar e, em seguida, execute uma das

seguintes ações:

• Para atualizar destinos, escolha Edit.• Para excluir destinos, escolha Deregister targets e, em seguida, selecione a guia Targets.

Escolha o destino a ser excluído e, em seguida, Deregister target. Na janela Deregister maintenancewindows target, deixe a opção Safely deregister target selecionada se quiser que o sistema,antes de excluir o destino, verifique se ele é referenciado por qualquer tarefa. Se o destino forreferenciado por uma tarefa, o sistema retornará um erro e não excluirá o destino. Desmarquea opção Safely deregister target se quiser que o sistema exclua o destino mesmo que ele sejareferenciado por uma tarefa.

Escolha Deregister.

Como atualizar ou excluir as tarefas de uma Janela de manutenção

Você pode atualizar ou excluir as tarefas de uma Janela de manutenção. Se você optar por atualizar,poderá especificar um novo nome de tarefa, uma descrição e um proprietário. Para tarefas do Executarcomando e de Automação, você pode escolher um documento do SSM diferente para as tarefas. Noentanto, você não pode editar uma tarefa para alterar seu tipo. Por exemplo, se você tiver criado umatarefa de Automação, não poderá editá-la e alterá-la para uma tarefa do Executar comando.

Note


Para atualizar ou excluir as tarefas de uma Janela de manutenção

1. Abra o console do Amazon EC2, expanda Systems Manager Shared Resources (Recursoscompartilhados do Systems Manager) no painel de navegação e, em seguida, escolha Janela demanutençãos.

2. Escolha a Janela de manutenção que você deseja atualizar.3. Escolha a guia Tasks.4. Se quiser excluir uma tarefa, escolha o X pequeno ao lado de Edit. Se quiser editar a tarefa, escolha

Edit.

316




AWS Systems Manager Guia do usuárioDemonstrações da Janela de manutenção

5. Altere os valores e as opções desejados e escolha Edit Task. O sistema o leva de volta à página daJanela de manutenção.

Demonstrações da Janela de manutenção do SystemsManagerUse as instruções a seguir para criar, configurar e atualizar Janela de manutençãos usando a AWSCLI. Antes de experimentar esses procedimentos, você deve configurar as funções e permissõesda Janela de manutenção. Para obter mais informações, consulte Controle de acesso às Janela demanutençãos (p. 301).

Tópicos• Demonstração: criar e configurar uma Janela de manutenção (CLI) (p. 317)• Demonstração: atualizar uma Janela de manutenção (p. 325)• Demonstração: Listar informações sobre Janela de manutençãos (p. 330)

Demonstração: criar e configurar uma Janela de manutenção(CLI)Veja a seguir como criar e configurar uma Janela de manutenção, destinos e tarefas usando a AWS CLI.

Para criar e configurar uma Janela de manutenção usando a AWS CLI

1. Faça download da AWS CLI na sua máquina local.2. Abra a AWS CLI e execute o comando a seguir para criar uma Janela de manutenção que é

executada às 16:00 às terças-feiras durante 4 horas, com um limite de 1 hora, e que permita destinosnão associados. Para obter mais informações sobre como criar expressões cron para o parâmetroschedule, consulte Referência: expressões cron e rate para Systems Manager (p. 497).

aws ssm create-maintenance-window --name "My-First-Maintenance-Window" --schedule "cron(0 16 ? * TUE *)" --duration 4 --cutoff 1 --allow-unassociated-targets


317



{ "WindowId":"mw-ab12cd34ef56gh78"}

3. Execute o comando a seguir para listar todas as Janela de manutençãos em sua conta AWS.

aws ssm describe-maintenance-windows


{ "WindowIdentities":[ { "Duration":4, "Cutoff":1, "WindowId":"mw-ab12cd34ef56gh78", "Enabled":true, "Name":"My-First-Maintenance-Window" } ]}

4. Execute o seguinte comando para registrar uma instância como um destino para essas Janela demanutençãos. O sistema retorna um ID de destino de Janela de manutenção. Você usará esse ID emuma etapa posterior para registrar uma tarefa para essa Janela de manutenção.

aws ssm register-target-with-maintenance-window --window-id "mw-ab12cd34ef56gh78" --target "Key=InstanceIds,Values=ID" --owner-information "Single instance" --resource-type "INSTANCE"


{ "WindowTargetId":"1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d-1a2"}

Você pode registrar várias instâncias usando o seguinte comando.

aws ssm register-target-with-maintenance-window --window-id "mw-ab12cd34ef56gh78" --targets "Key=InstanceIds,Values=ID 1,ID 2" --owner-information "Two instances in a list" --resource-type "INSTANCE"

Você também pode registrar instâncias usando tags do EC2.

aws ssm register-target-with-maintenance-window --window-id "mw-ab12cd34ef56gh78" --targets "Key=tag:Environment,Values=Prod" "Key=Role,Values=Web" --owner-information "Production Web Servers" --resource-type "INSTANCE"

5. Use o comando a seguir para exibir os destinos de uma Janela de manutenção.

aws ssm describe-maintenance-window-targets --window-id "mw-ab12cd34ef56gh78"


{

318


"Targets":[ { "ResourceType":"INSTANCE", "OwnerInformation":"Single instance", "WindowId":"mw-ab12cd34ef56gh78", "Targets":[ { "Values":[ "i-11aa22bb33cc44dd5" ], "Key":"InstanceIds" } ], "WindowTargetId":"a1b2c3d4-a1b2-a1b2-a1b2-a1b2c3d4" }, { "ResourceType":"INSTANCE", "OwnerInformation":"Two instances in a list", "WindowId":"mw-ab12cd34ef56gh78", "Targets":[ { "Values":[ "i-1a2b3c4d5e6f7g8h9", "i-aa11bb22cc33dd44e " ], "Key":"InstanceIds" } ], "WindowTargetId":"1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d-1a2" }, { "ResourceType":"INSTANCE", "OwnerInformation":"Production Web Servers", "WindowId":"mw-ab12cd34ef56gh78", "Targets":[ { "Values":[ "Prod" ], "Key":"tag:Environment" }, { "Values":[ "Web" ], "Key":"tag:Role" } ], "WindowTargetId":"1111aaa-2222-3333-4444-1111aaa " } ]}

6. Execute o comando a seguir para registrar uma tarefa para a Janela de manutenção. A tarefa noprimeiro exemplo usa o Executar comando do Systems Manager para executar o comando df usandoo documento AWS-RunShellScript. Você também pode especificar tarefas que usam a Automaçãodo Systems Manager, o AWS Lambda e o AWS Step Functions, conforme indicado nos exemplosadicionais. Você pode especificar os seguintes parâmetros ao registrar uma tarefa:

• targets: especifica Key=WindowTargetIds,Values=IDs para determinar um destino já estejaregistrado na Janela de manutenção. Ou especifica Key=InstanceIds,Values=IDs para se direcionara instâncias específicas que podem ou não estar registradas na Janela de manutenção.

• task-arn: o recurso que a tarefa usa durante a execução. Para os tipos de tarefasRUN_COMMAND e AUTOMATION, TaskArn é o nome do documento SSM ou ARN. Para tarefas

319


LAMBDA, é o nome ou o ARN da função. Para tarefas STEP_FUNCTION, é o ARN da máquina deestados.

• window-id: o ID da Janela de manutenção de destino.• task-type: o tipo de tarefa. O tipo pode ser um dos seguintes: RUN_COMMAND, AUTOMATION,LAMBDA ou STEP_FUNCTION.

• task-invocation-parameters: Parâmetros necessários e opcionais. Alguns dos parâmetrostask-invocation-parameters comuns estão descritos na próxima lista.

• max-concurrency: (Opcional) o número máximo de instâncias com permissão para executar ocomando ao mesmo tempo. Você pode especificar um número, como 10, ou uma porcentagem,como 10%.

• max-errors: (Opcional) O número máximo de erros permitidos sem o comando falhar. Quandoo comando falhar mais uma vez além do valor de MaxErrors, o sistema deixará de enviaro comando para destinos adicionais. Você pode especificar um número, como 10, ou umaporcentagem, como 10%.

• priority: a prioridade da tarefa na Janela de manutenção. Quanto menor for o número, maiorserá a prioridade (por exemplo, 1 será a prioridade mais alta). As tarefas em uma Janela demanutenção são programadas em ordem de prioridade. Tarefas que têm a mesma prioridade estãoagendadas em paralelo.

Parâmetros comuns para parâmetros de invocação de tarefas

A lista a seguir descreve alguns dos parâmetros comuns que você pode especificar ao usartask-invocation-parameters. Você especifica esses parâmetros usando a sintaxe{{ PARAMETER_NAME }}, conforme mostrado nos exemplos desta seção.

• TARGET_ID: O ID do destino. Se o tipo de destino for INSTANCE (atualmente o único tipo comsuporte), o ID de destino será o ID de instância.

• TARGET_TYPE: o tipo de destino. Atualmente, apenas há suporte para INSTANCE.• WINDOW_ID: o ID da Janela de manutenção de destino.• WINDOW_TASK_ID: o ID da tarefa de janela que está sendo executada.• WINDOW_TARGET_ID: o ID do destino de janela que inclui o destino (ID de destino).• LOGGING_S3_BUCKET_NAME: o nome do bucket do Amazon S3, se configurado usando o

parâmetro logging-info.• LOGGING_S3_KEY_PREFIX: o prefixo de chave do Amazon S3, se configurado usando o parâmetrologging-info.

• LOGGING_S3_REGION: a Região do Amazon S3, se configurada usando o parâmetro logging-info.

• WINDOW_EXECUTION_ID: o ID da execução de janela atual.• TASK_EXECUTION_ID: o ID da execução de tarefa atual.• INVOCATION_ID: o ID da invocação atual.

aws ssm register-task-with-maintenance-window --window-id mw-ab12cd34ef56gh78 --task-arn "AWS-RunShellScript" --targets "Key=InstanceIds,Values=Instance ID" --service-role-arn "arn:aws:iam::1122334455:role/MW-Role" --task-type "RUN_COMMAND" --task-invocation-parameters '{"RunCommand":{"Parameters":{"commands":["df"]}}}' --max-concurrency 1 --max-errors 1 --priority 10


{ "WindowTaskId":"44444444-5555-6666-7777-88888888"

320


}

Você pode também registrar uma tarefa usando o ID de destino da Janela de manutenção. O ID dedestino da Janela de manutenção foi retornado de um comando anterior.

aws ssm register-task-with-maintenance-window --targets "Key=WindowTargetIds,Values=Window Target ID" --task-arn "AWS-RunShellScript" --service-role-arn "arn:aws:iam::1122334455:role/MW-Role" --window-id "mw-ab12cd34ef56gh78" --task-type "RUN_COMMAND" --task-invocation-parameters '{"RunCommand":{"Parameters":{"commands":["df"]}}}' --max-concurrency 1 --max-errors 1 --priority 10


{ "WindowTaskId":"44444444-5555-6666-7777-88888888"}

Os exemplos a seguir demonstram como registrar outros tipos de tarefa.

Important

A política do IAM para Janela de manutençãos exige que você prefixe nomes (ou alias)de funções do Lambda e nomes de máquinas de estado do Step Functions com o SSM,conforme mostrado nos dois primeiros exemplos a seguir. Antes de continuar para registraresses tipos de tarefas, você deve atualizar seus nomes no AWS Lambda e no AWS StepFunctions para incluir o SSM.

Lambda

aws ssm register-task-with-maintenance-window --window-id "mw-0290d787d641f11f3" --targets Key=WindowTargetIds,Values=31547414-69c3-49f8-95b8-ed2dcf045faa --task-arn arn:aws:lambda:us-east-2:711106535523:function:SSMTestFunction --service-role-arn arn:aws:iam::711106535523:role/MaintenanceWindows --task-type LAMBDA --task-invocation-parameters '{"Lambda":{"Payload":"{\"targetId\":\"{{TARGET_ID}}\",\"targetType\":\"{{TARGET_TYPE}}\"}","Qualifier":"$LATEST","ClientContext":"ew0KICAiY3VzdG9tIjogew0KICAgICJjbGllbnQiOiAiQVdTQ0xJIg0KICB9DQp9"}}' --priority 0 --max-concurrency 10 --max-errors 5 --name "Lambda_Example" --description "My Lambda Example"

Step Functions

aws ssm register-task-with-maintenance-window --window-id "mw-0290d787d641f11f3" --targets Key=WindowTargetIds,Values=31547414-69c3-49f8-95b8-ed2dcf045faa --task-arn arn:aws:states:us-east-2:711106535523:stateMachine:SSMTestStateMachine --service-role-arn arn:aws:iam::711106535523:role/MaintenanceWindows --task-type STEP_FUNCTIONS --task-invocation-parameters '{"StepFunctions":{"Input":"{\"instanceId\":\"{{TARGET_ID}}\"}"}}' --priority 0 --max-concurrency 10 --max-errors 5 --name "Step_Functions_Example" --description "My Step Functions Example"

Automação

aws ssm register-task-with-maintenance-window --window-id "mw-0290d787d641f11f3" --targets Key=WindowTargetIds,Values=31547414-69c3-49f8-95b8-ed2dcf045faa --task-arn AutomationDocumentName --service-role-arn arn:aws:iam::711106535523:role/MaintenanceWindows --task-type AUTOMATION --task-invocation-parameters "Automation={DocumentVersion=5,Parameters={instanceId='{{TARGET_ID}}'}}" --priority 0 --max-concurrency 10 --max-errors 5 --name Name --description Description

321


Executar comando

aws ssm register-task-with-maintenance-window --window-id "mw-0290d787d641f11f3" --targets Key=WindowTargetIds,Values=31547414-69c3-49f8-95b8-ed2dcf045faa --task-arn AWS-RunPowerShellScript --service-role-arn arn:aws:iam::711106535523:role/MaintenanceWindows --task-type RUN_COMMAND --task-invocation-parameters "RunCommand={Comment=SomeComment,DocumentHashType=Sha256,DocumentHash=b9d0966408047ebcafee82de4d42477299306fd37510c6815c19e9848e2bffe8,NotificationConfig={NotificationArn=arn:aws:sns:us-west-2:711106535523:RunCommandTopic,NotificationEvents=[Success,Failed],NotificationType=Invocation},OutputS3BucketName=MyS3Bucket,OutputS3KeyPrefix=RunCommand,ServiceRoleArn=arn:aws:iam::711106535523:role/RunCommand,TimeoutSeconds=30,Parameters={commands=ipconfig}}" --priority 0 --max-concurrency 10 --max-errors 5 --name "Run_Command_Sample" --description "My Run Command Sample"

7. Execute o comando a seguir para listar todas as tarefas registradas para uma Janela de manutenção.

aws ssm describe-maintenance-window-tasks --window-id "mw-ab12cd34ef56gh78"


{ "Tasks":[ { "ServiceRoleArn":"arn:aws:iam::11111111:role/MW-Role", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "WindowTaskId":"3333-3333-3333-333333", "TaskParameters":{ "commands":{ "Values":[ "driverquery.exe" ] } }, "Priority":3, "Type":"RUN_COMMAND", "Targets":[ { "Values":[ "i-1a2b3c4d5e6f7g8h9" ], "Key":"InstanceIds" } ] }, { "ServiceRoleArn":"arn:aws:iam::2222222222:role/MW-Role", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "WindowTaskId":"44444-44-44-444444", "TaskParameters":{ "commands":{ "Values":[ "ipconfig.exe" ] } }, "Priority":1, "Type":"RUN_COMMAND", "Targets":[ { "Values":[

322


"555555-55555-555-5555555" ], "Key":"WindowTargetIds" } ] } ]}

8. Execute o comando a seguir para visualizar uma lista de execuções de tarefa para uma Janela demanutenção específica.

aws ssm describe-maintenance-window-executions --window-id "mw-ab12cd34ef56gh78"


{ "WindowExecutions":[ { "Status":"SUCCESS", "WindowExecutionId":"1111-1111-1111-11111", "StartTime":1478230495.469 }, { "Status":"SUCCESS", "WindowExecutionId":"2222-2-2-22222222-22", "StartTime":1478231395.677 }, # ... omitting a number of entries in the interest of space... { "Status":"SUCCESS", "WindowExecutionId":"33333-333-333-3333333", "StartTime":1478272795.021 }, { "Status":"SUCCESS", "WindowExecutionId":"4444-44-44-44444444", "StartTime":1478273694.932 } ], "NextToken":111111 ..."}

9. Execute o comando a seguir para obter informações sobre uma execução de tarefa da Janela demanutenção.

aws ssm get-maintenance-window-execution --window-execution-id "1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d-1a2"


{ "Status":"SUCCESS", "TaskIds":[ "333-33-3333-333333" ], "StartTime":1478230495.472, "EndTime":1478230516.505, "WindowExecutionId":"1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d-1a2"}

323


10. Execute o comando a seguir para listar as tarefas executadas como parte de uma execução da Janelade manutenção.

aws ssm describe-maintenance-window-execution-tasks --window-execution-id "1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d-1a2"


{ "WindowExecutionTaskIdentities":[ { "Status":"SUCCESS", "EndTime":1478230516.425, "StartTime":1478230495.782, "TaskId":"33333-333-333-3333333" } ]}

11. Execute o seguinte comando para obter os detalhes de uma execução de tarefa.

aws ssm get-maintenance-window-execution-task --window-execution-id "555555-555-55-555555" --task-id "4444-4444-4444-444444"


{ "Status":"SUCCESS", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "ServiceRole":"arn:aws:iam::333333333:role/MW-Role", "WindowExecutionId":"555555-555-55-555555", "Priority":0, "StartTime":1478230495.782, "EndTime":1478230516.425, "Type":"RUN_COMMAND", "TaskParameters":[

], "TaskExecutionId":"4444-4444-4444-444444"}

12. Execute o seguinte comando para obter as invocações de tarefas específicas realizadas para umaexecução de tarefa.

aws ssm describe-maintenance-window-execution-task-invocations --window-execution-id "555555-555-55-555555" --task-id "4444-4444-4444-444444"


{ "WindowExecutionTaskInvocationIdentities":[ { "Status":"SUCCESS", "Parameters":"{\" documentName \" : \" AWS-RunPowerShellScript \" , \" instanceIds \" :[ \" i-1a2b3c4d5e6f7g8h9 \" , \" i-0a00def7faa94f1dc \" ], \" parameters \" :{ \" commands \" :[ \" ipconfig.exe \" ]}, \" maxConcurrency \" : \" 1 \" , \" maxErrors \" : \" 1 \" }",

324


"ExecutionId":"555555-555-55-555555", "InvocationId":"3333-33333-3333-33333", "StartTime":1478230495.842, "EndTime":1478230516.291 } ]}

13. Se desejar, execute o comando a seguir para excluir a Janela de manutenção que você criou.

aws ssm delete-maintenance-window --window-id "mw-1a2b3c4d5e6f7g8h9"


{ "WindowId":"mw-1a2b3c4d5e6f7g8h9"}

Demonstração: atualizar uma Janela de manutençãoEsta seção descreve como atualizar uma Janela de manutenção usando a AWS CLI. Ela também incluiinformações sobre como atualizar diferentes tipos de tarefas, incluindo tarefas do Run Command doSystems Manager, Automação do Systems Manager, do AWS Lambda e do AWS Step Functions. Paraobter mais informações sobre como atualizar uma Janela de manutenção, consulte Como atualizar ouexcluir uma Janela de manutenção (p. 315).

Os exemplos nesta seção usam as seguintes ações do Systems Manager para atualizar uma Janela demanutenção.

• UpdateMaintenanceWindow• UpdateMaintenanceWindowTarget• UpdateMaintenanceWindowTask• DeregisterTargetFromMaintenanceWindow

Para atualizar uma Janela de manutenção

1. Execute o seguinte comando para atualizar um destino de forma a incluir um nome e uma descrição.

aws ssm update-maintenance-window-target --window-id "mw-12345678910" --window-target-id "a1b2c3d4-e5f6-g7h8i9" --name "NewTargetName" --description "NewTargetName description"


{ "WindowId": "mw-12345678910", "WindowTargetId": "a1b2c3d4-e5f6-g7h8i9", "Targets": [ { "Key": "InstanceIds", "Values": [ "i-aabbccddeeff" ] } ], "Name": "NewTargetName",

325

https://docs.aws.amazon.com/systems-manager/latest/APIReference/UpdateMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/UpdateMaintenanceWindowTarget.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/UpdateMaintenanceWindowTask.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/DeregisterTargetFromMaintenanceWindow.html


"Description": "NewTargetName description"}

2. Execute o seguinte comando para usar a opção replace a fim de remover o campo de descrição eadicionar outro destino. O campo de descrição é removido, pois a atualização não inclui o campo (umvalor nulo).

aws ssm update-maintenance-window-target --window-id "mw-12345678910" --window-target-id "a1b2c3d4-e5f6-g7h8i9" --targets "Key=InstanceIds,Values=i-aabbccddeeff,i-223344556677" --name "NewTargetName" --replace


{ "WindowId": "mw-12345678910", "WindowTargetId": "a1b2c3d4-e5f6-g7h8i9", "Targets": [ { "Key": "InstanceIds", "Values": [ "i-aabbccddeeff", "i-223344556677" ] } ], "Name": "NewTargetName"}

3. Execute o comando a seguir para atualizar uma tarefa do Executar comando.

aws ssm update-maintenance-window-task --window-id "mw-12345678910" --window-task-id "1111-2222-3333-4444-5555" --targets "Key=WindowTargetIds,Values=a1b2c3d4-e5f6-g7h8i9c" --task-arn "AWS-RunPowerShellScript" --service-role-arn "arn:aws:iam::abcdefghijk:role/MaintenanceWindowsRole" --task-invocation-parameters "RunCommand={Comment=A_Comment,Parameters={commands=ipconfig}}" --priority 1 --max-concurrency 10 --max-errors 4 --name "RC_Name" --description "RC_Name description extra"


{ "WindowId": "mw-12345678916", "WindowTaskId": "aaa-bbb-ccc-ddd", "Targets": [ { "Key": "WindowTargetIds", "Values": [ "a1b2c3d4-e5f6-g7h8i9c" ] } ], "TaskArn": "AWS-RunPowerShellScript", "ServiceRoleArn": "arn:aws:iam::abcdefghijk:role/MaintenanceWindowsRole", "TaskParameters": {}, "TaskInvocationParameters": { "RunCommand": { "Comment": "SomeComment", "Parameters": { "commands": [ "ipconfig -tail" ]

326


} } }, "Priority": 1, "MaxConcurrency": "10", "MaxErrors": "4", "Name": "RC_Name", "Description": "RC_Name description extra"}

4. Execute o seguinte comando para adicionar um nome e uma descrição a uma tarefa do Lambda.

aws ssm update-maintenance-window-task --window-id mw-1234567891 --window-task-id 1a2b3c4d-5e6f-7g8h90 --targets "Key=WindowTargetIds,Values=a1b2c3d4-e5f6-g7h8i9c,4444-555555-66666-7777" --task-arn "arn:aws:lambda:us-east-2:1313131313:function:SSMTestLambda" --service-role-arn "arn:aws:iam::abcdefghijk:role/MaintenanceWindowsRole" --task-invocation-parameters '{"Lambda":{"Payload":"{\"targetId\":\"{{TARGET_ID}}\",\"targetType\":\"{{TARGET_TYPE}}\"}"}}' --priority 0 --max-concurrency 10 --max-errors 5 --name "TestLambda_Name" --description "My Rename Test"


{ "WindowId": "mw-1234567891", "WindowTaskId": "1a2b3c4d-5e6f-7g8h90", "Targets": [ { "Key": "WindowTargetIds", "Values": [ "a1b2c3d4-e5f6-g7h8i9c", "4444-555555-66666-7777d" ] } ], "TaskArn": "arn:aws:lambda:us-east-2:1313131313:function:SSMTestLambda", "ServiceRoleArn": "arn:aws:iam::abcdefghijk:role/MaintenanceWindowsRole", "TaskParameters": {}, "TaskInvocationParameters": { "Lambda": { "Payload": "e30=" } }, "Priority": 0, "MaxConcurrency": "10", "MaxErrors": "5", "Name": "TestLambda_Name", "Description": "TestLambda_Name description"}

5. Execute o seguinte comando para atualizar uma tarefa do AWS Step Functions para atualizarparâmetros de invocação de tarefas.

aws ssm update-maintenance-window-task --window-id "mw-1234567891" --window-task-id "1a2b3c4d-5e6f-7g8h9i" --targets "Key=WindowTargetIds,Values=a1b2c3d4-e5f6-g7h8i9c" --task-arn "arn:aws:states:us-east-2:4242424242:execution:SSMStepFunctionTest" --service-role-arn "arn:aws:iam::abcdefghijk:role/MaintenanceWindowsRole" --task-invocation-parameters '{"StepFunctions":{"Input":"{\"instanceId\":\"{{ TARGET_ID }}\"}"}}' --priority 0 --max-concurrency 10 --max-errors 5 --name "Update_Parameters" --description "Test to update task invocation parameters"


327


{ "WindowId": "mw-1234567891", "WindowTaskId": "1a2b3c4d-5e6f-7g8h9i", "Targets": [ { "Key": "WindowTargetIds", "Values": [ "a1b2c3d4-e5f6-g7h8i9c" ] } ], "TaskArn": "arn:aws:states:us-east-2:4242424242:execution:SSMStepFunctionTest", "ServiceRoleArn": "arn:aws:iam::abcdefghijk:role/MaintenanceWindowsRole", "TaskParameters": {}, "TaskInvocationParameters": { "StepFunctions": { "Input": "{\"instanceId\":\"{{ TARGET_ID }}\"}" } }, "Priority": 0, "MaxConcurrency": "10", "MaxErrors": "5", "Name": "TestStepFunction_Task", "Description": "TestStepFunction_Task description"}

6. Execute o comando a seguir para cancelar o registro de um destino de uma Janela de manutenção.Este exemplo usa o parâmetro safe para determinar se o destino é referenciado por qualquer tarefae, portanto, seguro para ter o registro cancelado.

aws ssm deregister-target-from-maintenance-window --window-id "mw-1234567891b" --window-target-id "aaaa-bbbb-cccc-dddd" --safe


An error occurred (TargetInUseException) when calling the DeregisterTargetFromMaintenanceWindow operation: This Target cannot be deregistered because it is still referenced in Task: a11b22c33d44e55f66

7. Execute o comando a seguir para cancelar o registro de um destino de uma Janela de manutenção,mesmo que o destino seja referenciado por uma tarefa. Você pode forçar a operação de cancelamentode registro usando o parâmetro no-safe.

aws ssm deregister-target-from-maintenance-window --window-id "mw-1234567891b" --window-target-id "aaaa-bbbb-cccc-dddd" --no-safe


{ "WindowId": "mw-1234567891b", "WindowTargetId": "aaaa-bbbb-cccc-ddd"}

8. Execute o comando a seguir para atualizar uma tarefa do Executar comando. Esse exemplo usaum parâmetro do Parameter Store do Systems Manager chamado UpdateLevel, que é formatado daseguinte forma: '{{ssm:UpdateLevel}}'

aws ssm update-maintenance-window-task --window-id "mw-1234567891b" --window-task-id "777-8888-9999-0000" --targets

328


"Key=InstanceIds,Values=i-yyyyzzzzxxx111222" --task-invocation-parameters "RunCommand={Comment=SomeComments,Parameters={UpdateLevel='{{ssm:UpdateLevel}}'}}"


{ "WindowId": "mw-1234567891b", "WindowTaskId": "777-8888-9999-0000", "Targets": [ { "Key": "InstanceIds", "Values": [ "i-yyyyzzzzxxx1112223" ] } ], "TaskArn": "AWS-InstallMissingWindowsUpdates", "ServiceRoleArn": "arn:aws:iam::abcdefghijk:role/MaintenanceWindows", "TaskParameters": {}, "TaskInvocationParameters": { "RunCommand": { "Comment": "SomeComments", "Parameters": { "UpdateLevel": [ "{{ssm:UpdateLevel}}" ] } } }, "Priority": 0, "MaxConcurrency": "10", "MaxErrors": "5", "Name": "TracyMWTest_RunCommand2", "Description": "Test_RunCommandandParameterStore description"}

9. Execute o seguinte comando para atualizar uma tarefa de Automação para especificar os parâmetrosWINDOW_ID e WINDOW_TASK_ID para o parâmetro task-invocation-parameters.

aws ssm update-maintenance-window-task --window-id "mw-1234567891b" --window-task-id "777-8888-9999-000" --targets "Key=WindowTargetIds,Values=999-aaa-888-bbb-777 --task-arn "AutoTestDoc" --service-role-arn arn:aws:iam::801422537783:role/MaintenanceWindowsRoleTesting --task-invocation-parameters "Automation={Parameters={instanceId='{{TARGET_ID}}',initiator='{{WINDOW_ID}}.Task-{{WINDOW_TASK_ID}}'}}" --priority 0 --max-concurrency 10 --max-errors 5


{ "WindowId": "mw-0a097ccb2abd5775b", "WindowTaskId": "777-8888-9999-0000", "Targets": [ { "Key": "WindowTargetIds", "Values": [ "999-aaa-888-bbb-777" ] } ], "TaskArn": "AutoTestDoc", "ServiceRoleArn": "arn:aws:iam::abcdefghijk:role/MaintenanceWindows", "TaskParameters": {},

329


"TaskInvocationParameters": { "Automation": { "Parameters": { "multi": [ "{{WINDOW_TASK_ID}}" ], "single": [ "{{WINDOW_ID}}" ] } } }, "Priority": 0, "MaxConcurrency": "10", "MaxErrors": "5", "Name": "TestAutomation_Task", "Description": "TestAutomation_Task description"}

Demonstração: Listar informações sobre Janela de manutençãosEsta seção inclui comandos para ajudá-lo a atualizar ou obter informações sobre Janela de manutençãos,tarefas, execuções e invocações.

Listar todas as Janela de manutençãos em sua conta da AWS

Execute o comando conforme mostrado aqui.

aws ssm describe-maintenance-windows


{ "WindowIdentities":[ { "Duration":2, "Cutoff":0, "WindowId":"mw-ab12cd34ef56gh78", "Enabled":true, "Name":"IAD-Every-15-Minutes" }, { "Duration":4, "Cutoff":1, "WindowId":"mw-1a2b3c4d5e6f7g8h9", "Enabled":true, "Name":"My-First-Maintenance-Window" }, { "Duration":8, "Cutoff":2, "WindowId":"mw-123abc456def789", "Enabled":false, "Name":"Every-Day" } ]}

Listar todas as Janela de manutençãos ativadas


330


aws ssm describe-maintenance-windows --filters "Key=Enabled,Values=true"


{ "WindowIdentities":[ { "Duration":2, "Cutoff":0, "WindowId":"mw-ab12cd34ef56gh78", "Enabled":true, "Name":"IAD-Every-15-Minutes" }, { "Duration":4, "Cutoff":1, "WindowId":"mw-1a2b3c4d5e6f7g8h9", "Enabled":true, "Name":"My-First-Maintenance-Window" } ]}

Listar todas as Janela de manutençãos desativadas


aws ssm describe-maintenance-windows --filters "Key=Enabled,Values=false"


{ "WindowIdentities":[ { "Duration":8, "Cutoff":2, "WindowId":"mw-1a2b3c4d5e6f7g8h9", "Enabled":false, "Name":"Every-Day" } ]}

Filtrar por nome

Neste exemplo, o comando retorna todas as Janela de manutençãos com um nome que começa com 'My'.

aws ssm describe-maintenance-windows --filters "Key=Name,Values=My"


{ "WindowIdentities":[ { "Duration":4, "Cutoff":1, "WindowId":"mw-1a2b3c4d5e6f7g8h9", "Enabled":true, "Name":"My-First-Maintenance-Window" }

331


]}

Como exibir os destinos de uma Janela de manutenção correspondentes a um valor específico deinformação do proprietário


aws ssm describe-maintenance-window-targets --window-id "mw-ab12cd34ef56gh78" --filters "Key=OwnerInformation,Values=Single instance"


{ "Targets":[ { "TargetType":"INSTANCE", "TagFilters":[

], "TargetIds":[ "i-1a2b3c4d5e6f7g8h9" ], "WindowTargetId":"1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d-1a2", "OwnerInformation":"Single instance" } ]}

Mostrar todas as tarefas registradas que invocam o Run Command AWS-RunPowerShellScript


aws ssm describe-maintenance-window-tasks --window-id "mw-ab12cd34ef56gh78" --filters "Key=TaskArn,Values=AWS-RunPowerShellScript"


{ "Tasks":[ { "ServiceRoleArn":"arn:aws:iam::444444444444:role/MW-Role", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "WindowTaskId":"1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6c", "TaskParameters":{ "commands":{ "Values":[ "driverquery.exe" ] } }, "Priority":3, "Type":"RUN_COMMAND", "Targets":[ { "TaskTargetId":"i-1a2b3c4d5e6f7g8h9", "TaskTargetType":"INSTANCE" } ]

332


}, { "ServiceRoleArn":"arn:aws:iam::333333333333:role/MW-Role", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "WindowTaskId":"33333-33333-333-33333", "TaskParameters":{ "commands":{ "Values":[ "ipconfig.exe" ] } }, "Priority":1, "Type":"RUN_COMMAND", "Targets":[ { "TaskTargetId":"44444-444-4444-444444", "TaskTargetType":"WINDOW_TARGET" } ] } ]}

Mostrar todas as tarefas registradas que têm uma prioridade de 3


aws ssm describe-maintenance-window-tasks --window-id "mw-ab12cd34ef56gh78" --filters "Key=Priority,Values=3"


{ "Tasks":[ { "ServiceRoleArn":"arn:aws:iam::222222222:role/MW-Role", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "WindowTaskId":"333333-333-33333-33333", "TaskParameters":{ "commands":{ "Values":[ "driverquery.exe" ] } }, "Priority":3, "Type":"RUN_COMMAND", "Targets":[ { "TaskTargetId":"i-1a2b3c4d5e6f7g8h9", "TaskTargetType":"INSTANCE" } ] } ]}

Mostrar todas as tarefas registradas que têm uma prioridade de 1 e usam o Run Command

333



aws ssm describe-maintenance-window-tasks --window-id "mw-ab12cd34ef56gh78" --filters "Key=Priority,Values=1" "Key=TaskType,Values=RUN_COMMAND"


{ "Tasks":[ { "ServiceRoleArn":"arn:aws:iam::333333333:role/MW-Role", "MaxErrors":"1", "TaskArn":"AWS-RunPowerShellScript", "MaxConcurrency":"1", "WindowTaskId":"66666-555-66-555-6666", "TaskParameters":{ "commands":{ "Values":[ "ipconfig.exe" ] } }, "Priority":1, "Type":"RUN_COMMAND", "Targets":[ { "TaskTargetId":"777-77-777-7777777", "TaskTargetType":"WINDOW_TARGET" } ] } ]}

Listar todas as tarefas executadas antes de uma data


aws ssm describe-maintenance-window-executions --window-id "mw-ab12cd34ef56gh78" --filters "Key=ExecutedBefore,Values=2016-11-04T05:00:00Z"


{ "WindowExecutions":[ { "Status":"SUCCESS", "EndTime":1478229594.666, "WindowExecutionId":"", "StartTime":1478229594.666 }, { "Status":"SUCCESS", "WindowExecutionId":"06dc5f8a-9ef0-4ae9-a466-ada2d4ce2d22", "StartTime":1478230495.469 }, { "Status":"SUCCESS", "WindowExecutionId":"57ad6419-023e-44b0-a831-6687334390b2", "StartTime":1478231395.677 }, {

334

AWS Systems Manager Guia do usuárioState Manager

"Status":"SUCCESS", "WindowExecutionId":"ed1372b7-866b-4d64-bc2a-bbfd5195f4ae", "StartTime":1478232295.529 }, { "Status":"SUCCESS", "WindowExecutionId":"154eb2fa-6390-4cb7-8c9e-55686b88c7b3", "StartTime":1478233195.687 }, { "Status":"SUCCESS", "WindowExecutionId":"1c4de752-eff6-4778-b477-1681c6c03cf1", "StartTime":1478234095.553 }, { "Status":"SUCCESS", "WindowExecutionId":"56062f75-e4d8-483f-b5c2-906d613409a4", "StartTime":1478234995.12 } ]}

Listar todas as tarefas executadas depois de uma data


aws ssm describe-maintenance-window-executions --window-id "mw-ab12cd34ef56gh78" --filters "Key=ExecutedAfter,Values=2016-11-04T17:00:00Z"


{ "WindowExecutions":[ { "Status":"SUCCESS", "WindowExecutionId":"33333-4444-444-5555555", "StartTime":1478279095.042 }, { "Status":"SUCCESS", "WindowExecutionId":"55555-6666-6666-777777", "StartTime":1478279994.958 }, { "Status":"SUCCESS", "WindowExecutionId":"8888-888-888-888888", "StartTime":1478280895.149 } ]}

State Manager do AWS Systems ManagerO State Manager do AWS Systems Manager é um serviço seguro e escalável de gerenciamento deconfiguração que automatiza o processo de manter a infraestrutura do Amazon EC2 e a híbrida em umestado definido por você.

Algumas das tarefas que podem ser automatizadas usando o State Manager, para ser executado emprogramações que você especifica, incluem:

335

AWS Systems Manager Guia do usuárioState Manager

• Fazer o bootstrap de instâncias com softwares específicos na inicialização• Fazer download e atualizar agentes em uma programação definida, incluindo o Agente do SSM• Definir configurações de rede• Ingressar instâncias em um domínio do Windows (somente instâncias do Windows)• Aplicar patch a instâncias com atualizações de software ao longo do seu ciclo de vida• Executar scripts em instâncias gerenciadas pelo Linux e Windows ao longo do ciclo de vida

O State Manager integra-se ao AWS CloudTrail para fornecer um registro de todas as execuções que vocêpode auditar e ao Amazon CloudWatch Events para acompanhar alterações de estado. Você pode optartambém por armazenar e visualizar uma saída de comando detalhada no Amazon S3.

Conceitos básicos do State Manager

Para começar a usar o State Manager, execute as tarefas descritas na tabela a seguir.


Atualize o Agente do SSM em suas instânciasgerenciadas para a versão mais recente

Instalar e configurar o Agente do SSM (p. 19)

Verifique os pré-requisitos do Systems Manager Pré-requisitos do Systems Manager (p. 8)

Escolha um documento predefinido do tipocomando ou política da AWS e especifique osparâmetros em tempo de execução.

-ou-

Crie um documento que defina as ações a seremexecutadas em suas instâncias.

Criar documentos do Systems Manager (p. 358)

Crie e aplique a associação às suas instâncias Como criar uma associação (console) (p. 340)


Consulte as seguintes publicações de blog para obter outros exemplos de como usar o State Manager:

• Combater o deslocamento usando o Amazon EC2 Systems Manager e o DSC do Windows PowerShell• Execução de playbooks do Ansible usando o Executar comando e State Manager do Amazon EC2

Systems Manager• Configuração de instâncias do Amazon EC2 em um grupo de Auto Scaling usando o State Manager

Tópicos• Sobre o State Manager (p. 337)• Documentos de exemplo do State Manager (p. 338)• Como trabalhar com associações no Systems Manager (p. 339)• Demonstrações do State Manager do Systems Manager (p. 345)

336

https://aws.amazon.com/blogs/mt/combating-configuration-drift-using-amazon-ec2-systems-manager-and-windows-powershell-dsc/

https://aws.amazon.com/blogs/mt/running-ansible-playbooks-using-ec2-systems-manager-run-command-and-state-manager/

https://aws.amazon.com/blogs/mt/running-ansible-playbooks-using-ec2-systems-manager-run-command-and-state-manager/

https://aws.amazon.com/blogs/mt/configure-amazon-ec2-instances-in-an-auto-scaling-group-using-state-manager/

AWS Systems Manager Guia do usuárioSobre o State Manager

Sobre o State ManagerO State Manager do Systems Manager é um serviço seguro e escalável de gerenciamento de configuraçãoque garante que a infraestrutura do Amazon EC2 e a híbrida estejam em um estado pretendido ouconsistente definido por você.

O State Manager funciona da seguinte maneira:

1. Você determina o estado que deseja aplicar às instâncias gerenciadas.

Por exemplo, determine os aplicativos para fazer bootstrap ou as configurações de rede a seremdefinidas. Você pode especificar os detalhes do estado como parâmetros em tempo de execuçãousando um documento da AWS pré-configurado. Ou você pode criar seu próprio documento eespecificar o estado diretamente no documento ou como parâmetro em tempo de execução. Essesdocumentos, escritos em JSON ou YAML, são chamados documentos do SSM.

Um documento do SSM pode incluir várias ações ou etapas (por exemplo, vários comandos a seremexecutados). Os dois tipos de documento do SSM que o State Manager usa são documentos decomando e documentos de política. Para obter mais informações sobre documentos do SSM, consulteDocumentos do AWS Systems Manager (p. 349).

2. Especifique um cronograma para quando ou com que frequência aplicar o estado. Você podeespecificar uma expressão cron ou rate.

3. Especifique os destinos para o estado.

Você pode especificar as instâncias gerenciadas de destino (instâncias do Amazon EC2 ou máquinasno seu ambiente híbrido que estão configuradas para o Systems Manager.) É possível especificar asinstâncias de destino indicando um ou mais IDs de instância, ou indicando grandes grupos de instânciasgerenciadas ao especificar as tags do EC2. Usando a AWS CLI, o AWS Tools for Windows PowerShellou o SDK do Systems Manager, você pode identificar destinos especificando várias tags.

4. Você vincula essas informações (programação, destinos, documentos, parâmetros) às instânciasgerenciadas.

A associação dessas informações aos destinos é referida como criação de associação. Você pode criaruma associação usando o console do Amazon EC2, a AWS CLI, o AWS Tools for Windows PowerShellou SDKs da AWS.

5. Assim que você envia a solicitação para criar uma associação, o status da associação torna-se"Pending". O sistema tenta acessar todos os destinos e aplicar imediatamente o estado especificado naassociação.

Note

Se criar uma nova associação programada para execução enquanto uma associação anteriorainda estiver em execução, a associação anterior atingirá o tempo limite e a nova seráexecutada.

6. O Systems Manager informa o status da solicitação para cada instância direcionada pela solicitação.

Você pode visualizar detalhes de status por meio do console do EC2 ou da ação de APIDescribeInstanceAssociationsStatus. Se você optar por gravar a saída do comando para o S3 ao criaruma associação, também poderá visualizar a saída no bucket do Amazon S3 que você especificar.

7. Assim que você cria a associação, o State Manager reaplica o estado de acordo com a programaçãodefinida na associação.

Você pode atualizar seus documentos de associação e reaplicá-los conforme necessário. Você podecriar também várias versões de uma associação.

337

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceAssociationsStatus.html

AWS Systems Manager Guia do usuárioDocumentos de exemplo do State Manager

Documentos de exemplo do State ManagerEsta seção inclui exemplos de documento do State Manager. Por motivo de demonstração, essesexemplos são propositalmente simples. Para obter mais informações sobre como criar documentospersonalizados, consulte Documentos do AWS Systems Manager (p. 349).

Exemplo 1: obter o nome da instância usando o plug-in "aws: runPowerShellScript"

O documento a seguir inclui uma etapa que invoca o plug-in aws:runPowerShellScript pararetornar o nome do host da instância. Esse documento pode ser executado em instâncias do Windowse Linux. Para obter mais informações sobre plug-ins do Systems Manager, consulte Elementos de nívelsuperior (p. 375).

{ "schemaVersion":"2.2", "description":"Sample document", "mainSteps":[ { "action":"aws:runPowerShellScript", "name":"runPowerShellScript", "inputs":{ "runCommand":[ "hostname" ] } } ]}

Exemplo 2: obter o nome da instância usando o plug-in "aws:runShellScript"

O documento a seguir inclui uma etapa que invoca o plug-in aws:runShellScript para retornar o nomedo host da instância. Esse documento pode ser executado somente em instâncias do Linux.

{ "schemaVersion":"2.2", "description":"Sample document", "mainSteps":[ { "action":"aws:runShellScript", "name":"runShellScript", "inputs":{ "runCommand":[ "hostname" ] } } ]}

Exemplo 3: ativar o CloudWatch Logs usando o plug-in "aws: cloudWatch"

O documento a seguir inclui uma etapa que invoca o plug-in aws:cloudWatch para ativar o AmazonCloudWatch Logs. Esse documento pode ser executado somente em instâncias do Windows.

{ "schemaVersion":"2.2", "description":"Sample document", "mainSteps":[

338

AWS Systems Manager Guia do usuárioComo trabalhar com associações

{ "action":"aws:cloudWatch", "name":"cloudWatch", "settings":{ "startType":"Enabled" } } ]}

Exemplo 4: obter o nome da instância usando os plug-ins "aws: runPowerShellScript" e"aws:runShellScript"

O documento a seguir inclui duas etapas que invocam os plug-ins aws:runPowerShellScript eaws:runShellScript para retornar o nome do host da instância. Esse documento pode ser executadosomente em instâncias do Linux.

{ "schemaVersion":"2.2", "description":"Sample document", "mainSteps":[ { "action":"aws:runPowerShellScript", "name":"runPowerShellScript", "inputs":{ "runCommand":[ "hostname" ] } }, { "action":"aws:runShellScript", "name":"runShellScript", "inputs":{ "runCommand":[ "hostname" ] } } ]}

Como trabalhar com associações no SystemsManagerNo State Manager, a associação resulta da vinculação entre as informações de configuração que definemo estado em que você deseja que suas instâncias estejam e as instâncias em si. Essas informaçõesespecificam quando e como você deseja que sejam executadas operações relacionadas à instância quegarantam que a infraestrutura do Amazon EC2 e a híbrida estão em um estado pretendido ou consistente.

Use os tópicos a seguir para ajudá-lo a criar e gerenciar associações no State Manager.

Tópicos• Como criar uma associação (console) (p. 340)• Como editar e criar uma nova versão de uma associação (console) (p. 341)• Como criar uma associação usando o parâmetro "Targets" (CLI) (p. 342)• Visualização de históricos de associação (p. 342)

339


Como criar uma associação (console)Esta seção descreve como criar uma associação do State Manager usando o console do AmazonEC2. O exemplo nesta seção mostra como criar uma associação com base em um documento do SSMpersonalizado. Se esta for a primeira vez que você está criando uma associação, convém executar esteprocedimento em um ambiente de teste. Para obter um exemplo de como criar uma associação usando aAWS CLI, consulte Demonstração: atualizar automaticamente o Agente do SSM (CLI) (p. 346).

Antes de começar

Antes de concluir o procedimento a seguir, verifique se você possui pelo menos uma instância emexecução configurada para o Systems Manager. Para obter mais informações, consulte Pré-requisitos doSystems Manager (p. 8).

Para criar uma associação do State Manager


-ou-


3. Escolha Create Document.4. No campo Name, digite um nome descritivo que identifique esse documento como um documento de

teste para o State Manager.5. Na lista Document type, escolha Command document.6. Na área Content:

• Selecione o botão ao lado de JSON.• Exclua as chaves pré-preenchidas {} no campo Content e, em seguida, copie e cole o documento de

exemplo a seguir no campo Content.

Esse documento inclui uma etapa que invoca o plug-in aws:runPowerShellScript para retornar onome do host da instância. Esse documento pode ser executado em instâncias do Windows.

{ "schemaVersion":"2.0", "description":"Sample document", "mainSteps":[ { "action":"aws:runPowerShellScript", "name":"runPowerShellScript", "inputs":{ "runCommand":[ "hostname" ] } } ]}

7. No painel de navegação, escolha State Manager.8. Escolha Create association.9. Na caixa Name, digite um nome descritivo para essa associação. Por exemplo, chame a associação

de TestHostnameAssociation.10. Na list Command document, escolha o documento que você acabou de criar.11. Na lista Document version, deixe o valor padrão.

340



12. Desconsidere a seção Parameters, pois o documento de teste não usa parâmetros.13. Na seção Targets, identifique as instâncias em que você deseja executar essa operação

especificando tags ou selecionando instâncias manualmente.Note




Note



15. Desconsidere a seção Output options. A ativação do armazenamento de saída de comando em umbucket do S3 é descrita no próximo procedimento, Como editar e criar uma nova versão de umaassociação (console) (p. 341).

16. Escolha Create association. O sistema tenta criar a associação na instância e aplicar imediatamente oestado. Nesse caso, depois de criar a associação, o sistema tenta retornar o nome do host. O statusda associação mostra Pending.

17. Escolha o botão Atualizar do navegador. O status muda para Success.

Você não pode visualizar o resultado desse procedimento (o nome da instância) porque ele é gravado noAmazon S3.

Para obter informações sobre como editar uma associação, gravar a saída em um bucket do Amazon S3 evisualizar o nome da instância, consulte o próximo procedimento, Como editar e criar uma nova versão deuma associação (console) (p. 341).

Como editar e criar uma nova versão de uma associação(console)Você pode editar uma associação para especificar um novo nome, agendamento ou destinos. Vocêpode também optar por gravar a saída do comando em um bucket do Amazon S3. Depois de editar umaassociação, o Systems Manager cria uma nova versão. Você pode visualizar diferentes versões após aedição, conforme descrito no procedimento a seguir.

Note

Esse procedimento exige que você tenha acesso de gravação a um bucket do S3 existente.Se você nunca usou o S3 antes, não será cobrado por alterações pelo uso do S3. Para obterinformações sobre como criar um bucket, consulte Criar um bucket.

Para editar uma associação do State Manager

1. No painel de navegação, escolha State Manager.

-ou-

341




2. Escolha a associação que você criou no procedimento anterior e, em seguida, Edit.3. No campo Name, digite um novo nome. Por exemplo, digite TestHostnameAssociation2.4. Na seção Specify schedule, escolha uma nova opção. Por exemplo, escolha CRON schedule builder e

depois Every 1 hour.5. (Opcional) Para gravar a saída do comando em um bucket do Amazon S3, faça o seguinte na seção

Output options:

• Escolha Enable writing output to S3.• No campo S3 bucket name, digite o nome de um bucket do S3 ao qual você tem acesso de

gravação.• (Opcional) Para gravar a saída em uma pasta no bucket, digite seu nome no campo S3 key prefix.

Se não houver uma pasta com o nome especificado, o State Manager criará para você.6. Escolha Edit association.7. Na página Associations, escolha o nome da associação que você acabou de editar e depois Versions.

O sistema lista cada versão da associação que você criou e editou.8. Open the Amazon S3 console at https://console.aws.amazon.com/s3/.9. Escolha o nome do bucket do S3 que você especificou para armazenamento da saída de comando e,

em seguida, escolha a pasta denominada com o ID da instância que executou a associação. (Se tiveroptado por armazenar a saída em uma pasta no bucket, abra-a primeiro.)

10. Desça vários níveis na hierarquia da pasta awsrunPowerShell, até o arquivo stdout.11. Escolha Open ou Download para visualizar o nome do host.

Como criar uma associação usando o parâmetro "Targets" (CLI)Você pode criar associações em dezenas, centenas ou milhares de instâncias usando o parâmetrotargets. O parâmetro targets aceita uma combinação Key,Value baseada em tags do Amazon EC2que você especificou para suas instâncias. Quando você executa a solicitação para criar a associação,o sistema localiza e tenta criar a associação em todas as instâncias que correspondem aos critériosespecificados. Para obter mais informações sobre o parâmetro targets, consulte, Enviar comandos parauma frota (p. 229). Para obter mais informações sobre tags do Amazon EC2, consulte Como marcar seusrecursos do Amazon EC2 no Guia do usuário do Amazon EC2.

Os seguintes exemplos da AWS CLI mostram como usar o parâmetro targets ao criar associações.

aws ssm create-association --targets Key=tag:TagKey,Values=TagValue --name AWS-UpdateSSMAgent --schedule "cron(0 0 2 ? * SUN *)"

Criar uma associação para uma instância gerenciada chamada "ws-0123456789012345"

aws ssm create-association --association-name value --targets Key=Instance Ids,Values=ws-0123456789 --name AWS-UpdateSSMAgent --schedule "cron(0 0 2 ? * SUN *)"

Note

Se você remover uma instância de um grupo marcado associado a um documento, a instânciaserá dissociada desse documento.

Visualização de históricos de associaçãoVocê pode visualizar todas as execuções de determinado ID de associação usando a ação de APIDescribeAssociationExecutions. Esta ação permite que você veja rapidamente o status, status detalhado,

342




https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutions.html


resultados, tempo de execução mais recente e outras informações sobre uma associação de StateManager. Essa ação de API também inclui filtros para ajudá-lo a localizar rapidamente as associações deacordo com os critérios que você especifica. Por exemplo, você pode especificar uma data e hora e usar ofiltro GREATER_THAN para visualizar somente as execuções que foram processadas após a data e a horaespecificadas.

Se, por exemplo, uma execução de associação falhou, você pode analisar os detalhes de determinadaexecução usando a ação de API DescribeAssociationExecutionTargets. Essa ação mostra os recursos,como IDs de instância, nos quais a associação executou e os vários status de associação. Você pode,então, ver rapidamente qual recurso ou instância não conseguiu executar uma associação. Com o ID dorecurso, você pode visualizar os detalhes da execução do comando para ver exatamente qual etapa falhouem um comando.

Os exemplos desta seção também incluem informações sobre como usar a ação de APIStartAssociationsOnce para executar uma associação imediatamente, e apenas uma vez. Você pode usaressa ação de API quando investiga execuções de associação com falha. Se você vir que uma associaçãofalhou, poderá fazer uma alteração no recurso e, em seguida, executar imediatamente a associação paraver se a alteração no recurso faz com que a associação seja executada com êxito.

Visualizar o histórico de associação usando o console do Systems Manager

Use o seguinte procedimento para visualizar o histórico de execução de determinado ID de associação e,em seguida, visualizar os detalhes da execução de um ou mais recursos.

Para visualizar o histórico de execução de determinado ID de associação

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. Escolha State Manager.3. No campo Association id (ID da associação), escolha uma associação cujo histórico você deseja

visualizar.4. Escolha o botão View details (Visualizar detalhes).5. Escolha a guia Execution history (Histórico de execução).6. Escolha uma associação da qual você deseja visualizar os detalhes da execução no nível de recurso.

Por exemplo, escolha uma associação que mostra um status de Failed (Com falha). Em seguida, vocêpode visualizar os detalhes de execução das instâncias que não conseguiram executar a associação.

Note

Use os filtros da caixa de pesquisa para localizar a execução cujos detalhes você desejavisualizar.

7. Escolha um ID de execução. A página Association execution targets (Destinos de execução daassociação) é aberta. Essa página mostra todos os recursos que executaram a associação.

8. Escolha um ID de recurso para visualizar as informações específicas sobre esse recurso.

Note

Use os filtros da caixa de pesquisa para localizar o recurso cujos detalhes você desejavisualizar.

9. Se você está investigando uma associação que não foi executada, pode usar o botão Applyassociation now (Aplicar associação agora) para executar uma associação imediatamente, e apenasuma vez. Depois que você fizer alterações no recurso que não conseguiu executar a associação,escolha o link Association ID (ID da associação) na navegação estruturada.

343

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutionTargets.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAssociationsOnce.html



10. Escolha o botão Apply association now (Aplicar associação agora). Após a execução ser concluída,verifique se a execução da associação foi bem-sucedida.

Visualizar o histórico de associação usando a AWS CLI

Use o seguinte procedimento para visualizar o histórico de execução de determinado ID de associação e,em seguida, visualizar os detalhes da execução de um ou mais recursos.

Para visualizar o histórico de execução de determinado ID de associação

1. Faça download da versão mais recente da AWS CLI para sua máquina local.2. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região.

aws configure



3. Execute o comando a seguir para visualizar uma lista de execuções para determinado ID deassociação. Esse comando inclui um filtro para limitar os resultados somente para as execuçõesque ocorreram após uma data e hora específicas. Se você deseja visualizar todas as execuções dedeterminado ID de associação, remova o --filter parameter.

aws ssm describe-association-executions --association-id ID --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN


{ "AssociationExecutions":[ { "Status":"Success", "DetailedStatus":"Success", "AssociationId":"12345-abcdef-6789-ghij", "ExecutionId":"abcde-12345-fghi-6789", "CreatedTime":1523986028.219, "AssociationVersion":"1" }, { "Status":"Success", "DetailedStatus":"Success", "AssociationId":"12345-abcdef-6789-ghij", "ExecutionId":"zzzz-333-xxxx-4444", "CreatedTime":1523984226.074, "AssociationVersion":"1" }, { "Status":"Success", "DetailedStatus":"Success", "AssociationId":"12345-abcdef-6789-ghij", "ExecutionId":"4545-a4a4a4-3636", "CreatedTime":1523982404.013, "AssociationVersion":"1" } ]

344


AWS Systems Manager Guia do usuárioDemonstrações do State Manager

}

Você pode limitar os resultados usando um ou mais filtros. O exemplo a seguir retorna todas asassociações que foram executadas antes de uma data e hora específicas.

aws ssm describe-association-executions --association-id ID --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=LESS_THAN

O exemplo a seguir retorna todas as associações que foram executadas com êxito após uma data ehora específicas.

aws ssm describe-association-executions --association-id ID --filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN Key=Status,Value=Success,Type=EQUAL

4. Execute o seguinte comando para visualizar todos os destinos em que determinada execução foirealizada.

aws ssm describe-association-execution-targets --association-id ID --execution-id ID

Você pode limitar os resultados usando um ou mais filtros. O exemplo a seguir retorna informaçõessobre todos os destinos em que a associação não foi executada.

aws ssm describe-association-execution-targets --association-id ID --execution-id ID --filters Key=Status,Value="Failed"

O exemplo a seguir retorna informações sobre determinada instância gerenciada em que umaassociação não foi executada.

aws ssm describe-association-execution-targets --association-id ID --execution-id ID --filters Key=Status,Value=Failed Key=ResourceId,Value="instance ID" Key=ResourceType,Value=ManagedInstance

5. Se você está investigando uma associação que não foi executada, pode usar a ação de APIStartAssociationsOnce para executar uma associação imediatamente, e apenas uma vez. Depois defazer alterações no recurso no qual a associação não foi executada, execute o seguinte comando paraexecutar a associação imediatamente e apenas uma vez.

aws ssm start-associations-once --association-id ID

Demonstrações do State Manager do SystemsManagerAs demonstrações a seguir mostram como criar e configurar associações do State Manager usandoo console do Amazon EC2 ou a AWS CLI. Essas demonstrações mostram também como executarautomaticamente tarefas administrativas comuns usando o State Manager.

Tópicos• Demonstração: atualizar automaticamente o Agente do SSM (CLI) (p. 346)• Demonstração: atualizar automaticamente drivers do PV em instâncias Windows do EC2

(console) (p. 347)

345

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAssociationsOnce.html


Demonstração: atualizar automaticamente o Agente do SSM(CLI)O procedimento a seguir demonstra o processo de criação de uma associação do State Manager usandoa AWS Command Line Interface (AWS CLI). A associação atualiza automaticamente o Agente do SSM deacordo com uma programação que você especifica. Para obter mais informações sobre o Agente do SSM,consulte Instalar e configurar o Agente do SSM (p. 19).

Para visualizar detalhes sobre as diferentes versões do Agente do SSM, consulte as notas de release.

Antes de começar

Antes de concluir o procedimento a seguir, verifique se você possui pelo menos uma instância doAmazon EC2 em execução (Linux ou Windows) configurada para o Systems Manager. Para obter maisinformações, consulte Pré-requisitos do Systems Manager (p. 8).

Para criar uma associação para atualizar automaticamente o Agente do SSM



aws configure



3. Execute o seguinte comando para criar uma associação especificando instâncias de destino como uso de tags do Amazon EC2. O parâmetro Schedule define um agendamento para executar aassociação todos os domingos de manhã às 2h (UTC).

aws ssm create-association --targets Key=tag:TagKey,Values=TagValue --name AWS-UpdateSSMAgent --schedule-expression "cron(0 0 2 ? * SUN *)"

Note

As associações do State Manager, não comportam todas as expressões cron e rate. Paraobter mais informações sobre como criar expressões cron e rate para associações, consulteReferência: expressões cron e rate para Systems Manager (p. 497).

Se você quiser, também poderá especificar várias instâncias de destino indicando os IDs de instânciasem uma lista separada por vírgulas.

aws ssm create-association --targets Key=instanceids,Values=InstanceID,InstanceID,InstanceID --name your document name --schedule-expression "cron(0 0 2 ? * SUN *)"


{ "AssociationDescription": {

346




"ScheduleExpression": "cron(0 0 2 ? * SUN *)", "Name": "AWS-UpdateSSMAgent", "Overview": { "Status": "Pending", "DetailedStatus": "Creating" }, "AssociationId": "123..............", "DocumentVersion": "$DEFAULT", "LastUpdateAssociationDate": 1504034257.98, "Date": 1504034257.98, "AssociationVersion": "1", "Targets": [ { "Values": [ "TagValue" ], "Key": "tag:TagKey" } ] }}

O sistema tenta criar a associação na(s) instância(s) e aplicar imediatamente o estado. O status daassociação mostra Pending.

4. Execute o comando a seguir para visualizar um status atualizado da associação que você acabou decriar.

aws ssm list-associations

Note

Se suas instâncias estiverem executando a versão mais recente do Agente do SSM, o statusmostrará Failed. Esse comportamento é esperado. Quando uma nova versão do Agentedo SSM é publicada, a associação instala automaticamente o novo agente e o status mostraSuccess.

Demonstração: atualizar automaticamente drivers do PV eminstâncias Windows do EC2 (console)As AMIs Windows da Amazon contêm um conjunto de drivers para permitir acesso ao hardwarevirtualizado. Esses drivers são usados pelo Amazon EC2 para mapear armazenamento de instânciase volumes do Amazon EBS para seus dispositivos. Recomendamos que você instale os drivers maisrecentes para melhorar a estabilidade e o desempenho de suas instâncias do EC2 Windows. Para obtermais informações sobre drivers do PV, consulte Drivers do PV da AWS.

A demonstração a seguir mostra como configurar uma associação do State Manager para fazer downloade instalar automaticamente novos drivers do PV da AWS quando eles estiverem disponíveis.

Antes de começar

Antes de concluir o procedimento a seguir, verifique se você possui pelo menos uma instância do AmazonEC2 Windows em execução configurada para o Systems Manager. Para obter mais informações, consultePré-requisitos do Systems Manager (p. 8).

Note


347

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/xen-drivers-overview.html#xen-driver-awspv



Para criar uma associação do State Manager que atualiza automaticamente os drivers do PV

1. Abra o console do Amazon EC2, expanda Systems Manager Services no painel de navegação eescolha State Manager.

2. Escolha Create Association.3. No campo Association Name, digite um nome descritivo.4. Na lista Select Document, escolha AWS-ConfigureAWSPackage.5. Na seção Select Targets by, escolha uma opção.

Note

Se você optar por especificar instâncias de destino usando tags e especificar tags quesão mapeadas para instâncias do Linux, a associação será bem-sucedida na instância doWindows, mas falhará nas instâncias do Linux. O status geral da associação mostra Failed.

6. Na seção Schedule, escolha uma opção. Os drivers do PV atualizados só são lançados algumasvezes por ano. Por isso, você pode agendar a associação para ser executada uma vez por mês, sedesejar.

7. Na seção Parameters, escolha Install na lista Action.8. Na lista Name, escolha AWSPVDriver. Você pode deixar o campo Version vazio.9. Na seção Advanced, escolha Write to S3 se quiser gravar detalhes da associação em um bucket do

Amazon S3.10. Ignore o campo S3Region. Este campo está obsoleto. Especifique o nome do seu bucket no campo

S3Bucket Name. Se quiser gravar a saída em uma subpasta, especifique o nome da subpasta nocampo S3Key Prefix.

11. Escolha Create Association e depois Close. O sistema tenta criar a associação na(s) instância(s) eaplicar imediatamente o estado. O status da associação mostra Pending.

12. No canto direito da página Association, escolha o botão de atualização. Se você criou a associaçãoem uma ou mais instâncias do EC2 para Windows, o status mudará para Success. Se as suasinstâncias não estiverem configuradas corretamente para o Systems Manager ou se você tiverinadvertidamente especificado instâncias de destino do Linux, o status mostrará Failed.

13. Se o status for Failed, escolha a guia Instances e verifique se a associação foi criada com êxito nassuas instâncias do EC2 para Windows. Se as instâncias do Windows mostrarem o status Failed(Falhou), verifique se o Agente do SSM está sendo executado na instância e se a instância estáconfigurada com uma função do IAM para o Systems Manager. Para obter mais informações, consultePré-requisitos do Systems Manager (p. 8).

348


AWS Systems Manager Guia do usuárioInstâncias gerenciadas

Recursos compartilhados do AWSSystems Manager

O Systems Manager usa os recursos compartilhados a seguir para gerenciamento e configuração derecursos da AWS.

Tópicos• Instâncias gerenciados do AWS Systems Manager (p. 349)• Ativações do AWS Systems Manager (p. 349)• Documentos do AWS Systems Manager (p. 349)• Parameter Store do AWS Systems Manager (p. 427)

Instâncias gerenciados do AWS Systems ManagerInstância gerenciada é qualquer máquina configurada para o AWS Systems Manager. Você podeconfigurar instâncias do Amazon EC2 ou máquinas locais em um ambiente híbrido como instânciasgerenciadas. O Systems Manager comporta várias distribuições do Linux, incluindo dispositivos RaspberryPi e Microsoft Windows.

No console, qualquer máquina com o prefixo "mi-" é uma instância gerenciada – servidor local ou máquinavirtual (VM).

Para obter informações sobre pré-requisitos do Systems Manager, consulte Pré-requisitos do SystemsManager (p. 8). Para obter informações sobre configuração de servidores locais e VMs como instânciasgerenciadas, consulte Configuração do AWS Systems Manager em ambientes híbridos (p. 39).

Note

O Systems Manager requer referências de tempo precisas para realizar suas operações. Se adata e a hora da instância não estiverem definidas corretamente, talvez elas não correspondam àdata de assinatura das solicitações da API. Para obter mais informações, consulte Casos de uso emelhores práticas (p. 503).

Ativações do AWS Systems ManagerPara configurar servidores e máquinas virtuais (VMs) em seu ambiente híbrido como instânciasgerenciadas, você precisa criar uma ativação de instância gerenciada. Depois de concluir a ativação, vocêreceberá um código de ativação e um ID. Essa combinação de código/ID funciona como um ID de acessoe uma chave secreta do Amazon EC2 para fornecer acesso seguro ao serviço Systems Manager nassuas instâncias gerenciadas. Para obter informações sobre configuração de servidores locais e VMs comoinstâncias gerenciadas, consulte Configuração do AWS Systems Manager em ambientes híbridos (p. 39).

Documentos do AWS Systems ManagerUm documento do AWS Systems Manager (documento do SSM) define as ações que o Systems Managerexecuta em suas instâncias gerenciadas. O Systems Manager inclui mais de uma dúzia de documentos

349

AWS Systems Manager Guia do usuárioDocumentos

pré-configurados, que você pode usar especificando parâmetros em tempo de execução. Os documentosusam JSON (JavaScript Object Notation) ou YAML e incluem etapas e parâmetros especificados por você.

Tipos de documento do SSM

A tabela a seguir descreve os diferentes tipos de documentos do SSM.

Type Use com Detalhes

Documento de comando Executar comando (p. 213)

State Manager (p. 335)

O Executar comando usadocumentos de comando paraexecutar comandos. O StateManager usa documentos decomando para aplicar umaconfiguração. Essas açõespodem ser executadas em um oumais destinos em qualquer pontodurante o ciclo de vida de umainstância.

Documento de política State Manager (p. 335) Os documentos de políticaimpõem uma política aos seusdestinos. Se um documento depolítica for removido, a açãodessa política (por exemplo,coleta de inventário) não serámais aplicada.

Documento de automação Automação (p. 132) Use documentos de automaçãoao realizar tarefas comuns demanutenção e implantação,como criar ou atualizar umaimagem de máquina da Amazon(AMI).

Versões e execução de documentos do SSM

Você pode criar e salvar diferentes versões de documentos. Em seguida, pode especificar uma versãopadrão para cada documento. A versão padrão de um documento pode ser atualizada para uma versãomais recente ou revertida para uma mais antiga. Quando você altera o conteúdo de um documento, oSystems Manager incrementa automaticamente a versão do documento. Você pode recuperar e usarversões anteriores de um documento.

Personalizar um documento

Se quiser personalizar as etapas e ações em um documento, você pode criar seu próprio. Na primeira vezque você usa um documento para realizar uma ação em uma instância, o sistema armazena o documentocom a sua conta da AWS. Para obter mais informações sobre como criar um documento do SystemsManager, consulte Criar documentos do Systems Manager (p. 358).

Marcar um documento

Você pode atribuir uma tag aos seus documentos para ajudá-lo a identificar rapidamente um ou maisdocumentos de acordo com as tags que tiver atribuído a eles. Por exemplo, você pode marcar documentospara ambientes, departamentos, usuários, grupos ou períodos específicos. Você pode também restringiro acesso aos documentos criando uma política do IAM que especifique as tags que um usuário ou grupopode acessar. Para obter mais informações, consulte Marcar documentos do Systems Manager (p. 361).

350

AWS Systems Manager Guia do usuárioDocumentos predefinidos do Systems Manager

Compartilhar um documento

Você pode tornar seus documentos públicos ou compartilhá-los com contas da AWS específicas. Paraobter mais informações, consulte Compartilhar documentos do Systems Manager (p. 364).

Limites de documento do SSM

Para obter mais informações sobre os limites de documento do SSM, consulte Limites do AWS SystemsManager.

Tópicos• Documentos predefinidos do Systems Manager (p. 351)• Esquemas e recursos dos documentos do SSM (p. 351)• Sintaxe de documentos do SSM (p. 353)• Criar documentos do Systems Manager (p. 358)• Marcar documentos do Systems Manager (p. 361)• Compartilhar documentos do Systems Manager (p. 364)• Como criar documentos compostos (p. 370)• Execução de documentos em locais remotos (p. 372)• Referência de plug-ins de documentos do SSM (p. 375)• Referência do documento de Automação do Systems Manager (p. 398)

Documentos predefinidos do Systems ManagerPara ajudá-lo a começar rapidamente, o Systems Manager fornece documentos predefinidos. Paravisualizar esses documentos no console do AWS Systems Manager, na navegação à esquerda, escolhaDocuments. Assim que escolher um documento, escolha View details para visualizar informações sobre odocumento que você selecionou.

Você também pode usar os comandos da AWS CLI e do Tools for Windows PowerShell para visualizaruma lista de documentos e obter descrições sobre eles.

Para visualizar informações sobre documentos usando a AWS CLI, execute os comandos a seguir:


aws ssm describe-document --name "document_name"

Para visualizar informações sobre documentos usando o Tools for Windows PowerShell, execute oscomandos a seguir:

Get-SSMDocumentList

Get-SSMDocumentDescription -Name "document_name"

Esquemas e recursos dos documentos do SSMAtualmente, os documentos do Systems Manager usam as seguintes versões de esquema.

• Documentos do tipo Command podem usar o esquema versão 1.2, 2.0 e 2.2. Se você estiver usandodocumentos do esquema 1.2, recomendamos criar documentos que utilizem o esquema versão 2.2.

• Os documentos do tipo Policy devem usar o esquema versão 2.0 ou posterior.

351



AWS Systems Manager Guia do usuárioEsquemas e recursos dos documentos do SSM

• Os documentos do tipo Automation devem usar o esquema versão 0.3.• Você pode criar documentos em JSON ou YAML.

Ao usar a versão de esquema mais recentes para documentos Command e Policy, você poderáaproveitar os seguintes recursos.

Recursos de documentos do esquema versão 2.2

Recurso Detalhes

Edição de documentos Agora, documentos podem ser atualizados.Com a versão 1.2, qualquer atualização de umdocumento exigia que você o salvasse com umnome diferente.

Versionamento automático Qualquer atualização de um documento cria umanova versão. Esta não é uma versão de esquema,mas uma versão do documento.

Versão padrão Se você possui várias versões de um documento,pode especificar qual delas é o documento padrão.

Sequenciamento Os plug-ins ou as etapas em um documento sãoexecutados na ordem que você especificou.

Suporte entre plataformas O suporte entre plataformas permite que vocêespecifique diferentes sistemas operacionais paradiferentes plug-ins dentro do mesmo documento doSSM. O suporte entre plataformas usa o parâmetroprecondition dentro de uma etapa.

Note

Você deve manter o Agente do SSM atualizado em suas instâncias com a versão mais recentepara usar os novos recursos do Systems Manager e os recursos de documento do SSM. Paraobter mais informações, consulte Exemplo: atualizar o SSM Agent (p. 227).

A tabela a seguir lista as diferenças entre as principais versões de esquema.

Versão 1.2 Versão 2.2 (versão mais recente) Detalhes

runtimeConfig mainSteps Na versão 2.2, a seçãomainSteps substituiruntimeConfig. A seçãomainSteps permite que oSystems Manager executeetapas em sequência.

properties inputs Na versão 2.2, a seção inputssubstitui a seção properties. Aseção inputs aceita parâmetrospara as etapas.

commands runCommand Na versão 2.2, a seção inputsusa o parâmetro runCommandem vez do parâmetro commands.

352

AWS Systems Manager Guia do usuárioSintaxe de documentos do SSM

Versão 1.2 Versão 2.2 (versão mais recente) Detalhes

id action Na versão 2.2, Action substituiID. Esta é apenas uma mudançade nome.

não aplicável name Na versão 2.2, name é um nomedefinido pelo usuário para umaetapa.

Usar o parâmetro de pré-condição

Com o esquema versão 2.2 ou superior, você pode usar o parâmetro precondition para especificaro sistema operacional de destino de cada plug-in. O parâmetro precondition oferece suporte paraplatformType e um valor de Windows ou Linux.

Para documentos que utilizam o esquema versão 2.2 ou superior, se precondition não for especificado,cada plug-in será executado ou ignorado com base na compatibilidade do plugin com o sistemaoperacional. Para documentos que utilizam o esquema 2.0 ou anterior, os plug-ins incompatíveis geramum erro.

Por exemplo, em um documento com esquema versão 2.2, se precondition não for especificado e oplug-in aws:runShellScript estiver relacionado, a etapa será executada em instâncias do Linux, masserá ignorada pelo sistema em instâncias do Windows porque o aws:runShellScript não é compatívelcom instâncias do Windows. No entanto, para um documento de esquema versão 2.0, se você especificaro plug-in aws:runShellScript e depois executar o documento em instâncias do Windows, a execuçãofalhará. Você poderá ver um exemplo do parâmetro de pré-condição em um documento do SSM aindanesta seção.

Sintaxe de documentos do SSMA sintaxe do seu documento é definida pela versão de esquema usada para criá-lo. Recomendamosque você use o esquema versão 2.2 ou superior. Os documentos que utilizam essa versão de esquemaincluem os seguintes elementos de nível superior. Para obter informações sobre as propriedades que vocêpode especificar nesses elementos, consulte Elementos de nível superior (p. 375).

• schemaVersion: a versão de esquema a ser usada.• Description: as informações que você fornece para descrever a finalidade do documento.• Parameters: os parâmetros aceitos pelo documento. Com relação aos parâmetros aos quais você se

refere com frequência, recomendamos armazená-los no Parameter Store do Systems Manager paraisso. Você pode fazer referência aos parâmetros String e StringList do Systems Manager nestaseção de um documento. Você não pode fazer referência aos parâmetros Secure String do SystemsManager nesta seção do documento. Para obter mais informações, consulte Parameter Store do AWSSystems Manager (p. 427).

• mainSteps: um objeto que pode incluir várias etapas (plug-ins). As etapas incluem uma ou mais ações,uma pré-condição opcional, um nome exclusivo da ação e entradas (parâmetros) para essas ações.Para obter uma lista de plug-ins compatíveis e de propriedades de plug-in, consulte Referência de plug-ins de documentos do SSM (p. 375).

Important

O nome da ação não pode incluir um espaço. Se um nome incluir um espaço, você receberáum erro InvalidDocumentContent.

Tópicos• Esquema versão 2.2 (p. 354)

353


• Esquema versão 1.2 (p. 357)

Esquema versão 2.2O exemplo a seguir mostra os elementos de nível superior de um documento do esquema versão 2.2 emJSON.

{ "schemaVersion":"2.2", "description":"A description of the document.", "parameters":{ "parameter 1":{ "one or more parameter properties" }, "parameter 2":{ "one or more parameter properties" }, "parameter 3":{ "one or more parameter properties" } }, "mainSteps":[ { "action":"plugin 1", "name":"A name for this action.", "inputs":{ "name":"{{ input 1 }}", "name":"{{ input 2 }}", "name":"{{ input 3 }}", } } ]}

Exemplo de esquema versão 2.2 em YAML

Você pode usar o documento YAML a seguir com o Executar comando para retornar o nome de host deuma ou mais instâncias.

---schemaVersion: '2.2'description: Sample documentmainSteps:- action: aws:runPowerShellScript name: runPowerShellScript inputs: runCommand: - hostname

Exemplo de parâmetro de pré-condição em esquema versão 2.2

O esquema versão 2.2 fornece suporte para várias plataformas. Isso significa que, dentro de um únicodocumento do SSM, você pode especificar diferentes sistemas operacionais para diferentes plug-ins. Osuporte entre plataformas usa o parâmetro precondition dentro de uma etapa, como mostra o exemploa seguir.

{ "schemaVersion":"2.2", "description":"cross-platform sample",

354


"mainSteps":[ { "action":"aws:runPowerShellScript", "name":"PatchWindows", "precondition":{ "StringEquals":[ "platformType", "Windows" ] }, "inputs":{ "runCommand":[ "cmds" ] } }, { "action":"aws:runShellScript", "name":"PatchLinux", "precondition":{ "StringEquals":[ "platformType", "Linux" ] }, "inputs":{ "runCommand":[ "cmds" ] } } ]}

Exemplos de esquema versão 2.2Você pode usar o documento YAML a seguir com o State Manager para fazer download e instalar osoftware antivírus ClamAV. O State Manager aplica uma configuração específica, o que significa que,toda vez que a associação do State Manager é executada, o sistema verifica se o software ClamAV estáinstalado. Se não, o State Manager executa novamente esse documento.

---schemaVersion: '2.2'description: State Manager Bootstrap Exampleparameters: {}mainSteps:- action: aws:runShellScript name: configureServer inputs: runCommand: - sudo yum install -y httpd24 - sudo yum --enablerepo=epel install -y clamav

Exemplo de inventário YAML em esquema versão 2.0

Você pode usar o documento YAML a seguir com o State Manager para coletar metadados de inventáriosobre suas instâncias.

---schemaVersion: '2.2'description: Software Inventory Policy Document.parameters: applications:

355


type: String default: Enabled description: "(Optional) Collect data for installed applications." allowedValues: - Enabled - Disabled awsComponents: type: String default: Enabled description: "(Optional) Collect data for AWS Components like amazon-ssm-agent." allowedValues: - Enabled - Disabled networkConfig: type: String default: Enabled description: "(Optional) Collect data for Network configurations." allowedValues: - Enabled - Disabled windowsUpdates: type: String default: Enabled description: "(Optional) Collect data for all Windows Updates." allowedValues: - Enabled - Disabled instanceDetailedInformation: type: String default: Enabled description: "(Optional) Collect additional information about the instance, including the CPU model, speed, and the number of cores, to name a few." allowedValues: - Enabled - Disabled customInventory: type: String default: Enabled description: "(Optional) Collect data for custom inventory." allowedValues: - Enabled - DisabledmainSteps:- action: aws:softwareInventory name: collectSoftwareInventoryItems inputs: applications: "{{ applications }}" awsComponents: "{{ awsComponents }}" networkConfig: "{{ networkConfig }}" windowsUpdates: "{{ windowsUpdates }}" instanceDetailedInformation: "{{ instanceDetailedInformation }}" customInventory: "{{ customInventory }}"

Exemplo do AWS-ConfigureAWSPackage em esquema versão 2.2

O exemplo a seguir mostra o documento AWS-ConfigureAWSPackage. A seção mainSteps inclui o plug-inaws:configurePackage na etapa de action.

{ "schemaVersion": "2.2", "description": "Install or uninstall the latest version or specified version of an AWS package. Available packages include the following: AWSPVDriver, AwsEnaNetworkDriver, IntelSriovDriver,

356


AwsVssComponents, and AmazonCloudWatchAgent, and AWSSupport-EC2Rescue.", "parameters": { "action": { "description": "(Required) Specify whether or not to install or uninstall the package.", "type": "String", "allowedValues": [ "Install", "Uninstall" ] }, "name": { "description": "(Required) The package to install/uninstall.", "type": "String", "allowedPattern": "ârn:[a-z0-9][-.a-z0-9]{0,62}:[a-z0-9][-.a-z0-9]{0,62}:([a-z0-9] [-.a-z0-9]{0,62})?:([a-z0-9][-.a-z0-9]{0,62})?:package\\/[a-zA-Z][a-zA-Z0-9\\-_]{0,39}$|^ [a-zA-Z][a-zA-Z0-9\\-_]{0,39}$" }, "version": { "description": "(Optional) A specific version of the package to install or uninstall. If installing, the system installs the latest published version, by default. If uninstalling, the system uninstalls the currently installed version, by default. If no installed version is found, the latest published version is downloaded, and the uninstall action is run.", "type": "String", "default": "latest" } }, "mainSteps": [{ "action": "aws:configurePackage", "name": "configurePackage", "inputs": { "name": "{{ name }}", "action": "{{ action }}", "version": "{{ version }}" } }]}

Esquema versão 1.2O exemplo a seguir mostra os elementos de nível superior de um documento do esquema versão 1.2.

{ "schemaVersion":"1.2", "description":"A description of the Systems Manager document.", "parameters":{ "parameter 1":{ "one or more parameter properties" }, "parameter 2":{ "one or more parameter properties" }, "parameter 3":{ "one or more parameter properties" } }, "runtimeConfig":{ "plugin 1":{ "properties":[ { "one or more plugin properties"

357

AWS Systems Manager Guia do usuárioCriar documentos do Systems Manager

} ] } }}

Exemplo de esquema versão 1.2

O exemplo a seguir mostra o documento AWS-RunShellScript Systems Manager. A seção runtimeConfiginclui o plug-in aws:runShellScript.

{ "schemaVersion":"1.2", "description":"Run a shell script or specify the commands to run.", "parameters":{ "commands":{ "type":"StringList", "description":"(Required) Specify a shell script or a command to run.", "minItems":1, "displayType":"textarea" }, "workingDirectory":{ "type":"String", "default":"", "description":"(Optional) The path to the working directory on your instance.", "maxChars":4096 }, "executionTimeout":{ "type":"String", "default":"3600", "description":"(Optional) The time in seconds for a command to complete before it is considered to have failed. Default is 3600 (1 hour). Maximum is 172800 (48 hours).", "allowedPattern":"([1-9][0-9]{0,3})|(1[0-9]{1,4})|(2[0-7][0-9]{1,3})|(28[0-7][0-9]{1,2})|(28800)" } }, "runtimeConfig":{ "aws:runShellScript":{ "properties":[ { "id":"0.aws:runShellScript", "runCommand":"{{ commands }}", "workingDirectory":"{{ workingDirectory }}", "timeoutSeconds":"{{ executionTimeout }}" } ] } }}

Criar documentos do Systems ManagerSe os documentos públicos do Systems Manager limitam as ações que você deseja realizar nas suasinstâncias gerenciadas, você pode criar seus próprios documentos. Ao criar um novo documento,recomendamos que você use o esquema versão 2.2 ou posterior.

Antes de começar

Antes de criar um documento do SSM, recomendamos que você leia sobre os diferentes esquemas,recursos e sintaxes disponíveis para documentos do SSM. Para obter mais informações, consulteDocumentos do AWS Systems Manager (p. 349).

358


Note

Se você pretende criar um documento do SSM para o State Manager, fique atento às seguintesinformações:

• Você pode atribuir vários documentos a um destino criando diferentes associações do StateManager que usam documentos distintos.

• Você pode usar um documento compartilhado com o State Manager, desde que tenhapermissão, mas não pode associar um documento compartilhado a uma instância. Para usarou compartilhar um documento associado a um ou mais destinos, você deve criar uma cópia dodocumento e depois usá-la ou compartilhá-la.

• Se você criar um documento com plug-ins conflitantes (por exemplo, ingresso em domínio eremoção do domínio), o último plug-in executado será o estado final. O State Manager nãovalida a sequência lógica ou a racionalidade dos comandos ou plug-ins em seu documento.

• Ao processar documentos, as associações de instâncias são aplicadas primeiro e as próximasassociações de grupo marcadas são aplicadas. Se uma instância fizer parte de vários gruposmarcados, os documentos que fizerem parte do grupo marcado não serão executados emnenhuma ordem específica. Se uma instância for visada diretamente em vários documentos porseu ID de instância, não haverá uma ordem de execução específica.

• Se você alterar a versão padrão de um documento do State Manager, qualquer associaçãoque usar esse documento começará a usar a nova versão padrão na próxima vez em que oSystems Manager aplicar a associação à instância.

Se você criar um documento do SSM para o State Manager, deverá associá-lo às instânciasgerenciadas depois de adicioná-lo ao sistema. Para obter mais informações, consulte Como criaruma associação (console) (p. 340).

Tópicos• Como copiar um documento (p. 359)• Como adicionar um documento do Systems Manager (console) (p. 360)• Como criar um documento do SSM (AWS CLI) (p. 360)• Como criar um documento do SSM (Tools for Windows PowerShell) (p. 360)

Como copiar um documentoAo criar um documento, você especifica o conteúdo do documento em JSON ou YAML. A maneira maisfácil de começar a criar documentos do SSM é copiar um exemplo existente de documentos públicos doSystems Manager. O exemplo a seguir mostra como copiar um exemplo JSON.

Para criar um documento do Systems Manager


-ou-


3. Escolha um documento.4. Escolha View details.5. Escolha a guia Content.6. Copie o JSON para um editor de texto e especifique os detalhes para seu documento personalizado.7. Salve o arquivo com a extensão de arquivo .json.

359



Assim que criar o conteúdo do documento, você pode adicioná-lo ao Systems Manager usando um dosseguintes procedimentos.

• Como adicionar um documento do Systems Manager (console) (p. 360)• Como criar um documento do SSM (AWS CLI) (p. 360)• Como criar um documento do SSM (Tools for Windows PowerShell) (p. 360)

Como adicionar um documento do Systems Manager (console)Como adicionar um documento do Systems Manager


-ou-


3. Escolha Create Document.4. Insira um nome descritivo para o documento5. Na lista Document type, escolha o tipo de documento que você deseja criar.6. Exclua os parênteses no campo Content e cole o documento que você criou anteriormente.7. Escolha Create document para salvar o documento.

Como criar um documento do SSM (AWS CLI)1. Copie e personalize um documento existente, conforme descrito em Como copiar um

documento (p. 359).2. Adicione o documento usando a AWS CLI.

aws ssm create-document --content file://path to your file\your file --name "document name" --document-type "Command"

Exemplo do Windows

aws ssm create-document --content file://c:\temp\PowershellScript.json --name "PowerShellScript" --document-type "Command"

Exemplo do Linux

aws ssm create-document --content file:///home/ec2-user/RunShellScript.json --name "RunShellScript" --document-type "Command"

Como criar um documento do SSM (Tools for WindowsPowerShell)1. Copie e personalize um documento existente, conforme descrito em Como copiar um

documento (p. 359).2. Adicione o documento usando o AWS Tools for Windows PowerShell.

360


AWS Systems Manager Guia do usuárioMarcar documentos

$json = Get-Content C:\your file | Out-StringNew-SSMDocument -DocumentType Command -Name document name -Content $json

Marcar documentos do Systems ManagerVocê pode usar o console do Systems Manager, a AWS CLI, o AWS Tools for Windows ou a APIAddTagsToResource para adicionar tags a recursos do Systems Manager incluindo documentos,instâncias gerenciadas, Janela de manutençãos, parâmetros do Parameter Store e linhas de base depatches.

Isso é útil quando você tem muitos recursos do mesmo tipo: é possível identificar rapidamente um recursoespecífico baseado nas tags que você atribuiu a ele. Cada tag consiste de uma chave e um valor opcional,ambos definidos por você.

Por exemplo, você pode marcar documentos para ambientes, departamentos, usuários, grupos ouperíodos específicos. Depois de marcar um documento, você pode restringir o acesso a ele criando umapolítica do IAM que especifica as tags que um usuário pode acessar. Para obter mais informações sobrecomo restringir o acesso a documentos usando tags, consulte Controlar o acesso a documentos usandotags (p. 362).

Tópicos• Como marcar um document (AWS CLI) (p. 361)• Como marcar um document (AWS Tools for Windows) (p. 362)• Como marcar um documento (console) (p. 362)• Controlar o acesso a documentos usando tags (p. 362)

Como marcar um document (AWS CLI)1. Em um terminal (Linux, macOS, or Unix) ou prompt de comando (Windows), execute o comando list-

documents para listar os documentos que você pode marcar.


Observe o nome de um documento que você deseja marcar.2. Execute o seguinte comando para marcar um documento.

aws ssm add-tags-to-resource --resource-type "Document" --resource-id "document-name" --tags "Key=key,Value=value"

document-name é o nome do documento do Systems Manager que você deseja marcar.

key é o nome de uma chave personalizada que você fornece. Por exemplo, region ou quarter.

value é o conteúdo personalizado para o valor que você deseja fornecer para essa chave. Porexemplo, west ou Q318.

Se for bem-sucedido, o comando não mostrará uma saída.3. Execute o seguinte comando para verificar as tags de documento.

aws ssm list-tags-for-resource --resource-type "Document" --resource-id "document-name"

361

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html


Como marcar um document (AWS Tools for Windows)1. Abra o AWS Tools for Windows PowerShell e execute o seguinte comando para listar os documentos

que você pode marcar:

Get-SSMDocumentList

2. Execute os seguintes comandos, um por vez, para marcar um documento:

$tag1 = New-Object Amazon.SimpleSystemsManagement.Model.Tag$tag1.Key = "key"$tag1.Value = "value"Add-SSMResourceTag -ResourceType "Document" -ResourceId "document-name" -Tag $tag1

document-name é o nome do documento do Systems Manager que você deseja marcar.

key é o nome de uma chave personalizada que você fornece. Por exemplo, region ou quarter.

value é o conteúdo personalizado para o valor que você deseja fornecer para essa chave. Porexemplo, west ou Q318.

Se for bem-sucedido, o comando não mostrará uma saída.3. Execute o seguinte comando para verificar as tags do documento:

Get-SSMResourceTag -ResourceType "Document" -ResourceId "document-name"

Como marcar um documento (console)1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. Na navegação à esquerda, escolha Documents.3. Escolha o nome de um documento existente e, em seguida, a guia Tags.4. Na primeira caixa, insira uma chave para a tag, como Region.5. Na segunda caixa, insira um valor para a tag, como West.6. Escolha Salvar.

Controlar o acesso a documentos usando tagsDepois de marcar um documento, você pode restringir o acesso a ele criando uma política do IAM queespecifica as tags que um usuário pode acessar. Quando um usuário tenta usar um documento, o sistemaverifica a política do IAM e as tags especificadas para o documento. Se o usuário não tiver acesso às tagsatribuídas ao documento, ele receberá um erro de acesso negado. Use o procedimento a seguir para criaruma política do IAM que restringe o acesso a documentos usando tags.

Antes de começar

Crie e marque documentos. Para obter mais informações, consulte Marcar documentos do SystemsManager (p. 361).

Para restringir o acesso de um usuário a documentos usando tags

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Políticas e, em seguida, Criar política.

362




3. Selecione a guia JSON.4. Copie o exemplo de política a seguir e cole-o no campo de texto, substituindo o texto de exemplo.

Substitua tag_key e tag_value pelo o par de chave/valor da sua tag.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetDocument" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key":[ "tag_value" ] } } } ]}

Você pode especificar várias chaves na política usando o seguinte formato de Condition. Especificarvárias chaves cria uma relação AND para as chaves.

"Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ], "ssm:resourceTag/tag_key2":[ "tag_value2" ] }}

Você pode especificar vários valores na política usando o seguinte formato de Condition. ForAnyValueestabelece uma relação OR para os valores. Você também pode especificar ForAllValues paraestabelecer uma relação AND.

"Condition":{ "ForAnyValue:StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1", "tag_value2" ] }}

5. Escolha Revisar política.6. No campo Name, especifique um nome que identifique isso como uma política de usuário para

documentos marcados.7. Insira uma descrição.8. Verifique os detalhes da política na seção Summary.9. Selecione Create policy.10. Atribua a política a usuários ou grupos do IAM. Para obter mais informações, consulte Alteração de

permissões para um usuário do IAM e Anexação de uma política a um grupo do IAM.

363



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html

AWS Systems Manager Guia do usuárioCompartilhar documentos do Systems Manager

Depois de anexar a política à conta de usuário ou grupo do IAM, se um usuário tentar usar um documentoe a política do usuário não permitir ao usuário acessar uma tag para o documento (chamar a APIGetDocument), o sistema retornará um erro. O erro é semelhante ao seguinte:

"O usuário: user_name não está autorizado a realizar: ssm:GetDocument no recurso: document-namecom o seguinte comando."

Se um documento tiver várias tags, o usuário ainda receberá o erro de acesso negado se não tiverpermissão para acessar qualquer uma dessas tags.

Compartilhar documentos do Systems ManagerVocê pode compartilhar documentos do Systems Manager de forma privada ou pública. Para compartilharum documento em particular, você modifica as permissões do documento e permite que pessoasespecíficas acessem o mesmo de acordo com o ID da Amazon Web Services (AWS). Para compartilharpublicamente um documento do Systems Manager, você modifica as permissões do documento eespecifica All.

Warning

Use documentos do Systems Manager compartilhados apenas de fontes confiáveis. Ao usarqualquer documento compartilhado, revise cuidadosamente o conteúdo do documento antes deusá-lo para que você entenda como ele mudará a configuração da sua instância. Para obter maisinformações sobre melhores práticas de documentos compartilhados, consulte Diretrizes paracompartilhamento e uso de documentos compartilhados do Systems Manager (p. 364).

Limitações

À medida que você começa a trabalhar com documentos do Systems Manager, esteja ciente das seguinteslimitações.

• Somente o proprietário pode compartilhar um documento.• É preciso interromper o compartilhamento de um documento antes de excluí-lo. Para obter mais

informações, consulte Como modificar permissões para um documento compartilhado (p. 368).• Você pode compartilhar um documento com um máximo de 1000 contas da AWS. Para aumentar esse

limite, acesse o AWS Support Center e envie um formulário de solicitação de aumento de limite.• Você pode compartilhar publicamente um máximo de cinco documentos do Systems Manager. Para

aumentar esse limite, acesse o AWS Support Center e envie um formulário de solicitação de aumento delimite.

Para obter mais informações sobre os limites do Systems Manager, consulte Limites do AWS SystemsManager.

Tópicos• Diretrizes para compartilhamento e uso de documentos compartilhados do Systems

Manager (p. 364)• Como compartilhar um documento do Systems Manager (p. 365)• Como modificar permissões para um documento compartilhado (p. 368)• Como usar um documento do Systems Manager compartilhado (p. 368)

Diretrizes para compartilhamento e uso de documentoscompartilhados do Systems ManagerReveja as seguintes diretrizes antes de compartilhar ou usar um documento compartilhado.

364

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-ec2-instances

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-ec2-instances




Remova informações confidenciais

Reveja seu documento do Systems Manager cuidadosamente e remova qualquer informaçãoconfidencial. Por exemplo, verifique se o documento não inclui suas credenciais da AWS. Sevocê compartilhar um documento com pessoas específicas, esses usuários poderão visualizar asinformações no documento. Se você compartilhar um documento publicamente, qualquer pessoapoderá visualizar as informações no documento.

Como limitar ações do Executar comando usando uma política de confiança de usuário do IAM

Crie uma política de usuário restritiva do AWS Identity and Access Management (IAM) para usuáriosque terão acesso ao documento. A política do IAM determina quais documento do Systems Managerum usuário pode ver no console do Amazon EC2 ou chamando ListDocuments por meio da CLIda AWS ou do AWS Tools for Windows PowerShell. A política também limita as ações que o usuáriopode realizar com o documento do Systems Manager. Você pode criar uma política restritiva paraque um usuário só possa usar documentos específicos. Para obter mais informações, consulte Comoconfigurar o acesso ao Systems Manager (p. 13).

Revise o conteúdo de um documento compartilhado antes de usá-lo

Revise o conteúdo de cada documento compartilhado com você, especialmente documentos públicos,para entender os comandos que serão executados em suas instâncias. Um documento pode terintencionalmente ou involuntariamente repercussões negativas após a execução. Se o documentofizer referência a uma rede externa, reveja a origem externa antes de usar o documento.

Envie comandos usando o hash do documento

Quando você compartilha um documento, o sistema cria um hash Sha-256 e o atribui ao documento.O sistema também salva um snapshot do conteúdo do documento. Quando você envia um comandousando um documento compartilhado, pode especificar o hash no seu comando para garantir que asseguintes condições sejam verdadeiras:• Você está executando um comando no documento correto do Systems Manager• O conteúdo do documento não mudou desde que foi compartilhado com você.

Se o hash não corresponder ao documento especificado ou se o conteúdo do documentocompartilhado tiver mudado, o comando retornará uma exceção InvalidDocument. Observação: ohash não pode verificar o conteúdo do documento de locais externos.

Como compartilhar um documento do Systems ManagerVocê pode compartilhar documentos do Systems Manager usando o console do AWS Systems Managerou chamando programaticamente a ModifyDocumentPermission operação de API por meio da AWSCLI, do AWS Tools for Windows PowerShell ou do SDK da AWS. Antes de compartilhar um documento,obtenha os IDs das contas da AWS das pessoas com quem deseja compartilhar. Você especificará essesIDs de conta quando compartilhar o documento.

Tópicos• Como compartilhar um documento (console) (p. 365)• Como compartilhar um documento (CLI da AWS) (p. 366)• Como compartilhar um documento (AWS Tools for Windows PowerShell) (p. 367)

Como compartilhar um documento (console)

Como compartilhar um documento


365



-ou-


3. Na lista de documentos, selecione o documento que você deseja compartilhar e, em seguida, escolhaView details. Na guia Permissions, verifique se você é o proprietário do documento. Somente oproprietário de um documento pode compartilhá-lo.

4. Selecione Edit.5. Para compartilhar o comando publicamente, escolha Public e depois Save. Para compartilhar o

comando em particular, escolha Private, insira o ID da conta da AWS e escolha Add permission e, emseguida, Save.

Como compartilhar um documento (CLI da AWS)

O procedimento a seguir requer que você especifique uma região para a sua sessão de CLI. O Executarcomando está atualmente disponível nas regiões do Systems Manager a seguir.

1. Abra a CLI da AWS no computador local e execute o seguinte comando para especificar suascredenciais.

aws config

AWS Access Key ID: [your key]AWS Secret Access Key: [your key]Default region name: regionDefault output format [None]:


2. Use o seguinte comando para listar todos os documentos do Systems Manager que estão disponíveispara você. A lista inclui os documentos que você criou e os documentos que foram compartilhadoscom você.

aws ssm list-documents --document-filter-list key=Owner,value=all

3. Use o seguinte comando para obter um documento específico.

aws ssm get-document --name document name

4. Use o seguinte comando para obter uma descrição do documento.

aws ssm describe-document --name document name

5. Use o seguinte comando para visualizar as permissões do documento.

aws ssm describe-document-permission --name document name --permission-type Share

6. Use o seguinte comando para modificar as permissões do documento e compartilhá-lo. Você deve sero proprietário do documento para editar as permissões. Este comando compartilha o documento emparticular com uma pessoa específica, com base no ID da conta da AWS dessa pessoa.

366


#ssm_region


aws ssm modify-document-permission --name document name --permission-type Share --account-ids-to-add AWS account ID

Use o seguinte comando para compartilhar um documento publicamente.

aws ssm modify-document-permission --name document name --permission-type Share --account-ids-to-add 'all'

Como compartilhar um documento (AWS Tools for Windows PowerShell)

O procedimento a seguir requer que você especifique uma região para a sua sessão do PowerShell. OExecutar comando está atualmente disponível nas regiões do Systems Manager a seguir.

1. Abra AWS Tools for Windows PowerShell no computador local e execute o seguinte comando paraespecificar suas credenciais.

Set-AWSCredentials –AccessKey your key –SecretKey your key

2. Use o seguinte comando para configurar a região para a sua sessão do PowerShell. O exemplo usa aregião us-west-2.

Set-DefaultAWSRegion -Region us-west-2

3. Use o seguinte comando para listar todos os documentos do Systems Manager disponíveis para você.A lista inclui os documentos que você criou e os documentos que foram compartilhados com você.

Get-SSMDocumentList -DocumentFilterList (@{"key"="Owner";"value"="All"})

4. Use o seguinte comando para obter um documento específico.

Get-SSMDocument –Name document name

5. Use o seguinte comando para obter uma descrição do documento.

Get-SSMDocumentDescription –Name document name

6. Use o seguinte comando para visualizar as permissões do documento.

Get- SSMDocumentPermission –Name document name -PermissionType Share

7. Use o seguinte comando para modificar as permissões do documento e compartilhá-lo. Você deve sero proprietário do documento para editar as permissões. Este comando compartilha o documento emparticular com uma pessoa específica, com base no ID da conta da AWS dessa pessoa.

Edit-SSMDocumentPermission –Name document name -PermissionType Share -AccountIdsToAdd AWS account ID

Use o seguinte comando para compartilhar um documento publicamente.

Edit-SSMDocumentPermission -Name document name -AccountIdsToAdd ('all') -PermissionType Share

367



Como modificar permissões para um documento compartilhadoSe você compartilhar um comando, os usuários poderão visualizar e usar esse comando até quevocê remova o acesso ao documento do Systems Manager ou exclua esse documento do SystemsManager. No entanto, não é possível excluir um documento que esteja compartilhado. Você deve parar decompartilhá-lo primeiro e depois excluí-lo.

Tópicos• Como parar de compartilhar um documento (console) (p. 368)• Como parar de compartilhar um documento (AWS CLI) (p. 368)• Como parar de compartilhar um documento (AWS Tools for Windows PowerShell) (p. 368)

Como parar de compartilhar um documento (console)

Como parar de compartilhar um documento


-ou-


3. Na lista de documentos, selecione o documento que você deseja parar de compartilhar e, em seguida,escolha View details. Na guia Permissions, verifique se você é o proprietário do documento. Somenteo proprietário de um documento pode parar de compartilhá-lo.

4. Selecione Edit.5. Escolha X para excluir o ID da conta da AWS que não deve mais ter acesso ao comando e escolha

Save.

Como parar de compartilhar um documento (AWS CLI)

Abra a AWS CLI no computador local e execute o comando a seguir para parar de compartilhar umcomando.

aws ssm modify-document-permission --name document name --permission-type Share --account-ids-to-remove 'AWS account ID'

Como parar de compartilhar um documento (AWS Tools for Windows PowerShell)

Abra o AWS Tools for Windows PowerShell no computador local e execute o comando a seguir para pararde compartilhar um comando.

Edit-SSMDocumentPermission -Name document name –AccountIdsToRemove AWS account ID -PermissionType Share

Como usar um documento do Systems Manager compartilhadoQuando você compartilha um documento do Systems Manager, o sistema gera um nome de recurso daAmazon (ARN) e o atribui ao comando. Se você selecionar e executar um documento compartilhado do

368



console do Amazon EC2, não verá o ARN. No entanto, se quiser executar um documento do SystemsManager compartilhado a partir de um aplicativo de linha de comando, você deverá especificar um ARNcompleto. Você visualizará o ARN completo de um documento do Systems Manager quando executar ocomando para listar documentos.

Note

Não é necessário especificar ARNs para documentos públicos da AWS (documentos quecomeçam com AWS-*) ou comandos que você possui.

Tópicos• Como usar um documento do Systems Manager compartilhado (AWS CLI) (p. 369)• Como usar um documento do Systems Manager compartilhado (AWS Tools for Windows

PowerShell) (p. 369)

Como usar um documento do Systems Manager compartilhado (AWS CLI)

Para listar todos os documentos públicos do Systems Manager

aws ssm list-documents --document-filter-list key=Owner,value=Public

Para listar documentos privados do Systems Manager que foram compartilhados com você

aws ssm list-documents --document-filter-list key=Owner,value=Private

Para listar todos documentos do Systems Manager disponíveis para você

aws ssm list-documents --document-filter-list key=Owner,value=All

Executar um comando em um documento do Systems Manager compartilhado usando um ARN completo

aws ssm send-command --document-name FullARN/name

Por exemplo:

aws ssm send-command --document-name arn:aws:ssm:us-east-2:12345678912:document/highAvailabilityServerSetup --instance-ids i-12121212

Como usar um documento do Systems Manager compartilhado (AWS Tools forWindows PowerShell)

Para listar todos os documentos públicos do Systems Manager

Get-SSMDocumentList -DocumentFilterList @(New-Object Amazon.SimpleSystemsManagement.Model.DocumentFilter("Owner", "Public"))

Para listar documentos privados do Systems Manager que foram compartilhados com você

Get-SSMDocumentList -DocumentFilterList @(New-Object Amazon.SimpleSystemsManagement.Model.DocumentFilter("Owner", "Private"))

369

AWS Systems Manager Guia do usuárioComo criar documentos compostos

Para obter informações sobre um documento do Systems Manager que foi compartilhado com você

Get-SSMDocument –Name FullARN/name

Por exemplo:

Get-SSMDocument –Name arn:aws:ssm:us-east-2:12345678912:document/highAvailabilityServerSetup

Para obter uma descrição de um documento do Systems Manager que foi compartilhado com você

Get-SSMDocumentDescription –Name FullARN/name

Por exemplo:

Get-SSMDocumentDescription –Name arn:aws:ssm:us-east-2:12345678912:document/highAvailabilityServerSetup

Para executar um comando em um documento do Systems Manager compartilhado usando um ARNcompleto

Send-SSMCommand –DocumentName FullARN/name –InstanceId IDs

Por exemplo:

Send-SSMCommand –DocumentName arn:aws:ssm:us-east-2:555450671542:document/highAvailabilityServerSetup –InstanceId @{"i-273d4e9e"}

Como criar documentos compostosUm documento composto do SSM é um documento personalizado que realiza uma série de açõesao executar um ou mais documentos secundários do SSM. Os documentos compostos promovem ainfraestrutura como código ao permitir que você crie um conjunto padrão de documentos do SSM paratarefas comuns, como inicialização de software ou ingresso de instâncias no domínio. Depois você podecompartilhar esses documentos em contas da AWS para diminuir manutenção e garantir a consistência dodocumento do SSM.

Por exemplo, você pode criar um documento composto que execute as seguintes ações:

1. Atualiza o SSM Agent para a versão mais recente.2. Instala todos os patches da lista de permissões.3. Instala software antivírus.4. Faz download de scripts no GitHub e os executa.

Neste exemplo, seu documento inclui os seguintes plug-ins de seu documento personalizado do SSM paraexecutar as seguintes ações:

1. O plug-in aws:runDocument para executar o documento AWS-UpdateSSMAgent, que atualiza o SSMAgent para a versão mais recente.

2. O plug-in aws:runDocument para executar o documento AWS-ApplyPatchBaseline, que instala todosos patches da lista de permissões.

370

AWS Systems Manager Guia do usuárioComo criar documentos compostos

3. O plug-in aws:runDocument para executar o documento AWS-InstallApplication, que instala osoftware antivírus.

4. O plug-in aws:downloadContent para fazer download de scripts do GitHub e executá-los.

Os documentos compostos e secundários podem ser armazenados no Systems Manager, no GitHub(repositórios públicos e privados) ou no Amazon S3. Os documentos compostos e os documentossecundários podem ser criados em JSON ou YAML.

Note

Os documentos compostos só podem executar em um nível máximo de três documentos. Issosignifica que um documento composto pode chamar um documento filho e que o documento filhopode chamar um último documento.

Como criar um documento compostoPara criar um documento composta, adicione o plug-in aws:runDocument (p. 392) a um documentopersonalizado do SSM e especifique as entradas necessárias. A seguir encontra-se um exemplo dedocumento composto que executa as seguintes ações:

1. Executa o plug-in aws:downloadContent (p. 387) para fazer download de um documento do SSM deum repositório público do GitHub para um diretório local chamado bootstrap. O documento do SSM échamado StateManagerBootstrap.yml (um documento YAML).

2. Executa o plug-in aws:runDocument para executar o documento StateManagerBootstrap.yml.Nenhum parâmetro é especificado.

3. Executa o plug-in aws:runDocument para executar o documento predefinido AWS-ConfigureDockerdo SSM. Os parâmetros especificados para instalar o docker na instância.

{ "schemaVersion": "2.2", "description": "My composite document for bootstrapping software and installing Docker.", "parameters": { }, "mainSteps": [ { "action": "aws:downloadContent", "name": "downloadContent", "inputs": { "sourceType": "GitHub", "sourceInfo": "{\"owner\":\"TestUser1\",\"repository\":\"TestPublic\", \"path\":\"documents/bootstrap/StateManagerBootstrap.yml\"}", "destinationPath": "bootstrap" } }, { "action": "aws:runDocument", "name": "runDocument", "inputs": { "documentType": "LocalPath", "documentPath": "bootstrap", "documentParameters": "{}" } }, { "action": "aws:runDocument", "name": "configureDocker", "inputs": { "documentType": "SSMDocument",

371

AWS Systems Manager Guia do usuárioExecução de documentos em locais remotos

"documentPath": "AWS-ConfigureDocker", "documentParameters": "{\"action\":\"Install\"}" } } ]}

Tópicos relacionados

• Para obter mais informações sobre reinicialização dos servidores e instâncias ao usar Executarcomando para chamar scripts, consulte A reinicialização de instância gerenciada de Scripts (p. 232).

• Para obter mais informações sobre como criar um documento do SSM, consulte Criar documentos doSystems Manager (p. 358).

• Para obter mais informações sobre os plug-ins que podem ser adicionados a um documentopersonalizado do SSM, consulte Referência de plug-ins de documentos do SSM (p. 375).

• Se você simplesmente desejar executar um documento em um local remoto (sem criar um documentocomposto), consulte Execução de documentos em locais remotos (p. 372).

Execução de documentos em locais remotosVocê pode executar documentos do SSM em locais remotos usando o documento predefinido AWS-RunDocument do SSM. Esse documento atualmente comporta os seguintes locais remotos:

• Repositórios do GitHub (públicos e privados)• Amazon S3• Documentos salvos no Systems Manager

O procedimento a seguir descreve como executar documentos remotos SSM usando o console. Esseprocedimento mostra como executar o documento remoto usando o Executar comando, mas você podetambém executar documentos remotos usando o State Manager ou a Automação.

Antes de começar

Para executar um documento remoto, você deve primeiro concluir as tarefas a seguir.

• Crie um documento do SSM e salve-o em um local remoto. Para obter mais informações, consulte Criardocumentos do Systems Manager (p. 358)

• Se pretende executar um documento remoto armazenado em um repositório privado do GitHub, devecriar um parâmetro SecureString do Systems Manager para o token de acesso de segurançado GitHub. Você não pode acessar um documento remoto em um repositório privado do GitHubtransmitindo manualmente o token via SSH. O token de acesso deve ser passado como um parâmetroSecureString do Systems Manager. Para obter mais informações sobre como criar um parâmetroSecureString, consulte Criar parâmetros do Systems Manager (p. 436).

Como executar um documento remoto (console)Para executar um documento remoto


-ou-

372




3. Escolha Executar comando.4. Na lista Document, escolha AWS-RunDocument.5. Na seção Targets, identifique as instâncias em que você deseja executar essa operação


Note

Se você optar por selecionar manualmente as instâncias e uma instância que você esperavisualizar não estiver incluída na lista, consulte Onde estão minhas instâncias? (p. 249) paraobter dicas de solução de problemas.



Note



7. Na lista Source Type, escolha uma opção.

• Se escolher GitHub, especifique as informações em Source Info no formato a seguir:

{"owner":"owner_name", "repository": "repository_name", "path": "path_to_document", "tokenInfo":"{{ssm-secure:SecureString_parameter_name}}" }

Por exemplo:

{"owner":"TestUser1", "repository": "SSMTestDocsRepo", "path": "SSMDocs/mySSMdoc.yml", "tokenInfo":"{{ssm-secure:myAccessTokenParam}}" }

• Se escolher S3, especifique as informações em Source Info no formato a seguir:

{"path":"URL_to_document_in_S3"}

Por exemplo:

{"path":"https://s3.amazonaws.com/aws-executecommand-test/scripts/ruby/mySSMdoc.json"}

• Se escolher SSMDocument, especifique as informações em Source Info no formato a seguir:

{"name": "document_name"}

Por exemplo:

{"name": "mySSMdoc"}

373


8. No campo Document Parameters, digite os parâmetros para o documento remoto do SSM. Porexemplo, se executar o documento AWS-RunPowerShell, poderá especificar:

{"commands": ["date", "echo \"Hello World\""]}

Se executar o documento AWS-ConfigureAWSPack, poderá especificar:

{ "action":"Install", "name":"AWSPVDriver"}





Note




Note




13. Escolha Run.

Note


374

AWS Systems Manager Guia do usuárioReferência de plug-ins de documentos do SSM

Referência de plug-ins de documentos do SSMEssa referência descreve as ações ou plug-ins que você pode especificar em um documento do AWSSystems Manager (SSM). Essa referência não inclui informações sobre os plug-ins de documentosde Automação do AWS Systems Manager. Para obter informações sobre plug-ins de documentos deAutomação, consulte Referência do documento de Automação do Systems Manager (p. 398).

O Systems Manager determina as ações que devem ser executadas em uma instância gerenciada lendoo conteúdo de um documento do Systems Manager. Todo documento contém uma seção de execuçãode código. Dependendo da versão do esquema do documento, essa seção de execução de código podeconter um ou mais plug-ins ou etapas. Para a finalidade deste tópico da Ajuda, plug-ins e etapas sãochamados de plug-ins. Esta seção inclui informações sobre cada um dos plug-ins do Systems Manager.Para obter mais informações sobre documentos, incluindo informações sobre a criação de documentos eas diferenças entre as versões de esquema, consulte Documentos do AWS Systems Manager (p. 349).

Note

Alguns dos plug-ins descritos aqui são executados apenas em instâncias do Windows Server oudo Linux. São indicadas dependências de plataforma para cada plug-in.

Tópicos• Elementos de nível superior (p. 375)• type Exemplos (p. 376)• aws:applications (p. 378)• aws:cloudWatch (p. 379)• aws:configureDocker (p. 385)• aws:configurePackage (p. 386)• aws:domainJoin (p. 386)• aws:downloadContent (p. 387)• aws:psModule (p. 389)• aws:refreshAssociation (p. 390)• aws:runDockerAction (p. 391)• aws:runDocument (p. 392)• aws:runPowerShellScript (p. 393)• aws:runShellScript (p. 395)• aws:softwareInventory (p. 395)• aws:updateAgent (p. 396)• aws:updateSSMAgent (p. 397)

Elementos de nível superiorOs elementos de nível superior são comuns a todos os documentos do Systems Manager. Os elementosde nível superior constituem a estrutura do documento do Systems Manager.

Properties

schemaVersion

A versão do esquema.

Tipo: versão

375


Exigido: simdescrição

Uma descrição da configuração.

Tipo: sequência

Exigido: Nãoparameters

parameters é uma estrutura que contém um ou mais parâmetros que devem ser executadosao processar o documento. Você pode especificar os parâmetros em tempo de execução em umdocumento ou usando o Parameter Store do Systems Manager. Para obter mais informações,consulte Parameter Store do AWS Systems Manager (p. 427).

Tipo: estrutura

A estrutura parameters aceita os seguintes campos e valores:• type: (obrigatório) os valores permitidos são os seguintes: String, StringList, Boolean,Integer, MapList e StringMap. Para ver exemplos de cada tipo, consulte typeExemplos (p. 376) na próxima seção.

• description: (opcional) uma descrição do parâmetro.• default: (opcional) o valor padrão do parâmetro ou uma referência a um parâmetro no Parameter

Store.• allowedValues: (opcional) os valores permitidos para o parâmetro.• allowedPattern: (opcional) a expressão regular com a qual o parâmetro deve corresponder.• displayType: (opcional) usado para exibir um textfield ou textarea no Console AWS.textfield é uma caixa de texto com uma única linha. textarea é uma área de texto com váriaslinhas.

• minItems: (opcional) o número mínimo de itens permitidos.• maxItems: (opcional) o número máximo de itens permitidos.• minChars: (opcional) o número mínimo de caracteres de parâmetro permitidos.• maxChars: (opcional) o número máximo de caracteres de parâmetro permitidos.

runtimeConfig

(Esquema versão 1.2 apenas) A configuração para a instância tal como aplicada por um ou mais plug-ins do Systems Manager. Não há garantia de execução dos plug-ins em sequência.

Tipo: Dictionary<string,PluginConfiguration>

Exigido: NãomainSteps

(Esquema versão 0.2, 2.0 e 2.2 apenas) A configuração para a instância tal como aplicada por um oumais plug-ins do Systems Manager. Os plug-ins são organizados como ações dentro de etapas. Asetapas são executadas na ordem sequencial listada no documento.

Tipo: Dictionary<string,PluginConfiguration>

Exigido: Não

type ExemplosEsta seção inclui exemplos de cada type de parâmetro.

376


type Descrição Exemplo Exemplo de caso de uso

String Uma sequência de zeroou mais caracteresUnicode colocadosentre aspas duplas. Usebarras invertidas comocaractere de escape.

"i-1234567890abcdef0""InstanceId":{"type":"String","description":"(Required) The target EC2 instance ID."}

StringList Uma lista de itens deString separados porvírgulas

["cd ~", "pwd"]"commands":{"type":"StringList","description":"(Required) Specify a shell script or a command to run.","minItems":1,"displayType":"textarea"},

Booleano Aceita somente trueou false. Não aceita"true" ou 0.

true"canRun": {"type": "Boolean","description": "","default": true,}

Inteiro Números inteiros.Não aceita númerosdecimais, como3,14159, ou númeroscolocados entre aspasduplas, como "3".

39 ou -5"timeout": {"type": "Integer","description": "The type of action to perform.","default": 100 }

StringMap Um mapeamento dechaves para valores.Uma chave só podeser uma string. Porexemplo, { "type":"object" }

{"NotificationType":"Command","NotificationEvents":[ "Failed" ],"NotificationArn":"$dependency.topicArn"}

"notificationConfig" : { "type" : "StringMap", "description" : "The configuration for events to be notified about", "default" : { "NotificationType" : "Command", "NotificationEvents" : ["Failed"], "NotificationArn" : "$dependency.topicArn" }, "maxChars" : 150 }

MapList Uma lista de itens doStringMap. [

{"blockDeviceMappings" : {

377


type Descrição Exemplo Exemplo de caso de uso "DeviceName" : "/dev/sda1", "Ebs" : { "VolumeSize" : "50" } }, { "DeviceName" : "/dev/sdm", "Ebs" : { "VolumeSize" : "100" } }]

"type" : "MapList","description" : "The mappings for the create image inputs","default" : [{"DeviceName":"/dev/sda1","Ebs":{"VolumeSize":"50"}},{"DeviceName":"/dev/sdm","Ebs":{ "VolumeSize":"100"}}],"maxItems": 2}

aws:applicationsInstala, repara ou desinstala aplicativos em uma instância do EC2. Esse plug-in é executado somente emsistemas operacionais Microsoft Windows Server. Para obter mais informações, consulte Documentos doAWS Systems Manager (p. 349).

Sintaxe

"runtimeConfig":{ "aws:applications":{ "properties":[ { "id":"0.aws:applications", "action":"{{ action }}", "parameters":"{{ parameters }}", "source":"{{ source }}", "sourceHash":"{{ sourceHash }}" } ] }

Properties

action

A medida a ser tomada.

Tipo: Enum

Valores válidos: Install | Repair | Uninstall

Exigido: simparameters

Os parâmetros para o instalador.

Tipo: sequência

Exigido: Nãosource

O URL do arquivo .msi para o aplicativo.

378


Tipo: string

Exigido: simsourceHash

O hash SHA256 do arquivo .msi.

Tipo: sequência

Exigido: Não

aws:cloudWatchExporta dados do Windows Server para o Amazon CloudWatch ou Amazon CloudWatch Logs emonitora os dados usando métricas do CloudWatch. Esse plug-in é executado somente em sistemasoperacionais Microsoft Windows Server. Para obter mais informações sobre como configurar a integraçãodo CloudWatch com o Amazon EC2, consulte Como enviar logs, eventos e contadores de desempenhopara o Amazon CloudWatch. Para obter mais informações sobre documentos, consulte Documentos doAWS Systems Manager (p. 349).

Você pode exportar e monitorar os seguintes tipos de dados:

ApplicationEventLog

Envia dados de log de eventos de aplicativo para o CloudWatch Logs.CustomLogs

Envia qualquer arquivo de log baseado em texto para o CloudWatch Logs. O plug-in do CloudWatchcria uma impressão digital para os arquivos de log. O sistema associa então um deslocamento dedados com cada impressão digital. O plug-in faz upload dos arquivos quando há alterações, registra odeslocamento e associa o deslocamento com uma impressão digital. Esse método é usado para evitaruma situação em que um usuário ativa o plug-in, associa o serviço com um diretório que contém umgrande número de arquivos, e o sistema faz upload de todos os arquivos.

Warning

Lembre-se de que, se seu aplicativo truncar ou tentar limpar os logs durante a sondagem,qualquer log especificado para LogDirectoryPath pode perder entradas. Se, por exemplo,você quiser limitar o tamanho do arquivo de log, crie um novo arquivo de log quando o limitefor atingido e continue a gravar dados no novo arquivo.

ETW

Envia os dados de rastreamento de eventos para Windows (ETW) ao CloudWatch Logs. O MicrosoftWindows Server 2003 não é compatível.

IIS

Envia dados de log do IIS para o CloudWatch Logs.PerformanceCounter

Envia contadores de desempenho do Windows para o CloudWatch. Você pode selecionar categoriasdiferentes para fazer upload no CloudWatch como métricas. Para cada contador de desempenhoque você deseja carregar, crie uma seção PerformanceCounter com um ID exclusivo (por exemplo,"PerformanceCounter2", "PerformanceCounter3" e assim por diante) e configure as respectivaspropriedades.

Note

Se o SSM Agent ou o plug-in do CloudWatch for parado, os dados do contador dedesempenho não serão registrados em log no CloudWatch. Esse comportamento é

379




diferente daquele dos logs personalizados ou dos logs de eventos do Windows. Os logspersonalizados e os logs de eventos do Windows preservam e fazem upload dos dadosdo contador de desempenho no CloudWatch depois que o SSM Agent ou o plug-in doCloudWatch está disponível.

SecurityEventLog

Envia dados de log de eventos de segurança para o CloudWatch Logs.SystemEventLog

Envia dados de log de eventos de sistema para o CloudWatch Logs.

Você pode definir os seguintes destinos para os dados:

CloudWatch

O destino para o qual os dados de métrica do contador de desempenho são enviados. Você podeincluir mais seções com IDs exclusivos (por exemplo, "CloudWatch2", "CloudWatch3" etc.) eespecificar uma região diferente para cada novo ID a fim de enviar os mesmos dados para diferenteslocais.

CloudWatchLogs

O destino para o qual os dados de log são enviados. Você pode incluir mais seções com IDsexclusivos (por exemplo, "CloudWatchLogs2", "CloudWatchLogs3" etc.) e especificar uma regiãodiferente para cada novo ID a fim de enviar os mesmos dados para diferentes locais.

Sintaxe

"runtimeConfig":{ "aws:cloudWatch":{ "settings":{ "startType":"{{ status }}" }, "properties":"{{ properties }}" } }

Configurações e propriedades

AccessKey

Sua ID de chave de acesso. Essa propriedade é obrigatória, a menos que você tenha lançado suainstância usando uma função do IAM. Essa propriedade não pode ser usada com o SSM.

Tipo: sequência

Exigido: NãoCategoryName

A categoria de contador de desempenho no Performance Monitor.

Tipo: string

Exigido: simCounterName

O nome do contador de desempenho no Performance Monitor.

Tipo: string

380


Exigido: simCultureName

O local em que o time stamp é registrado. Se CultureName ficar em branco, será adotada comopadrão a mesma localidade usada atualmente pela instância do Windows Server.

Tipo: string

Valores válidos: para obter uma lista de valores comportados, consulte National Language Support(NLS) no site da Microsoft. Observe que os valores div, div-MV, hu e hu-HU não são comportados.

Exigido: NãoDimensionName

Uma dimensão para sua métrica Amazon CloudWatch. Se você especificar DimensionName, tambémdeverá especificar DimensionValue. Esses parâmetros produzem outro modo de exibição para alistagem de métricas. Você pode usar a mesma dimensão para várias métricas de modo a visualizartodas as métricas que pertencem a uma dimensão específica.

Tipo: sequência

Exigido: NãoDimensionValue

Um valor de dimensão para a métrica do Amazon CloudWatch.

Tipo: sequência

Exigido: NãoCodificação

A codificação de arquivo a ser usada (por exemplo, UTF-8). Use o nome da codificação, não o nomeda exibição.

Tipo: string

Valores válidos: para obter uma lista de valores comportados, consulte Encoding Class na bibliotecado MSDN.

Exigido: simFiltro

O prefixo dos nomes de log. Deixe esse parâmetro em branco para monitorar todos os arquivos.

Tipo: string

Valores válidos: para obter uma lista de valores compatíveis, consulte FileSystemWatcherFilterproperty na biblioteca do MSDN.

Exigido: NãoFluxos

Cada tipo de dados para fazer upload, bem como o destino dos dados (CloudWatch ou CloudWatchLogs). Por exemplo, para enviar um contador de desempenho definido de acordo com "Id":"PerformanceCounter" para o destino do CloudWatch definido em "Id": "CloudWatch",insira "PerformanceCounter, CloudWatch". Da mesma forma, para enviar o log personalizado,o log do ETW e o log do sistema para o destino do CloudWatch Logs, em "Id": "ETW", insira"(ETW),CloudWatchLogs". Além disso, é possível enviar o mesmo contador de desempenhoou arquivo de log para mais de um destino. Por exemplo, para enviar o log do aplicativo

381

https://msdn.microsoft.com/en-us/library/cc233982.aspx

https://msdn.microsoft.com/en-us/library/cc233982.aspx

http://msdn.microsoft.com/en-us/library/system.text.encoding.aspx

http://msdn.microsoft.com/en-us/library/system.io.filesystemwatcher.filter.aspx

http://msdn.microsoft.com/en-us/library/system.io.filesystemwatcher.filter.aspx


para dois destinos diferentes que você definiu em "Id": "CloudWatchLogs" e "Id":"CloudWatchLogs2", insira "ApplicationEventLog, (CloudWatchLogs, CloudWatchLogs2)".

Tipo: string

Valores válidos (origem): ApplicationEventLog | CustomLogs | ETW | PerformanceCounter |SystemEventLog | SecurityEventLog

Valores válidos (destino): CloudWatch | CloudWatchLogs | CloudWatchn | CloudWatchLogsn

Exigido: simFullName

O nome completo do componente.

Tipo: string

Exigido: simId

Identifica a origem de dados ou o destino. Esse identificador deve ser exclusivo no arquivo deconfiguração.

Tipo: string

Exigido: simInstanceName

O nome da instância do contador de desempenho. Não use um asterisco (*) para indicar todas asinstâncias, pois cada componente de contador de desempenho só é compatível com uma únicamétrica. Você pode, porém, usar _Total.

Tipo: string

Exigido: simNíveis

Os tipos de mensagem a enviar para o Amazon CloudWatch.

Tipo: string

Valores válidos:• 1 - Somente o upload de mensagens de erro.• 2 - Somente o upload de mensagens de aviso.• 4 - Somente o upload de mensagens de informação.

Observe que você pode adicionar valores para incluir mais de um tipo de mensagem. Por exemplo, 3significa que mensagens de erro (1) e mensagens de aviso (2) estão incluídas. O valor 7 significa quemensagens de erro (1), mensagens de aviso (2) e mensagens informativas (4) estão incluídas.

Exigido: simNote

Os logs de segurança do Windows devem definir os níveis como 7.LineCount

O número de linha no cabeçalho para identificar o arquivo de log. Por exemplo, os arquivos de log doIIS têm cabeçalhos praticamente idênticos. Você pode especificar 3, que leria as três primeiras linhasdo cabeçalho do arquivo de log para identificá-lo. Em arquivos de log do IIS, a terceira linha é o timestamp que é diferente entre arquivos de log.

382


Tipo: número inteiro

Exigido: NãoLogDirectoryPath

Em CustomLogs, o caminho em que os logs são armazenados na instância do Amazon EC2. Paralogs do IIS, a pasta em que os logs do IIS são armazenados para um site específico (por exemplo, C:\\inetpub\\logs\\LogFiles\\W3SVCn). Para logs do IIS, somente o formato de log W3C é comportado.Não há suporte para os formatos IIS, NCSA e Personalizado.

Tipo: string

Exigido: simLogGroup

O nome para o seu grupo de logs. Esse nome é exibido na tela Log Groups no console doCloudWatch.

Tipo: string

Exigido: simLogName

O nome do arquivo de log.1. Para encontrar o nome do log, no Visualizador de Eventos, no painel de navegação, clique em Logs

de Aplicativos e Serviços.2. Na lista de logs, clique com o botão direito do mouse no log do qual você deseja fazer upload

(por exemplo, Microsoft>Windows>Backup>Operacional) e clique em Criar Modo de ExibiçãoPersonalizado.

3. Na caixa de diálogo Criar Modo de Exibição Personalizado, clique na guia XML. O LogNameestá na tag <Select Path=> (por exemplo, Microsoft-Windows-Backup). Copie o texto para oparâmetro LogName.

Tipo: string

Valores válidos: Application | Security | System | Microsoft-Windows-WinINet/Analytic

Exigido: simLogStream

O fluxo de logs de destino. Se você usar {instance_id}, o padrão, o ID de instância dessa instânciaserá usado como nome do fluxo de logs.

Tipo: string

Valores válidos: {instance_id} | {hostname} | {ip_address} <log_stream_name >

Se você especificar um nome de fluxo de log que ainda não exista, o CloudWatch Logs o criaráautomaticamente. Você pode usar uma cadeia de caracteres literal ou as variáveis predefinidas({instance_id}, {hostname}, {ip_address}, ou uma combinação das três, para definir um nome de fluxode log.

O nome de fluxo de log especificado nesse parâmetro aparece na tela Log Groups > Streams for<YourLogStream> no console do CloudWatch.

Exigido: simMetricName

A métrica do CloudWatch sob a qual você deseja que os dados de desempenho sejam exibidos.

383


Note

Não use caracteres especiais no nome. Caso contrário, a métrica e os alarmes associadospodem não funcionar.

Tipo: string

Exigido: simNameSpace

O namespace da métrica em que você deseja que os dados do contador de desempenho sejamgravados.

Tipo: string

Exigido: simPollInterval

Quantos segundos devem transcorrer para que seja feito upload do novo contador de desempenho edos dados de log.


Valores válidos: defina como 5 ou mais segundos. É recomendável 15 segundos (00:00:15).

Exigido: simRegião

A região da AWS para a qual você deseja enviar dados de log. Embora seja possível enviarcontadores de desempenho para uma região diferente daquela para onde você envia os dados de log,recomendamos que você defina esse parâmetro como a mesma região onde sua instância está sendoexecutada.

Tipo: string

Valores válidos: IDs de regiões das regiões da AWS suportadas por ambos os Systems Manager eCloudWatch Logs, como us-east-2, eu-west-1 e ap-southeast-1. Para listas de regiões daAWS suportadas por cada serviço, consulte AWS Systems Manager e Amazon CloudWatch Logs emAWS General Reference.

Exigido: simSecretKey

Sua chave de acesso secreta. Essa propriedade é obrigatória, a menos que você tenha lançado suainstância usando uma função do IAM.

Tipo: sequência

Exigido: NãostartType

Ativa ou desativa o CloudWatch na instância.

Tipo: string

Valores válidos: Enabled | Disabled

Exigido: simTimestampFormat

O formato time stamp que você deseja usar. Para obter uma lista de valores compatíveis, consulteCadeias de caracteres de formato de data e hora personalizado na biblioteca do MSDN.

384


https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region

http://msdn.microsoft.com/en-us/library/8kb3ddd4.aspx


Tipo: string

Exigido: simTimeZoneKind

Fornece informações de fuso horário quando essas informações não estiverem incluídas no timestamp do log. Se esse parâmetro for deixado em branco e se o carimbo de data/hora não incluirinformações de fuso horário, o CloudWatch Logs adotará como padrão o fuso horário local. Esseparâmetro será ignorado se o carimbo já incluir informações de fuso horário.

Tipo: string

Valores válidos: Local | UTC

Exigido: NãoUnidade

A unidade de medida adequada para a métrica.

Tipo: string

Valores válidos: segundos | microssegundos | milissegundos | bytes | kilobytes | megabytes | gigabytes| terabytes | bits | kilobits | megabits | gigabits | terabits | porcentagem | contagem | bytes/segundo| kilobytes/segundo | megabytes/segundo | gigabytes/segundo | terabytes/segundo | bits/segundo| kilobits/segundo | megabits/segundo | gigabits/segundo | terabits/segundo | contagem/segundos |nenhum.

Exigido: sim

aws:configureDocker(Esquema versão 2.0 ou posterior) configura uma instância para trabalhar com contêineres e o docker.Esse plug-in é executado somente em sistemas operacionais Microsoft Windows Server. Para obter maisinformações, consulte Documentos do AWS Systems Manager (p. 349).

Sintaxe

"mainSteps": [ { "action": "aws:configureDocker", "name": "ConfigureDocker", "inputs": { "action": "{{ action }}" } } ]

Entradas

action

O tipo de ação a ser executada.

Tipo: Enum

Valores válidos: Install | Uninstall

Exigido: sim

385


aws:configurePackage(Esquema versão 2.0 ou posterior) instala ou desinstala um pacote da AWS. Os pacotes disponíveisincluem o seguinte: AWSPVDriver, AwsEnaNetworkDriver, IntelSriovDriver, AwsVssComponents,AmazonCloudWatchAgent e AWSSupport-EC2Rescue. Esse plug-in é executado em sistemasoperacionais Linux e Microsoft Windows Server. Para obter mais informações, consulte Documentos doAWS Systems Manager (p. 349).

Sintaxe

"mainSteps": [ { "action": "aws:configurePackage", "name": "configurePackage", "inputs": { "name": "{{ name }}", "action": "{{ action }}", "version": "{{ version }}" } }]

Entradas

name

O nome do pacote da AWS a ser instalado ou desinstalado. Os pacotes disponíveis incluemo seguinte: AWSPVDriver, AwsEnaNetworkDriver, IntelSriovDriver, AwsVssComponents eAmazonCloudWatchAgent.

Tipo: string

Exigido: simaction

Instala ou desinstala um pacote.

Tipo: Enum

Valores válidos: Install | Uninstall

Exigido: simversão

Uma versão específica do pacote a ser instalada ou desinstalada. No caso de instalação, o sistemainstala a última versão publicada, por padrão. No caso de desinstalação, o sistema desinstala a versãoatualmente instalada, por padrão. Se não for encontrada nenhuma versão instalada, é feito downloadda última versão publicada e a ação de desinstalação é executada.

Tipo: sequência

Exigido: Não

aws:domainJoinIngressa uma instância do Amazon EC2 em um domínio. Esse plug-in é executado somente em sistemasoperacionais Microsoft Windows Server. Para obter mais informações, consulte Documentos do AWSSystems Manager (p. 349).

386


Sintaxe

"runtimeConfig":{ "aws:domainJoin":{ "properties":{ "directoryId":"{{ directoryId }}", "directoryName":"{{ directoryName }}", "directoryOU":"{{ directoryOU }}", "dnsIpAddresses":"{{ dnsIpAddresses }}" } }

Properties

directoryId

O ID do diretório.

Tipo: string

Exigido: sim

Exemplo: "directoryId": "d-1234567890"directoryName

O nome do domínio.

Tipo: string

Exigido: sim

Exemplo: "directoryName": "example.com"directoryOU

A unidade organizacional (OU).

Tipo: sequência

Exigido: Não

Exemplo: "directoryOU": "OU=test,DC=example,DC=com"dnsIpAddresses

Os endereços IP dos servidores DNS.

Tipo: matriz

Exigido: Não

Exemplo: "dnsIpAddresses": ["198.51.100.1"," 198.51.100.2"]

ExemplosPara obter exemplos, consulte Ingressar uma instância do Windows Server em um domínio do AWSDirectory Service no Amazon EC2 User Guide for Windows Instances.

aws:downloadContent(Esquema versão 2.0 ou posterior) faz download de documentos e scripts do SSM em locais remotos.Esse plug-in é compatível com sistemas operacionais Linux e Windows Server.

387

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html


Sintaxe

"mainSteps": [{ "action":"aws:downloadContent", "name":"downloadContent", "inputs":{ "sourceType":"{{ sourceType }}", "sourceInfo":"{{ sourceInfo }}", "destinationPath":"{{ destinationPath }}" }}

Entradas

sourceType

A origem do download. Atualmente, o Systems Manager é compatível com os tipos de origem a seguirpara download de scripts e documentos do SSM: GitHub, S3 e SSMDocument.

Tipo: string

Exigido: simsourceInfo

As informações necessárias para recuperar o conteúdo necessário da origem.

Tipo: StringMap

Exigido: sim

Para sourceType GitHub, especifique o seguinte:• owner: o proprietário do repositório.• repository: o nome do repositório.• path: o caminho para o arquivo ou diretório no qual você deseja fazer download.• getOptions: opções extras para recuperar conteúdo de uma ramificação diferente ou confirmação

diferente. Esse parâmetro usa o formato a seguir:• branch:nome da ramificação

O padrão é master.• commitID:commitID

O padrão é head.• tokenInfo: o parâmetro SecureString do Systems Manager (um parâmetro SecureString) em que

você armazena informações de token de acesso.

Example syntax:{"owner":"TestUser", "repository":"GitHubTest", "path": "scripts/python/test-script","getOptions" : "branch:master","tokenInfo":"{{ssm-secure:secure-string-token}}" }

Para sourceType S3, especifique o seguinte:• path: o URL para o arquivo ou diretório do qual você deseja fazer download do Amazon S3.

388


Example syntax:{"path": "https://s3.amazonaws.com/aws-executecommand-test/powershell/helloPowershell.ps1" }

Para sourceType SSMDocument, especifique uma das opções a seguir:• name: o nome e a versão do documento no seguinte formato: name:version. A versão é opcional.

Example syntax:{"name": "Example-RunPowerShellScript:3" }

• name: o ARN do documento no seguinte formato: arn:aws:ssm:region:account_id:document/document_name

{ "name":"arn:aws:ssm:us-east-2:3344556677:document/MySharedDoc"}

destinationPath

Um caminho local opcional na instância em que você deseja fazer download do arquivo. Se você nãoespecificar um caminho, o conteúdo é baixado para um caminho relativo ao seu ID de comando.

Tipo: sequência

Exigido: Não

aws:psModuleInstala módulos do PowerShell em uma instância do EC2. Esse plug-in é executado somente em sistemasoperacionais Microsoft Windows Server. Para obter mais informações, consulte Documentos do AWSSystems Manager (p. 349).

Sintaxe

"runtimeConfig":{ "aws:psModule":{ "properties":[ { "id":"0.aws:psModule", "runCommand":"{{ commands }}", "source":"{{ source }}", "sourceHash":"{{ sourceHash }}", "workingDirectory":"{{ workingDirectory }}", "timeoutSeconds":"{{ executionTimeout }}" } ]

Properties

runCommand

O comando do PowerShell a ser executado depois que o módulo é instalado.

Tipo: lista ou matriz

389


Exigido: Nãosource

O URL ou o caminho local na instância para o arquivo .zip do aplicativo.

Tipo: sequência

Exigido: NãosourceHash

O hash SHA256 do arquivo .zip.

Tipo: sequência

Exigido: NãotimeoutSeconds

O tempo em segundos em que um comando deve ser concluído antes que seja consideradomalsucedido.

Tipo: sequência

Exigido: NãoworkingDirectory

O caminho para o diretório de trabalho em sua instância.

Tipo: sequência

Exigido: Não

aws:refreshAssociation(Esquema versão 2.0 ou posterior) atualiza uma associação (força a aplicação) sob demanda. Essaação altera o estado do sistema com base no que está definido na associação selecionada ou em todasas associações vinculadas aos destinos. Esse plug-in é executado em sistemas operacionais Linuxe Microsoft Windows Server. Para obter mais informações, consulte Documentos do AWS SystemsManager (p. 349).

Sintaxe

"action":"aws:refreshAssociation", "name":"refreshAssociation", "inputs": { "associationIds": "{{ associationIds }}" }

Entradas

associationIds

Lista os IDs de associação. Se vazio, todas as associações vinculadas ao destino especificado sãoaplicadas.

Tipo: StringList

Exigido: Não

390


aws:runDockerAction(Esquema versão 2.0 ou posterior) executa ações de docker em contêineres. Esse plug-in é executadoem sistemas operacionais Linux e Microsoft Windows Server. Para obter mais informações, consulteDocumentos do AWS Systems Manager (p. 349).

Sintaxe

"mainSteps": [ { "action": "aws:runDockerAction", "name": "RunDockerAction", "inputs": { "action": "{{ action }}", "container": "{{ container }}", "image": "{{ image }}", "memory": "{{ memory }}", "cpuShares": "{{ cpuShares }}", "volume": "{{ volume }}", "cmd": "{{ cmd }}", "env": "{{ env }}", "user": "{{ user }}", "publish": "{{ publish }}" }

Entradas

action

O tipo de ação a ser executada.

Tipo: string

Exigido: simcontêiner

O ID do contêiner de docker.

Tipo: sequência

Exigido: Nãoimagem

O nome da imagem de docker.

Tipo: sequência

Exigido: Nãocmd

O comando do contêiner.

Tipo: sequência

Exigido: Nãomemory

O limite de memória do contêiner.

Tipo: sequência

391


Exigido: NãocpuShares

Os compartilhamentos de CPU com contêiner (peso relativo).

Tipo: sequência

Exigido: Nãovolume

As montagens do volume do contêiner.

Tipo: StringList

Exigido: Nãoenv

As variáveis de ambiente do contêiner.

Tipo: sequência

Exigido: Nãousuário

O nome de usuário do contêiner.

Tipo: sequência

Exigido: Nãopublish

As portas publicadas do contêiner.

Tipo: sequência

Exigido: Não

aws:runDocument(Esquema versão 2.0 ou posterior) executa documentos do SSM armazenados no SystemsManager ou em um compartilhamento local. Você pode usar esse plug-in com o plug-inaws:downloadContent (p. 387) para fazer download de um documento do SSM de um local remoto paraum compartilhamento local e em seguida executá-lo. Esse plug-in é compatível com sistemas operacionaisLinux e Windows Server.

Sintaxe

"mainSteps": [{ "action":"aws:runDocument", "name":"runDocument", "inputs":{ "documentType":"{{ documentType }}", "documentPath":"{{ documentPath }}", "documentParameters":"{{ documentParameters }}" }}

392


Entradas

documentType

O tipo de documento a ser executado. Você pode executar documentos locais (LocalPath) oudocumentos armazenados no Systems Manager (SSMDocument).

Tipo: string

Exigido: simdocumentPath

O caminho para o documento. Se documentType for LocalPath, especifique o caminho para odocumento no compartilhamento local. Se documentType for SSMDocument, especifique o nome dodocumento.

Tipo: sequência

Exigido: NãodocumentParameters

Parâmetros para o documento.

Tipo: StringMap

Exigido: Não

aws:runPowerShellScriptExecuta scripts do PowerShell ou especifica o caminho para um script ser executado. Esse plug-in éexecutado em sistemas operacionais Microsoft Windows e Linux. Para obter mais informações, consulteDocumentos do AWS Systems Manager (p. 349).

SintaxeSintaxe para documento do SSM 1.2

"runtimeConfig":{ "aws:runPowerShellScript":{ "properties":[ { "id":"0.aws:runPowerShellScript", "runCommand":"{{ commands }}", "workingDirectory":"{{ workingDirectory }}", "timeoutSeconds":"{{ executionTimeout }}" } ]

Sintaxe para documento do SSM 2.2

"mainSteps": [ { "action":"aws:runPowerShellScript", "name:":"step name", "inputs":{ "timeoutSeconds":"Timeout in seconds", "runCommand:":"[Command to execute]" } }

393


]

Veja um exemplo do schemaVersion 2.2:

{ "schemaVersion":"2.2", "description":"Simple test document using the aws:runPowerShellScript plugin.", "parameters":{ "Salutation":{ "type":"String", "description":"(Optional) This is an optional parameter that will be displayed in the output of the command if specified.", "allowedPattern":"[a-zA-Z]", "default":"World" } }, "mainSteps":[ { "action":"aws:runPowerShellScript", "name":"DisplaySalutation", "inputs":{ "timeoutSeconds":60, "runCommand":[ "$salutation = '{{ Salutation }}'", "", "if ( [String]::IsNullOrWhitespace( $salutation ) )", "{", " $salutation = 'anonymous'", "}", "", "Write-Host ('Hello {0}' -f $salutation)" ] } } ]}

Properties

runCommand

Especifica os comandos para execução ou o caminho para um script existente na instância.


Exigido: simtimeoutSeconds


Tipo: sequência



Tipo: sequência

Exigido: Não

394


aws:runShellScriptExecuta scripts de shell do Linux ou especifica o caminho para um script ser executado. Esse plug-in éexecutado somente em sistemas operacionais Linux. Para obter mais informações, consulte Documentosdo AWS Systems Manager (p. 349).

Sintaxe

"runtimeConfig":{ "aws:runShellScript":{ "properties":[ { "id":"0.aws:runShellScript", "runCommand":"{{ commands }}", "workingDirectory":"{{ workingDirectory }}", "timeoutSeconds":"{{ executionTimeout }}" } ] }

Properties

runCommand

Especifica os comandos para execução ou o caminho para um script existente na instância.


Exigido: simtimeoutSeconds


Tipo: sequência



Tipo: sequência

Exigido: Não

aws:softwareInventory(Esquema versão 2.0 ou posterior) faz uma coleta do inventário de aplicativos, dos componentes da AWS,da configuração de rede, de atualizações do Windows e de inventários personalizados de uma instância.Esse plug-in é executado em sistemas operacionais Linux e Microsoft Windows Server. Para obter maisinformações, consulte Documentos do AWS Systems Manager (p. 349).

Sintaxe

"mainSteps": [ { "action": "aws:softwareInventory", "name": "collectSoftwareInventoryItems",

395


"inputs": { "applications": "{{ applications }}", "awsComponents": "{{ awsComponents }}", "networkConfig": "{{ networkConfig }}", "windowsUpdates": "{{ windowsUpdates }}", "customInventory": "{{ customInventory }}" } }

Entradas

applications

Coleta dados de aplicativos instalados.

Tipo: sequência

Exigido: NãoawsComponents

Colete dados de componentes da AWS, como o amazon-ssm-agent.

Tipo: sequência

Exigido: NãonetworkConfig

Coleta dados de configuração de rede.

Tipo: sequência

Exigido: NãowindowsUpdates

Coleta dados de todas as atualizações do Windows.

Tipo: sequência

Exigido: NãocustomInventory

Coleta dados de inventário personalizado.

Tipo: sequência

Exigido: Não

aws:updateAgentAtualiza o serviço EC2Config para a versão mais recente ou especifica uma versão mais antiga. Esseplug-in é executado somente em sistemas operacionais Microsoft Windows Server. Para obter maisinformações sobre o serviço EC2Config, consulte Configuração de uma instância do Windows usandoo serviço EC2Config. Para obter mais informações sobre documentos, consulte Documentos do AWSSystems Manager (p. 349).

Sintaxe

"runtimeConfig": { "aws:updateAgent": {

396

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/UsingConfig_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/UsingConfig_WinAMI.html


"properties": { "agentName": "Ec2Config", "source": "https://s3.region.amazonaws.com/aws-ssm-region/manifest.json", "allowDowngrade": "{{ allowDowngrade }}", "targetVersion": "{{ version }}" } } }

Properties

agentName

EC2Config. Esse é o nome do agente que executa o serviço EC2Config.

Tipo: string

Exigido: simallowDowngrade

Permite que o serviço EC2Config seja rebaixado para uma versão anterior. Se definido como falso,o serviço pode ser atualizado somente para versões mais recentes (padrão). Se definido comoverdadeiro, especifica a versão anterior.

Tipo: Booleano

Exigido: Nãosource

O local no qual o Systems Manager copia a versão do EC2Config para instalar. Você não pode alteraressa localização.

Tipo: string

Exigido: simtargetVersion

Uma versão específica do serviço EC2Config a ser instalada. Se não for especificado, o serviço seráatualizado para a versão mais recente.

Tipo: sequência

Exigido: Não

aws:updateSSMAgentAtualiza o Agente do SSM para a versão mais recente ou especifica uma versão mais antiga. Esse plug-in é executado em sistemas operacionais Linux e Windows Server. Para obter mais informações, consulteInstalar e configurar o Agente do SSM (p. 19). Para obter mais informações sobre documentos, consulteDocumentos do AWS Systems Manager (p. 349).

Sintaxe

"runtimeConfig": { "aws:updateSsmAgent": { "properties": [ { "agentName": "amazon-ssm-agent", "source": "https://s3.region.amazonaws.com/aws-ssm-region/manifest.json",

397

AWS Systems Manager Guia do usuárioReferência do documento de Automação

"allowDowngrade": "{{ allowDowngrade }}", "targetVersion": "{{ version }}" } ] } }

Properties

agentName

amazon-ssm-agent. Esse é o nome do agente do Systems Manager que processa solicitações eexecuta comandos na instância.

Tipo: string

Exigido: simallowDowngrade

Permite que o Agente do SSM seja rebaixado para uma versão anterior. Se definido como falso,o agente pode ser atualizado somente para versões mais recentes (padrão). Se definido comoverdadeiro, especifica a versão anterior.

Tipo: Booleano

Exigido: Nãosource

O local no qual o Systems Manager copia a versão do Agente do SSM para instalar. Você não podealterar essa localização.

Tipo: string

Exigido: simtargetVersion

Uma versão específica do Agente do SSM a ser instalada. Se não for especificado, o agente seráatualizado para a versão mais recente.

Tipo: sequência

Exigido: Não

Referência do documento de Automação do SystemsManagerEssa referência descreve as ações (ou plug-ins) que você pode especificar em um documento deAutomação do AWS Systems Manager. Para obter informações sobre plug-ins para outros tipos dedocumento do SSM, consulte Referência de plug-ins de documentos do SSM (p. 375).

A automação do Systems Manager executa as etapas definidas em documentos de automação. Cadaetapa está associada a uma ação específica. A ação determina as entradas, o comportamento e as saídasda etapa. As etapas são definidas na seção mainSteps do seu documento de Automação.

Não é necessário especificar as saídas de uma ação ou etapa. As saídas são predeterminadas pela açãoassociada à etapa. Quando você especifica entradas de etapa nos seus documentos de Automação,pode fazer referência a uma ou mais saídas de uma etapa anterior. Por exemplo, você pode disponibilizar

398


a saída de aws:runInstances para uma ação aws:runCommand subsequente. Você também podereferenciar saídas de etapas anteriores na seção Output do documento de Automação.

Tópicos• Propriedades comuns em todas as ações (p. 399)• aws:approve (p. 402)• aws:changeInstanceState (p. 405)• aws:copyImage (p. 406)• aws:createImage (p. 407)• aws:createStack (p. 409)• aws:createTags (p. 414)• aws:deleteImage (p. 415)• aws:deleteStack (p. 415)• aws:executeAutomation (p. 417)• aws:executeStateMachine (p. 418)• aws:invokeLambdaFunction (p. 419)• aws:pause (p. 420)• aws:runCommand (p. 421)• aws:runInstances (p. 423)• aws:sleep (p. 426)

Propriedades comuns em todas as açõesAs seguintes propriedades são comuns a todas as ações:

"mainSteps": [ { "name": "name", "action": "action", "maxAttempts": value, "timeoutSeconds": value, "onFailure": "value", "inputs": { ... } }, { "name": "name", "action": "action", "maxAttempts": value, "timeoutSeconds": value, "onFailure": "value", "inputs": { ... } }]

name

Um identificador que deve ser exclusivo em todos os nomes de etapas do documento.

Tipo: string

Exigido: sim

399


action

O nome da ação que a etapa deve executar. aws:runCommand (p. 421) é um exemplo de uma açãoque você pode especificar aqui. Esse documento fornece informações detalhadas sobre todas asações disponíveis.

Tipo: string

Exigido: simmaxAttempts

Quantas vezes a etapa deve ser repetida em caso de falha. Se o valor for maior que 1, a etapa nãoserá considerada falha até que todas as novas tentativas tenham falhado. O valor padrão é 1.


Exigido: NãotimeoutSeconds

O valor de tempo limite de execução da etapa. Se o tempo limite for atingido, e o valor demaxAttempts for maior que 1, a etapa não será considerada expirada até que todas as novastentativas tenham sido feitas. Não existe um valor padrão para esse campo.


Exigido: NãoonFailure

Indica se o fluxo de trabalho deve ser anulado, continuar ou seguir para outra etapa em caso de falha.O valor padrão desta opção é anular.

Tipo: string

Valores válidos: Anular | Continuar | etapa:step_name

Exigido: NãoisEnd

Essa opção interrompe a execução de uma automação no final de determinada etapa. A execução daautomação para se a execução da etapa falhar ou for bem-sucedida. O valor padrão é falso.

Tipo: Booleano

Valores válidos: true | false

Exigido: Não

Aqui está um exemplo de como inserir essa opção na seção mainSteps do seu documento:

"mainSteps":[ { "name":"InstallMsiPackage", "action":"aws:runCommand", "onFailure":"step:PostFailure", "maxAttempts":2, "inputs":{ "InstanceIds":[ { { "i-1234567890EXAMPLE,i-abcdefghiEXAMPLE" } }

400


], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "msiexec /i {{packageName}}" ] } }, "nextStep":"TestPackage" }, { "name":"TestPackage", "action":"aws:invokeLambdaFunction", "maxAttempts":1, "timeoutSeconds":500, "inputs":{ "FunctionName":"TestLambdaFunction" }, "isEnd":true }

nextStep

Especifica qual etapa de um fluxo de trabalho de automação deve ser processada imediatamenteapós a conclusão bem-sucedida de uma etapa.


"mainSteps":[ { "name":"InstallMsiPackage", "action":"aws:runCommand", "onFailure":"step:PostFailure", "maxAttempts":2, "inputs":{ "InstanceIds":[ { { "i-1234567890EXAMPLE,i-abcdefghiEXAMPLE" } } ], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "msiexec /i {{packageName}}" ] } }, "nextStep":"TestPackage" }

isCritical

Designa uma etapa como essencial para a conclusão bem-sucedida da automação. Se uma etapacom essa designação falhar, a automação relatará o status final da automação como Failed (comfalha). O valor padrão desta opção é verdadeiro.

Tipo: Booleano

Valores válidos: true | false

Exigido: Não

401



{ "name":"InstallMsiPackage", "action":"aws:runCommand", "onFailure":"step:SomeOtherStep", "isCritical":false, "maxAttempts":2, "inputs":{ "InstanceIds":[ { { "i-1234567890EXAMPLE,i-abcdefghiEXAMPLE" } } ], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "msiexec /i {{packageName}}" ] } }, "nextStep":"TestPackage"}

inputs

As propriedades específicas da ação.

Tipo: Mapa

Exigido: sim

aws:approvePausa temporariamente uma execução de Automação até que as entidades principais designadasaprovem ou rejeitem a ação. Depois que o número necessário de aprovações for atingido, a execuçãoda Automação será retomada. Você pode inserir a etapa de aprovação em qualquer lugar na seçãomainSteps do seu documento de Automação.

No exemplo a seguir, a ação aws:approve pausa temporariamente o fluxo de trabalho de Automaçãoaté que um aprovador aceite ou rejeite o fluxo de trabalho. Após a aprovação, o documento executa umcomando simples do PowerShell.

{ "description":"RunInstancesDemo1", "schemaVersion":"0.3", "assumeRole":"{{ assumeRole }}", "parameters":{ "assumeRole":{ "type":"String" }, "message":{ "type":"String" } }, "mainSteps":[ { "name":"approve", "action":"aws:approve",

402


"timeoutSeconds":1000, "onFailure":"Abort", "inputs":{ "NotificationArn":"arn:aws:sns:us-east-2:12345678901:AutomationApproval", "Message":"{{ message }}", "MinRequiredApprovals":1, "Approvers":[ "arn:aws:iam::12345678901:user/AWS-User-1" ] } }, { "name":"run", "action":"aws:runCommand", "inputs":{ "InstanceIds":[ "i-1a2b3c4d5e6f7g" ], "DocumentName":"AWS-RunPowerShellScript", "Parameters":{ "commands":[ "date" ] } } } ]}

Você pode aprovar ou negar automações que estão aguardando aprovação no console.

Para aprovar ou negar automações em espera


-ou-


3. Escolha a opção ao lado de uma automação com o status de Waiting (Em espera).

4. Escolha Approve/Deny (Aprovar/negar).5. Analise os detalhes da automação.6. Escolha Approve (Aprovar) ou Deny (Negar), digite um comentário opcional e escolha Submit (Enviar).

Entrada

{ "NotificationArn":"arn:aws:sns:us-west-1:12345678901:Automation-ApprovalRequest", "Message":"Please approve this step of the Automation.",

403



"MinRequiredApprovals":3, "Approvers":[ "IamUser1", "IamUser2", "arn:aws:iam::12345678901:user/IamUser3", "arn:aws:iam::12345678901:role/IamRole" ]}

NotificationArn

O ARN de um tópico do Amazon SNS para aprovações de Automação. Quando você especifica umaetapa aws:approve em um documento de Automação, a Automação envia uma mensagem a essetópico, permitindo que as entidades principais saibam se devem aprovar ou rejeitar uma etapa deAutomação. O título do tópico do Amazon SNS deve ser prefixado com "Automation".

Tipo: sequência

Exigido: NãoMessage

As informações que você deseja incluir no tópico do SNS quando a solicitação de aprovação éenviada. O comprimento máximo da mensagem é de 4096 caracteres.

Tipo: sequência

Exigido: NãoMinRequiredApprovals

O número mínimo de aprovações necessárias para retomar a execução da Automação. Se vocênão especificar um valor, o sistema assumirá 1 como padrão. O valor desse parâmetro deve ser umnúmero positivo. O valor desse parâmetro não pode exceder o número de aprovadores definidas peloparâmetro Approvers.


Exigido: NãoApprovers

Uma lista de entidades principais autenticadas da AWS que podem aprovar ou rejeitar a ação. Onúmero máximo de aprovadores é 10. É possível especificar entidades principais usando qualquer umdos seguintes formatos:• Um nome de usuário do AWS Identity and Access Management (IAM)• Um ARN de usuário do IAM• Um ARN de função do IAM• Um ARN de usuário de função de admissão do IAM

Tipo: StringList

Exigido: sim

Resultado

ApprovalStatus

O status de aprovação da etapa. O status pode ser um dos seguintes: Approved, Rejected ou Waiting.Waiting significa que a Automação está aguardando a entrada de aprovadores.

Tipo: string

404


ApproverDecisions

Um mapa JSON que inclui a decisão de aprovação de cada aprovador.

Tipo: MapList

aws:changeInstanceStateAltera ou declara o estado da instância.

Essa ação pode ser usada no modo de declaração (não executar a API para alterar o estado, masverificar se a instância está no estado desejado). Para usar o modo de declaração, defina o parâmetroCheckStateOnly como true. Esse modo é útil no Windows ao executar o comando Sysprep, um comandoassíncrono que pode ser executado em segundo plano por um longo tempo. Você pode garantir que ainstância esteja interrompida antes de criar uma AMI.

Entrada

{ "name":"stopMyInstance", "action": "aws:changeInstanceState", "maxAttempts": 3, "timeoutSeconds": 3600, "onFailure": "Abort", "inputs": { "InstanceIds": ["i-1234567890abcdef0"], "CheckStateOnly": true, "DesiredState": "stopped" }}

InstanceIds

Os IDs das instâncias.

Tipo: StringList

Exigido: simCheckStateOnly

Se false, define o estado da instância como o estado desejado. Se true, declara o estado desejadousando sondagem.

Tipo: Booleano

Exigido: NãoDesiredState

O estado desejado.

Tipo: string

Valores válidos: running | stopped | terminated

Exigido: simForce

Se configurado, força a interrupção das instâncias. As instâncias não têm a oportunidade de liberaros caches ou metadados do sistema de arquivos. Se você usar essa opção, deve executar a

405


verificação do sistema de arquivos e os procedimentos de reparo. Essa opção não é recomendadapara instâncias do Windows.

Tipo: Booleano

Exigido: NãoAdditionalInfo

Reservado.

Tipo: sequência

Exigido: Não

Resultado

Nenhum

aws:copyImageCopia uma AMI de qualquer região para a região atual. Essa ação também pode criptografar a nova AMI.

Entrada

Essa ação oferece suporte para a maioria dos parâmetros CopyImage. Para obter mais informações,consulte CopyImage.

O exemplo a seguir cria uma cópia de uma AMI na região de Seul (SourceImageID: ami-0fe10819.SourceRegion: ap-northeast-2). A nova AMI é copiada para a região em que você iniciou a ação deAutomação. A AMI copiada será criptografada, pois o sinalizador Encrypted opcional está definido comotrue.

{ "name": "createEncryptedCopy", "action": "aws:copyImage", "maxAttempts": 3, "onFailure": "Abort", "inputs": { "SourceImageId": "ami-0fe10819", "SourceRegion": "ap-northeast-2", "ImageName": "Encrypted Copy of LAMP base AMI in ap-northeast-2", "Encrypted": true } }

SourceRegion

A região em que a AMI de origem existe atualmente.

Tipo: string

Exigido: simSourceImageId

O ID de AMI a ser copiado da região de origem.

Tipo: string

Exigido: sim

406

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopyImage.html


ImageName

O nome da nova imagem.

Tipo: string

Exigido: simImageDescription

Uma descrição da imagem de destino.

Tipo: sequência

Exigido: NãoCriptografado

Criptografar a AMI de destino.

Tipo: Booleano

Exigido: NãoKmsKeyId

O nome de recurso da Amazon (ARN) completo da CMK do AWS Key Management Service a serusado para criptografar os snapshots de uma imagem durante uma operação de cópia. Para obtermais informações, consulte CopyImage.

Tipo: sequência

Exigido: NãoClientToken

Um identificador único e com diferenciação entre maiúsculas de minúsculas que você fornece paragarantir a idempotência da solicitação. Para obter mais informações, consulte CopyImage.

Tipo: sequência

Exigido: Não

Resultado

ImageId

O ID da imagem copiada.ImageState

O estado da imagem copiada.

Valores válidos: available | pending | failed

aws:createImageCria uma nova AMI a partir de uma instância que está em execução ou parada.

Entrada

407

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/api_copyimage.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/api_copyimage.html


Essa ação oferece suporte para a maioria dos parâmetros CreateImage. Para obter mais informações,consulte CreateImage.

{ "name": "createMyImage", "action": "aws:createImage", "maxAttempts": 3, "onFailure": "Abort", "inputs": { "InstanceId": "i-1234567890abcdef0", "ImageName": "AMI Created on{{global:DATE_TIME}}", "NoReboot": true, "ImageDescription": "My newly created AMI" }}

InstanceId

O ID da instância.

Tipo: string

Exigido: simImageName

O nome da imagem.

Tipo: string

Exigido: simImageDescription

Uma descrição da imagem.

Tipo: sequência

Exigido: NãoNoReboot

Um literal booliano.

Por padrão, o Amazon EC2 tenta desligar e reinicializar a instância antes de criar a imagem. Se aopção NoReboot estiver definida como true, o Amazon EC2 não desligará a instância antes de criara imagem. Quando esta opção é usada, não é possível garantir a integridade do sistema de arquivosna imagem criada.

Se você não deseja executar a instância depois de criar uma AMI a partir dela, primeiro use o plug-in aws:changeInstanceState (p. 405) para interromper a instância e, em seguida, use o plug-inaws:createImage com a opção NoReboot definida como true.

Tipo: Booleano

Exigido: NãoBlockDeviceMappings

Os dispositivos de bloco para a instância.

Tipo: Mapa

408

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateImage.html


Exigido: Não

Resultado

ImageId

O ID da imagem recém-criada.ImageState

Um script de execução fornecido como um valor literal de string. Se um valor literal for inserido, eledeverá ser codificado em Base64.

Exigido: Não

aws:createStackCria uma nova pilha do AWS CloudFormation a partir de um modelo.

Entrada

{ "name": "makeStack", "action": "aws:createStack", "maxAttempts": 1, "onFailure": "Abort", "inputs": { "Capabilities": [ "CAPABILITY_IAM" ], "StackName": "myStack", "TemplateURL": "http://s3.amazonaws.com/mybucket/myStackTemplate", "TimeoutInMinutes": 5 } }

Recursos

Uma lista de valores que você especifica antes que o AWS CloudFormation possa criar certas pilhas.Alguns modelos de pilha podem incluir recursos que podem afetar as permissões na sua conta daAWS. Por exemplo, criar novos usuário do AWS Identity and Access Management (IAM) pode afetarpermissões na sua conta. Para essas pilhas, você deve confirmar explicitamente seus recursosespecificando esse parâmetro.

Os únicos valores válidos são CAPABILITY_IAM e CAPABILITY_NAMED_IAM. Os seguintes recursosexigem que você especifique esse parâmetro.• AWS::IAM::AccessKey• AWS::IAM::Group• AWS::IAM::InstanceProfile• AWS::IAM::Policy• AWS::IAM::Role• AWS::IAM::User• AWS::IAM::UserToGroupAddition

Se o seu modelo de pilha contiver esses recursos, recomendamos que você reveja todas aspermissões associadas a eles e edite suas permissões, se necessário.

409

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-iam-accesskey.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-iam-group.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-instanceprofile.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-iam-policy.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-iam-user.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-iam-addusertogroup.html


Se tiver recursos do IAM, você poderá especificar qualquer capacidade. Se tiver recursos do IAM comnomes personalizados, você deverá especificar CAPABILITY_NAMED_IAM. Se você não especificaresse parâmetro, essa ação retornará um erro InsufficientCapabilities.

Para obter mais informações, consulte o tópico sobre como Reconhecer recursos do IAM em modelosdo AWS CloudFormation.

Tipo: matriz de strings

Valores válidos: CAPABILITY_IAM | CAPABILITY_NAMED_IAM

Exigido: NãoClientRequestToken

Um identificador exclusivo para essa solicitação CreateStack. Especifique este token se definirmaxAttempts nesta etapa como um valor maior que 1. Especificando esse token, o AWSCloudFormation sabe que você não está tentando criar uma nova pilha com o mesmo nome.

Tipo: sequência

Exigido: Não

Restrições de comprimento: comprimento mínimo de 1. Tamanho máximo de 128.

Padrão: [a-zA-Z0-9][-a-zA-Z0-9]*DisableRollback

Defina como true para desabilitar a reversão da pilha se a criação da pilha tiver falhado.

Condicional: é possível especificar o parâmetro DisableRollback ou OnFailure, mas não ambos.

Padrão: false

Tipo: Booleano

Exigido: NãoNotificationARNs

Os ARNs de tópicos do Amazon SNS para publicar eventos relacionados a pilhas. Vocêpode encontrar ARNs de tópicos do SNS usando o console do Amazon SNS, https://console.aws.amazon.com/sns/v2/home.


Membros da matriz: número máximo de 5 itens.

Exigido: NãoOnFailure

Determina a ação a ser realizada se a criação da pilha falhar. Você deve especificar DO_NOTHING,ROLLBACK ou DELETE.

Condicional: é possível especificar o parâmetro OnFailure ou DisableRollback, mas não ambos.

Padrão: ROLLBACK

Tipo: string

Valores válidos: DO_NOTHING | ROLLBACK | DELETE

Exigido: Não

410

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html#capabilities

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html#capabilities




Parâmetros

Uma lista de estruturas Parameter que especificam parâmetros de entrada para a pilha. Para obtermais informações, consulte o tipo de dados Parameter.

Tipo: matriz de objetos Parameter

Exigido: NãoResourceTypes

Os tipos de recursos de modelo com os quais você tem permissões para trabalhar paraessa ação de criação de pilha. Por exemplo: AWS::EC2::Instance, AWS::EC2::* ouCustom::MyCustomInstance. Use a seguinte sintaxe para descrever tipos de recursos de modelo.• Para todos os recursos da AWS:

AWS::*

• Para todos os recursos personalizados:

Custom::*

• Para um recurso personalizado específico:

Custom::logical_ID

• Para todos os recursos de um serviço da AWS específico:

AWS::service_name::*

• Para um recurso da AWS específico:

AWS::service_name::resource_logical_ID

Se a lista de tipos de recursos não incluir um recurso que você está criando, a criação da pilha falhará.Por padrão, o AWS CloudFormation concede permissões a todos os tipos de recursos. O IAM usaesse parâmetro para chaves de condição específicas do AWS CloudFormation em políticas do IAM.Para obter mais informações, consulte o tópico sobre como Controlar o acesso com o AWS Identityand Access Management.



Exigido: NãoRoleARN

O nome de recurso da Amazon (ARN) de uma função do IAM assumida pelo AWS CloudFormationpara criar a pilha. O AWS CloudFormation usa as credenciais da função para fazer chamadas em seunome. O AWS CloudFormation sempre usa essa função para todas as futuras operações na pilha.Desde que os usuários tenham permissão para operar na pilha, o AWS CloudFormation usará essafunção mesmo que os usuários não tenham permissão para transmiti-la. Certifique-se de que a funçãoconceda a menor quantidade de privilégios.

Se você não especificar um valor, o AWS CloudFormation usará a função anteriormente associada àpilha. Se nenhuma função estiver disponível, o AWS CloudFormation usará uma sessão temporáriagerada a partir das suas credenciais de usuário.

Tipo: string

411

https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_Parameter.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_Parameter.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html



Exigido: NãoStackName

O nome que está associado à pilha. O nome deve ser exclusivo na região em que você está criando apilha.

Note

Um nome de pilha pode conter apenas caracteres alfanuméricos (sensíveis a maiúsculas eminúsculas) e hífens. Ele deve começar com um caractere alfabético e não pode ter mais de128 caracteres.

Tipo: string

Exigido: simStackPolicyBody

Estrutura que contém o corpo da política de pilha. Para obter mais informações, consulte o tópicosobre como Prevenir atualizações para recursos de pilha.

Condicional: é possível especificar o parâmetro StackPolicyBody ou StackPolicyURL, mas nãoambos.

Tipo: string


Exigido: NãoStackPolicyURL

Localização de um arquivo contendo a política de pilha. A URL deve apontar para uma políticalocalizada em um bucket do Amazon S3 na mesma região que a pilha. O tamanho do arquivo máximopermitido para a política de pilha é de 16 KB.

Condicional: é possível especificar o parâmetro StackPolicyBody ou StackPolicyURL, mas nãoambos.

Tipo: string


Exigido: NãoTags

Pares de chave/valor para associar a essa pilha. O AWS CloudFormation também propaga essas tagspara os recursos criados na pilha. Você pode especificar um número máximo de 10 tags.

Tipo: matriz de objetos Tag

Exigido: NãoTemplateBody

Estrutura que contém o corpo do modelo com um comprimento mínimo de 1 byte e um comprimentomáximo de 51.200 bytes. Para obter mais informações, consulte Anatomia do modelo.

Condicional: é possível especificar o parâmetro TemplateBody ou TemplateURL, mas não ambos.

Tipo: string

412

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/protect-stack-resources.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_Tag.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-anatomy.html


Restrições de comprimento: comprimento mínimo de 1.

Exigido: NãoTemplateURL

Localização de um arquivo contendo o corpo do modelo. A URL deve apontar para um modeloque esteja localizado em um bucket do Amazon S3. O tamanho máximo permitido para o modelo é460.800 bytes. Para obter mais informações, consulte Anatomia do modelo.

Condicional: é possível especificar o parâmetro TemplateBody ou TemplateURL, mas não ambos.

Tipo: string


Exigido: NãoTimeoutInMinutes

O tempo permitido antes que o status da pilha se torne CREATE_FAILED. Se DisableRollback nãoestiver definido ou estiver definido como false, a pilha será revertida.


Faixa válida: valor mínimo de 1.

Exigido: Não

Outputs

StackId

Identificador exclusivo da pilha.

Tipo: stringStackStatus

Status atual da pilha.

Tipo: string

Valores válidos: CREATE_IN_PROGRESS | CREATE_FAILED | CREATE_COMPLETE| ROLLBACK_IN_PROGRESS | ROLLBACK_FAILED | ROLLBACK_COMPLETE| DELETE_IN_PROGRESS | DELETE_FAILED | DELETE_COMPLETE |UPDATE_IN_PROGRESS | UPDATE_COMPLETE_CLEANUP_IN_PROGRESS |UPDATE_COMPLETE | UPDATE_ROLLBACK_IN_PROGRESS | UPDATE_ROLLBACK_FAILED |UPDATE_ROLLBACK_COMPLETE_CLEANUP_IN_PROGRESS | UPDATE_ROLLBACK_COMPLETE |REVIEW_IN_PROGRESS

Exigido: simStackStatusReason

Mensagem de sucesso ou falha associada ao status da pilha.

Tipo: sequência

Exigido: Não

Para obter mais informações, consulte CreateStack.

413

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-anatomy.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html


Considerações sobre segurançaPara poder usar a ação aws:createStack, você deve atribuir a seguinte política à função de admissãode Automação do IAM. Para obter mais informações sobre a função de admissão, consulte Tarefa 1: criaruma função de serviço para a Automação (p. 144).

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks" ], "Resource":"*" } ]}

aws:createTagsCrie novas tags para instâncias do Amazon EC2 ou instâncias gerenciadas do Systems Manager.

Entrada

Essa ação oferece suporte para a maioria dos parâmetros CreateTags do EC2 e AddTagsToResource doSSM. Para obter mais informações, consulte CreateTags e AddTagsToResource.

O exemplo a seguir mostra como marcar uma AMI e uma instância como sendo recursos de produção paraum departamento específico.

{ "name": "createTags", "action": "aws:createTags", "maxAttempts": 3, "onFailure": "Abort", "inputs": { "ResourceType": "EC2", "ResourceIds": [ "ami-9a3768fa", "i-02951acd5111a8169" ], "Tags": [ { "Key": "production", "Value": "" }, { "Key": "department", "Value": "devops" } ] } }

ResourceIds

Os IDs dos recursos a serem marcados. Se o tipo de recurso não for "EC2", esse campo poderáconter apenas um item.

414

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/api_createtags.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/api_addtagstoresource.html


Tipo: String List

Exigido: simTags

As tags a serem associadas aos recursos.

Tipo: lista de mapas

Exigido: simResourceType

Os tipos de recursos a serem marcados. Se não for fornecido, o valor padrão de "EC2" será usado.

Tipo: sequência

Exigido: Não

Valores válidos: EC2 | ManagedInstance | MaintenanceWindow | Parameter

Resultado

Nenhum

aws:deleteImageExclui a imagem especificada e todos os snapshots relacionados.

Entrada

Esta ação oferece suporte para apenas um parâmetro. Para obter mais informações, consulte adocumentação de DeregisterImage e DeleteSnapshot.

{ "name": "deleteMyImage", "action": "aws:deleteImage", "maxAttempts": 3, "timeoutSeconds": 180, "onFailure": "Abort", "inputs": { "ImageId": "ami-12345678" }}

ImageId

O ID da imagem a ser excluída.

Tipo: string

Exigido: sim

Resultado

Nenhum

aws:deleteStackExclui uma pilha do AWS CloudFormation.

415

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeregisterImage.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSnapshot.html


Entrada

{ "name":"deleteStack", "action":"aws:deleteStack", "maxAttempts":1, "onFailure":"Abort", "inputs":{ "StackName":"{{stackName}}" }}

ClientRequestToken

Um identificador exclusivo para essa solicitação de DeleteStack. Especifique esse token se vocêplaneja repetir solicitações, para que o AWS CloudFormation saiba que você não está tentando excluiruma pilha com o mesmo nome. Você pode repetir solicitações DeleteStack para verificar se o AWSCloudFormation as recebeu.

Tipo: string


Padrão: [a-zA-Z][-a-zA-Z0-9]*

Exigido: NãoRetainResources.member.N

Essa entrada aplica-se apenas a pilhas que estão em um estado DELETE_FAILED. Uma lista deIDs de recursos lógicos para os recursos que você deseja manter. Durante a exclusão, o AWSCloudFormation exclui a pilha, mas não exclui os recursos mantidos.

A retenção de recursos é útil quando você não pode excluir um recurso, como um bucket do AmazonS3 não vazio, mas deseja excluir a pilha.


Exigido: NãoRoleARN

O nome de recurso da Amazon (ARN) de uma função do IAM assumida pelo AWS CloudFormationpara criar a pilha. O AWS CloudFormation usa as credenciais da função para fazer chamadas em seunome. O AWS CloudFormation sempre usa essa função para todas as futuras operações na pilha.Desde que os usuários tenham permissão para operar na pilha, o AWS CloudFormation usará essafunção mesmo que os usuários não tenham permissão para transmiti-la. Certifique-se de que a funçãoconceda a menor quantidade de privilégios.

Se você não especificar um valor, o AWS CloudFormation usará a função anteriormente associada àpilha. Se nenhuma função estiver disponível, o AWS CloudFormation usará uma sessão temporáriagerada a partir das suas credenciais de usuário.

Tipo: string


Exigido: NãoStackName

O nome ou o ID de pilha exclusivo que está associado à pilha.

Tipo: string

416


Exigido: sim

Considerações sobre segurançaPara poder usar a ação aws:deleteStack, você deve atribuir a seguinte política à função de admissãode Automação do IAM. Para obter mais informações sobre a função de admissão, consulte Tarefa 1: criaruma função de serviço para a Automação (p. 144).

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:DeleteStack", "cloudformation:DescribeStacks" ], "Resource":"*" } ]}

aws:executeAutomationExecuta um fluxo de trabalho de Automação secundário chamando um documento de Automaçãosecundário. Com essa ação, você pode criar documentos de Automação para seus fluxos de trabalho maiscomuns e fazer referência a esses documentos durante uma execução da Automação. Essa ação podesimplificar seus documentos de Automação, removendo a necessidade de duplicar etapas em documentossemelhantes.

A automação secundária é executada no contexto do usuário que iniciou a automação primária. Issosignifica que a automação secundária usa a mesma função ou conta de usuário do IAM que o usuário queiniciou a primeira automação.

Important

Se você especificar parâmetros em uma automação secundária que usam uma função deadmissão (uma função que usa a política iam:passRole), o usuário ou a função que iniciou aautomação primária deverá ter permissão para transmitir a função de admissão especificadana automação secundária. Para obter mais informações sobre como configurar uma funçãode admissão para Automação, consulte Método 2: usar o IAM para configurar funções paraAutomação (p. 144).

Entrada

{ "name":"Secondary_Automation_Workflow", "action":"aws:executeAutomation", "maxAttempts":3, "timeoutSeconds":3600, "onFailure":"Abort", "inputs":{ "DocumentName":"secondaryWorkflow", "RuntimeParameters":{ "instanceIds":[ "i-1234567890abcdef0" ] } }

417


}

DocumentName

O nome do documento de Automação secundário a ser executado durante a etapa. O documentodeve pertencer à mesma conta da AWS que o documento de Automação primário.

Tipo: string

Exigido: simDocumentVersion

A versão do documento de Automação secundário a ser executada. Se não for especificada, aAutomação executará a versão padrão do documento.

Tipo: string

Exigido: simRuntimeParameters

Parâmetros necessários para a execução do documento secundário. O mapeamento usa o seguinteformato: {"parameter1" : ["value1"], "parameter2" : ["value2"] }

Tipo: Mapa

Exigido: Não

Resultado

Resultado

A saída gerada pela execução secundária. Você pode fazer referência à saída usando o seguinteformato: Secondary_Automation_Step_Name.Output

Tipo: StringListExecutionId

O ID de execução da execução secundária.

Tipo: stringStatus

O status da execução secundária.

Tipo: string

aws:executeStateMachineExecuta uma máquina de estado do AWS Step Functions.

Entrada

Essa ação oferece suporte para a maioria dos parâmetros da ação da API StartExecution do StepFunctions.

{ "name": "executeTheStateMachine", "action": "aws:executeStateMachine",

418

https://docs.aws.amazon.com/step-functions/latest/apireference/API_StartExecution.html


"inputs": { "stateMachineArn": "StateMachine_ARN", "input": "{\"parameters\":\"values\"}", "name": "name" }}

stateMachineArn

O nome de recurso da Amazon (ARN) da máquina de estado criada do Step Functions.

Tipo: string

Exigido: simname

O nome da execução.

Tipo: sequência

Exigido: Nãoinput

Uma string que contém os dados de entrada JSON da execução.

Tipo: sequência

Exigido: Não

aws:invokeLambdaFunctionInvoca a função Lambda especificada.

Entrada

Essa ação oferece suporte para a maioria dos parâmetros de invocação do serviço Lambda. Para obtermais informações, consulte Invoke.

{ "name": "invokeMyLambdaFunction", "action": "aws:invokeLambdaFunction", "maxAttempts": 3, "timeoutSeconds": 120, "onFailure": "Abort", "inputs": { "FunctionName": "MyLambdaFunction" }}

FunctionName

O nome da função do Lambda. Essa função deve existir.

Tipo: string

Exigido: simQualifier

A versão da função ou nome do alias.

419

https://docs.aws.amazon.com/lambda/latest/dg/API_Invoke.html


Tipo: sequência

Exigido: NãoInvocationType

O tipo de invocação. O padrão é RequestResponse.

Tipo: string

Valores válidos: Event | RequestResponse | DryRun

Exigido: NãoLogType

Se Tail, o tipo de invocação deverá ser RequestResponse. O AWS Lambda retorna os últimos 4KB de dados de log produzidos pela sua função Lambda, codificados em base64.

Tipo: string

Valores válidos: None | Tail

Exigido: NãoClientContext

As informações específicas do cliente.

Exigido: NãoCarga útil

A entrada JSON da sua função Lambda.

Exigido: Não

Resultado

StatusCode

O código de status de execução da função.FunctionError

Indica se ocorreu um erro ao executar a função Lambda. Se um erro tiver ocorrido, esse campomostrará Handled ou Unhandled. Erros Handled são informados pela função. Erros Unhandledsão detectados e informados por AWS Lambda.

LogResult

Os logs codificados em base64 para a invocação da função Lambda. Os logs estarão presentesapenas se o tipo de invocação for RequestResponse e se tiverem sido solicitados.

Carga útil

A representação JSON do objeto retornado pela função Lambda. A carga útil estará presente apenasse o tipo de invocação for RequestResponse.

aws:pauseEssa ação pausa a execução da automação. Depois de pausada, o status da execução é Waiting (Emespera). Para continuar a execução da Automação, use a ação da API SendAutomationSignal com o tipode sinal Resume (Retomar).

420

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendAutomationSignal.html


Entrada

Veja a entrada a seguir.

{ "name": "pauseThis", "action": "aws:pause", "inputs": {}}

Resultado

Nenhum

aws:runCommandExecuta os comandos especificados.

Note

A Automação comporta apenas a saída de uma ação do Executar comando. Um documento podeincluir vários plug-ins e ações do Executar comando, mas apenas uma ação e um plug-in por vezsão comportados na saída.

Entrada

Essa ação oferece suporte para a maioria dos parâmetros de comando de envio. Para obter maisinformações, consulte SendCommand.

{ "name": "installPowerShellModule", "action": "aws:runCommand", "inputs": { "DocumentName": "AWS-InstallPowerShellModule", "InstanceIds": ["i-1234567890abcdef0"], "Parameters": { "source": "https://my-s3-url.com/MyModule.zip ", "sourceHash": "ASDFWER12321WRW" } }}

DocumentName

O nome do documento do Executar comando.

Tipo: string

Exigido: simInstanceIds


Tipo: string

Exigido: simParâmetros

Os parâmetros necessários e opcionais especificados no documento.

421

https://docs.aws.amazon.com/ssm/latest/APIReference/API_SendCommand.html


Tipo: Mapa

Exigido: NãoComentário

Informações definidas pelo usuário sobre o comando.

Tipo: sequência

Exigido: NãoDocumentHash

O hash do documento.

Tipo: sequência

Exigido: NãoDocumentHashType

O tipo de hash.

Tipo: string

Valores válidos: Sha256 | Sha1

Exigido: NãoNotificationConfig

As configurações para enviar notificações.

Exigido: NãoOutputS3BucketName

O nome do bucket do S3 para respostas de execução de comandos.

Tipo: sequência

Exigido: NãoOutputS3KeyPrefix

O prefixo.

Tipo: sequência

Exigido: NãoServiceRoleArn

O ARN da função do IAM.

Tipo: sequência

Exigido: NãoTimeoutSeconds

O valor de tempo limite de execução, em segundos.


Exigido: Não

422


Resultado

CommandId

O ID do comando.Status

O status do comando.ResponseCode

O código de resposta do comando.Resultado

A saída do comando.

aws:runInstancesExecuta uma nova instância.

Entrada

A ação oferece suporte para a maioria dos parâmetros de API. Para obter mais informações, consulte adocumentação da API RunInstances.

{ "name": "launchInstance", "action": "aws:runInstances", "maxAttempts": 3, "timeoutSeconds": 1200, "onFailure": "Abort", "inputs": { "ImageId": "ami-12345678", "InstanceType": "t2.micro", "MinInstanceCount": 1, "MaxInstanceCount": 1, "IamInstanceProfileName": "myRunCmdRole" }}

ImageId

O ID da imagem de máquina da Amazon (AMI).

Tipo: string

Exigido: simInstanceType

O tipo de instância.

Tipo: sequência

Exigido: NãoMinInstanceCount

O número mínimo de instâncias a serem executadas.

Tipo: sequência

Exigido: Não

423

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RunInstances.html


MaxInstanceCount

O número máximo de instâncias a serem executadas.

Tipo: sequência

Exigido: NãoAdditionalInfo

Reservado.

Tipo: sequência

Exigido: NãoBlockDeviceMappings

Os dispositivos de bloco para a instância.

Tipo: MapList

Exigido: NãoClientToken

O identificador para garantir a idempotência da solicitação.

Tipo: sequência

Exigido: NãoDisableApiTermination

Habilita ou desabilita o encerramento da API da instância

Tipo: Booleano

Exigido: NãoEbsOptimized

Habilita ou desabilita a otimização do EBS.

Tipo: Booleano

Exigido: NãoIamInstanceProfileArn

O ARN do perfil de instância do IAM da instância.

Tipo: sequência

Exigido: NãoIamInstanceProfileName

O nome do perfil de instância do IAM para a instância.

Tipo: sequência

Exigido: NãoInstanceInitiatedShutdownBehavior

Indica se a instância é interrompida ou encerrada no desligamento do sistema.

Tipo: sequência

424


Exigido: NãoKernelId

O ID do kernel.

Tipo: sequência

Exigido: NãoKeyName

O nome do par de chaves.

Tipo: sequência

Exigido: NãoMaxInstanceCount

O número máximo de instâncias a serem filtradas ao pesquisar ofertas.


Exigido: NãoMinInstanceCount

O número mínimo de instâncias a serem filtradas ao pesquisar ofertas.


Exigido: NãoMonitoramento

Habilita ou desabilita o monitoramento detalhado.

Tipo: Booleano

Exigido: NãoNetworkInterfaces

As interfaces de rede.

Tipo: MapList

Exigido: NãoPosicionamento

O posicionamento da instância.

Tipo: StringMap

Exigido: NãoPrivateIpAddress

O endereço IPv4 primário.

Tipo: sequência

Exigido: NãoRamdiskId

O ID do disco RAM.

425


Tipo: sequência

Exigido: NãoSecurityGroupIds

Os IDs dos security groups da instância.

Tipo: StringList

Exigido: NãoSecurityGroups

Os nomes dos security groups da instância.

Tipo: StringList

Exigido: NãoSubnetId

O ID da sub-rede.

Tipo: sequência

Exigido: NãoUserData

Um script de execução fornecido como um valor literal de string. Se um valor literal for inserido, eledeverá ser codificado em Base64.

Tipo: sequência

Exigido: Não

Resultado

InstanceIds


aws:sleepAtrasa a execução da Automação por um período de tempo especificado. Essa ação usa o formato de datae hora da Organização Internacional de Normalização (ISO) 8601. Para obter mais informações sobre esseformato de data e hora, consulte ISO 8601.

Entrada

É possível atrasar a execução por uma duração especificada.

{ "name":"sleep", "action":"aws:sleep", "inputs":{ "Duration":"PT10M" }}

426

https://www.iso.org/iso-8601-date-and-time-format.html

AWS Systems Manager Guia do usuárioParameter Store

Você também pode atrasar a execução até uma data e hora especificadas. Se a data e a horaespecificadas tiverem passado, a ação prosseguirá imediatamente.

{ "name": "sleep", "action": "aws:sleep", "inputs": { "Timestamp": "2020-01-01T01:00:00Z" }}

Note

Atualmente, a Automação oferece suporte para um atraso máximo de 604800 segundos (7 dias).

Duração

Uma duração ISO 8601. Não é possível especificar uma duração negativa.

Tipo: sequência

Exigido: NãoTimestamp

Um timestamp ISO 8601. Se você não especificar um valor para esse parâmetro, deverá especificarum valor para o parâmetro Duration.

Tipo: sequência

Exigido: Não

Resultado

Nenhum

Parameter Store do AWS Systems ManagerO Parameter Store do AWS Systems Manager oferece armazenamento hierárquico seguro paragerenciamento de dados de configuração e gerenciamento de segredos. Você pode armazenar dados,como senhas, strings de banco de dados e códigos de licença como valores de parâmetro. Você podearmazenar valores como texto sem formatação ou dados criptografados. Depois você pode fazerreferência a valores usando o nome exclusivo que especificou ao criar o parâmetro. O Parameter Store,altamente escalável, útil e estável, é respaldado pela Nuvem AWS. O Parameter Store é oferecido semcusto adicional.

O Parameter Store oferece os benefícios e recursos a seguir.

• Usa um serviço de gerenciamento escalável de segredos hospedadas (sem servidores para gerenciar).• Melhora sua postura de segurança, separando dados e código.• Armazena dados de configuração e protege strings em hierarquias e versões de trilha.• Controla e audita o acesso em níveis específicos.• Configura as notificações de alteração e aciona ações automatizadas.• Marca os parâmetros individualmente e protege acesso em diferentes níveis, como operacional, de

parâmetro, de tag do EC2 ou de caminho.

427

AWS Systems Manager Guia do usuárioConceitos básicos dos parâmetros do Systems Manager

• Faz referência a segredos do AWS Secrets Manager usando parâmetros do Parameter Store.• Usa os parâmetros do Parameter Store com outros recursos do Systems Manager e serviços da AWS

para recuperar segredos e dados de configuração a partir de um armazenamento central. Os seguintesserviços da AWS são compatíveis com parâmetros do Parameter Store: Amazon EC2, Amazon ElasticContainer Service, AWS Lambda, AWS CloudFormation, AWS CodeBuild e AWS CodeDeploy.

• Configura a integração com o AWS KMS, Amazon SNS, Amazon CloudWatch e AWS CloudTrail pararecursos de criptografia, notificação, monitoramento e auditoria.

Conceitos básicos dos parâmetros do SystemsManagerPara começar a usar os parâmetros do Systems Manager, conclua as seguintes tarefas.


Saiba como usar diferentes tipos de parâmetrosSystems Manager.

Sobre parâmetros do Systems Manager (p. 428)

Saiba como organizar, criar e marcar parâmetros. Trabalhar com parâmetros do SystemsManager (p. 432)

Configure o acesso a parâmetros e notificações. Configurar parâmetros do SystemsManager (p. 451)

Saiba mais sobre como criar e usar os parâmetrosdo Systems Manager em um ambiente de teste.

Demonstrações do Parameter Store do SystemsManager (p. 456)

Saiba como gerenciar o Parameter Storeusa o AWS KMS para gerenciar parâmetrosSecureString.

Como o Parameter Store do AWS SystemsManager usa o AWS KMS


As publicações de blog a seguir fornecem informações adicionais sobre o Parameter Store e sobre comousar esse recurso com outros serviços da AWS.

• Para obter informações sobre os limites do Parameter Store, consulte Limites do AWS Systems Managerno Amazon Web Services General Reference.

• Referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store (p. 47)• Gerenciamento de segredos para aplicativos do Amazon ECS usando o Parameter Store e as funções

do IAM para tarefas• Como usar o Parameter Store para acessar segredos e dados de configuração com segurança no AWS

CodeDeploy• Artigos interessantes sobre o EC2 Systems Manager Parameter Store

Sobre parâmetros do Systems ManagerVocê pode fazer referência a parâmetros do Systems Manager em seus scripts, comandos e fluxos detrabalho de configuração e automação. Os parâmetros funcionam com recursos do Systems Manager,como o Executar comando, o State Manager e a Automação. Você pode fazer referência a parâmetros emoutros serviços da AWS, como o Amazon Elastic Container Service e o AWS Lambda.

428

https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html



https://aws.amazon.com/blogs/compute/managing-secrets-for-amazon-ecs-applications-using-parameter-store-and-iam-roles-for-tasks/


https://aws.amazon.com/blogs/mt/use-parameter-store-to-securely-access-secrets-and-config-data-in-aws-codedeploy/


https://aws.amazon.com/blogs/mt/interesting-articles-on-ec2-systems-manager-parameter-store/

AWS Systems Manager Guia do usuárioSobre parâmetros do Systems Manager

Nos recursos do Systems Manager, você pode fazer referência aos parâmetros do Systems Manager emcomandos ou scripts da AWS CLI ou do AWS Tools for Windows PowerShell. Você também pode fazerreferência a parâmetros em documentos do SSM. Para obter mais informações sobre documentos doSSM, consulte Documentos do AWS Systems Manager (p. 349).

Tópicos• Exemplos de uso do parâmetro (p. 429)• Usar parâmetros Secure String (p. 430)

Exemplos de uso do parâmetroA seguir encontra-se um exemplo de parâmetro do Systems Manager em um comando da AWS CLI para oExecutar comando. Os parâmetros do Systems Manager são sempre prefixados com ssm:.

aws ssm send-command --instance-ids i-1a2b3c4d5e6f7g8 --document-name AWS-RunPowerShellScript --parameter '{"commands":["echo {{ssm:parameter name}}"]}'

Você também pode fazer referência a parâmetros do Systems Manager na seção Parameters de umdocumento do SSM, conforme mostrado no exemplo a seguir.

{ "schemaVersion":"2.0", "description":"Sample version 2.0 document v2", "parameters":{ "commands" : { "type": "StringList", "default": ["{{ssm:parameter name}}"] } }, "mainSteps":[ { "action":"aws:runShellScript", "name":"runShellScript", "inputs":{ "runCommand": "{{commands}}" } } ]}

Note

A seção runtimeConfig de documentos do SSM usam uma sintaxe semelhante para parâmetroslocais. Um parâmetro local não é o mesmo que um parâmetro do Systems Manager. Você podedistinguir parâmetros locais de parâmetros do Systems Manager pela ausência do prefixo ssm:.

"runtimeConfig":{ "aws:runShellScript":{ "properties":[ { "id":"0.aws:runShellScript", "runCommand":"{{ commands }}", "workingDirectory":"{{ workingDirectory }}", "timeoutSeconds":"{{ executionTimeout }}"

No momento, documentos do SSM não oferecem suporte para referências a parâmetros Secure String.Isso significa que, para usar os parâmetros Secure String com, por exemplo, o Executar comando, você

429


deve recuperar o valor do parâmetro antes de o transmitir ao Executar comando, conforme mostrado nosexemplos a seguir:

AWS CLI

$value=aws ssm get-parameters --names the parameter name --with-decryption

aws ssm send-command –name AWS-JoinDomain –parameters password=$value –instance-id the instance ID

Tools for Windows PowerShell

$secure = (Get-SSMParameterValue -Names the parameter name -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -AsPlainText -Force

$cred = New-Object System.Management.Automation.PSCredential -argumentlist user name,$secure

Usar parâmetros Secure StringUm parâmetro Secure String representa dados confidenciais que precisem ser armazenados e consultadoscom segurança. Se você tiver dados que não deseja que os usuários alterem ou referenciem em texto nãocriptografados, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dados SecureString. Recomendamos o uso de parâmetros Secure String nos seguintes cenários.

• Você deseja usar dados/parâmetros em todos os serviços da AWS sem expor os valores como textosimples em comandos, funções, logs de agentes ou logs do AWS CloudTrail.

• Você deseja controlar quem tem acesso a dados confidenciais.• Você deseja auditar quando dados confidenciais são acessados (AWS CloudTrail).• Você deseja criptografia em nível da AWS para seus dados confidenciais e deseja trazer suas próprias

chaves de criptografia para gerenciar o acesso.

Se você escolher o tipo de dados Secure String quando criar seu parâmetro, o AWS KMS criptografaráo valor do parâmetro. Para obter mais informações, consulte Como o Parameter Store do AWS SystemsManager usa o AWS KMS no AWS Key Management Service Developer Guide.

Important

Somente o valor de parâmetro de uma string segura é criptografado. Nomes de parâmetro,descrições e outras propriedades não são criptografados.

Como criar um parâmetro Secure String usando a CMK padrão do KMSO Systems Manager contém a chave mestra de cliente (CMK) padrão do AWS KMS. Você pode visualizaressa chave executando o seguinte comando na AWS CLI:

aws kms describe-key --key-id alias/aws/ssm

Se criar um parâmetro Secure String usando a CMK padrão do KMS, você não precisará fornecer um valorpara o parâmetro --key-id. O exemplo da CLI a seguir mostra o comando para criar um novo parâmetroSecure String no Parameter Store sem o parâmetro --key-id:

aws ssm put-parameter --name a_name --value "a value" --type SecureString

430




Como criar um parâmetro Secure String usando a CMK personalizada do KMSSe quiser usar uma CMK personalizada do KMS em vez de a CMK padrão atribuída à sua conta, vocêdeverá especificar a CMK personalizada do KMS usando o parâmetro --key-id. O parâmetro oferecesuporte para os seguintes formatos de parâmetros do AWS KMS.

• Exemplo de ARN principal:

arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

• Exemplo de ARN alias:

arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

• Exemplo de ID de chave globalmente exclusivo:

12345678-1234-1234-1234-123456789012

• Exemplo de nome de alias:

alias/MyAliasName

Você pode criar uma CMK personalizada do AWS KMS na AWS CLI usando os seguintes comandos:

aws kms create-key

Use um comando no seguinte formato para criar um parâmetro de sequência segura usando a chave quevocê acabou de criar.

aws ssm put-parameter --name a_name --value "a value" --type SecureString --key-id arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e

Note

Você pode criar manualmente um parâmetro com um valor criptografado. Nesse caso, como ovalor já está criptografado, não é necessário escolher o tipo de dados Secure String. Se vocêescolher Secure String, seu parâmetro será duplamente criptografado.

Por padrão, todos os valores de Secure String são exibidos como texto codificado. Para descriptografarum valor de Secure String, um usuário deve ter permissão para chamar a ação de API Decrypt. Para obterinformações sobre como configurar o controle de acesso do KMS, consulte Autenticação e controle deacesso para o AWS KMS no AWS Key Management Service Developer Guide.

Usar parâmetros Secure String com outros serviços da AWSVocê também pode usar parâmetros Secure String com outros serviços da AWS. No exemplo a seguir, afunção Lambda recupera um parâmetro Secure String usando a API GetParameters.

from __future__ import print_function import jsonimport boto3ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context):

431

https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html

https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html

https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html

https://docs.aws.amazon.com/ssm/latest/APIReference/API_GetParameters.html

AWS Systems Manager Guia do usuárioTrabalhar com parâmetros do Systems Manager

value = get_parameters() print("value1 = " + value) return value # Echo back the first key value

Tópicos relacionados

Para obter um exemplo de como criar e usar um parâmetro Secure String, consulte Demonstração: criarum parâmetro Secure String e ingressar uma instância em um domínio (PowerShell) (p. 459). Para obtermais informações sobre como usar parâmetros do Systems Manager com outros serviços da AWS, veja aseguinte postagem de blog.

• Gerenciamento de segredos para aplicativos do Amazon ECS usando o Parameter Store e funções doIAM para tarefas

• Como usar o Parameter Store para acessar segredos e dados de configuração com segurança no AWSCodeDeploy

• Artigos interessantes sobre o Parameter Store do Amazon EC2 Systems Manager

Trabalhar com parâmetros do Systems ManagerEsta seção descreve como organizar, criar e marcar parâmetros e criar diferentes versões de parâmetro.

Tópicos• Organizar parâmetros em hierarquias (p. 432)• Requisitos e restrições para nomes de parâmetro (p. 435)• Criar parâmetros do Systems Manager (p. 436)• Marcar parâmetros do Systems Manager (p. 440)• Como trabalhar com as versões de parâmetro (p. 442)• Como rotular parâmetros (p. 445)

Organizar parâmetros em hierarquiasGerenciar dezenas ou centenas de parâmetros como uma lista simples é um processo demorado epropenso a erros. Também pode ser difícil identificar o parâmetro correto para uma tarefa. Isso significaque você pode usar acidentalmente o parâmetro errado ou pode criar vários parâmetros que usam osmesmos dados de configuração.

Você pode usar hierarquias de parâmetros para ajudá-lo a organizar e gerenciar parâmetros. Umahierarquia é um nome de parâmetro que inclui um caminho que você define usando barras.

Important


Veja a seguir um exemplo que usa três níveis de hierarquia no nome para identificar o seguinte:

/Environment/Type of computer/Application/Data

/Dev/DBServer/MySQL/db-string13

É possível criar uma hierarquia com um máximo de 15 níveis. Sugerimos que você crie hierarquias quereflitam uma estrutura hierárquica existente no seu ambiente, conforme indicado nos exemplos a seguir:

• Seu ambiente de integração contínua e entrega contínua (fluxos de trabalho de CI/CD)

432





https://aws.amazon.com/blogs/mt/interesting-articles-on-ec2-systems-manager-parameter-store/

https://aws.amazon.com//devops/continuous-integration/

https://aws.amazon.com/devops/continuous-delivery/


/Dev/DBServer/MySQL/db-string

/Staging/DBServer/MySQL/db-string

/Prod/DBServer/MySQL/db-string

• Seus aplicativos que utilizam contêineres

/MyApp/.NET/Libraries/my-password

• Sua organização empresarial

/Finance/Accountants/UserList

/Finance/Analysts/UserList

/HR/Employees/EU/UserList

As hierarquias de parâmetros padronizam a maneira de criar parâmetros e facilitam o gerenciamentode parâmetros ao longo do tempo. Uma hierarquia de parâmetros também pode ajudá-lo a identificaro parâmetro correto para uma tarefa de configuração. Isso ajuda você a evitar a criação de váriosparâmetros com os mesmos dados de configuração.

Você pode criar uma hierarquia que permite compartilhar parâmetros em diferentes ambientes, comomostram os exemplos a seguir, que usam senhas em ambientes de desenvolvimento e teste.

/DevTest/MyApp/database/my-password

Você poderia então criar uma senha exclusiva para o seu ambiente de produção, conforme mostrado noexemplo a seguir:

/prod/MyApp/database/my-password

Não é necessário especificar uma hierarquia de parâmetros. Você pode criar parâmetros no nível um.Estes são chamados de parâmetros raiz. Por motivo de compatibilidade com versões anteriores, todosos parâmetros criados no Parameter Store antes do lançamento de hierarquias são parâmetros raiz. Ossistemas tratam ambos os parâmetros a seguir como parâmetros raiz.

/parameter-name

parameter-name

Para obter um exemplo de como trabalhar com hierarquias de parâmetros, consulte Demonstração:gerenciar parâmetros usando hierarquias (AWS CLI) (p. 461).

Consultar parâmetros em uma hierarquia

Outro benefício de usar hierarquias é a capacidade de consultar todos os parâmetros dentro de umahierarquia usando a ação de API GetParametersByPath. Por exemplo, se você executar o seguintecomando na AWS CLI, o sistema retornará todos os parâmetros no nível do IIS.

aws ssm get-parameters-by-path --path /Dev/Web/IIS

433

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html


Para visualizar os parâmetros SecureString descriptografados em uma hierarquia, você especifica ocaminho e o parâmetro --with-decryption, como mostra o exemplo a seguir.

aws ssm get-parameters-by-path --path /Prod/ERP/SAP --with-decryption

Restringir permissões do IAM usando hierarquias

Por meio de hierarquias e políticas do AWS Identity and Access Management (IAM) para ações de API doParameter Store, você pode fornecer ou restringir o acesso a todos os parâmetros em um nível específicode uma hierarquia. A política de exemplo a seguir permite todas as operações do Parameter Store emtodos os parâmetros da conta da AWS 123456789012, US East (Ohio) Region (us-east-2). O usuário nãopode criar parâmetros porque a ação PutParameter é negada explicitamente. Essa política tambémproíbe o usuário de chamar a ação GetParametersByPath.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*" ], "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*" }, { "Effect": "Deny", "Action": [ "ssm:GetParametersByPath" ], "Condition": { "StringEquals": { "ssm:Recursive": [ "true" ] } }, "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/Dev/ERP/Oracle/*" }, { "Effect": "Deny", "Action": [ "ssm:PutParameter" ], "Condition": { "StringEquals": { "ssm:Overwrite": [ "false" ] } }, "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*" } ]}

Important

Se um usuário tiver acesso a um caminho, o usuário poderá acessar todos os níveisdesse caminho. Por exemplo, se um usuário tiver permissão para acessar o caminho /a,o usuário também poderá acessar /a/b. Mesmo que o acesso de um usuário tenha sidoexplicitamente negado no IAM para o parâmetro /a, ele ainda poderá chamar a ação da APIGetParametersByPath recursivamente e visualizar /a/b.

434


Requisitos e restrições para nomes de parâmetroUse as informações contidas neste tópico para ajudá-lo a especificar os valores válidos para os nomes deparâmetro quando você cria um parâmetro.

Essas informações complementam os detalhes no tópico PutParameter no AWS Systems ManagerAPI Reference, que também fornece informações sobre os valores AllowedPattern, Description, KeyId,Overwrite, Type e Value.

Os requisitos e restrições para nomes de parâmetros incluem os seguintes:

• Diferenciação de letras maiúsculas e minúsculas: nomes de parâmetro diferenciam maiúsculas deminúsculas.

• Espaços: nomes de parâmetro não podem incluir espaços.• Caracteres válidos: nomes de parâmetro podem conter somente os seguintes símbolos e letras: a-zA-Z0-9_.-/

• Prefixos: um nome de parâmetro não pode ser prefixado com "aws" ou "ssm" (sem distinção entremaiúsculas e minúsculas). Por exemplo, as tentativas de criar parâmetros com os seguintes nomes nãoserão bem-sucedidas e devem gerar um erro de exceção:• awsTestParameter• SSM-testparameter• /aws/testparam1

Note

Quando você especifica um parâmetro em um documento, comando ou script do SSM, deveincluir ssm como parte da sintaxe, conforme mostrado nos exemplos a seguir. Observe que nãohá um espaço entre colchetes.• Válido: {{ssm:parameter_name}} e {{ssm:parameter_name }}, como {{ssm:addUsers}}

e {{ssm:addUsers }},• Inválido: {{ssm:ssmAddUsers}}

• Exclusividade: um nome de parâmetro deve ser exclusivo em uma região da AWS. Por exemplo, oSystems Manager trata os seguintes parâmetros como separados, se existirem na mesma região:• /Test/TestParam1

• /TestParam1

Os exemplos a seguir também são exclusivos:• /Test/TestParam1/Logpath1

• /Test/TestParam1

No entanto, se estiverem na mesma região, os seguintes exemplos não serão considerados comoexclusivos:• /TestParam1

• TestParam1

• Profundidade da hierarquia: se você especificar uma hierarquia de parâmetros, ela poderá ter umaprofundidade máxima de quinze níveis. É possível definir um parâmetro em qualquer nível da hierarquia.Ambos os exemplos a seguir são estruturalmente válidos:• /Level-1/L2/L3/L4/L5/L6/L7/L8/L9/L10/L11/L12/L13/L14/parameter-name

• parameter-name

A tentativa de criar o seguinte parâmetro falharia com uma exceçãoHierarchyLevelLimitExceededException:• /Level-1/L2/L3/L4/L5/L6/L7/L8/L9/L10/L11/L12/L13/L14/L15/L16/parameter-name

435

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html


Important

Se um usuário tiver acesso a um caminho, o usuário poderá acessar todos os níveis dessecaminho. Por exemplo, se um usuário tem permissão para acessar o caminho /a, ele tambémpode acessar /a/b. Mesmo que o acesso de um usuário tenha sido explicitamente negado no IAMpara o parâmetro /a, ele ainda pode chamar a ação da API GetParametersByPath recursivamentee visualizar /a/b.

Criar parâmetros do Systems ManagerUse as informações nos tópicos a seguir para ajudá-lo a criar parâmetros do Systems Manager usando aAWS CLI, o AWS Tools for Windows PowerShell ou o console do AWS Systems Manager.

Tópicos• Como criar um parâmetro do Systems Manager (AWS CLI) (p. 436)• Como criar um parâmetro do Systems Manager (Tools for Windows PowerShell) (p. 438)• Como criar um parâmetro do Systems Manager (console) (p. 439)

Como criar um parâmetro do Systems Manager (AWS CLI)Você pode usar a AWS CLI para criar um parâmetro que usa dados do tipo String, StringList ouSecureString.

Para obter mais informações sobre como usar a AWS CLI para criar parâmetros, consulte Demonstração:criar e usar um parâmetro em um comando (AWS CLI) (p. 457).

Note

Parâmetros só estão disponíveis na região em que foram criados.

Tópicos• Como criar um parâmetro String ou StringList (AWS CLI) (p. 436)• Como criar um parâmetro SecureString (AWS CLI) (p. 437)

Como criar um parâmetro String ou StringList (AWS CLI)

1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Vocêdeve ter privilégios de administrador no Amazon EC2 ou deve ter recebido a permissão apropriada noAWS Identity and Access Management (IAM).

aws configure



2. Execute o seguinte comando para criar um parâmetro.

aws ssm put-parameter --name "a_name" --value "a value, or a comma-separated list of values" --type String or StringList

Se for bem-sucedido, o comando retornará o número da versão do parâmetro.

436



Veja a seguir um exemplo que usa o tipo de dados StringList.

aws ssm put-parameter --name /IAD/ERP/Oracle/addUsers --value "Milana,Mariana,Mark,Miguel" --type StringList

Note

Os itens em uma StringList devem ser separados por uma vírgula (,). Não é possível usaroutros sinais de pontuação ou caracteres especiais para inserir um caractere de escape paraos itens da lista. Se você tem um valor de parâmetro que requer uma vírgula, use o tipo dedados String.

3. Execute o seguinte comando para verificar os detalhes do parâmetro.

aws ssm get-parameters --name "the name you specified"

Veja a seguir um exemplo que usa o nome especificado no exemplo anterior.

aws ssm get-parameters --name "/IAD/ERP/Oracle/addUsers"

Como criar um parâmetro SecureString (AWS CLI)

Para criar um parâmetro SecureString, primeiro leia a respeito dos requisitos para esse tipo deparâmetro. Para obter mais informações, consulte Usar parâmetros Secure String (p. 430).

1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Vocêdeve ter privilégios de administrador ou ter recebido a permissão apropriada no IAM. Para obter maisinformações, consulte Pré-requisitos do Systems Manager (p. 8).

aws configure




aws ssm put-parameter --name "a_name" --value "a value" --type SecureString --key-id "a KMS CMK ID, a KMS CMK ARN, an alias name, or an alias ARN"

Note

Para usar a CMK padrão do AWS KMS atribuída à sua conta, remova o parâmetro key-iddo comando.

Veja a seguir um exemplo que usa um nome ofuscado (elixir3131) como parâmetro de senha e umachave personalizada do AWS KMS.

aws ssm put-parameter --name /Finance/Payroll/elixir3131 --value "P@sSwW)rd" --type SecureString --key-id arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e

437



aws ssm get-parameters --name "the name you specified" --with-decryption

Note

Se você não especificar o parâmetro with-decryption ou se especificar o parâmetro no-with-decryption, o comando retornará um GUID criptografado.

Como criar um parâmetro do Systems Manager (Tools for Windows PowerShell)

Você pode usar o Tools for Windows PowerShell para criar um parâmetro que usa dados do tipo String,StringList ou SecureString.

Note


Tópicos• Como criar um parâmetro String ou StringList (Tools for Windows PowerShell) (p. 438)• Como criar um parâmetro SecureString (Tools for Windows PowerShell) (p. 439)

Como criar um parâmetro String ou StringList (Tools for Windows PowerShell)






Write-SSMParameter -Name "a name" -Value "a value, or a comma-separated list of values" -Type "String or StringList"


Note

Os itens em uma StringList devem ser separados por uma vírgula (,). Não é possível usaroutros sinais de pontuação ou caracteres especiais para inserir um caractere de escape paraos itens da lista. Se você tem um valor de parâmetro que requer uma vírgula, use o tipo dedados String.

Veja a seguir um exemplo que usa o tipo de dados String.

Write-SSMParameter -Name "/IAD/Web/SQL/IPaddress" -Value "99.99.99.999" -Type "String"


438


(Get-SSMParameterValue -Name "the name you specified").Parameters

Como criar um parâmetro SecureString (Tools for Windows PowerShell)

Para criar um parâmetro SecureString, primeiro leia a respeito dos requisitos para esse tipo deparâmetro. Para obter mais informações, consulte Usar parâmetros Secure String (p. 430).






Write-SSMParameter -Name "a name" -Value "a value" -Type "SecureString" -KeyId "a KMS CMK ID, a KMS CMK ARN, an alias name, or an alias ARN"


Note

Para usar a CMK padrão do AWS KMS atribuída à sua conta, remova o parâmetro -KeyIddo comando.

Veja a seguir um exemplo que usa um nome ofuscado (elixir3131) para um parâmetro de senha e aCMK do KMS padrão do usuário.

Write-SSMParameter -Name "/Finance/Payroll/elixir3131" -Value "P@sSwW)rd" -Type "SecureString"


(Get-SSMParameterValue -Name "the name you specified" –WithDecryption $true).Parameters

Como criar um parâmetro do Systems Manager (console)

Você pode usar o console do AWS Systems Manager para criar um parâmetro do Systems Manager.

Note


Para criar um parâmetro

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha Parameter Store.

439



-ou-

Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir opainel de navegação e a seguir escolha Parameter Store.

3. Escolha Create parameter.4. Para Name, digite uma hierarquia e um nome de parâmetro. Por exemplo, digite /Test/

helloWorld.5. Na caixa Description, digite uma descrição que identifique esse parâmetro como um parâmetro de

teste.6. Para Type, escolha String, StringList ou SecureString.

Note

Se escolher SecureString, o campo KMS Key ID será exibido. Se não fornecer o ID da CMKdo KMS, o ARN do KMS, um nome de alias ou um ARN de alias, o sistema usará alias/aws/ssm (padrão), que é a CMK padrão do KMS para o Systems Manager. Se não quiser usaressa chave, você poderá escolher uma chave personalizada. Para obter mais informações,consulte Usar parâmetros Secure String (p. 430).

7. Na caixa Value, digite um valor. Por exemplo, digite MyFirstParameter. Se você escolheu SecureString, o valor será mascarado conforme você digitar.

8. Escolha Create parameter.9. Na lista de parâmetros, escolha o nome do parâmetro que você acabou de criar. Verifique os detalhes

na guia Overview. Se tiver criado um parâmetro SecureString, escolha Show para visualizar o valornão criptografado.

Marcar parâmetros do Systems ManagerVocê pode usar o console do Systems Manager, a AWS CLI, o AWS Tools for Windows ou a APIAddTagsToResource para adicionar tags a recursos do Systems Manager incluindo documentos,instâncias gerenciadas, Janela de manutençãos, parâmetros do Parameter Store e linhas de base depatches.

Tags são usadas para organizar parâmetros. Por exemplo, você pode marcar parâmetros para ambientes,departamentos ou usuários e grupos específicos. Depois de marcar um parâmetro, você pode restringiro acesso a ele criando um política do IAM que especifica as tags que o usuário pode acessar. Para obtermais informações sobre como restringir o acesso a parâmetros usando tags, consulte Controlar o acesso aparâmetros usando tags (p. 453).

Para obter informações sobre as regiões em que o Systems Manager está disponível, consulte Regiões.

Tópicos• Como marcar um parâmetro (console) (p. 440)• Como marcar um parâmetro (AWS CLI) (p. 441)• Como marcar um parâmetro (AWS Tools for Windows) (p. 441)

Como marcar um parâmetro (console)

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. Na navegação à esquerda, escolha Parameter Store.3. Escolha o nome de um parâmetro que você já tenha criado e, em seguida, a guia Tags.4. Na primeira caixa, insira uma chave para a tag, como Environment.

440





5. Na segunda caixa, insira um valor para a tag, como Test.6. Escolha Salvar.

Como marcar um parâmetro (AWS CLI)


aws configure



2. Execute o seguinte comando para listar os parâmetros que você pode marcar.

aws ssm describe-parameters

Anote o nome de um parâmetro que você deseja marcar.3. Execute o seguinte comando para marcar um parâmetro.

aws ssm add-tags-to-resource --resource-type "Parameter" --resource-id "the parameter name" --tags "Key=a key, for example Environment,Value=a value, for example TEST"

Se for bem-sucedido, o comando não mostrará uma saída.4. Execute o seguinte comando para verificar as tags de parâmetros.

aws ssm list-tags-for-resource --resource-type "Parameter" --resource-id "the parameter name"

Como marcar um parâmetro (AWS Tools for Windows)



2. Execute o seguinte comando para definir a região para sua sessão de PowerShell. O exemplo usa aregião us-east-2. O Systems Manager está atualmente disponível nas seguintes regiões.


3. Execute o seguinte comando para listar os parâmetros que você pode marcar.

Get-SSMParameterList

4. Execute os seguintes comandos para marcar um parâmetro.

441



$tag1 = New-Object Amazon.SimpleSystemsManagement.Model.Tag$tag1.Key = "Environment"$tag1.Value = "TEST"Add-SSMResourceTag -ResourceType "Parameter" -ResourceId "the parameter name" -Tag $tag1

Se for bem-sucedido, o comando não mostrará uma saída.5. Execute o seguinte comando para verificar as tags de parâmetros.

Get-SSMResourceTag -ResourceType "Parameter" -ResourceId "the parameter name"

Como trabalhar com as versões de parâmetroQuando inicialmente você cria um parâmetro, o Parameter Store atribui a versão 1 a esse parâmetro.Quando você edita um parâmetro, o Parameter Store itera automaticamente o número da versão com umincremento de 1. Você pode especificar um nome de parâmetro e um número de versão específico emchamadas de API e em documentos do SSM. Se não especificar um número de versão, o sistema usaráautomaticamente a versão mais recente.

As versões de parâmetro fornecem uma camada de proteção para o caso de um parâmetro ser alteradoacidentalmente. Você pode visualizar os detalhes, inclusive os valores, de todas as versões. Você podetambém usar versões de parâmetro para ver quantas vezes um parâmetro mudou ao longo de um período.

Você pode consultar versões de parâmetros específicos, inclusive versões anteriores,comandos, chamadas de API e documentos do SSM, usando o seguinte formato:{{ssm:parameter_name:version}}. Veja o exemplo de um parâmetro chamado RunCommandespecificado em um documento do SSM:

{ "schemaVersion":"1.2", "description":"Run a shell script or specify the commands to run.", "parameters":{ "commands":{ "type":"StringList", "description":"(Required) Specify a shell script or a command to run.", "minItems":1, "displayType":"textarea", "default":"{{ssm:RunCommand:2}}" }, "executionTimeout":{ "type":"String", "default":"3600", "description":"(Optional) The time in seconds for a command to complete before it is considered to have failed. Default is 3600 (1 hour). Maximum is 172800 (48 hours).", "allowedPattern":"([1-9][0-9]{0,3})|(1[0-9]{1,4})|(2[0-7][0-9]{1,3})|(28[0-7][0-9]{1,2})|(28800)" } }, "runtimeConfig":{ "aws:runShellScript":{ "properties":[ { "id":"0.aws:runShellScript", "runCommand":"{{ commands }}", "timeoutSeconds":"{{ executionTimeout }}" } ] }

442


}}

Os procedimentos a seguir mostram como editar um parâmetro e, em seguida, verificar se uma novaversão foi criada.

Tópicos• Como criar uma nova versão de parâmetro (console) (p. 443)• Como criar uma nova versão de parâmetro (AWS CLI) (p. 443)• Como criar uma nova versão de parâmetro (Windows PowerShell) (p. 444)

Como criar uma nova versão de parâmetro (console)

Você pode usar o ou o console do AWS Systems Manager para criar uma nova versão de parâmetro.

Para criar uma nova versão de parâmetro


-ou-


3. Escolha o nome do parâmetro que você criou anteriormente. Para obter mais informações sobre comocriar um novo parâmetro, consulte Criar parâmetros do Systems Manager (p. 436).

Note

Parâmetros só estão disponíveis na região em que foram criados. Se não vir um parâmetroque você deseja atualizar, verifique sua região.

4. Selecione Edit.5. Na caixa Value, digite um novo valor e escolha Save changes.6. Na lista de parâmetros, escolha o nome do parâmetro recém-atualizado e, em seguida, visualize a

guia History. Na guia Overview, verifique se o número da versão aumentou com um incremento de 1 eexamine o novo valor.

Como criar uma nova versão de parâmetro (AWS CLI)

Use o procedimento a seguir para criar uma nova versão de parâmetro usando o console da AWS CLI.


aws configure

O sistema solicita que você especifique o seguinte:


443



2. Execute o comando a seguir para listar os parâmetros que você pode atualizar.Note



Anote o nome do parâmetro que você deseja atualizar.3. Execute o comando a seguir para atualizar o valor do parâmetro.

aws ssm put-parameter --name "the_parameter_name" --type the_parameter_type --value "the_new_value" --overwrite

4. Execute o comando a seguir para visualizar todas as versões do parâmetro.

aws ssm get-parameter-history --name "the_parameter_name"

5. Execute o comando a seguir para recuperar informações sobre um parâmetro pelo número da versão.

aws ssm get-parameters --names “the_parameter_name:the_version_number"


aws ssm get-parameters --names “/Production/SQLConnectionString:3"

Como criar uma nova versão de parâmetro (Windows PowerShell)Use o procedimento a seguir para criar uma nova versão de parâmetro usando o AWS Tools for WindowsPowerShell.



2. Execute o seguinte comando para definir a região para sua sessão de PowerShell. O exemplo usa aregião us-east-2. O Systems Manager atualmente está disponível nas seguintes regiões.


3. Execute o comando a seguir para listar os parâmetros que você pode atualizar.Note


Get-SSMParameterList

Anote o nome do parâmetro que você deseja atualizar.4. Execute o comando a seguir para atualizar o valor do parâmetro.

444



Write-SSMParameter -Name "the_parameter_name" -Value "the_new_value" -Type "the_parameter_type" -Overwrite $true


Get-SSMParameterHistory -Name "the_parameter_name"

6. Execute o comando a seguir para recuperar informações sobre um parâmetro pelo número da versão.

(Get-SSMParameterValue -Names "the_parameter_name").Parameters | fl

Como rotular parâmetrosUm rótulo de parâmetro é um alias definido pelo usuário para ajudar você a gerenciar diferentes versõesde um parâmetro. Quando você modifica um parâmetro, o Systems Manager salva automaticamenteuma nova versão e incrementa o número da versão em um. Um rótulo pode ajudar você a lembrar-se doobjetivo de uma versão de parâmetro quando houver várias versões.

Por exemplo, digamos que você tenha um parâmetro chamado /MyApp/DB/ConnectionString. O valor doparâmetro é uma string de conexão a um servidor MySQL em um banco de dados local em um ambientede teste. Depois de concluir a atualização do aplicativo, você deseja que o parâmetro use uma string deconexão para um banco de dados de produção. Você altera o valor de /MyApp/DB/ConnectionString. OSystems Manager cria automaticamente a versão dois com a nova string de conexão. Para ajudá-lo alembrar-se do objetivo de cada versão, você anexa um rótulo a cada parâmetro. Para a versão um, vocêanexa o rótulo Test e para a versão dois você anexa o rótulo Production.

Você pode mover rótulos de uma versão de um parâmetro para outra versão. Por exemplo, se você criartrês versões do parâmetro /MyApp/DB/ConnectionString com uma string de conexão para um novo bancode dados de produção, poderá mover o rótulo Production do parâmetro dois para o parâmetro três.

Os rótulos de parâmetros são uma alternativa leve para tags de parâmetros. Sua organização pode terdiretrizes estritas para tags que devem ser aplicadas a diferentes recursos da AWS. Por outro lado, umrótulo é simplesmente uma associação de texto para uma versão de um parâmetro.

De forma semelhante a tags, você pode consultar parâmetros usando rótulos. Você pode visualizar umalista de todas as versões de parâmetros específicos que usam o mesmo rótulo se consultar seu conjuntode parâmetros usando a ação da API GetParametersByPath, conforme descrito mais adiante nesta seção.

Requisitos e restrições de rótulos

Os rótulos de parâmetros têm os seguintes requisitos e restrições:

• Uma versão de um parâmetro pode ter no máximo 10 rótulos.• Você não pode anexar o mesmo rótulo a diferentes versões do mesmo parâmetro. Por exemplo, se a

versão 1 tiver o rótulo Production, você não poderá anexar Production à versão 2.• Você pode mover um rótulo de uma versão de um parâmetro para outra.• Você não pode criar um rótulo ao criar um novo parâmetro. Você deve anexar um rótulo a uma versão

específica de um parâmetro.• Você não pode excluir um rótulo de parâmetro. Se você não quiser mais usar um rótulo de parâmetro,

deverá movê-lo para uma versão diferente de um parâmetro.• Um rótulo pode ter no máximo 100 caracteres.• Os rótulos podem conter letras (diferenciando maiúsculas de minúsculas), números, pontos (.), hifens (-)

ou sublinhados (_).

445



• Os rótulos não podem começar com um número, "aws", ou "ssm" (sem diferenciação de maiúsculas deminúsculas). Se um rótulo não atender a esses requisitos, ele não será anexado à versão do parâmetro,e o sistema o exibirá na lista de InvalidLabels.

Tópicos• Trabalhar com rótulos de parâmetros (console) (p. 446)• Trabalhar com rótulos de parâmetros (AWS CLI) (p. 447)

Trabalhar com rótulos de parâmetros (console)

Esta seção descreve como executar as seguintes tarefas usando o console do AWS Systems Manager.

• Criar um novo rótulo de parâmetro (p. 446)• Visualizar rótulos anexados a um parâmetro (p. 446)• Mover um rótulo de um parâmetro (p. 447)

Criar um novo rótulo de parâmetro

O procedimento a seguir descreve como anexar um rótulo a uma versão específica de um parâmetroexistente usando o console do Systems Manager. Você não pode anexar um rótulo ao criar um parâmetro.

Para anexar um rótulo a uma versão de um parâmetro usando o console


-ou-


3. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.4. Escolha a guia History (Histórico).5. Escolha a versão do parâmetro à qual você deseja anexar um rótulo.6. Escolha Attach labels (Anexar rótulos).7. Escolha Add another label (Adicionar outro rótulo).8. Na caixa de texto, insira o rótulo. Para adicionar mais rótulos, escolha Add another label (Adicionar

outro rótulo). Você pode anexar um máximo de dez rótulos.9. Ao concluir a anexação de rótulos, escolha Confirm (Confirmar).

Visualizar rótulos anexados a um parâmetro

Uma versão de um parâmetro pode ter um máximo de 10 rótulos. O procedimento a seguir descrevecomo visualizar todos os rótulos anexados a uma versão de um parâmetro usando o console do SystemsManager.

Para visualizar os rótulos anexados a uma versão de um parâmetro usando o console


-ou-

446





3. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.4. Escolha a guia History (Histórico).5. Localize a versão ao parâmetro do qual você deseja visualizar todos os rótulos anexados. A coluna

Labels (Rótulos) mostra todos os rótulos anexados à versão do parâmetro.

Mover um rótulo de um parâmetro

Não é possível excluir um rótulo de um parâmetro depois de criá-lo. No entanto, você pode mover umrótulo entre versões de um parâmetro. O procedimento a seguir descreve como mover um rótulo de umparâmetro para outra versão do mesmo parâmetro usando o console do Systems Manager.

Para mover um rótulo para outra versão de um parâmetro usando o console


-ou-


3. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.4. Escolha a guia History (Histórico).5. Escolha a versão do parâmetro para o qual você deseja mover o rótulo.6. Escolha Attach labels (Anexar rótulos).7. Escolha Add another label (Adicionar outro rótulo).8. Na caixa de texto, insira o rótulo. O console notifica você sobre a movimentação do rótulo.9. Ao concluir, escolha Confirm (Confirmar).

Trabalhar com rótulos de parâmetros (AWS CLI)

Esta seção descreve como executar as seguintes tarefas usando a AWS CLI.

• Criar um novo rótulo de parâmetro (p. 447)• Visualizar os rótulos de um parâmetro (p. 449)• Visualizar uma lista de parâmetros atribuídos a um rótulo (p. 450)• Mover um rótulo de um parâmetro (p. 451)

Criar um novo rótulo de parâmetro

O procedimento a seguir descreve como anexar um rótulo a uma versão específica de um parâmetroexistente usando a AWS CLI. Você não pode anexar um rótulo ao criar um parâmetro.

Para criar um novo rótulo de parâmetro


447



aws configure

O sistema solicita que você especifique o seguinte:


2. Execute o seguinte comando para visualizar uma lista de parâmetros para os quais você tempermissão para anexar um rótulo.

Note

Parâmetros só estão disponíveis na região em que foram criados. Se não vir um parâmetroao qual você deseja anexar um rótulo, verifique sua região.


Anote o nome de um parâmetro ao qual você quer anexar um rótulo.3. Execute o comando a seguir para visualizar todas as versões do parâmetro.


Anote a versão do parâmetro à qual você deseja anexar um rótulo.4. Execute o comando a seguir para recuperar informações sobre um parâmetro pelo número da versão.

aws ssm get-parameters --names “the_parameter_name:the_version_number"


aws ssm get-parameters --names “/Production/SQLConnectionString:3"

5. Execute um dos seguintes comandos para anexar um rótulo a uma versão de um parâmetro. Se vocêanexar vários rótulos, deverá separar os nomes dos rótulos com um espaço.

Anexar um rótulo à versão mais recente de um parâmetro

aws ssm label-parameter-version --name parameter_name --labels label_name

Anexar um rótulo a uma versão específica de um parâmetro

aws ssm label-parameter-version --name parameter_name --parameter-version version_number --labels label_name

Aqui estão alguns exemplos:

aws ssm label-parameter-version --name /config/endpoint --labels production east-region finance

aws ssm label-parameter-version --name /config/endpoint --parameter-version 3 --labels MySQL-test

448


Note

Se a saída mostrar o rótulo que você criou na lista InvalidLabels, o rótulo não atenderáaos requisitos descritos anteriormente neste tópico. Verifique os requisitos e tentenovamente. Se a lista InvalidLabels estiver vazia, seu rótulo terá sido aplicado com êxitopara a versão do parâmetro.

6. Você pode visualizar os detalhes do parâmetro usando um número de versão ou um nome de rótulo.Execute o seguinte comando e especifique o rótulo que você criou na etapa anterior.

aws ssm get-parameter --name parameter_name:label_name --with-decryption


{ "Parameter": { "Version": version_number, "Type": "parameter_type", "Name": "parameter_name", "Value": "parameter_value", "Selector": ":label_name" }}

Note

O seletor na saída é o número da versão ou o rótulo que você especificou no campo deentrada Name.

Visualizar os rótulos de um parâmetro

Você pode usar a ação da API GetParameterHistory para visualizar todo o histórico e todos os rótulosanexados a um determinado parâmetro. Ou, você pode usar a ação da API GetParametersByPath paravisualizar uma lista de todos os parâmetros atribuídos a um rótulo específico.

Para visualizar os rótulos de um parâmetro usando a ação da API GetParameterHistory

1. Execute o seguinte comando para visualizar uma lista dos parâmetros dos quais você pode visualizarrótulos.

Note

Parâmetros só estão disponíveis na região em que foram criados. Se não vir um parâmetropara o qual você deseja mover um rótulo, verifique sua região.


Anote o nome de um parâmetro para o qual você quer mover um rótulo.2. Execute o comando a seguir para visualizar todas as versões do parâmetro.

aws ssm get-parameter-history --name parameter_name --with-decryption


{ "Parameters": [

449

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html



{ "Name": "/Config/endpoint", "LastModifiedDate": 1528932105.382, "Labels": [ "Deprecated" ], "Value": "MyTestService-June-Release.example.com", "Version": 1, "LastModifiedUser": "arn:aws:iam::1234567890:user/test", "Type": "String" }, { "Name": "/Config/endpoint", "LastModifiedDate": 1528932111.222, "Labels": [ "Current" ], "Value": "MyTestService-July-Release.example.com", "Version": 2, "LastModifiedUser": "arn:aws:iam::1234567890:user/test", "Type": "String" } ]}

Visualizar uma lista de parâmetros atribuídos a um rótulo

Você pode usar a ação da API GetParametersByPath para visualizar uma lista de todos os parâmetros emum caminho atribuídos a um rótulo específico.

Execute o seguinte comando para visualizar uma lista de parâmetros em um caminho atribuídos a umrótulo específico.

aws ssm get-parameters-by-path --path parameter_path --parameter-filters Key=Label,Values=label_name,Option=Equals --max-results a_number --with-decryption --recursive

O sistema retorna informações como as seguintes. Para este exemplo, o usuário pesquisou sob ocaminho /Config:

{ "Parameters": [ { "Version": 3, "Type": "SecureString", "Name": "/Config/DBpwd", "Value": "MyS@perGr&pass33" }, { "Version": 2, "Type": "String", "Name": "/Config/DBusername", "Value": "TestUserDB" }, { "Version": 2, "Type": "String", "Name": "/Config/endpoint", "Value": "MyTestService-July-Release.example.com" } ]

450


AWS Systems Manager Guia do usuárioConfigurar parâmetros do Systems Manager

}

Mover um rótulo de um parâmetro

Não é possível excluir um rótulo de um parâmetro depois de criá-lo. No entanto, você pode mover umrótulo entre versões de um parâmetro. O procedimento a seguir descreve como mover um rótulo de umparâmetro para outra versão do mesmo parâmetro.

Para mover um rótulo de um parâmetro



Anote a versão do parâmetro à qual você deseja anexar um rótulo.2. Execute o seguinte comando para atribuir um rótulo existente para uma versão diferente de um

parâmetro.

aws ssm label-parameter-version --name parameter_name --parameter-version version_number --labels name_of_existing_label

Note

Se você desejar mover um rótulo existente para a versão mais recente de um parâmetro,remova --parameter-version do comando.

Configurar parâmetros do Systems ManagerPara configurar parâmetros do Systems Manager, configure funções do AWS Identity and AccessManagement (IAM) para que o Systems Manager tenha permissão para realizar as ações que vocêespecificou para o serviço. Esta seção inclui informações sobre como configurar essas funçõesmanualmente usando o console do IAM. Esta seção também inclui informações sobre como criar Eventosdo Amazon CloudWatch Events para receber notificações sobre ações de Parâmetros do SystemsManager.

Tópicos• Controlar o acesso a parâmetros do Systems Manager (p. 451)• Configurar notificações e eventos para parâmetros do Systems Manager (p. 455)

Controlar o acesso a parâmetros do Systems ManagerVocê controla o acesso aos parâmetros do Systems Manager usando o AWS Identity and AccessManagement (IAM). Mais especificamente, você cria políticas do IAM que restringem o acesso àsseguintes operações de API:

• DeleteParameter• DeleteParameters• DescribeParameters• GetParameter• GetParameters• GetParameterHistory• GetParametersByPath

451

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameter.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameters.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html




• PutParameter

Recomendamos controlar o acesso aos parâmetros do Systems Manager criando políticas doIAM restritivas. Por exemplo, a seguinte política permite que você chame as operações de APIDescribeParameters e GetParameters para um recurso específico. Isso significa que você podeobter informações sobre e usar todos os parâmetros que começam com prod-*.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": "arn:aws:ssm:us-east-2:123456123:parameter/prod-*" } ]}

Para administradores confiáveis, é possível fornecer acesso completo a todas as operações de API deparâmetros do Systems Manager usando uma política como o exemplo a seguir. Esta política dá aousuário acesso total a todos os parâmetros de produção que começam com dbserver-prod-*.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ssm:PutParameter", "ssm:DeleteParameter", "ssm:GetParameterHistory", "ssm:GetParametersByPath", "ssm:GetParameters", "ssm:GetParameter", "ssm:DeleteParameters" ], "Resource": "arn:aws:ssm:region:account_ID:parameter/dbserver-prod-*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "ssm:DescribeParameters", "Resource": "*" } ]}

Tópicos• Permitir que apenas parâmetros específicos sejam executados em instâncias (p. 453)• Controlar o acesso a parâmetros usando tags (p. 453)

452



Permitir que apenas parâmetros específicos sejam executados em instâncias

Você também pode controlar o acesso para que as instâncias possam apenas executar parâmetrosespecíficos. O exemplo a seguir permite que as instâncias obtenham um valor de parâmetro apenas paraparâmetros que começam com "prod-". Se o parâmetro for uma string segura, a instância descriptografaráessa string usando o AWS KMS.

Note

Se você escolher o tipo de dados Secure String quando criar seu parâmetro, o AWS KMScriptografará o valor do parâmetro. Para obter mais informações sobre o AWS KMS, consulteAWS Key Management Service Developer Guide.Cada conta da AWS recebe uma chave padrão e uma chave do AWS KMS. Você pode visualizarsua chave executando o seguinte comando na AWS CLI:

aws kms describe-key --key-id alias/aws/ssm

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetParameters" ], "Resource":[ "arn:aws:ssm:region:account-id:parameter/prod-*" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:region:account-id:key/CMK" ] } ]}

Note

As políticas de instâncias, como no exemplo anterior, são atribuídas à função de instância no IAM.Para obter mais informações sobre como configurar o acesso a recursos do Systems Manager,incluindo como atribuir políticas a usuários e instâncias, consulte Como configurar o acesso aoSystems Manager (p. 13).

Controlar o acesso a parâmetros usando tags

Depois de marcar um parâmetro, você pode restringir o acesso a ele criando uma política do IAM queespecifica as tags que um usuário pode acessar. Quando um usuário tenta usar um parâmetro, o sistemaverifica a política do IAM e as tags especificadas para o parâmetro. Se o usuário não tiver acesso às tagsatribuídas ao parâmetro, ele receberá um erro de acesso negado.

Atualmente, você pode restringir o acesso às seguintes ações da API GetParameter:

• GetParameter• GetParameters

453

https://docs.aws.amazon.com/kms/latest/developerguide/




• GetParameterHistory

Use o procedimento a seguir para criar uma política do IAM que restringe o acesso a parâmetros usandotags.

Antes de começar

Crie e marque parâmetros. Para obter mais informações, consulte Configurar parâmetros do SystemsManager (p. 451).

Para restringir o acesso de um usuário a parâmetros usando tags

1. Open the IAM console at https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Políticas e, em seguida, Criar política.3. Selecione a guia JSON.4. Copie o exemplo de política a seguir e cole-o no campo de texto, substituindo o texto de exemplo.

Substitua tag_key e tag_value pelo o par de chave/valor da sua tag.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetParameters" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key":[ "tag_value" ] } } } ]}

Este exemplo de política restringe o acesso para somente a ação da API GetParameters. Você poderestringir o acesso a várias ações de API usando o seguinte formato no bloco de ação:

"Action":[ "ssm:GetParameters", "ssm:GetParameter", "ssm:GetParameterHistory", ],

Você pode especificar várias chaves na política usando o seguinte formato de Condition. Especificarvárias chaves cria uma relação AND para as chaves.

"Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ], "ssm:resourceTag/tag_key2":[ "tag_value2" ] }

454




}

Você pode especificar vários valores na política usando o seguinte formato de Condition. ForAnyValueestabelece uma relação OR para os valores. Você também pode especificar ForAllValues paraestabelecer uma relação AND.

"Condition":{ "ForAnyValue:StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1", "tag_value2" ] }}

5. Escolha Revisar política.6. No campo Name, especifique um nome que identifique isso como uma política de usuário para

parâmetros marcados.7. Insira uma descrição.8. Verifique os detalhes da política na seção Summary.9. Selecione Create policy.10. Atribua a política a usuários ou grupos do IAM. Para obter mais informações, consulte Alteração de

permissões para um usuário do IAM e Anexação de uma política a um grupo do IAM.

Depois de anexar a política ao usuário do IAM ou à conta de grupo, se um usuário tentar usar umparâmetro e a política do usuário não permitir que ele acesse uma tag para esse parâmetro (chamar a APIGetParameters), o sistema retornará um erro. O erro é semelhante ao seguinte:

O usuário: user_name não está autorizado a realizar: ssm:GetParameters no recurso: ARN doparâmetro com o comando a seguir.

Se um parâmetro tiver várias tags, o usuário ainda receberá o erro de acesso negado se não tiverpermissão para acessar qualquer uma dessas tags.

Configurar notificações e eventos para parâmetros do SystemsManagerVocê pode usar o Amazon CloudWatch Events e o Amazon SNS para notificá-lo sobre alterações emParâmetros do Systems Manager. Você pode ser notificado quando um parâmetro for criado, atualizado ouexcluído.

Você também pode usar o CloudWatch para executar uma ação em um destino para eventos deparâmetros específicos. Isso significa, por exemplo, que você pode executar uma função AWS Lambdapara recriar um parâmetro quando ele é excluído. Você também pode configurar uma notificação paraacionar uma função Lambda quando a senha do seu banco de dados é atualizada. A função Lambda podeforçar a redefinição das conexões do banco de dados ou a reconexão com a nova senha.

Antes de começar

Crie um tópico do Amazon SNS. Para obter mais informações, consulte o tópico de Conceitos básicossobre o Amazon SNS no Amazon Simple Notification Service Developer Guide.

Para configurar o CloudWatch Events para parâmetros do Systems Manager


2. No painel de navegação esquerdo, escolha Events e depois escolha Create rule.

455



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html





AWS Systems Manager Guia do usuárioDemonstrações do Parameter Store

3. Em Event Source, verifique se a opção Event Pattern está selecionada.4. No campo Service Name, escolha EC2 Simple Systems Manager (SSM)5. No campo Event Type, escolha Parameter Store.6. Escolha os tipos de detalhes e os status para os quais deseja receber notificações e depois escolha

Add targets.7. Na lista Targets, escolha um tipo de destino. Por exemplo, escolha Lambda function (Função Lambda)

ou SNS topic (Tópico SNS). Para obter informações sobre os diferentes tipos de destinos, consulte adocumentação correspondente da Ajuda da AWS.

8. Role para baixo na página e escolha Configure details.9. Especifique os detalhes da regra e escolha Create rule.

Demonstrações do Parameter Store do SystemsManagerAs demonstrações a seguir mostram como criar, armazenar e executar parâmetros com o ParameterStore em um ambiente de teste. Esses procedimentos mostram como usar o Parameter Store com outrosrecursos do Systems Manager. Você pode usar o Parameter Store também com outros serviços daAWS. Para obter mais informações, consulte Usar parâmetros Secure String com outros serviços daAWS (p. 431).

Tópicos• Demonstração: criar e usar um parâmetro em um comando (console) (p. 456)• Demonstração: criar e usar um parâmetro em um comando (AWS CLI) (p. 457)• Demonstração: criar um parâmetro Secure String e ingressar uma instância em um domínio

(PowerShell) (p. 459)• Demonstração: gerenciar parâmetros usando hierarquias (AWS CLI) (p. 461)

Demonstração: criar e usar um parâmetro em um comando(console)O procedimento a seguir explica o processo de criação de um parâmetro no Parameter Store e,subsequentemente, a execução de um comando que usa esse parâmetro.

Para criar um parâmetro usando o Parameter Store

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha Parameter Store.3. Escolha Create parameter.4. Na caixa Name (Nome), insira uma hierarquia e um nome. Por exemplo, digite /Test/helloWorld.

Para obter mais informações sobre hierarquias de parâmetros, consulte Organizar parâmetros emhierarquias (p. 432).

5. No campo Description (Descrição), digite uma descrição que identifique esse parâmetro como umparâmetro de teste.

6. Para Type, escolha String.7. No campo Value (Valor), digite uma string. Por exemplo, digite My1stParameter.8. Escolha Create parameter.9. No painel de navegação, escolha Executar comando.10. Escolha Executar comando.

456



11. Na lista Command document, escolha AWS-RunPowershellScript (Windows) ou AWS-RunShellScript (Linux).

12. Em Target instances, escolha uma instância que tenha criado anteriormente.13. No campo Commands (Comandos), digite echo {{ssm:parameter name}}, por exemplo, echo

{{ssm:/Test/helloWorld}}.14. Escolha Run.15. Role até o final da página Command ID, selecione o botão próximo a um ID de instância e, em

seguida, escolha View output.

Demonstração: criar e usar um parâmetro em um comando (AWSCLI)O procedimento a seguir demonstra o processo de criação e armazenamento de um parâmetro usando aAWS CLI.

Para criar um parâmetro String usando o Parameter Store

1. Faça download da AWS CLI na sua máquina local.2. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Você


aws configure



3. Execute o seguinte comando para criar um parâmetro que use o tipo de dados String. O parâmetro--name usa uma hierarquia. Para obter mais informações sobre hierarquias, consulte Organizarparâmetros em hierarquias (p. 432).

aws ssm put-parameter --name "a_name" --value "a value" --type String

Veja a seguir um exemplo que usa uma hierarquia de parâmetros no nome. Para obtermais informações sobre hierarquias de parâmetros, consulte Organizar parâmetros emhierarquias (p. 432).

aws ssm put-parameter --name "/Test/IAD/helloWorld" --value "My1stParameter" --type String

O comando retornará o número da versão do parâmetro.4. Execute o seguinte comando para visualizar os metadados de parâmetros.

aws ssm describe-parameters --filters "Key=Name,Values=/Test/IAD/helloWorld"

Note

Name deve estar em maiúscula.

457




{ "Parameters": [ { "LastModifiedUser": "arn:aws:iam::123456789:user/User's name", "LastModifiedDate": 1494529763.156, "Type": "String", "Name": "helloworld" } ]}

5. Execute o seguinte comando para alterar o valor do parâmetro.

aws ssm put-parameter --name "/Test/IAD/helloWorld" --value "good day sunshine" --type String --overwrite

O comando retornará o número da versão do parâmetro.6. Execute o seguinte comando para visualizar o valor do parâmetro mais recente.

aws ssm get-parameters --names "/Test/IAD/helloWorld"


{ "InvalidParameters": [], "Parameters": [ { "Type": "String", "Name": "/Test/IAD/helloWorld", "Value": "good day sunshine" } ]}

7. Execute o seguinte comando para visualizar o histórico de valores de parâmetros.

aws ssm get-parameter-history --name "/Test/IAD/helloWorld"

8. Execute o seguinte comando para usar esse parâmetro em um comando do

aws ssm send-command --document-name "AWS-RunShellScript" --parameters '{"commands":["echo {{ssm:/Test/IAD/helloWorld}}"]}' --targets "Key=instanceids,Values=instance_IDs"

Use o seguinte procedimento para criar um parâmetro Secure String. Para obter mais informações sobreparâmetros Secure String, consulte Usar parâmetros Secure String (p. 430).

Para criar um parâmetro Secure String usando a AWS CLI

1. Execute um dos seguintes comandos para criar um parâmetro que usa o tipo de dados Secure String.

Criar um parâmetro Secure String que use sua chave do KMS padrão

aws ssm put-parameter --name "a_name" --value "a value, for example P@ssW%rd#1" --type "SecureString"

458


Crie um parâmetro Secure String que use uma chave do AWS KMS personalizada

aws ssm put-parameter --name "a_name" --value "a value" --type "SecureString" --key-id "your AWS user account ID/the custom AWS KMS key"

Veja a seguir um exemplo que usa uma chave do AWS KMS personalizada.

aws ssm put-parameter --name "my-password" --value "P@ssW%rd#1" --type "SecureString" --key-id "arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e"

Important


2. Execute o seguinte comando para visualizar os metadados de parâmetros.

aws ssm describe-parameters --filters "Key=Name,Values=the name that you specified"

3. Execute o seguinte comando para alterar o valor do parâmetro.

aws ssm put-parameter --name "the name that you specified" --value "new value" --type "SecureString" --overwrite

Atualizar um parâmetro Secure String que usa sua chave KMS padrão

aws ssm put-parameter --name "the name that you specified" --value "new value" --type "SecureString" --key-id "the AWS KMS key ID" --overwrite

Atualizar um parâmetro Secure String que usa uma chave do KMS personalizada

aws ssm put-parameter --name "the name that you specified" --value "new value" --type "SecureString" --key-id "your AWS user account alias/the custom KMS key" --overwrite

4. Execute o seguinte comando para visualizar o valor do parâmetro mais recente.

aws ssm get-parameters --names "the name that you specified" --with-decryption

5. Execute o seguinte comando para visualizar o histórico de valores de parâmetros.

aws ssm get-parameter-history --name "the name that you specified"

Important


Demonstração: criar um parâmetro Secure String e ingressaruma instância em um domínio (PowerShell)Esta demonstração mostra como ingressar uma instância do Windows em um domínio usando parâmetrosSecure String do Systems Manager e o Executar comando. A demonstração usa parâmetros de domínio

459


típicos, como o endereço DNS, o nome de domínio e um nome de usuário de domínio. Esses valores sãotransmitidos como valores de string não criptografados. A senha do domínio é criptografada usando umachave mestra do AWS KMS e transmitida como uma Secure String.

Para criar um parâmetro Secure String e ingressar uma instância em um domínio

1. Insira parâmetros no sistema usando o AWS Tools for Windows PowerShell.

Write-SSMParameter -Name DNS-IP -Value a DNS IP address -Type StringWrite-SSMParameter -Name domainName -Value the domain name -Type StringWrite-SSMParameter -Name domainJoinUserName -Value a user name -Type StringWrite-SSMParameter -Name my-password -Value a password -Type SecureString

Important


2. Anexe a política gerenciada AmazonEC2RoleforSSM às permissões de função do IAM para a suainstância. Para obter informações, consulte Políticas gerenciadas e em linha.

3. Edite a função do IAM anexada à instância e adicione a seguinte política. Essa política fornece aspermissões da instância para chamar a API kms:Decrypt.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:region:account_id:key/key_id" ] } ]}

4. Copie e cole o seguinte exemplo json em um editor de texto simples e salve o arquivo comoJoinInstanceToDomain.json no seguinte local: c:\temp\JoinInstanceToDomain.json.

{ "schemaVersion":"2.0", "description":"Run a PowerShell script to securely domain-join a Windows instance", "mainSteps":[ { "action":"aws:runPowerShellScript", "name":"runPowerShellWithSecureString", "inputs":{ "runCommand":[ "$ipdns = (Get-SSMParameterValue -Name dns).Parameters[0].Value\n", "$domain = (Get-SSMParameterValue -Name domainName).Parameters[0].Value\n", "$username = (Get-SSMParameterValue -Name domainJoinUserName).Parameters[0].Value\n", "$password = (Get-SSMParameterValue -Name domainJoinPassword -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -asPlainText -Force\n", "$credential = New-Object System.Management.Automation.PSCredential($username,$password)\n", "Set-DnsClientServerAddress \"Ethernet 2\" -ServerAddresses $ipdns\n", "Add-Computer -DomainName $domain -Credential $credential\n",

460

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies


"Restart-Computer -force" ] } } ]}

5. Execute o seguinte comando no AWS Tools for Windows PowerShell para criar um novo documentodo SSM.

$json = Get-Content C:\temp\JoinInstanceToDomain | Out-StringNew-SSMDocument -Name JoinInstanceToDomain -Content $json -DocumentType Command

6. Execute o seguinte comando no AWS Tools for Windows PowerShell para associar a instância aodomínio

Send-SSMCommand -InstanceId Instance-ID -DocumentName JoinInstanceToDomain

Demonstração: gerenciar parâmetros usando hierarquias (AWSCLI)Esta demonstração explica como trabalhar com parâmetros e hierarquias de parâmetros usando a AWSCLI. Para obter mais informações sobre hierarquias de parâmetros, consulte Organizar parâmetros emhierarquias (p. 432).

Para gerenciar parâmetros usando hierarquias

1. Faça download da AWS CLI na sua máquina local.2. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região. Você


aws configure



3. Execute o seguinte comando para criar um parâmetro que usa o parâmetro allowedPattern e o tipode dados String. O padrão permitido neste exemplo significa que o valor para o parâmetro deve terentre 1 e 4 dígitos.

aws ssm put-parameter --name "/MyService/Test/MaxConnections" --value 100 --allowed-pattern "\d{1,4}" --type String

O comando retornará o número da versão do parâmetro.4. Execute o seguinte comando para tentar substituir o parâmetro que você acabou de criar por um novo

valor.

aws ssm put-parameter --name "/MyService/Test/MaxConnections" --value 10,000 --type String --overwrite

461



O sistema lança o seguinte erro porque o novo valor não atende aos requisitos do padrão permitidoque você especificou na etapa anterior.

An error occurred (ParameterPatternMismatchException) when calling thePutParameter operation: Parameter value, cannot be validated againstallowedPattern: \d{1,4}

5. Execute o seguinte comando para criar um parâmetro Secure String que usa a chave padrão do AWSKMS. O padrão permitido neste exemplo significa que o usuário pode especificar qualquer caractere, eo valor deve estar entre 8 e 20 caracteres.

aws ssm put-parameter --name "/MyService/Test/my-password" --value "p#sW*rd33" --allowed-pattern ".{8,20}" --type SecureString

Important


6. Execute os seguintes comandos para criar mais parâmetros que usam a estrutura hierárquica daetapa anterior.

aws ssm put-parameter --name "/MyService/Test/DBname" --value "SQLDevDb" --type String

aws ssm put-parameter --name "/MyService/Test/user" --value "SA" --type String

aws ssm put-parameter --name "/MyService/Test/userType" --value "SQLuser" --type String

7. Execute o seguinte comando para obter o valor de dois parâmetros.

aws ssm get-parameters --names "/MyService/Test/user" "/MyService/Test/userType"

8. Execute o seguinte comando para consultar todos os parâmetros em um único nível.

aws ssm get-parameters-by-path --path "/MyService/Test"

9. Execute o seguinte comando para excluir dois parâmetros

aws ssm delete-parameters --names "/IADRegion/Dev/user" "/IADRegion/Dev/userType"

462

AWS Systems Manager Guia do usuárioEnvio de logs para o CloudWatch Logs (Agente do SSM)

Monitoramento de instâncias com oAWS Systems Manager

O Agente do SSM grava informações sobre execuções, ações programadas, erros e status de integridadeem arquivos de log para cada instância. A conexão manual com uma instância para visualizar arquivosde log e solucionar problemas com o Agente do SSM é um processo demorado. Para obter ummonitoramento de instâncias mais eficiente, você pode configurar o Agente do SSM em si ou o Agente doCloudWatch para enviar esses dados do log para o Amazon CloudWatch Logs.

Important

O agente unificado do CloudWatch substituiu o Agente do SSM como a ferramenta para enviardados de log para o Amazon CloudWatch Logs. O suporte para usar o Agente do SSM paraenviar dados de log se tornará obsoleto em breve. Recomendamos que você comece a utilizar oagente unificado do CloudWatch para seus processos de coleta de logs o mais rápido possível.Para obter mais informações, consulte os tópicos a seguir:

• Envio de logs para o CloudWatch Logs (Agente do CloudWatch) (p. 465)• Migrar a coleta de logs de instância do Windows Server para o Agente do

CloudWatch (p. 465)• Coletar métricas de instâncias do Amazon Elastic Compute Cloud e servidores no local com o

Agente do CloudWatch no Amazon CloudWatch User Guide

Usando o CloudWatch Logs, você pode monitorar dados de log em tempo real, pesquisar e filtrar dados delog por meio da criação de um ou mais filtros de métrica e arquivar e recuperar dados históricos quandonecessário. Para obter mais informações sobre o CloudWatch Logs, consulte Amazon CloudWatch LogsUser Guide.

A configuração de um agente para enviar dados de log o para Amazon CloudWatch Logs oferece osseguintes benefícios:

• Armazenamento centralizado de arquivos de log para todos os arquivos de log do Agente do SSM.• Acesso mais rápido a arquivos para investigar erros.• Retenção indefinida de arquivos de log (configurável).• Os logs podem ser mantidos e acessados independentemente do status da instância.• Acesso a outros recursos do CloudWatch, como métricas e alarmes.

Tópicos• Envio de logs para o CloudWatch Logs (Agente do SSM) (p. 463)• Envio de logs para o CloudWatch Logs (Agente do CloudWatch) (p. 465)• Registrar chamadas à API do AWS Systems Manager em log com o AWS CloudTrail (p. 470)

Envio de logs para o CloudWatch Logs (Agente doSSM)

O AWS Systems Manager Agent é um software da Amazon executado em instâncias do Amazon EC2 einstâncias híbridas que estão configuradas para o Systems Manager (instâncias híbridas). O Agente do

463

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html


https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/

AWS Systems Manager Guia do usuárioEnvio de logs para o CloudWatch Logs (Agente do SSM)

SSM processa solicitações do serviço Systems Manager na nuvem e configura sua máquina conformeespecificado na solicitação. Para obter mais informações sobre o Agente do SSM, consulte Instalar econfigurar o Agente do SSM (p. 19).

Além disso, seguindo as etapas abaixo, você pode configurar o Agente do SSM para enviar dados de logpara o Amazon CloudWatch Logs.

Important

O agente unificado do CloudWatch substituiu o Agente do SSM como a ferramenta para enviardados de log para o Amazon CloudWatch Logs. O suporte para usar o Agente do SSM paraenviar dados de log se tornará obsoleto em breve. Recomendamos que você comece a utilizar oagente unificado do CloudWatch para seus processos de coleta de logs o mais rápido possível.Para obter mais informações, consulte os tópicos a seguir:

• Envio de logs para o CloudWatch Logs (Agente do CloudWatch) (p. 465)• Migrar a coleta de logs de instância do Windows Server para o Agente do

CloudWatch (p. 465)• Coletar métricas de instâncias do Amazon Elastic Compute Cloud e servidores no local com o

Agente do CloudWatch no Amazon CloudWatch User Guide

Antes de começar

Crie um grupo de log no Amazon CloudWatch Logs. Para obter mais informações, consulte Criar um grupode logs no CloudWatch Logs no Amazon CloudWatch Logs User Guide.

Para configurar o Agente do SSM para enviar logs ao CloudWatch

1. Faça login em uma instância e localize o seguinte arquivo:

No Windows: %PROGRAMFILES%\Amazon\SSM\seelog.xml.template

No Linux: /etc/amazon/ssm/seelog.xml.template2. Altere o nome do arquivo de seelog.xml.template para seelog.xml.3. Abra o arquivo seelog.xml com um editor de texto e localize a seguinte seção:

<outputs formatid="fmtinfo"> <console formatid="fmtinfo"/> <rollingfile type="size" maxrolls="5" maxsize="30000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\amazon-ssm-agent.log"/> <filter formatid="fmterror" levels="error,critical"> <rollingfile type="size" maxrolls="5" maxsize="10000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\errors.log"/> </filter> </outputs>

4. Edite o arquivo e adicione o elemento custom name após a tag </filter>, como mostra o exemplo aseguir.

<seelog minlevel="info" critmsgcount="500" maxinterval="100000000" mininterval="2000000" type="adaptive"> <exceptions> <exception minlevel="error" filepattern="test*"/> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo"/> <rollingfile type="size" maxrolls="5" maxsize="30000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\amazon-ssm-agent.log"/> <filter formatid="fmterror" levels="error,critical">

464



https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Create-Log-Group.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Create-Log-Group.html

AWS Systems Manager Guia do usuárioEnvio de logs para o CloudWatch

Logs (Agente do CloudWatch)

<rollingfile type="size" maxrolls="5" maxsize="10000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\errors.log"/> </filter> <custom name="cloudwatch_receiver" formatid="fmtdebug" data-log-group="Your CloudWatch Log Group Name"/> </outputs>

5. Salve as alterações e, em seguida, reinicie o Agente do SSM ou a instância.6. Open the CloudWatch console at https://console.aws.amazon.com/cloudwatch/.7. Escolha Logs e depois escolha seu grupo de logs. (O fluxo de log para dados de arquivos de log do

Agente do SSM são organizados por ID de instância.)

Envio de logs para o CloudWatch Logs (Agente doCloudWatch)

Você pode configurar e usar o Amazon Agente do CloudWatch para coletar métricas e logs de suasinstâncias em vez de usar o Agente do SSM para essas tarefas. O Agente do CloudWatch permite reunirmais métricas em instâncias do Amazon EC2 do que por meio do Agente do SSM. Além disso, você podecoletar métricas de servidores locais usando o Agente do CloudWatch.

Você pode também armazenar as definições de configuração no Parameter Store do Systems Managerpara uso com o Agente do CloudWatch.

Note

Currently, AWS Systems Manager supports migrating from Agente do SSM to the Agente doCloudWatch for collecting logs and metrics on 64-bit versions of Windows only. For informationabout setting up the Agente do CloudWatch on other operating systems, and for completeinformation about using the Agente do CloudWatch, see Collect Metrics from Amazon ElasticCompute Cloud Instances and On-Premises Servers with the Agente do CloudWatch in theAmazon CloudWatch User Guide.You can use the Agente do CloudWatch on other supported operating systems, but you will not beable to use Systems Manager to perform a tool migration.

Tópicos• Migrar a coleta de logs de instância do Windows Server para o Agente do CloudWatch (p. 465)• Armazenar as definições de configuração do Agente do CloudWatch no Parameter Store (p. 469)• Reverter a coleta de logs com o Agente do SSM (p. 469)

Migrar a coleta de logs de instância do WindowsServer para o Agente do CloudWatchSe estiver usando atualmente o Agente do SSM em instâncias compatíveis do Windows Server paraenviar arquivos de log do Agente do SSM para o Amazon CloudWatch Logs, você poderá usar o SystemsManager como ferramenta de coleta de log para migrar do Agente do SSM para o Agente do CloudWatch,bem como para migrar suas definições de configuração.

O Agente do CloudWatch não é compatível com as versões de 32 bits do Windows Server.

Para instâncias Windows de 64 bits do Amazon EC2, você pode realizar a migração para o Agente doCloudWatch automaticamente ou manualmente. Para instâncias locais, o processo deve ser realizadomanualmente.

465




https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

AWS Systems Manager Guia do usuárioMigrar a coleta de logs de instância do

Windows Server para o Agente do CloudWatch

Note

Durante o processo de migração, os dados enviados ao CloudWatch podem ser interrompidosou duplicados. Suas métricas e dados de log serão registrados com precisão novamente noCloudWatch depois que a migração for concluída.

Recomendamos testar a migração em um pequeno número de instâncias antes de migrar uma frota inteirapara o Agente do CloudWatch. Após a migração, se preferir realizar a coleta de logs com o Agente doSSM, poderá voltar a usá-lo.

Important

Nos casos a seguir, você não poderá migrar para o Agente do CloudWatch usando as etapasdescritas neste tópico:

• A configuração existente para o Agente do SSM especifica várias regiões.• A configuração existente para o Agente do SSM especifica vários conjuntos de credenciais de

acesso/chave secreta.

Nesses casos, será necessário desativar a coleta de logs no Agente do SSM e instalar o Agentedo CloudWatch sem um processo de migração. Para obter mais informações, consulte os tópicosa seguir:

• Instalar o agente do CloudWatch em uma instância do Amazon EC2• Instalar o agente do CloudWatch em um servidor no local

Antes de começar

Antes de iniciar uma migração para o Agente do CloudWatch para coleta de logs, confira se as instânciasem que você vai executar a migração atendem estes requisitos:

• O sistema operacional é uma versão de 64 bits do Windows Server.• O Agente do SSM 2.2.93.0 ou posterior está instalado na instância.• O Agente do SSM é configurado para monitoramento na instância.

Tópicos• Migrar automaticamente para o Agente do CloudWatch (p. 466)• Migrar manualmente para o Agente do CloudWatch (p. 467)

Migrar automaticamente para o Agente do CloudWatchPara instâncias Windows do Amazon EC2, você pode usar somente o console do AWS Systems Managerou a AWS CLI para migrar automaticamente para o Agente do CloudWatch para usá-lo como ferramentade coleta de logs.

Note

Currently, AWS Systems Manager supports migrating from Agente do SSM to the Agente doCloudWatch for collecting logs and metrics on 64-bit versions of Windows only. For informationabout setting up the Agente do CloudWatch on other operating systems, and for completeinformation about using the Agente do CloudWatch, see Collect Metrics from Amazon ElasticCompute Cloud Instances and On-Premises Servers with the Agente do CloudWatch in theAmazon CloudWatch User Guide.

466

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-premise.html






You can use the Agente do CloudWatch on other supported operating systems, but you will not beable to use Systems Manager to perform a tool migration.

Após a conclusão da migração, verifique seus resultados no CloudWatch para garantir que está recebendoas métricas, os logs, ou os logs de eventos do Windows que você espera. Se estiver satisfeito com osresultados, poderá, opcionalmente, Armazenar as definições de configuração do Agente do CloudWatch noParameter Store (p. 469). Se a migração for malsucedida ou os resultados não forem os esperados, vocêpoderá Reverter a coleta de logs com o Agente do SSM (p. 469).

Para migrar automaticamente para o Agente do CloudWatch (console)

1. Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.2. No painel de navegação, escolha Executar comando e, em seguida, Run command.

Note

se a página inicial do AWS Systems Manager for exibida, role para baixo e escolha ExploreExecutar comando.

3. Na lista Command document, escolha AmazonCloudWatch-MigrateCloudWatchAgent.4. Na seção Targets, escolha uma opção e selecione as instâncias a serem atualizadas.5. Escolha Run.

Para migrar automaticamente para o Agente do CloudWatch (AWS CLI)

• Execute o seguinte comando:

aws ssm send-command --document-name AmazonCloudWatch-MigrateCloudWatchAgent --targets Key=instanceids,Values=ID1,ID2,ID3

ID1, ID2 e ID3 representam os IDs de instâncias que você deseja atualizar, comoi-1234567890EXAMPLE.

Migrar manualmente para o Agente do CloudWatchPara instâncias locais do Windows ou instâncias Windows do Amazon EC2, siga estas etapas para migrarmanualmente a coleta de logs para o Amazon Agente do CloudWatch.

Primeira: instale o CloudWatch Agent


Note


3. Na lista Documento do comando, escolha AWS-ConfigureAWSPackage.4. Na seção Targets, escolha uma opção e selecione as instâncias a serem atualizadas.5. Na lista Ação, escolha Instalar.6. Na caixa Name, digite AmazonCloudWatchAgent.7. Em Version, digite latest, caso ainda não tenha sido fornecida por padrão.8. Escolha Run.

467





Segunda: atualizar o formato JSON de dados de configuração

• Para atualizar a formatação JSON de definições de configuração existentes para o Agente doCloudWatch, use o Executar comando do AWS Systems Manager faça login diretamente na instânciacom uma conexão RDP para executar os seguintes comandos do Windows PowerShell na instância,um de cada vez:

cd ${Env:ProgramFiles}\\Amazon\\AmazonCloudWatchAgent

.\\amazon-cloudwatch-agent-config-wizard.exe --isNonInteractiveWindowsMigration

{Env:ProgramFiles} representa o local em que pode ser encontrada a pasta da Amazon quecontém o Agente do CloudWatch, normalmente C:\Program Files.

Terceira: configurar e iniciar o CloudWatch Agent


Note


3. Na lista Command document , escolha AWS-RunPowerShellScript.4. Na seção Targets, escolha uma opção e selecione as instâncias a serem atualizadas.5. Na caixa Commands, insira os dois comandos a seguir:

cd ${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent

.\amazon-cloudwatch-agent-ctl.ps1 -a fetch-config -m ec2 -c file:config.json -s

{Env:ProgramFiles} representa o local em que pode ser encontrada a pasta da Amazon quecontém o Agente do CloudWatch, normalmente C:\Program Files.

6. Escolha Run.

Quarta: desativar a coleta de logs no Agente do SSM


Note


3. Na lista Command document, escolha AWS-ConfigurecloudWatch.4. Na seção Targets, escolha uma opção e selecione as instâncias a serem atualizadas.5. Na lista Status, escolha Disabled.6. Escolha Run.

Após a conclusão dessas etapas, verifique seus logs no CloudWatch para garantir que estárecebendo as métricas, os logs, ou os logs de eventos do Windows que você espera. Se estiversatisfeito com os resultados, poderá, opcionalmente, Armazenar as definições de configuração

468



AWS Systems Manager Guia do usuárioArmazenar as definições de configuração doAgente do CloudWatch no Parameter Store

do Agente do CloudWatch no Parameter Store (p. 469). Se a migração for malsucedida ou osresultados não forem os esperados, você poderá Reverter a coleta de logs com o Agente doSSM (p. 469).

Armazenar as definições de configuração do Agentedo CloudWatch no Parameter StoreVocê pode armazenar o conteúdo de um arquivo de configuração do Amazon Agente do CloudWatchno Parameter Store. Ao manter esses dados de configuração em um parâmetro, várias instânciaspoderão extrair suas definições de configuração desse parâmetro e você não precisará criar ou atualizarmanualmente os arquivos de configuração em suas instâncias. Por exemplo, você pode usar o Executarcomando para gravar o conteúdo do parâmetro para arquivos de configuração em várias instânciasou usar o State Manager para ajudar a evitar oscilações de definições de configuração no Agente doCloudWatch em toda a frota de instâncias.

Ao executar o assistente de configuração do Agente do CloudWatch, poderá optar por permitir que oassistente salve suas definições de configuração como um novo parâmetro no Parameter Store. Para obterinformações sobre como executar o assistente de configuração do Agente do CloudWatch, consulte Criar oarquivo de configuração do Agente do CloudWatch com o assistente.

Se tiver executado o assistente, mas não tiver escolhido a opção para salvar as configurações comoparâmetro, ou se tiver criado manualmente o arquivo de configuração do Agente do CloudWatch, poderárecuperar os dados para salvar como parâmetro em sua instância no seguinte arquivo:

${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent\config.json

{Env:ProgramFiles} representa o local em que pode ser encontrada a pasta da Amazon que contém oAgente do CloudWatch, normalmente C:\Program Files.

Recomendamos manter um backup do JSON nesse arquivo em um local diferente da instância em si.

Para obter mais informações sobre como criar um parâmetro, consulte Criar parâmetros do SystemsManager (p. 436).

Para obter mais informações sobre o Agente do CloudWatch, consulte Coletar métricas de instâncias doAmazon Elastic Compute Cloud e servidores locais com o CloudWatch Agent no Amazon CloudWatchUser Guide.

Reverter a coleta de logs com o Agente do SSMSe quiser voltar a usar o Agente do SSM para coletar logs, execute as etapas a seguir.

Primeira: recuperar dados de configuração no Agente do SSM

1. Na instância em que você deseja voltar a coletar logs com o Agente do SSM, localize o conteúdo doarquivo de configuração do Agente do SSM. Esse arquivo JSON geralmente é encontrado no seguintelocal:

${Env:ProgramFiles}\\Amazon\\SSM\\Plugins\\awsCloudWatch\\AWS.EC2.Windows.CloudWatch.json

{Env:ProgramFiles} representa o local em que pode ser encontrada a pasta Amazon,normalmente C:\Program Files.

469

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html





AWS Systems Manager Guia do usuárioRegistrar chamadas à API do AWS Systems

Manager em log com o AWS CloudTrail

2. Copie esses dados em um arquivo de texto para uso em uma etapa posterior.

Recomendamos armazenar um backup do JSON em um local diferente da instância em si.

Segunda: desinstalar o Agente do CloudWatch


Note


3. Na lista Documento do comando, escolha AWS-ConfigureAWSPackage.4. Na seção Targets, escolha uma opção e selecione as instâncias a serem atualizadas.5. Na lista Action, escolha Uninstall.6. Na caixa Name, digite AmazonCloudWatchAgent.7. Escolha Run.

Terceira: reativar a coleta de logs no Agente do SSM


Note


3. Na lista Command document, escolha AWS-ConfigureCloudWatch.4. Na seção Targets, escolha uma opção e selecione as instâncias a serem atualizadas.5. Na lista Status, escolha Enabled.6. Na caixa Properties , cole o conteúdo dos dados da configuração antiga que você salvou no arquivo

de texto.7. Escolha Run.

Registrar chamadas à API do AWS SystemsManager em log com o AWS CloudTrail

O Systems Manager é integrado ao AWS CloudTrail, serviço que fornece um registro das ações realizadaspor um usuário, uma função ou um serviço da AWS no Systems Manager. O CloudTrail captura todas aschamadas à API para o Systems Manager como eventos, incluindo as chamadas do console do SystemsManager e as chamadas de código às APIs do Systems Manager. Se você criar uma trilha, poderáhabilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3 incluindo eventospara o Systems Manager. Se não configurar uma trilha, você ainda poderá visualizar os eventos maisrecentes no console do CloudTrail em Event history (Histórico de eventos). Com as informações coletadaspelo CloudTrail, determine a solicitação feita para o Systems Manager, o endereço IP a partir do qual asolicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.

Para saber mais sobre o CloudTrail, consulte o AWS CloudTrail User Guide.

470



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

AWS Systems Manager Guia do usuárioInformações sobre o Systems Manager no CloudTrail

Informações sobre o Systems Manager no CloudTrailO CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando a atividade ocorre no SystemsManager, ela é registrada em um evento do CloudTrail junto com outros eventos de serviços da AWS emEvent history (Histórico de eventos). Você pode visualizar, pesquisar e fazer download de eventos recentesem sua conta da AWS. Para obter mais informações, consulte o tópico sobre como Exibir eventos com ohistórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos em sua conta da AWS, incluindo eventos do SystemsManager, crie uma trilha. Uma trilha permite que o CloudTrail forneça arquivos de log para um bucket doAmazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilharegistra eventos de todas as regiões na partição da AWS e fornece os arquivos de log para o bucket doAmazon S3 que você especificar. Além disso, você pode configurar outros serviços da AWS para analisarmais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obter maisinformações, consulte:

• Visão geral da criação de uma trilha• Serviços compatíveis e integrações do CloudTrail• Configuração de notificações do Amazon SNS para o CloudTrail• Recebimento de arquivos de log do CloudTrail de várias regiões e Recebimento de arquivos de log do

CloudTrail de várias contas

Todas as ações do Systems Manager são registradas em log pelo CloudTrail e documentadasno AWS Systems Manager API Reference. Por exemplo, as chamadas para as açõesCreateMaintenanceWindows, PutInventory e SendCommand geram entradas nos arquivos de log doCloudTrail.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações deidentidade ajudam a determinar:

• Se a solicitação foi feita com credenciais de usuário da raiz ou do IAM.• Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário

federado.• Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte o CloudTrail userIdentity Element.

Noções básicas das entradas dos arquivos de log doSystems ManagerUma trilha é uma configuração que permite a entrega de eventos como registros de log a um bucket doAmazon S3 especificado. Os arquivos de log do CloudTrail contêm uma ou mais entradas de log. Umevento representa uma única solicitação de qualquer origem e inclui informações sobre a ação solicitada,a data e a hora da ação, os parâmetros de solicitação e assim por diante. Os arquivos de log do CloudTrailnão são um rastreamento de pilha ordenada das chamadas de API pública. Dessa forma, eles não sãoexibidos em uma ordem específica.

O exemplo a seguir mostra uma entrada no log do CloudTrail que demonstra a ação DeleteDocumentsem um documento chamado example-Document na US East (Ohio) Region (us-east-2).

{ "eventVersion": "1.04", "userIdentity": {

471

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

AWS Systems Manager Guia do usuárioNoções básicas das entradas dos

arquivos de log do Systems Manager

"type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11", "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-03-06T20:19:16Z" }, "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:iam::123456789012:role/example-role", "accountId": "123456789012", "userName": "example-role" } } }, "eventTime": "2018-03-06T20:30:12Z", "eventSource": "ssm.amazonaws.com", "eventName": "DeleteDocument", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.11", "userAgent": "example-user-agent-string", "requestParameters": { "name": "example-Document" }, "responseElements": null, "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE", "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE", "resources": [ { "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document", "accountId": "123456789012" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}

472

AWS Systems Manager Guia do usuárioAutenticação

Controle de acesso e autenticação doAWS Systems Manager

O acesso ao AWS Systems Manager requer credenciais. Essas credenciais devem ter permissões paraacessar recursos da AWS para tarefas, como a criação ou a atualização de documentos e registrar tarefase destinos com as Janela de manutençãos. As seções a seguir apresentam detalhes sobre como vocêpode usar o AWS Identity and Access Management (IAM) e o Systems Manager para ajudar a garantir oacesso aos recursos:

• Autenticação (p. 473)• Controle de acesso (p. 474)

Para obter mais informações sobre como configurar o acesso ao AWS Systems Manager, consulte Comoconfigurar o acesso ao Systems Manager (p. 13).

Para obter informações sobre os buckets do Amazon Simple Storage Service (Amazon S3) que osrecursos podem precisar acessar para executar operações do Systems Manager, consulte Permissõesmínimas do bucket do S3 para o Agente do SSM (p. 37).

AutenticaçãoVocê pode acessar a AWS como alguns dos seguintes tipos de identidade:

• Usuário raiz da conta da AWS – Ao se conectar à AWS, você fornece um endereço de e-mail e umasenha que são associados à sua conta da AWS. Essas são suas credenciais raiz e fornecem acessototal a todos os seus recursos da AWS.

Important

Por motivos de segurança, recomendamos que você use as credenciais raiz somente paracriar um usuário administrador, que é um usuário do IAM com permissões totais na sua contada AWS. Em seguida, você pode usar esse usuário administrador para criar outros usuários efunções IAM com permissões limitadas. Para mais informações, consulte Melhores práticas doIAM e Criação de um usuário e Grupo Admin em IAM User Guide.

• Usuário do IAM: um usuário do IAM é simplesmente uma identidade na qual sua conta da AWS possuipermissões personalizadas específicas (por exemplo, permissões para enviar dados de eventos para umdestino em Systems Manager). Você pode usar um nome e uma senha de usuário IAM para fazer loginem páginas Web seguras da AWS, como AWS Management Console, Fóruns de discussão AWS ou oAWS Support Center.

Além de um nome e uma senha de usuário, você também pode gerar chaves de acesso para cadausuário. Os usuários podem usar essas chaves ao acessar os serviços da AWS de forma programada,seja com um dos vários SDKs ou usando a AWS Command Line Interface (AWS CLI). As ferramentasde SDK e de CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação.Se você não utilizar ferramentas da AWS, cadastre a solicitação você mesmo. Systems Managersupports Assinatura versão 4, um protocolo para autenticar solicitações de API de entrada. Para mais

473


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/


AWS Systems Manager Guia do usuárioControle de acesso

informações sobre autenticação de solicitações, consulte Processo de cadastramento de Assinaturaversão 4 no AWS General Reference.

• Função do IAM – uma função do IAM é outra identidade do IAM com permissões específicas que você

pode criar em sua conta. É semelhante a um usuário IAM, mas não está associada a uma pessoaespecífica. Uma função do IAM permite obter chaves de acesso temporárias que podem ser usadaspara acessar os serviços e recursos da AWS. As funções IAM com credenciais temporária são úteis nasseguintes situações:

• Acesso de usuário federado – em vez de criar um usuário IAM, você pode usar identidades já

existente de usuário de AWS Directory Service, o diretório de usuário da sua companhia ou umprovedor de identidades da web. Estes são conhecidos como usuários federados. A AWS atribui umafunção a um usuário federado quando o acesso é solicitado por meio de um provedor de identidades.Para obter mais informações sobre usuários federados, consulte Usuários federados e funções emIAM User Guide.

• Acesso entre contas – Você pode usar uma função do IAM em sua conta para conceder, a outra conta

da AWS, permissões de acesso aos recursos da sua conta. Para ver um exemplo, consulte o Tutorial:delegar acesso em contas da AWS usando funções do IAM no IAM User Guide.

• Acesso ao serviço da AWS: você pode usar uma função do IAM na sua conta para conceder

permissões de serviço da AWS para acessar os recursos da sua conta. Por exemplo, você pode criaruma função que permita que o Amazon Redshift acesse um bucket do Amazon S3 em seu nomee depois carregue dados armazenados no bucket em um cluster do Amazon Redshift. Para maisinformações, consulte Criação de uma função para delegar permissões a um serviço da AWS no IAMUser Guide.

• Aplicações executadas no Amazon EC2 – Em vez de armazenar chaves de acesso na instância EC2

a serem usadas em aplicações em execução na instância e fazer solicitações de API da AWS, vocêpode usar uma função do IAM para gerenciar credenciais temporárias para essas aplicações. Paraatribuir uma função da AWS a uma instância EC2 e disponibilizá-la para todas as suas aplicações,crie um perfil de instância que esteja anexado à instância. Um perfil de instância contém a função epermite que programas em execução na instância do EC2 obtenham credenciais temporárias. Paramais informações, consulte Utilização de funções para aplicações no Amazon EC2 no IAM UserGuide.

Controle de acessoVocê pode ter credenciais válidas para autenticar as solicitações, mas, a menos que tenha permissões,não pode criar nem acessar os recursos do Systems Manager. Por exemplo, você deve ter permissõespara criar, visualizar ou excluir ativações, associações, documentos e Janela de manutençãos pararegistrar ou cancelar o registro de instâncias e linhas de base de patches etc.

As seções a seguir descrevem como gerenciar as permissões do Systems Manager. Recomendamos quevocê leia a visão geral primeiro.

• Visão geral de como gerenciar permissões de acesso aos recursos do AWS Systems Manager (p. 475)• Como usar políticas com base em identidade (políticas do IAM) para o AWS Systems Manager (p. 481)• Referência de permissões do AWS Systems Manager (p. 486)

474

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

AWS Systems Manager Guia do usuárioVisão geral do gerenciamento de acesso

Visão geral de como gerenciar permissões deacesso aos recursos do AWS Systems Manager

Cada recurso da AWS é de propriedade de uma conta da AWS e as permissões para criar ou acessarum recurso são regidas por políticas de permissões. Um administrador de conta pode associar políticasde permissões a identidades IAM (ou seja, usuários, grupos e funções). Alguns serviços, como o AWSLambda, Amazon Simple Notification Service (Amazon SNS) e Amazon Simple Storage Service (AmazonS3), também comportam a atribuição de políticas de permissão a recursos.

Note

Um administrador da conta (ou usuário administrador) é um usuário com privilégios deadministrador. Para obter mais informações, consulte as Melhores práticas do IAM no IAM UserGuide.

Ao conceder permissões, o administrador da conta decide quem recebe as permissões, para quaisrecursos as permissões são concedidas e as ações específicas que você deseja permitir nesses recursos.

Tópicos• Recursos e operações do AWS Systems Manager (p. 475)• Entender a propriedade de recursos (p. 477)• Gerenciar o acesso aos recursos (p. 477)• Como especificar elementos da política: recursos, ações, efeitos e entidades de segurança (p. 479)• Especificação de condições em uma política (p. 480)

Recursos e operações do AWS Systems ManagerO Systems Manager inclui vários recursos primários:

• Definição de automação• Execução de automação• Document• Janela de manutenção• Instância gerenciada• Inventário de instância gerenciada• Parâmetro• Linha de base de patch• Sincronização de dados de recursos

Para definições de automação o Systems Manager comporta um recurso de segundo nível, o ID da versão.Na AWS, esses recursos de segundo nível são conhecidos como sub-recursos. A especificação de umsub-recurso de uma versão para um recurso de definição de automação permite que você forneça acessoa determinadas versões de uma definição de automação. Por exemplo, é provável que você queira garantirque apenas a versão mais recente de uma definição de automação seja usado em sua instância degerenciamento.

Para organizar e gerenciar parâmetros, você pode criar nomes para parâmetros com uma estruturahierárquica. Com uma estrutura hierárquica, um nome de parâmetro pode incluir um caminho definido pormeio de barras. É possível atribuir um nome a um recurso de parâmetro com um máximo de cinco níveis.Sugerimos que você crie hierarquias que reflitam uma estrutura hierárquica existente no seu ambiente.Para obter mais informações, consulte Criar parâmetros do Systems Manager (p. 436).

475

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

AWS Systems Manager Guia do usuárioRecursos e operações

Todo recurso tem um Nome de recurso da Amazon (ARN) exclusivo. Em uma política, você identificao recurso ao qual a política se aplica usando o respectivo ARN. Para obter mais informações sobreARNs, consulte Nomes de recursos Amazon (ARN) e namespaces de serviços da AWS, no Amazon WebServices General Reference.

A tabela a seguir mostra a estrutura do formato de ARN para cada tipo de recurso no Systems Manager:

Tipo de recurso Formato de Nome de região da Amazon (ARN)

Execução de automação arn:aws:ssm:region:account-id:automation-execution/automation-execution-id

Definição de automação(com sub-recurso daversão)

arn:aws:ssm:region:account-id:automation-definition/automation-definition-id:version-id

Document arn:aws:ssm:region:account-id:document/document-name

Janela de manutenção arn:aws:ssm:region:account-id:maintenancewindow/window-execution-id

Tarefa de Janela demanutenção

arn:aws:ssm:region:account-id:windowtask/window-task-id

Destino de Janela demanutenção

arn:aws:ssm:region:account-id:windowtarget/window-target-id

Instância gerenciada arn:aws:ssm:region:account-id:managed-instance/managed-instance-id

Inventário de instânciagerenciada

arn:aws:ssm:region:account-id:managed-instance-inventory/managed-instance-id

Parâmetro Parâmetro de um único nível:

• arn:aws:ssm:region:account-id:parameter/parameter-name/

Um parâmetro com nome de uma estrutura hierárquica:

• arn:aws:ssm:region:account-id:parameter/parameter-name-root/level-2/level-3/level-4/level-5

Linha de base de patch arn:aws:ssm:region:account-id:patchbaseline/patch-baseline-id

Todos os recursos doSystems Manager

arn:aws:ssm:*

Todos os recursosdo Systems Managerpertencentes à contaespecificada na regiãoespecificada

arn:aws:ssm:region:account-id:*

Note

A maioria dos serviços AWS trata dois pontos (:) e a barra inclinada (/) como o mesmo caractereem ARNs. No entanto, o Systems Manager requer uma correspondência exata nos padrões e

476

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

AWS Systems Manager Guia do usuárioEntender a propriedade de recursos

regras de recursos. Ao criar padrões de eventos, lembre-se de usar os caracteres corretos doARN para que correspondam ao ARN do recurso.

Por exemplo, é possível indicar um documento específico (MyDocument) em sua instrução usando orespectivo ARN, da seguinte maneira:

"Resource": "arn:aws:ssm:us-west-2:123456789012:document/myDocument"

É possível também especificar todos os documents que pertencem a uma conta específica usando ocaractere curinga (*), da seguinte maneira:

"Resource": "arn:aws:ssm:us-west-2:123456789012:document/*"

Para Parameter Store ações de API, você pode fornecer ou restringir o acesso a todos parâmetros emum nível da hierarquia usando nomes hierárquicos e políticas do AWS Identity and Access Management(IAM), da seguinte maneira:

"Resource": "arn:aws:ssm:us-west-2:123456789012:parameter/Dev/ERP/Oracle/*"

Para especificar todos os recursos quando uma ação de API específica não comportar ARNs, use ocaractere curinga (*) no elemento Resource, da seguinte maneira:

"Resource": "*"

Algumas ações de API do Systems Manager aceitam vários recursos. Para especificar vários recursos emuma única declaração, separe seus ARNs com vírgulas, como se segue:

"Resource": ["arn1", "arn2"]

Para obter uma lista de operações do Systems Manager que funcionam com esses tipos de recurso,consulte Referência de permissões do AWS Systems Manager (p. 486).

Entender a propriedade de recursosO proprietário do recurso é a conta da AWS que criou o recurso, independentemente de quem na contao tenha criado. Mais especificamente, o proprietário do recurso é a conta da AWS da entidade principal(ou seja, a conta raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação derecursos. Os exemplos a seguir ilustram como isso funciona:

• Se você usar as credenciais da conta-raiz da sua conta da AWS para criar uma regra, sua conta daAWS será a proprietária do recurso do Systems Manager.

• Se você criar um usuário do IAM na sua conta da AWS e conceder a ele permissões para criar recursosdo Systems Manager, o usuário poderá criar recursos do Systems Manager. No entanto, a sua conta daAWS, à qual o usuário pertence, é a proprietária dos recursos do Systems Manager.

• Se você criar uma função da IAM na sua conta da AWS com permissões para criar recursos do SystemsManager, qualquer pessoa que puder assumir a função poderá criar recursos do Systems Manager. Suaconta da AWS, à qual a função pertence, é a proprietária dos recursos do Systems Manager.

Gerenciar o acesso aos recursosA política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opçõesdisponíveis para a criação das políticas de permissões.

477

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html

AWS Systems Manager Guia do usuárioGerenciar o acesso aos recursos

Note

Esta seção aborda como usar o IAM no contexto de Systems Manager. Não são fornecidasinformações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM,consulte O que é IAM? no IAM User Guide. Para obter mais informações sobre a sintaxe e asdescrições da política do IAM, consulte Referência de política do IAM da AWS no IAM UserGuide.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade(políticas do IAM). As políticas anexadas a um recurso são conhecidas como políticas baseadas emrecurso. O Systems Manager comporta somente políticas baseadas em identidade.

Tópicos• Políticas com base em identidade (políticas do IAM) (p. 478)• Políticas com base em recurso (p. 479)

Políticas com base em identidade (políticas do IAM)Você pode anexar políticas a identidades do IAM. Ao criar políticas do IAM baseadas em identidade,você pode restringir as chamadas e os recursos a que os usuários em sua conta têm acesso e associaressas políticas aos usuários do IAM. Para obter mais informações sobre como criar funções do IAM ever exemplos de declarações de política do IAM para o Systems Manager, consulte Visão geral de comogerenciar permissões de acesso aos recursos do AWS Systems Manager (p. 475). Por exemplo, vocêpode fazer o seguinte:

• Anexar uma política de permissões a um usuário ou grupo em sua conta: para conceder permissões deusuário para visualizar aplicativos, grupos de implantação e outros recursos do Systems Manager noconsole do AWS Systems Manager, você pode anexar uma política de permissões a um usuário ou a umgrupo ao qual esse usuário pertença.

• Anexar uma política de permissões a uma função (conceder permissões entre contas) – para concederpermissões entre contas, você pode anexar uma política de permissões baseada em identidade auma função do IAM. Por exemplo, o administrador na Conta A pode criar uma função para concederpermissões entre contas a outra conta da AWS (por exemplo, Conta B) ou um serviço da AWS, como sesegue:

1. Um administrador da Conta A cria uma função do IAM e associa uma política de permissões à função

que concede permissões em recursos da Conta A.

2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como

a principal, que pode assumir a função.

3. O administrador da Conta B pode acabar delegando permissões para assumir a função para todos os

usuários na Conta B. Isso permite que os usuários na Conta B criem ou acessem recursos na ContaA. A entidade de segurança na política de confiança também deverá ser uma entidade de segurançado serviço AWS se você quiser conceder a um serviço AWS permissões para assumir a função.

Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento doacesso no IAM User Guide.

478


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

AWS Systems Manager Guia do usuárioComo especificar elementos da política: recursos,

ações, efeitos e entidades de segurança

Os tipos de ação aos quais você pode controlar o acesso com políticas baseadas em recursos variamdependendo do tipo de recurso, conforme descrito na tabela a seguir:

Tipos de recursos Tipos de ação

Tudo Visualizar e listar detalhes sobre recursos

Definição de automação Inicie

Interromper

Document

Janela de manutenção

Parâmetro

Criar

Excluir

Atualização

Instância gerenciada Cancelar registro

Inscreva-se

Inventário de instância gerenciada Criar

Atualização

Linha de base de patch Criar

Excluir

Cancelar registro

Inscreva-se

Atualização

Sincronização de dados de recursos Criar

Excluir

Políticas com base em recursoOutros serviços da AWS, como o Amazon Simple Storage Service, também comportam políticas depermissões baseadas em recursos. Por exemplo: você pode anexar uma política de permissões a umbucket do S3 para gerenciar permissões de acesso a esse bucket. Systems Manager não dá suporte apolíticas com base em recurso.

Como especificar elementos da política: recursos,ações, efeitos e entidades de segurançaPara cada recurso do Systems Manager, o Systems Manager define um conjunto de operações de APIaplicáveis. Para permitir que você conceda permissões a essas operações de API, o Systems Managerdefine um conjunto de ações que você pode especificar em uma política. Algumas operações de APIpodem exigir permissões para mais de uma ação. Para obter mais informações sobre os recursos eoperações da API, consulte Recursos e operações do AWS Systems Manager (p. 475) e Referência depermissões do AWS Systems Manager (p. 486). Para obter uma lista, consulte Recursos e operações doAWS Systems Manager (p. 475) Ações.

479

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Operations.html

AWS Systems Manager Guia do usuárioEspecificação de condições em uma política

Estes são os elementos de política básicos:

• Recurso – Você usa um ARN para identificar o recurso a que a política se aplica. Para os recursosdo Systems Manager, você pode usar o caractere curinga (*) nas políticas do IAM. Para obter maisinformações, consulte Recursos e operações do AWS Systems Manager (p. 475).

• Ação — Você usa palavras-chave de ação para identificar as operações de recurso que deseja permitirou negar. Por exemplo, a permissão ssm:GetDocument permite que o usuário execute a operaçãoGetDocument.

• Efeito – Você especifica o efeito que ocorre quando o usuário solicita aquela ação específica, que podeser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acessoestará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, oque pode fazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma políticadiferente conceda acesso.

• Principal — Em políticas baseadas em identidade (políticas IAM), o usuário ao qual a política estáanexada é o principal implícito. Para as políticas baseadas em recursos, você especifica o usuário,conta, serviço ou outra entidade a receber permissões. O Systems Manager comporta somente políticasbaseadas em identidade.

Para saber mais sobre a sintaxe da política do IAM e as descrições, consulte Referência de política do IAMda AWS em IAM User Guide.

Para ver uma tabela com todas as ações da API do Systems Manager e os recursos a que elas seaplicam, consulte Referência de permissões do AWS Systems Manager (p. 486).

Especificação de condições em uma políticaAo conceder permissões, você pode usar a linguagem na política de acesso para especificar as condiçõesem que uma política deve entrar em vigor. Por exemplo, convém que uma política só seja aplicada apósuma data específica. Para obter mais informações sobre como especificar condições em uma linguagemde política, consulte Condição no IAM User Guide.

Para expressar condições, você usa chaves de condição predefinidas.

O AWS Systems Manager é compatível com as seguintes chaves de condição:

• ssm:resourceTag/*

• ssm:Recursive

• ssm:Overwrite

Para obter informações sobre como usar a chave de condição ssm:resourceTag/*, consulte os tópicosa seguir:

• Restrinja o acesso aos comandos em nível raiz por meio do Agente do SSM (p. 36)• Restrição de acesso ao Executar comando com base em tags de instância (p. 223)• Controlar o acesso a documentos usando tags (p. 362)• Controlar o acesso a parâmetros usando tags (p. 453)

Para obter informações sobre como usar as chaves de condição ssm:Recursive e ssm:Overwrite,consulte Organizar parâmetros em hierarquias (p. 432).

Para obter uma lista completa de chaves em toda a AWS, consulte Chaves disponíveis para condições, noIAM User Guide.

480



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys

AWS Systems Manager Guia do usuárioComo usar políticas com base

em identidade (políticas do IAM)

Como usar políticas com base em identidade(políticas do IAM) para o AWS Systems Manager

Os seguintes exemplos referem-se a políticas baseadas em identidade que demonstram como umadministrador de conta pode anexar políticas de permissões a identidades do IAM (isto é, usuários, grupose funções) e, assim, conceder permissões para realizar operações em recursos do Systems Manager.

Important

É recomendável analisar antes os tópicos introdutórios que explicam os conceitos básicos e asopções disponíveis para gerenciar o acesso aos recursos do Systems Manager. Para obter maisinformações, consulte Visão geral de como gerenciar permissões de acesso aos recursos doAWS Systems Manager (p. 475).

Tópicos• Permissões obrigatórias para usar o console do AWS Systems Manager (p. 481)• Políticas gerenciadas (predefinidas) da AWS para AWS Systems Manager (p. 482)• Exemplos de política gerenciada pelo cliente (p. 483)

Veja a seguir um exemplo de uma política de permissões que permite que um usuário exclua documentoscom nomes que começam com MyDocument- na região us-west-2:

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "ssm:DeleteDocument" ], "Resource" : [ "arn:aws:ssm:us-west-2:123456789012:document:MyDocument-*" ] } ]}co

Permissões obrigatórias para usar o console do AWSSystems ManagerPara usar o console do AWS Systems Manager, o usuário deve ter um conjunto mínimo de permissõesque lhe permita descrever outros recursos da AWS na conta da AWS. Para usar plenamente o SystemsManager no console do Systems Manager, você deve ter permissões dos seguintes serviços:

• AWS Systems Manager• Amazon Elastic Compute Cloud (Amazon EC2)• AWS Identity and Access Management (IAM)

Você pode conceder as permissões necessárias com a declaração de política a seguir:

{

481

AWS Systems Manager Guia do usuárioPolíticas gerenciadas (predefinidas)

da AWS para AWS Systems Manager

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*", "ec2:describeInstances", "iam:PassRole", "iam:ListRoles" ], "Resource": "*" } ]}

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, oconsole não funcionará como pretendido para os usuários com essa política do IAM. Para garantir queesses usuários ainda consigam usar o console do Systems Manager anexe também a política gerenciadaAmazonSSMReadOnlyAccess ao usuário, conforme descrito em Políticas gerenciadas (predefinidas) daAWS para AWS Systems Manager (p. 482).

Você não precisa conceder permissões mínimas do console para os usuários que estão fazendo ligaçõessomente com a AWS CLI ou a API do Systems Manager.

Políticas gerenciadas (predefinidas) da AWS paraAWS Systems ManagerA AWS resolve muitos casos de uso comuns, fornecendo políticas do IAM autônomas criadas eadministradas pela AWS. Essas políticas gerenciadas da AWS concedem as permissões necessárias paracasos de uso comuns. Assim, você não precisa investigar quais permissões são necessárias. Para obtermais informações, consulte as Políticas gerenciadas da AWS no IAM User Guide.

As seguintes políticas gerenciadas da AWS, que você pode anexar a usuários em sua conta, sãoespecíficas ao AWS Systems Manager:

• AmazonSSMFullAccess – política de confiança do usuário que concede acesso total à API e adocumentos do Systems Manager.

• AmazonSSMAutomationRole – função de serviço que fornece permissões para o serviço de automaçãodo AWS Systems Manager para executar atividades definidas em documentos de automação. Atribuaessa política a administradores e usuários avançados confiáveis.

• AmazonSSMReadOnlyAccess – política de confiança do usuário que concede acesso a ações de API

somente leitura do Systems Manager, como Get* e List*.

• AmazonSSMMaintenanceWindowRole – função de serviço das Janela de manutençãos do Systems

Manager.

• AmazonEC2RoleforSSM – politica de confiança da instância que permite que uma instância se

comunique com a API do Systems Manager.

Você também pode criar as próprias políticas do IAM personalizadas a fim de permitir permissões paraações e recursos do Systems Manager. Você pode anexar essas políticas personalizadas a usuários ougrupos do IAM que exijam essas permissões.

482

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

AWS Systems Manager Guia do usuárioExemplos de política gerenciada pelo cliente

Note

Em um ambiente híbrido, você precisa de uma função adicional do IAM que permita queservidores e VMs se comuniquem com o serviço Systems Manager. Trata-se da função deserviço do IAM para o Systems Manager. Essa função concede a confiança AssumeRole doAWS Security Token Service (AWS STS) ao serviço Systems Manager. A ação AssumeRoleretorna um conjunto de credenciais de segurança temporárias (que consistem em um ID dechave de segurança, uma chave de acesso secreta e um token de segurança). Você pode usaressas credenciais temporárias para acessar recursos da AWS aos quais talvez não tenha acessonormalmente. Para obter mais informações, consulte Criar uma função de serviço do IAM para umambiente híbrido (p. 39) e AssumeRole em AWS Security Token Service API Reference.

Exemplos de política gerenciada pelo clienteVocê pode criar políticas independentes que você administra em sua conta AWS. Nós as chamamos depolíticas gerenciadas pelo cliente. Você pode anexar essas políticas a várias entidades principais em suaconta AWS. Ao anexar uma política a uma entidade principal, você atribui à entidade as permissões queestão definidas na política. Para obter mais informações, consulte Políticas gerenciadas pelo cliente noIAM User Guide.

Os exemplos a seguir de políticas de usuário concedem permissões para várias ações do AWS SystemsManager. Use-as para limitar o acesso do Systems Manager para usuários e funções do IAM. Essaspolíticas funcionam na execução de ações na API do Systems Manager, em SDKs da AWS ou na AWSCLI. Para usuários que usam o console, você precisa conceder permissões adicionais específicas aoconsole. Para obter mais informações, consulte Permissões obrigatórias para usar o console do AWSSystems Manager (p. 481).

Note

Todos os exemplos usam a região US West (Oregon) Region (us-west-2) e contêm IDs de contafictícios.

Exemplos

• Exemplo 1: permitir que um usuário execute operações do Systems Manager em uma únicaregião (p. 483)

• Exemplo 2: permitir que um usuário liste documentos para uma única região (p. 484)

Exemplo 1: permitir que um usuário execute operações doSystems Manager em uma única regiãoO exemplo a seguir concede permissões para realizar operações do AWS Systems Manager somente naregião us-west-2:

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "arn:aws:ssm:*" ], "Resource" : [ "arn:aws::aws:ssm:us-west-2:111222333444:*" ] } ]}

483

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/

AWS Systems Manager Guia do usuárioUso de funções vinculadas a serviço

Exemplo 2: permitir que um usuário liste documentos para umaúnica regiãoO exemplo a seguir concede permissões para listar nomes de documento que começam com Update naregião us-west-2:

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "ssm:ListDocuments" ], "Resource" : [ "arn:aws:ssm:us-west-2:111222333444:document/Update*" ] } ]}

Uso de funções vinculadas a serviço do SystemsManager

AWS Systems Manager usa as funções vinculadas a serviço do AWS Identity and Access Management(IAM). Uma função vinculada a serviço é um tipo exclusivo de função do IAM vinculada diretamente aoSystems Manager. As funções vinculadas a serviços são predefinidas pelo Systems Manager e incluemtodas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada a serviço facilita a configuração do Systems Manager porque você não precisaadicionar as permissões necessárias manualmente. O Systems Manager define as permissões dessafunção vinculada ao seu serviço e, exceto se definido de outra forma, somente o Systems Manager podeassumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões,e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas a serviço,consulte Serviços da AWS compatíveis com o IAM e procure os serviços que apresentam Sim na colunaFunção vinculada a serviços. Escolha um Sim com um link para exibir a documentação da funçãovinculada a serviço desse serviço.

Permissões da função vinculada a serviço do SystemsManagerO Systems Manager usa a função vinculada a serviço AWSServiceRoleForAmazonSSM – AWS SystemsManager uses this IAM service role to manage AWS resources on your behalf.

A função vinculada a serviço AWSServiceRoleForAmazonSSM confia somente em ssm.amazonaws.compara assumir essa função.

Atualmente, apenas dois recursos do Systems Manager usam a função vinculada ao serviço:

• O inventário exige uma função vinculada ao serviço. A função permite que o sistema colete metadadosde inventário das tags e grupos de recursos.

484

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

AWS Systems Manager Guia do usuárioCriação de uma função vinculada

a serviço para o Systems Manager

• O recurso Janela de manutenção pode, opcionalmente, usar a função vinculada ao serviço. A funçãopermite que o serviço Janela de manutenção execute tarefas de manutenção em instâncias de destino.Observe que isso também pode ser realizado usando uma função de Janela de manutenção do IAM.Para obter mais informações, consulte Controle de acesso às Janela de manutençãos (p. 301).

A política de permissões da função vinculada ao serviço AWSServiceRoleForAmazonSSM permite queSystems Manager conclua as seguintes ações em todos os recursos relacionados:

• ssm:CancelCommand

• ssm:GetCommandInvocation

• ssm:ListCommandInvocations

• ssm:ListCommands

• ssm:SendCommand

• ssm:GetAutomationExecution

• ssm:GetParameters

• ssm:StartAutomationExecution

• iam:PassRole

• ec2:DescribeInstanceAttribute

• ec2:DescribeInstanceStatus

• ec2:DescribeInstances

• lambda:InvokeFunction

• resource-groups:ListGroups

• resource-groups:ListGroupResources

• states:DescribeExecution

• states:StartExecution

• tag:GetResources

Criação de uma função vinculada a serviço para oSystems ManagerVocê pode usar o console do IAM para criar uma função vinculada ao serviço com os casos de uso AWSService Role for AWS Systems Manager (inventário e Janela de manutençãos). Na CLI do IAM ou na APIdo IAM, crie uma função vinculada ao serviço com o nome de serviço ssm.amazonaws.com . Para obtermais informações, consulte Criar uma função vinculada ao serviço no IAM User Guide.

Apenas para as Janela de manutençãos, você não precisa criar manualmente uma função vinculada aserviço. Quando você cria uma tarefa da Janela de manutenção no AWS Management Console, a CLI daAWS ou a API do Systems Manager, o Systems Manager cria a função vinculada ao serviço para você sevocê optar por não fornecer uma função de serviço personalizada.

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmoprocesso para recriar a função em sua conta.

Edição de uma função vinculada a serviço para oSystems ManagerO Systems Manager não permite que você edite a função vinculada a serviçoAWSServiceRoleForAmazonSSM. Depois que criar uma função vinculada ao serviço, você não poderáalterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderá

485

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role

AWS Systems Manager Guia do usuárioExclusão de uma função vinculadaa serviço para o Systems Manager

editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma funçãovinculada ao serviço no IAM User Guide.

Exclusão de uma função vinculada a serviço para oSystems ManagerSe você não precisar mais usar um recurso ou serviço que exija uma função vinculada ao serviço, érecomendável exclui-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitoradaativamente ou mantida. Também é possível usar o console do IAM, a CLI do IAM ou a API do IAM paraexcluir a função vinculada ao serviço manualmente. Para isso, primeiro você deve limpar manualmente osrecursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.

Como a função vinculada ao serviço do Systems Manager pode ser usada por recursos de inventário e daJanela de manutenção, certifique-se de que nenhum deles está usando a função antes de tentar excluí-la.

• Inventário: se você excluir a função vinculada ao serviço usada pelo inventário do Systems Manager, osdados de inventário de tags e de grupos de recursos não serão mais sincronizados. Você deve limpar osrecursos de sua função vinculada ao serviço antes de exclui-la manualmente.

• Janela de manutençãos: você não pode excluir a função vinculada ao serviço se qualquer tarefa daJanela de manutenção depender da função. Você deve primeiro remover a função vinculada ao serviçodas tarefas para poder excluir a função.

Note

Se o serviço Systems Manager estiver usando a função quando você tentar excluir as tags, osgrupos de recursos ou as tarefas da Janela de manutenção, a exclusão poderá falhar. Se issoacontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do Systems Manager usados pelo AWSServiceRoleForAmazonSSM

1. Para excluir tags, consulte Como adicionar e excluir tags em um recurso individual.2. Para excluir grupos de recursos, consulte Excluir grupos do AWS Resource Groups.3. Para obter informações sobre como excluir tarefas da Janela de manutenção, consulte Como atualizar

ou excluir as tarefas de uma Janela de manutenção (p. 316).

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada a serviçoAWSServiceRoleForAmazonSSM. Para obter mais informações, consulte Excluir uma função vinculada aoserviço no IAM User Guide.

Referência de permissões do AWS SystemsManager

A tabela a seguir lista as operações de API do AWS Systems Manager e as ações correspondentespara as quais você pode conceder permissões. Use essa tabela como referência ao configurar Controlede acesso (p. 474) e redigir políticas de permissões para anexar a uma identidade do IAM (políticasbaseadas em identidade). Você especifica as ações no campo Action das políticas. Para especificaruma ação, use o prefixo ssm: seguido pelo nome da operação API (por exemplo, ssm:GetDocument essm:CreateDocument. Para especificar várias ações em uma única declaração, separe-as com vírgulas(por exemplo, "Action": ["ssm:action1", "ssm:action2"]). Para o valor do recurso no campo

486

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags

https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

AWS Systems Manager Guia do usuárioReferência de permissões do AWS Systems Manager

Resource da política, especifique um ARN. Para especificar várias ações ou recursos, use um caracterecuringa (*) no seu ARN. Por exemplo, ssm:* especifica todas as ações do Systems Manager, enquantossm:Get* especifica todas as ações do Systems Manager que começam com a palavra Get. O exemploa seguir concede acesso a todos os documentos com nomes que começam com West:

arn:aws:ssm:us-west-2:111222333444:document:West*

Para obter mais informações sobre curingas, consulte Identificadores do IAM, no IAM User Guide. Paraobter uma lista de recursos do Systems Manager com o formato de ARN, consulte Recursos e operaçõesdo AWS Systems Manager (p. 475).

Para expressar condições, use chaves de condição no âmbito da AWS nas políticas do Systems Manager.Para obter uma lista completa de chaves em toda a AWS, consulte Chaves disponíveis, no IAM UserGuide.

Especificação de várias ações ou recursos

Operações de API do Systems Manager e permissões necessárias para ações

AddTagsToResource

Ação/Ações: ssm:AddTagsToResource

Necessária para adicionar ou substituir tags de um recurso específico.CancelCommand

Ação/Ações: ssm:CancelCommand

Necessária para tentar cancelar o comando com o ID de comando específico.CreateActivation

Ação/Ações: ssm:CreateActivation

Necessária para registrar um servidor local ou máquina virtual com o Amazon EC2, para que assimpossa ser gerenciado usando '.

CreateAssociation

Ação/Ações: ssm:CreateAssociation

Necessária para associar um documento do Systems Manager a instâncias ou destinos específicos.CreateAssociationBatch

Ação/Ações: ssm:CreateAssociationBatch

Necessária para associar vários documentos do Systems Manager a instâncias ou destinosespecíficos.

CreateDocument

Ação/Ações: ssm:CreateDocument

Necessária para criar um documento do Systems Manager.CreateMaintenanceWindow

Ação/Ações: ssm:CreateMaintenanceWindow

Necessária para criar uma Janela de manutenção.CreatePatchBaseline

Ação/Ações: ssm:CreatePatchBaseline

487

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys


https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CancelCommand.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateActivation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateAssociationBatch.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateDocument.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html


Necessária para criar uma linha de base de patch.CreateResourceDataSync

Ação/Ações: ssm:CreateResourceDataSync

Necessária para criar uma configuração de sincronização de dados de recurso para um único bucketdo Amazon S3.

DeleteActivation

Ação/Ações: ssm:DeleteActivation

Necessária para excluir um alarme.DeleteAssociation

Ação/Ações: ssm:DeleteAssociation

Necessária para desassociar o documento do Systems Manager especificado da instânciaespecificada.

DeleteDocument

Ação/Ações: ssm:DeleteDocument

Necessária para excluir um documento do Systems Manager e todas as associações de instância como documento.

DeleteInventory

Ação/Ações: ssm:DeleteInventory

Necessário para excluir um tipo de inventário personalizado ou os dados associados a um tipo deinventário personalizado.

DeleteMaintenanceWindow

Ação/Ações: ssm:DeleteMaintenanceWindow

Necessária para excluir uma Janela de manutenção.DeleteParameter

Ação/Ações: ssm:DeleteParameter

Necessária para excluir um parâmetro do sistema.DeleteParameters

Ação/Ações: ssm:DeleteParameters

Necessária para excluir um ou mais parâmetros do sistema.DeletePatchBaseline

Ação/Ações: ssm:DeletePatchBaseline

Necessária para excluir uma linha de base de patch.DeleteResourceDataSync

Ação/Ações: ssm:DeleteResourceDataSync

Necessária para excluir uma configuração de sincronização de dados de recurso.DeregisterManagedInstance

Ação/Ações: ssm:DeregisterManagedInstance

488

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteActivation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteAssociation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteDocument.html


https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameter.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameters.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeletePatchBaseline.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html


Necessária para remover um servidor ou uma máquina virtual da lista de servidores registrados.DeregisterPatchBaselineForPatchGroup

Ação/Ações: ssm:DeregisterPatchBaselineForPatchGroup

Necessária para remover um grupo de patches de uma linha de base de patch.DeregisterTargetFromMaintenanceWindow

Ação/Ações: ssm:DeregisterTargetFromMaintenanceWindow

Necessária para remover um destino de uma Janela de manutenção.DeregisterTaskFromMaintenanceWindow

Ação/Ações: ssm:DeregisterTaskFromMaintenanceWindow

Necessária para remover uma tarefa de uma Janela de manutenção.DescribeActivations

Ação/Ações: ssm:DescribeActivations

Necessária para visualizar detalhes sobre uma ativação, como a data e a hora em que a ativação foicriada, a data de expiração e as instâncias designados para a função do IAM na ativação.

DescribeAssociation

Ação/Ações: ssm:DescribeAssociation

Necessária para visualizar associações com instâncias ou documentos específicos do SystemsManager.

DescribeAssociationExecutions

Ação/Ações: ssm:DescribeAssociationExecutions

Necessária para visualizar todas as execuções de determinado ID de associação.DescribeAutomationExecutions

Ação/Ações: ssm:DescribeAutomationExecutions

Necessária para visualizar informações sobre todas as execuções de Automação ativas e encerradas.DescribeAutomationStepExecutions

Ação/Ações: ssm:DescribeAutomationStepExecutions

Necessária para visualizar informações sobre todas as execuções de etapa ativas e encerradas emum fluxo de trabalho de Automação.

DescribeAvailablePatches

Ação/Ações: ssm:DescribeAvailablePatches

Necessária para visualizar informações sobre os patches que podem ser incluídos em uma de linha debase de patch.

DescribeDocument

Ação/Ações: ssm:DescribeDocument

Necessária para visualizar informações sobre o documento do Systems Manager especificado.DescribeDocumentPermission

Ação/Ações: ssm:DescribeDocumentPermission

489

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterPatchBaselineForPatchGroup.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterTargetFromMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterTaskFromMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeActivations.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAutomationExecutions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAutomationStepExecutions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAvailablePatches.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeDocument.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeDocumentPermission.html


Necessária para visualizar as permissões de um documento do Systems Manager.DescribeEffectiveInstanceAssociations

Ação/Ações: ssm:DescribeEffectiveInstanceAssociations

Necessária para visualizar informações sobre associações de uma ou mais instâncias.DescribeEffectivePatchesForPatchBaseline

Ação/Ações: ssm:DescribeEffectivePatchesForPatchBaseline

Necessária para visualizar informações sobre os patches efetivos no momento (o patch e o estado deaprovação) para a linha de base de patch. Aplica-se apenas a linhas de base de patch do WindowsServer.

DescribeInstanceAssociationsStatus

Ação/Ações: ssm:DescribeInstanceAssociationsStatus

Necessária para visualizar o status de associações de uma ou mais instâncias.DescribeInstanceInformation

Ação/Ações: ssm:DescribeInstanceInformation

Necessária para visualizar informações sobre uma ou mais instâncias.DescribeInstancePatches

Ação/Ações: ssm:DescribeInstancePatches

Necessária para visualizar informações sobre os patches em determinada instância e o respectivoestado em relação à linha de base de patch que está sendo usada para a instância.

DescribeInstancePatchStates

Ação/Ações: ssm:DescribeInstancePatchStates

Necessária para visualizar informações sobre o estado de patch de alto nível de uma ou maisinstâncias.

DescribeInstancePatchStatesForPatchGroup

Ação/Ações: ssm:DescribeInstancePatchStatesForPatchGroup

Necessária para visualizar o estado de patch de alto nível das instâncias em um grupo de patchesespecificado.

DescribeInventoryDeletions

Ação/Ações: ssm:DescribeInventoryDeletions

Necessária para descrever determinada operação de exclusão de inventário.DescribeMaintenanceWindowExecutions

Ação/Ações: ssm:DescribeMaintenanceWindowExecutions

Necessária para visualizar informações sobre a execução de uma Janela de manutenção. Incluidetalhes sobre quando a Janela de manutenção foi programada para ficar ativa e informações sobretarefas registradas e executadas com a janela de manutenção.

DescribeMaintenanceWindowExecutionTaskInvocations

Ação/Ações: ssm:DescribeMaintenanceWindowExecutionTaskInvocations

Necessária para recuperar informações sobre execuções de tarefas específicas (uma por destino) dedeterminada tarefa executada como parte de uma execução da Janela de manutenção.

490

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeEffectiveInstanceAssociations.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeEffectivePatchesForPatchBaseline.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceAssociationsStatus.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStates.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInventoryDeletions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeMaintenanceWindowExecutions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeMaintenanceWindowExecutionTaskInvocations.html


DescribeMaintenanceWindowExecutionTasks

Ação/Ações: ssm:DescribeMaintenanceWindowExecutionTasks

Necessária para visualizar informações sobre as tarefas que foram executadas por determinadaexecução da Janela de manutenção.

DescribeMaintenanceWindows

Ação/Ações: ssm:DescribeMaintenanceWindows

Necessária para visualizar informações sobre as Janela de manutençãos criadas em uma conta daAWS.

DescribeMaintenanceWindowTargets

Ação/Ações: ssm:DescribeMaintenanceWindowTargets

Necessária para visualizar informações sobre os destinos registrados em uma Janela de manutençãoespecificada.

DescribeMaintenanceWindowTasks

Ação/Ações: ssm:DescribeMaintenanceWindowTasks

Necessária para visualizar informações sobre as tarefas em janela de manutenção especificada.DescribeParameters

Ação/Ações: ssm:DescribeParameters

Necessária para visualizar informações sobre um ou mais parâmetros.DescribePatchBaselines

Ação/Ações: ssm:DescribePatchBaselines

Necessária para visualizar informações sobre as linhas de base de patch de uma conta da AWS.DescribePatchGroups

Ação/Ações: ssm:DescribePatchGroups

Necessária para visualizar informações sobre todos os grupos de patches que foram registrados emlinhas de base de patch.

DescribePatchGroupState

Ação/Ações: ssm:DescribePatchGroupState

Necessária para visualizar informações sobre o estado de conformidade dos patches agregados dealto nível de um grupo de patches.

GetAutomationExecution

Ação/Ações: ssm:GetAutomationExecution

Necessária para visualizar informações detalhadas sobre determinada execução de Automação.GetCommandInvocation

Ação/Ações: ssm:GetCommandInvocation

Necessária para visualizar informações detalhadas sobre a execução de comando de uma chamadaou plug-in.

GetDefaultPatchBaseline

Ação/Ações: ssm:GetDefaultPatchBaseline

491

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeMaintenanceWindowExecutionTasks.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeMaintenanceWindows.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeMaintenanceWindowTargets.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeMaintenanceWindowTasks.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchBaselines.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroups.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetAutomationExecution.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetCommandInvocation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetDefaultPatchBaseline.html


Necessária para visualizar informações sobre a linha de base de patch padrão.GetDeployablePatchSnapshotForInstance

Ação/Ações: ssm:GetDeployablePatchSnapshotForInstance

Necessária para visualizar o snapshot atual da linha de base de patch usada pela instância. Usadaprincipalmente pelo documento AWS-RunPatchBaseline do Systems Manager.

GetDocument

Ação/Ações: ssm:GetDocument

Necessária para visualizar o conteúdo de um documento do Systems Managerespecificado.Obrigatório

GetInventory

Ação/Ações: ssm:GetInventory

Necessária para visualizar informações sobre itens de inventário.GetInventorySchema

Ação/Ações: ssm:GetInventorySchema

Necessária para visualizar nomes de tipos de inventário da conta ou retornar uma lista de nomes deatributo de determinado tipo de item de inventário.

GetMaintenanceWindow

Ação/Ações: ssm:GetMaintenanceWindow

Necessária para visualizar informações sobre as tarefas em uma Janela de manutenção; especificada.GetMaintenanceWindowExecution

Ação/Ações: ssm:GetMaintenanceWindowExecution

Necessária para visualizar informações sobre uma tarefa específica executada como parte daexecução de uma Janela de manutenção.

GetMaintenanceWindowExecutionTask

Ação/Ações: ssm:GetMaintenanceWindowExecutionTask

Necessária para visualizar informações sobre uma tarefa específica executada como parte daexecução de uma Janela de manutenção.

GetMaintenanceWindowExecutionTaskInvocation

Ação/Ações: ssm:GetMaintenanceWindowExecutionTaskInvocation

Necessária para recuperar uma invocação de tarefa, que é uma tarefa específica em execução em umdestino específico.

GetMaintenanceWindowTask

Ação/Ações: ssm:GetMaintenanceWindowTask

Necessária para listar as tarefas em uma Janela de manutenção.GetParameter

Ação/Ações: ssm:GetParameter

Necessária para visualizar informações sobre um parâmetro especificado, incluindo o nome, tipo evalor do parâmetro.

492

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetDeployablePatchSnapshotForInstance.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetDocument.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetInventory.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetInventorySchema.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetMaintenanceWindowExecution.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetMaintenanceWindowExecutionTask.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetMaintenanceWindowExecutionTaskInvocation.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetMaintenanceWindowTask.html



GetParameterHistory

Ação/Ações: ssm:GetParameterHistory

Necessária para visualizar informações históricas sobre um parâmetro especificado. Além de nome,tipo e valor do parâmetro, retorna a descrição do parâmetro, o ID da chave de consulta, a data daúltima modificação e o ARN do usuário da AWS modificou o parâmetro pela última vez.

GetParameters

Ação/Ações: ssm:GetParameters

Necessária para visualizar informações sobre parâmetros.GetParametersByPath

Ação/Ações: ssm:GetParametersByPath

Necessária para visualizar informações sobre parâmetros em uma estrutura hierárquica.GetPatchBaseline

Ação/Ações: ssm:GetPatchBaseline

Necessária para visualizar informações sobre uma linha de base de patch.GetPatchBaselineForPatchGroup

Ação/Ações: ssm:GetPatchBaselineForPatchGroup

Necessária para visualizar informações sobre a linha de patch que deve ser usada para um grupo depatches especificado.

LabelParameterVersion

Ação/Ações: ssm:LabelParameterVersion

Necessária para anexar rótulos a uma versão de um parâmetro.ListAssociations

Ação/Ações: ssm:ListAssociations

Necessária para visualizar associações com instâncias ou documentos específicos do SystemsManager.

ListAssociationVersions

Ação/Ações: ssm:ListAssociationVersions

Necessária para recuperar todas as versões de uma associação de um ID de associação específico.ListCommandInvocations

Ação/Ações: ssm:ListCommandInvocations

Necessária para visualizar uma lista de invocações ou cópias de comandos enviados para umainstância específica.

ListCommands

Ação/Ações: ssm:ListCommands

Necessária para visualizar uma lista de comandos solicitados pelos usuários da conta da AWS.ListComplianceItems

Ação/Ações: ssm:ListComplianceItems

493




https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetPatchBaseline.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetPatchBaselineForPatchGroup.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_LabelParameterVersion.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListAssociations.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListAssociationVersions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListCommandInvocations.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListCommands.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceItems.html


Necessária para recuperar uma lista de status de conformidade de diferentes tipos de recurso para umrecurso específico.

ListComplianceSummaries

Ação/Ações: ssm:ListComplianceSummaries

Necessária para recuperar uma contagem de resumo de recursos que estão de acordo e que nãoestão de acordo com um tipo de conformidade.

ListDocuments

Ação/Ações: ssm:ListDocuments

Necessária para visualizar uma lista de documentos do Systems Manager.ListDocumentVersions

Ação/Ações: ssm:ListDocumentVersions

Necessária para visualizar informações sobre versões de um documento.ListInventoryEntries

Ação/Ações: ssm:ListInventoryEntries

Necessária para visualizar informações sobre itens de inventário ou uma instância.ListResourceComplianceSummaries

Ação/Ações: ssm:ListResourceComplianceSummaries

Necessária para recuperar uma contagem de resumo de recursos, incluindo informações sobre statuscompatíveis e não compatíveis.

ListResourceDataSync

Ação/Ações: ssm:ListResourceDataSync

Necessária para visualizar informações sobre configurações de sincronização de dados de recursos,como a última vez em que uma sincronização tentou iniciar, o status da última sincronização e a últimavez em que uma sincronização foi concluída com êxito.

ListTagsForResource

Ação/Ações: ssm:ListTagsForResource

Necessária para visualizar uma lista de tags atribuídas a um recurso especificado.ModifyDocumentPermission

Ação/Ações: ssm:ModifyDocumentPermission

Necessária para um documento do Systems Manager compartilhado publicamente ou privadamente.PutComplianceItems

Ação/Ações: ssm:PutComplianceItems

Necessária para registrar um tipo de conformidade e outros detalhes de conformidade em um recursodesignado.

PutInventory

Ação/Ações: ssm:PutInventory

Necessária para adicionar ou atualizar itens de inventário personalizados em uma ou mais instâncias.

494

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListComplianceSummaries.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListDocuments.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListDocumentVersions.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListInventoryEntries.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceComplianceSummaries.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListTagsForResource.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ModifyDocumentPermission.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html



PutParameter

Ação/Ações: ssm:PutParameter

Necessária para adicionar um ou mais parâmetros ao sistema.RegisterDefaultPatchBaseline

Ação/Ações: ssm:RegisterDefaultPatchBaseline

Necessária para definir linha de base de patch padrão.RegisterPatchBaselineForPatchGroup

Ação/Ações: ssm:RegisterPatchBaselineForPatchGroup

Necessária para registrar uma linha de base de patch de um grupo de patches.RegisterTargetWithMaintenanceWindow

Ação/Ações: ssm:RegisterTargetWithMaintenanceWindow

Necessária para registrar um destino em uma Janela de manutenção.RegisterTaskWithMaintenanceWindow

Ação/Ações: ssm:RegisterTaskWithMaintenanceWindow

Necessária para registrar uma tarefa em uma Janela de manutenção.RemoveTagsFromResource

Ação/Ações: ssm:RemoveTagsFromResource

Necessária para remover tags de um recurso especificado.SendAutomationSignal

Ação/Ações: ssm:SendAutomationSignal

Necessária para enviar um sinal a uma execução de Automação para alterar o comportamento atualou o status da execução.

SendCommand

Ação/Ações: ssm:SendCommand

Necessária para executar comandos em uma ou mais instâncias gerenciadas.StartAutomationExecution

Ação/Ações: ssm:StartAutomationExecution

Necessária para iniciar a execução de um documento de Automação.StopAutomationExecution

Ação/Ações: ssm:StopAutomationExecution

Necessária para iniciar a execução de um documento de Automação.UpdateAssociation

Ação/Ações: ssm:UpdateAssociation

Necessária para atualizar uma associação. É possível fazer atualizações somente da versão dodocumento, da programação, dos parâmetros e da saída do Amazon S3 de uma associação.

495


https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_RegisterDefaultPatchBaseline.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_RegisterPatchBaselineForPatchGroup.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_RegisterTargetWithMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_RegisterTaskWithMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_RemoveTagsFromResource.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendAutomationSignal.html


https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAutomationExecution.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StopAutomationExecution.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateAssociation.html


UpdateAssociationStatus

Ação/Ações: ssm:UpdateAssociationStatus

Necessária para atualizar o status do documento do Systems Manager associado a uma instânciaespecificada.

UpdateDocument

Ação/Ações: ssm:UpdateDocument

Necessária para atualizar o conteúdo, a versão ou o nome de um documento.UpdateDocumentDefaultVersion

Ação/Ações: ssm:UpdateDocumentDefaultVersion

Necessária para definir a versão padrão de um documento.UpdateMaintenanceWindow

Ação/Ações: ssm:UpdateMaintenanceWindow

Necessária para atualizar um ou mais parâmetros em uma Janela de manutenção.UpdateMaintenanceWindowTarget

Ação/Ações: ssm:UpdateMaintenanceWindowTarget

Necessária para modificar o destino de uma Janela de manutenção existente.UpdateMaintenanceWindowTask

Ação/Ações: ssm:UpdateMaintenanceWindowTask

Necessária para modificar a tarefa atribuída a uma Janela de manutenção.UpdateManagedInstanceRole

Ação/Ações: ssm:UpdateManagedInstanceRole

Necessária para atribuir uma função do Amazon Identity and Access Management (IAM) a umainstância gerenciada ou para alterar a função atribuída do IAM.

UpdatePatchBaseline

Ação/Ações: ssm:UpdatePatchBaseline

Necessária para atualizar um ou mais campos em uma linha de base de patch existente.

496

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateAssociationStatus.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateDocument.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateDocumentDefaultVersion.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateMaintenanceWindow.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateMaintenanceWindowTarget.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateMaintenanceWindowTask.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateManagedInstanceRole.html

https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdatePatchBaseline.html

AWS Systems Manager Guia do usuárioExpressões cron e rate

Referência do AWS SystemsManager

As informações e os tópicos a seguir podem ajudá-lo a melhorar a implementação de soluções do SystemsManager.

Principal

No AWS Identity and Access Management (IAM), você pode conceder ou negar acesso de um serviçoa recursos que usam o elemento de Política principal. O valor do elemento de Política principal para oSystems Manager é ssm.amazonaws.com.

Regiões e endpoints compatíveis

Consulte AWS Systems Manager no Amazon Web Services General Reference.Limites de serviço

Consulte AWS Systems Manager no Amazon Web Services General Reference.Guia de referência de APIs

Consulte AWS Systems Manager API Reference.Referência de comandos da CLI

Consulte AWS Systems Manager section of the AWS CLI Command Reference.Referência do cmdlet AWS Tools for PowerShell

Consulte AWS Systems Manager section of the AWS Tools for PowerShell Cmdlet Reference.Repositório do Agente do SSM no GitHub

Consulte aws/amazon-ssm-agent.Faca uma pergunta

Fórum de desenvolvedores do AWS Systems ManagerAWS News Blog

Ferramentas de gerenciamento

Mais tópicos de referência• Referência: expressões cron e rate para Systems Manager (p. 497)• Referência: Ec2messages e outras chamadas de API (p. 502)

Referência: expressões cron e rate para SystemsManager

Ao criar uma Janela de manutenção no AWS Systems Manager ou uma associação do State Manager,você especifica uma programação para quando a janela ou a associação deve ser executada. Você podeespecificar um agendamento na forma de uma entrada baseada em horário, chamada de expressão cronou na forma de uma entrada baseada em frequência, chamada de expressão rate.

497



https://docs.aws.amazon.com/systems-manager/latest/APIReference/





https://aws.amazon.com//blogs/mt/

AWS Systems Manager Guia do usuárioAssociações com expressões cron e rate

Se você criar uma Janela de manutenção ou uma associação usando o console do Amazon EC2,poderá usar ferramentas na interface de usuário para criar sua programação. Se deseja criar a Janela demanutenção ou a associação de forma programática ou por meio linha de comando usando, por exemplo,a AWS CLI, você deve especificar um parâmetro de programação com uma expressão cron ou rate noformato correto.

Note

Para criar uma Janela de manutençãos na AWS CLI, use o parâmetro --schedule com umaexpressão cron ou rate. Para criar associações do State Manager na AWS CLI, use o parâmetro --scheduleExpression com uma expressão cron ou rate.

Veja alguns exemplos que mostram o parâmetro schedule com as expressões cron e rate:

Exemplo com cron: essa expressão cron executa a associação às 4 horas (16h00) toda terça-feira.

--scheduleExpression "cron(0 16 ? * TUE *)"

Exemplo com rate: Exemplo: essa expressão rate executa a Janela de manutenção ou a associação umdia sim, um dia não.

--schedule "rate(2 days)"

Important

As associações do State Manager têm opções limitadas para as expressões cron e rate emcomparação com as Janela de manutençãos. Antes de criar uma dessas expressões para umaassociação, revise as restrições na seção a seguir.

Se não tiver familiaridade com as expressões cron e rate, é recomendável ler Informações gerais sobreexpressões cron e rate (p. 500).

Tópicos• Associações com expressões cron e rate (p. 498)• Expressões cron e rate para Janela de manutençãos (p. 499)• Informações gerais sobre expressões cron e rate (p. 500)

Associações com expressões cron e rateEsta seção inclui exemplos de associações do State Manager com expressões cron e rate. Antes de criaruma dessas expressões, fique atento às restrições a seguir.

• As associações comportam apenas as seguintes expressões cron: a cada 1/2, 1, 2, 4, 8 ou 12 horas;todos os dias ou toda semana em um horário específico.

• As associações comportam apenas as seguintes expressões rate: intervalos de 30 minutos ou mais emenos de 31 dias.

Veja alguns exemplos de associações com cron.

Exemplos de associações com cron

Exemplo Detalhes

cron(0/30 * * * ? *) A cada 30 minutos

cron(0 0/1 * * ? *) A cada hora

498

AWS Systems Manager Guia do usuárioExpressões cron e rate para Janela de manutençãos

Exemplo Detalhes

cron(0 0/2 * * ? *) A cada 2 horas



cron(0 0/12 * * ? *) A cada 12 horas

cron(15 13 ? * * *) Todos os dia às 13h15

cron(15 13 ? * MON *) Todas as segundas às 13h15

Veja alguns exemplos de associações com rate.

Exemplos de associações com rate

Exemplo Detalhes

rate(30 minutes) A cada 30 minutos

rate(1 hour) A cada hora

rate(5 hours) A cada 5 horas

rate(15 days) A cada 15 dias

Expressões cron e rate para Janela de manutençãosAo contrário das associações do State Manager, as Janela de manutençãos são compatíveis com todas asexpressões cron e rate. Estes são alguns exemplos de Janela de manutençãos.

Exemplos de cron para Janela de manutençãos

Exemplo Detalhes

cron(0 2 ? * THU#3 *) 02:00, na terceira quinta-feira de cada mês

cron(15 10 ? * * *) 10:15, todos os dias

cron(15 10 ? * SEG-SEX *) 10:15 todas as segundas, terças, quartas, quintase sexta-feiras

cron( 0 2 L * ? *) 02:00, no último dia de cada mês

cron(15 10 ? * 6L *) 10:15, na última sexta-feira de cada mês

Estes são alguns exemplos de rate para Janela de manutençãos.

Exemplos de rate para Janela de manutençãos

Exemplo Detalhes

rate(30 minutes) A cada 30 minutos

rate(1 hour) A cada hora

499

AWS Systems Manager Guia do usuárioInformações gerais sobre expressões cron e rate

Exemplo Detalhes

rate(5 hours) A cada 5 horas

rate(25 days) A cada 25 dias

Informações gerais sobre expressões cron e rateAs expressões para o Systems Manager têm seis campos obrigatórios. Os campos são separados por umespaço.

minutos Horas Dia do mês Mês Dia dasemana

Ano Significado

0 10 * * ? * Executadaàs 10h(UTC) todosos dias

15 12 * * ? * Executadaàs 12h15(UTC) todosos dias

0 18 ? * SEG-SEX * Executadaàs 18h(UTC) desegunda asexta

0 8 1 * ? * Executadaàs 8h (UTC)todo oprimeiro diado mês

0/15 * * * ? * Executadaa cada 15minutos

0/10 * ? * SEG-SEX * Executadaa cada 10minutos desegunda asexta

0/5 8-17 ? * SEG-SEX * Executadaa cada 5minutos desegunda asexta entre8h e 17h55(UTC)

A tabela a seguir mostra os valores com suporte para entradas cron necessárias

500

AWS Systems Manager Guia do usuárioInformações gerais sobre expressões cron e rate

Campo Valores Curingas

minutos 0-59 , - * /

Horas 0-23 , - * /

Dia do mês 1-31 , - * ? / L W

Mês 1-12 ou JAN-DEZ , - * /

Dia da semana 1-7 ou DOM-SÁB , - * ? / L

Ano 1970-2199 , - * /

Note

Você não pode especificar os campos Dia do mês e Dia da semana na mesma expressão cron.Se você especificar um valor em um dos campos, deverá usar um ? (ponto de interrogação) nooutro campo.

Curingas

As expressões cron oferecem suporte para os seguintes curingas:

• A , (vírgula) curinga inclui valores adicionais. No campo Mês, JAN, FEV, MAR incluiria janeiro, fevereiroe março.

• O - (traço) curinga especifica intervalos. No campo Dia, 1-15 incluiria dias 1 a 15 do mês especificado.• O * (asterisco) curinga inclui todos os valores no campo. No campo Horas, * incluiria cada hora.• A / (barra) curinga especifica incrementos. No campo Minutos, você pode inserir 1/10 para especificar

cada décimo minuto a partir do primeiro minuto da hora (por exemplo, o 11º, 21º e 31º minuto, etc.).• O curinga ? (ponto de interrogação) especifica um ou outro. No campo Dia da semana você pode inserir

7 e se não se importa com qual dia da semana é o 7º, pode inserir ? no campo Dia da semana.• O curinga L nos campos Dia do mês ou Dia da semana especifica o último dia do mês ou da semana.• O curinga W no campo Dia do mês especifica um dia da semana. No campo Dia do mês, 3W especifica

o dia mais próximo do terceiro dia da semana do mês.

Note

As expressões cron que levam a taxas mais rápidas do que 5 minuto não têm suporte. O suportepara especificar um valor de dia da semana e dia do mês ao mesmo tempo não é completo. Vocêdeve usar o caractere '?' em um desses campos.

Para obter mais informações sobre expressões cron, consulte Expressão CRON no site da Wikipedia.

Expressões rate

Expressões rate têm os seguintes dois campos obrigatórios. Os campos são separados por um espaço embranco.

Campo Valores

Valor número positivo

Unidade minuto(s) OU hora(s) OU dia(s)

501

https://en.wikipedia.org/wiki/Cron#CRON_expression

AWS Systems Manager Guia do usuárioChamadas de API ec2messages e outras

Note

Se o valor for igual a 1, a unidade deverá ser singular. Da mesma forma, para valores maioresdo que 1, a unidade deve ser plural. Por exemplo, as taxas (1 horas) e (5 horas) não são válidas,mas as taxas (1 hora) e (5 horas) são válidas.

Referência: Ec2messages e outras chamadas deAPI

Se você monitorar chamadas de API, verá chamadas para as seguintes APIs.

• ec2messages:AcknowledgeMessage• ec2messages:DeleteMessage• ec2messages:FailMessage• ec2messages:GetEndpoint• ec2messages:GetMessages• ec2messages:SendReply• UpdateInstanceInformation• ListInstanceAssociations• DescribeInstanceProperties• DescribeDocumentParameters

As chamadas para APIs ec2messages:* são feitas para o endpoint ec2messages. O Systems Managerusa esse endpoint para fazer chamadas do Agente do SSMpara o serviço Systems Manager na nuvem.Esse endpoint é necessário para enviar e receber comandos.

UpdateInstanceInformation: o Agente do SSM chama o serviço Systems Manager na nuvem a cadacinco minutos para fornecer informações sobre pulsação. Essa chamada é necessária para manter umapulsação com o agente, para que o serviço saiba que o agente está funcionando conforme esperado.

ListInstanceAssociations: o agente chama essa API para ver se uma nova associação do StateManager do Systems Manager está disponível. Essa API é essencial para o State Manager funcionar.

DescribeInstanceProperties e DescribeDocumentParameters: o Systems Managerchama essas APIs para renderizar nós específicos no console do Amazon EC2. A APIDescribeInstanceProperties exibe o nó Managed Instances na navegação à esquerda. A APIDescribeDocumentParameters exibe o nó Documents na navegação à esquerda.

502


Casos de uso e melhores práticasEsse tópico lista os casos de uso comuns e as melhores práticas para recursos do AWS SystemsManager. Se disponível, esse tópico também inclui links para postagens de blog relevantes e adocumentação técnica.

Note

O título de cada seção aqui é um link ativo na seção correspondente na documentação técnica.

Automação (p. 132)

• Criar runbooks de autoatendimento para infraestrutura como documentos do Automation.• Use a Automação para simplificar a criação de AMIs do AWS Marketplace ou de AMIs personalizadas,

usando documento do SSM públicos ou criando seus próprios fluxos de trabalho.• Use os documentos de Automação AWS-UpdateLinuxAmi e AWS-UpdateWindowsAmi (ou crie

documentos de Automação personalizados) para criar e manter s. (p. 149)

Inventário (p. 76)

• Use o Inventário do Systems Manager com o AWS Config para auditar suas configurações de aplicativoao longo do tempo.

Janela de manutençãos (p. 300)

• Defina um agendamento para realizar ações potencialmente disruptivas em suas instâncias, comopatches de sistema operacional, atualizações de drivers ou instalações de software.

Parameter Store (p. 427)

• Use oParameter Store para gerenciar de forma centralizada as definições globais de configuração.• Use o Parameter Store para criptografar e gerenciar segredos usando o AWS KMS (p. 456).• Use o Parameter Store com definições de tarefas do ECS para armazenar segredos.

Patch Manager (p. 251)

• Use o Patch Manager para distribuir patches em grande escala e aumentar a visibilidade daconformidade da frota nas suas instâncias.

Executar comando (p. 213)

• Gerencie instâncias em grande escala sem acesso ao SSH usando o recurso Run Command do EC2.• Verifique todas as chamadas de API feitas por ou em nome do Executar comando usando o AWS

CloudTrail.• Use o recurso de controle de taxa no Executar comando para realizar uma execução de comando em

etapas (p. 229).• Use permissões de acesso detalhadas para o Executar comando (e todos os recursos do Systems

Manager) usando políticas do AWS Identity and Access Management (IAM) (p. 16).

503


https://aws.amazon.com/blogs/aws/manage-instances-at-scale-without-ssh-access-using-ec2-run-command/


State Manager (p. 335)

• Atualize o Agente do SSM pelo menos uma vez por mês usando o documento AWS-UpdateSSMAgentpré-configurado.

• Faça o bootstrap de instâncias do EC2 na execução usando o EC2Config para Windows• (Windows) Carregue o módulo PowerShell ou DSC para Amazon S3 e usa AWS-

InstallPowerShellModule.• Use tags do Amazon EC2 para criar grupos de aplicativos para suas instâncias. Em seguida, defina

destinos para instâncias usando o parâmetro Targets em vez de especificar IDs de instânciaindividuais.

• Corrija automaticamente constatações geradas pelo Amazon Inspector usando o Systems Manager.• Use um repositório de configuração centralizado para todos os seus documentos do SSM e compartilhe

documentos em toda a sua organização (p. 364).

Instâncias gerenciadas (p. 349)

• O Systems Manager requer referências de tempo precisas para realizar suas operações. Se a datae a hora da instância não estiverem definidas corretamente, talvez elas não correspondam à data deassinatura das solicitações da API. Em alguns casos, isso levará a erros ou funcionalidades incompletas.Por exemplo, as instâncias com configurações de tempo incorretas não serão incluídas em suas listasde instâncias gerenciadas.

Para obter informações sobre como configurar o tempo em suas instâncias, consulte um dos seguintestópicos:• Definição da hora de sua instância do Linux• Definição de horário para uma instância do Windows

504

https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/

https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-configuration-manage.html

https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/windows-set-time.html


Histórico do documentoA tabela a seguir descreve as alterações importantes na documentação desde a última versão do AWSSystems Manager. Para receber notificações sobre atualizações dessa documentação, você pode seinscrever em um feed RSS.

• Versão da API: 06-11-2014• Última atualização da documentação: 18° de agosto de 2018

update-history-change update-history-description update-history-date

Use chaves de condiçãoespecíficas ao Systems Managerem políticas do IAM (p. 505)

O tópico Especificação decondições em uma política foiatualizado para listar as chavesde condição do IAM para oSystems Manager que você podeincorporar em políticas. Vocêpode usar essas chaves paraespecificar as condições sob asquais uma política deve entrarem vigor. O tópico também incluilinks para políticas de exemplo eoutros tópicos relacionados.

August 18, 2018

Agregar dados do inventáriocom grupos para ver quaisinstâncias estão e quais nãoestão configuradas para coletarum tipo de inventário (p. 505)

Os grupos permitem quevocê veja rapidamente umacontagem de quais instânciasgerenciadas estão e quais nãoestão configuradas para coletarum ou mais tipos de inventário.Com grupos, você especifica umou mais tipos de inventário e umfiltro que usa o operador exists.Para obter mais informações,consulte Agregação de dados deinventário.

August 16, 2018

Visualizar o histórico e ocontrole de alterações doinventário e da conformidade deconfiguração (p. 505)

Agora, você pode visualizaro histórico e o controle dealterações do inventáriocoletados em suas instânciasgerenciadas. Você tambémpode visualizar o histórico eo controle de alterações daaplicação de patches do PatchManager e as associações doState Manager relatadas pelaConformidade de configuração.Para obter mais informações,consulte Visualização do históricoe do controle de alterações doinventário.

August 9, 2018

505

https://docs.aws.amazon.com/systems-manager/latest/userguide/auth-and-access-control-iam-access-control-identity-based.html#policy-conditions

https://docs.aws.amazon.com/systems-manager/latest/userguide/auth-and-access-control-iam-access-control-identity-based.html#policy-conditions

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-aggregate

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-aggregate

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-history.html




A função vinculada ao serviçoSystems Manager estende osuporte para as tarefas da Janelade manutenção (p. 505)

O serviço Janela de manutençãoexige um conjunto de permissõesdo IAM para executar as tarefasda Janela de manutenção emsuas instâncias. Anteriormente,a única opção disponível erapara criar uma função do IAMpersonalizada para forneceressas permissões. A funçãovinculada ao serviço do SystemsManager foi aprimorada parafornecer essas permissões,dando a você duas opções defunções do IAM. Para obtermais informações, consulteDevo usar uma função vinculadaao serviço ou uma função deserviço personalizada paraexecutar as tarefas da Janela demanutenção?

August 2, 2018

O Parameter Storeintegra-se com o SecretsManager (p. 505)

O Parameter Store agoraestá integrado com o AWSSecrets Manager para quevocê possa recuperar segredosdo Secrets Manager ao usaroutros serviços da AWS que jáoferecem suporte a referênciasa parâmetros do ParameterStore. Esses serviços incluemo Amazon EC2, o AmazonElastic Container Service, o AWSLambda, o AWS CloudFormation,o AWS CodeBuild, o AWSCodeDeploy e outros recursosdo Systems Manager. Usandoo Parameter Store para fazerreferência a segredos doSecrets Manager, você cria umprocesso consistente e seguropara chamar e usar segredose fazer referência a dadosem seu código e em scriptsde configuração. Para obterinformações, consulte Referênciaa segredos do AWS SecretsManager em parâmetros doParameter Store.

July 26, 2018

506

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-permissions.html#maintenance-window-tasks-service-role





https://docs.aws.amazon.com/systems-manager/latest/userguide/integration-ps-secretsmanager.html





Anexar rótulos aos parâmetrosdo Parameter Store (p. 505)

Um rótulo de parâmetro é umalias definido pelo usuáriopara ajudar você a gerenciardiferentes versões de umparâmetro. Quando vocêmodifica um parâmetro, oSystems Manager salvaautomaticamente uma novaversão e incrementa o númeroda versão em um. Um rótulopode ajudar você a lembrar-se do objetivo de uma versãode parâmetro quando houvervárias versões. Para obterinformações, consulte Comorotular parâmetros.

July 26, 2018

Criar fluxos de trabalho deautomação dinâmicos (p. 505)

Por padrão, as etapas (ouações) que você define na seçãomainSteps de um documentode automação são executadasem ordem sequencial. Após umaação ser concluída, a próximaação especificada na seçãomainSteps começa. Com essaversão, agora é possível criarfluxos de trabalho de automaçãoque executam ramificaçõescondicionais. Isso significa quevocê pode criar fluxos de trabalhode automação que respondemdinamicamente a alteraçõesnas condições e saltam paradeterminada etapa. Para obterinformações, consulte Criação defluxos de trabalho de automaçãodinâmicos.

July 18, 2018

O Agente do SSM agora épré-instalado em AMIs doUbuntu Server 16.04 usandoSnap (p. 505)

A partir de agora, em instânciascriadas por AMIs do UbuntuServer 16.04 identificadas com20180627, o Agente do SSMé pré-instalado usando pacotesSnap. Em instâncias criadaspor AMIs anteriores, você devecontinuar usando pacotes doinstalador deb. Para obter maisinformações, consulte Sobreinstalações do Agente do SSMem instâncias do Ubuntu Server16.04 de 64 bits.

July 7, 2018

507

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-labels.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-labels.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-branchdocs.html



https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html#agent-install-ubuntu-about-v16





Revisar as permissões mínimasdo S3 exigidas pelo Agente doSSM (p. 505)

O novo tópico Permissõesmínimas do bucket do S3 paraAgente do SSM fornece asinformações sobre os bucketsdo Amazon Simple StorageService (Amazon S3) que osrecursos podem precisar acessarpara executar as operações doSystems Manager. Você podeespecificar esses buckets emuma política personalizada sedeseja limitar o acesso ao bucketdo Amazon S3 para um perfil deinstância ou um VPC endpointpara o mínimo necessário parausar o Systems Manager.

July 5, 2018

Visualizar o histórico deexecução completo dedeterminado ID de associação doState Manager (p. 505)

O novo tópico Visualizaçãode históricos de associaçãodescreve como visualizar todasas execuções de determinadoID de associação e os detalhesda execução de um ou maisrecursos.

July 2, 2018

Patch Manager apresentasuporte para Amazon Linux2 (p. 505)

Agora, você pode usar o PatchManager para aplicar patchesàs instâncias do Amazon Linux2. Para obter informaçõesgerais sobre o suporte para osistema operacional do PatchManager, consulte Sistemasoperacionais compatíveis como Patch Manager. Para obterinformações sobre os pares dechave/valor compatíveis como Amazon Linux 2 ao definirum filtro de patch, consultePatchFilter no AWS SystemsManager API Reference.

June 26, 2018

Envie a saída de comandopara o Amazon CloudWatchLogs (p. 505)

O novo tópico Configuração doAmazon CloudWatch Logs parao Executar comando Executarcomando descreve como enviara saída para o CloudWatch Logs.

June 18, 2018

508

https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html



https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-state-assoc-history.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-state-assoc-history.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-supported-oses.html




https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-rc-setting-up-cwlogs.html





Crie rapidamente ouexclua Sincronização dedados de recursos parainventário usando o AWSCloudFormation (p. 505)

Você também pode usar oAWS CloudFormation para criarou excluir uma sincronizaçãode dados de recursos parainventário de Systems Manager.Para usar AWS CloudFormation,adicione o recursoAWS::SSM::ResourceDataSyncao seu modelo de AWSCloudFormation. Paraobter mais informações,consulte Working with AWSCloudFormation Templates(Trabalhando com modelosdo AWS CloudFormation) noAWS CloudFormation UserGuide. Você também pode criarmanualmente uma Sincronizaçãode dados de recursos parainventário, como descrito emConfiguração de Sincronizaçãode dados de recursos parainventário.

June 11, 2018

Guia do usuário do AWSSystems Manager agoradisponível por meio denotificações de atualizaçãoRSS (p. 505)

A versão HTML do Guia dousuário do Systems Manageragora oferece suporte a umfeed RSS de atualizações queestão documentadas na páginaHistórico de atualizações dadocumentação do SystemsManager. O feed RSS incluiatualizações feitas em junho de2018, e posterior. Atualizaçõesanteriormente anunciadas aindaestão disponíveis na páginaHistórico de atualizações dadocumentação do SystemsManager. Use o botão RSS nomenu superior do painel paraassinar o arquivo.

June 6, 2018

Especifique um código de saídaem scripts para reinicializarinstâncias gerenciadas (p. 505)

O novo tópico Reinicialização deinstância gerenciada de scriptsdescreve como instruir o SystemsManager a reinicializar instânciasgerenciadas especificando umcódigo de saída em scripts quevocê executa com Executarcomando.

June 3, 2018

509

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-resourcedatasync.html





https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-datasync.html



https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-release-history.html



https://docs.aws.amazon.com/systems-manager/latest/userguide/send-commands-reboot.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/send-commands-reboot.html

AWS Systems Manager Guia do usuárioAtualizações anteriores

Crie um evento no AmazonCloudWatch Events sempre queo Inventário personalizado éexcluído

O novo tópico Exibindo açõesde exclusão de inventário noCloudWatch Events descrevecomo configurar o AmazonCloudWatch Events para criar umevento sempre que um usuárioexclui Inventário personalizado.

June 1, 2018

Atualizações anterioresA tabela a seguir descreve as mudanças importantes em cada versão do AWS Systems Manager UserGuide antes de junho de 2018.

Alteração Descrição Data delançamento

Inventário de todasas instânciasgerenciadas na suaconta da AWS

Você pode criar facilmente um inventário de todas asinstâncias gerenciadas na sua conta da AWS por meio de umaassociação de inventário global. Para obter mais informações,consulte Inventário de todas as instâncias gerenciadas na suaconta da AWS (p. 77).

Note

As associações globais de inventário estão disponíveisno Agente do SSM versão 2.0.790.0 ou posterior. Paraobter informações sobre como atualizar o Agente doSSM nas suas instâncias, consulte Exemplo: atualizaro SSM Agent (p. 227).

3 de maio de2018

Agente do SSMinstalado por padrãono Ubuntu Server 18

Agente do SSM está instalado, por padrão, na s do UbuntuServer 18.04 LTS (64 bits e 32 bits).

2 de maio de2018

Novo tópico O novo tópico Comandos de envio que usam o parâmetrode versão do documento (p. 228) descreve como usar oparâmetro de versão do documento para especificar a versãode um documento do SSM a ser usada quando o comando éexecutado.

1 de maio de2018

Novo tópico O novo tópico Excluir inventário personalizado (p. 103)descreve como excluir dados de Inventário personalizado doAmazon S3 usando a AWS CLI. O tópico também descrevecomo usar a opção SchemaDeleteOption para gerenciar oinventário personalizado desativando ou excluindo um tipo deinventário personalizado. Este novo recurso usa a ação de APIDeleteInventory.

19 de abril de2018

Notificações doAmazon SNS para oAgente do SSM

Você pode se inscrever em um tópico do Amazon SNS parareceber notificações quando uma nova versão do Agente doSSM estiver disponível. Para obter mais informações, consulteComo se inscrever para receber notificações do Agente doSSM (p. 37).

9 de abril de2018

510





https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-delete.html#sysman-inventory-delete-cwe






Suporte à aplicaçãode patches doCentOS

O Systems Manager agora oferece suporte à aplicação depatches em instâncias do CentOS. Para obter informaçõessobre as versões com suporte do CentOS, consulte Sistemasoperacionais compatíveis com o Patch Manager (p. 252). Paraobter mais informações sobre como a aplicação de patchesfunciona, consulte Como funcionam as operações do PatchManager (p. 253).

29 de marçode 2018

Nova seção Para fornecer uma única origem de informações de referênciano AWS Systems Manager User Guide, uma nova seção foiintroduzida, Referência do AWS Systems Manager (p. 497).Conteúdo adicional será adicionado a esta seção conformedisponibilizado.

15 de marçode 2018

Novo tópico O novo tópico Formatos de nomes de pacotes para listas depatches aprovados e rejeitados (p. 275) detalha os formatos denomes de pacotes que você pode inserir nas listas de patchesaprovados e rejeitados para uma linha de base de patchespersonalizados. Os formatos de exemplo são fornecidospara cada tipo de sistema operacional com suporte do PatchManager.

9 de março de2018

Novo tópico Agora o Systems Manager se integra com o Chef InSpec.InSpec é uma estrutura de tempo de execução de códigoaberto que permite criar perfis legíveis no GitHub ou noAmazon S3. Em seguida, você pode usar o Systems Managerpara executar verificações de compatibilidade e visualizarinstâncias compatíveis e não compatíveis. Para obter maisinformações, consulte Uso de perfis do Chef InSpec com oSystems Manager Compliance (p. 71).

7 de março de2018

Novo tópico O novo tópico Uso de funções vinculadas a serviço do SystemsManager (p. 484) descreve como usar uma função funçãovinculada ao serviço do AWS Identity and Access Management(IAM) com o Systems Manager. No momento, as funçõesvinculadas ao serviço são necessárias apenas ao usar oInventário do Systems Manager para coletar metadados sobretags e grupos de recursos.

27 defevereiro de2018

511




Tópicos novos eatualizados

Agora, você pode usar o Patch Manager para instalar patchesque estão em um repositório de origem diferente do padrãoconfigurado na instância. Isso é útil para instalar patches eminstâncias com atualizações não relacionadas à segurança,com o conteúdo do Personal Package Archives (PPA) para oUbuntu Server, com atualizações para aplicativos corporativosinternos, etc. Especifique os repositórios de origem de patchesalternativos ao criar uma linha de base de patch personalizada.Para obter mais informações, consulte os tópicos a seguir:

• Como especificar um repositório de origem de patchesalternativo (Linux) (p. 256)

• Como criar uma linha de base de patch padrão (p. 278)• Criar uma linha de base de patch com repositórios

personalizados para diferentes versões do SO (p. 288)

Além disso, agora você pode usar o Patch Manager paraaplicar patches às instâncias do SUSE Linux Enterprise Server.O Patch Manager oferece suporte à aplicação de patchesao SLES, versões 12.* (somente 64 bit). Para obter maisinformações, consulte as informações específicas do SLES nostópicos a seguir:

• Como patches de segurança são selecionados (p. 253)• Como os patches são instalados (p. 257)• Como as regras de linha de base de patch funcionam no

SUSE Linux Enterprise Server (p. 264)

6 de fevereirode 2018

Novo tópico O novo tópico Atualizar o módulo de solicitações em Pythonem instâncias do Amazon Linux que usam um servidor deproxy (p. 35) fornece instruções para garantir que as instânciascriadas usando uma AMI do Amazon Linux foram atualizadascom uma versão atual do módulo do Python requests. Esserequisito serve para garantir a compatibilidade com o PatchManager.

12 de janeirode 2018

Novo tópico O novo tópico Visão geral dos documentos do SSM paraaplicar patches em instâncias (p. 265) descreve os setedocumentos do SSM atualmente disponíveis para ajudá-lo amanter suas instâncias gerenciadas protegidas com as maisrecentes atualizações relacionadas à segurança.

10 de janeirode 2018

Atualizaçõesimportantes sobre osuporte do Linux

Vários tópicos foram atualizados com as seguintesinformações:

• Por padrão, o Agente do SSM é instalado em s de base doAmazon Linux de 09/2017 e posteriores.

• Você deve instalar manualmente o Agente do SSM emoutras versões do Linux, incluindo imagens que não sejambase, como s otimizadas para o Amazon ECS.

9 de janeirode 2018

512



Novo tópico Um novo tópico, Sobre o documento AWS-RunPatchBaselinedo SSM (p. 268), oferece detalhes sobre como este documentodo SSM funciona nos sistemas Windows e Linux. Oferecetambém informações sobre os dois parâmetros disponíveis nodocumento AWS-RunPatchBaseline Operation e SnapshotID.

5 de janeirode 2018

Novos tópicos Uma nova seção, Como funcionam as operações do PatchManager (p. 253), oferece detalhes técnicos que explicamcomo o Patch Manager determina quais patches de segurançadevem ser instalados e como ele os instala em cada sistemaoperacional compatível. Oferece também informações sobrecomo as regras de linha de base de patch funcionam emdiferentes distribuições do sistema operacional Linux.

2 de janeirode 2018

Referência de açõesde automação doSystems Managerreintitulada e movidade lugar

Com base no feedback dos clientes, a Referência de açõesde automação agora é chamada de Referência do documentode Automação do Systems Manager. Além disso, mudamosa referência para Recursos compartilhados > nó Documentospara que fique mais próximo do Referência de plug-ins dedocumentos do SSM (p. 375). Para obter mais informações,consulte Referência do documento de Automação do SystemsManager (p. 398).

20 dedezembro de2017

Novo capítulo sobremonitoramento e novoconteúdo

Um novo capítulo, Monitoramento de instâncias com o AWSSystems Manager (p. 463), fornece instruções para enviarmétricas e dados de log para Amazon CloudWatch Logs. Umnovo tópico, Envio de logs para o CloudWatch Logs (Agente doCloudWatch) (p. 465), fornece instruções para a migração detarefas de monitoramento em instâncias, apenas em instânciasdo Windows Server de 64 bits, do Agente do SSM para oAgente do CloudWatch.


Novo capítulo Um novo capítulo, Controle de acesso e autenticação do AWSSystems Manager (p. 473), fornece informações detalhadassobre como usar o AWS Identity and Access Management(IAM) e o AWS Systems Manager, para ajudar a proteger oacesso aos seus recursos por meio de credenciais. Essascredenciais fornecem as permissões necessárias para acessarrecursos da AWS, como acessar dados armazenados embuckets do Amazon S3 e enviar comandos e ler tags eminstâncias do Amazon EC2.


Alterações nanavegação àesquerda

Alteramos cabeçalhos na navegação à esquerda deste guiado usuário para que correspondam aos cabeçalhos no novoconsole do AWS Systems Manager.

8 dedezembro de2017

513






Várias alterações nore: Invent 2017

• Lançamento oficial do AWS Systems Manager: o AWSSystems Manager (anteriormente Amazon EC2 SystemsManager) é uma interface unificada que permite que vocêcentralize facilmente dados operacionais e automatizetarefas em recursos da AWS. Você pode acessar o novoconsole do AWS Systems Manager aqui. Para obtermais informações, consulte O que é o AWS SystemsManager? (p. 1)

• Compatibilidade com o YAML: você pode criar documentosdo SSM no YAML. Para obter mais informações, consulteDocumentos do AWS Systems Manager (p. 349).

29 denovembro de2017

Uso do Executarcomando para tirarsnapshots de volumesdo EBS

Com o Executar comando, você pode gerar snapshotsconsistentes com o aplicativo de todos os volumes do AmazonElastic Block Store (Amazon EBS) anexados às instânciasWindows do Amazon EC2. O processo de snapshot usa oWindows Volume Shadow Copy Service (VSS) para fazerbackups no nível da imagem dos aplicativos que reconhecem oVSS, incluindo os dados de transações pendentes entre essesaplicativos e o disco. Além disso, você não precisa desligar asinstâncias ou desconectá-las quando precisar fazer backupde todos os volumes anexados. Para obter mais informações,consulte Uso do Executar comando para tirar snapshots devolumes do EBS (p. 60).

20 denovembro de2017

Disponibilidade demaior segurança noSystems Managerpor meio de VPCendpoints

Você pode melhorar a postura de segurança de suas instânciasgerenciadas (incluindo instâncias gerenciadas em seuambiente híbrido) ao configurar o Systems Manager parausar uma interface VPC endpoint. Os endpoints da interfacesão habilitados pelo PrivateLink, tecnologia que permite quevocê acesse privadamente APIs do Amazon EC2 e SystemsManager usando endereços IP privados. O PrivateLinkrestringe todo o tráfego de rede entre instâncias gerenciadas, oSystems Manager e o EC2 e a rede da Amazon (as instânciasgerenciadas não têm acesso à Internet). Além disso, você nãoprecisa de um Internet gateway, de um dispositivo NAT oude um gateway privado virtual. Para obter mais informações,consulte Configuração de VPC endpoints VPC para o SystemsManager (p. 18).

7 denovembro de2017

514




https://technet.microsoft.com/en-us/library/ee923636(v=ws.10).aspx



Recurso de inventáriopara arquivos,serviços, funções doWindows e o Registrodo Windows

O SSM Inventory agora comporta a coleta das seguintesinformações de suas instâncias gerenciadas.

• Arquivos: nome, tamanho, versão, data de instalação, horáriode modificação e último acesso etc.

• Serviços: nome, nome de exibição, status, serviçosdependentes, tipo de serviço, tipo de início etc.

• Registro do Windows: caminho da chave do registro, nomedo valor, tipo de valor e valor.

• Funções do Windows: nome, nome de exibição, caminho,tipo de recurso, estado de instalação etc.

Antes de tentar coletar informações para esses tipos deinventário, atualize o Agente do SSM nas instâncias emque deseja gerar inventário. Ao executar a versão maisrecente do Agente do SSM, você garante que pode coletarmetadados para todos os tipos de inventário comportados.Para obter informações sobre como atualizar o Agente do SSMusando o State Manager, consulte Demonstração: atualizarautomaticamente o Agente do SSM (CLI) (p. 346).

Para obter mais informações sobre inventário, consulte Sobre oInventário do Systems Manager (p. 77).

6 denovembro de2017

Atualizações dedocumentação deautomação

Correção de vários problemas nas informações sobredefinição e configuração de acesso à Automação do SystemsManager. Para obter mais informações, consulte Configurar aAutomação (p. 141).

31 de outubrode 2017

515



Integração entreo Amazon S3 e oGitHub

Execução d scripts remotos: o Systems Manager agoracomporta download e execução de scripts em repositórioprivado ou público do GitHub e no Amazon S3. Usando odocumento AWS-RunRemoteScript predefinido do SSMou o plug-in aws:downloadContent em um documentopersonalizado do SSM, você pode executar playbooks e scriptsdo Ansible no Python, Ruby ou PowerShell, entre outros. Essasalterações promovem ainda mais a infraestrutura como códigoquando você usa o Systems Manager para automatizar aconfiguração e a implantação de instâncias do Amazon EC2 einstâncias gerenciadas internamente em seu ambiente híbrido.Para obter mais informações, consulte Integração de parceirose produtos (p. 47).

Criação de documentos compostos do SSM: agora o SystemsManager comporta a execução de um ou mais documentossecundários do SSM usando um documento primário doSSM. Esses documentos primários que executam outrosdocumentos são chamados de documentos compostos. Osdocumentos compostos permitem criar e compartilhar umconjunto padrão de documentos secundários do SSM nascontas da AWS para tarefas comuns, como inicializaçãode software antivírus ou ingresso de instâncias no domínio.Você pode executar documentos compostos e secundáriosarmazenados no Systems Manager, GitHub ou Amazon S3. Aocriar um documento composto, você pode executá-lo usandoo documento AWS-RunDocument predefinido do SSM. Paraobter mais informações, consulte Como criar documentoscompostos (p. 370) e Execução de documentos em locaisremotos (p. 372).

Referência de plug-ins de documentos do SSM: para facilitaro acesso, tiramos a Referência de plug-ins di SSM paradocumentos do SSM da Referência de API do SystemsManager e transferimos para o Guia do Usuário. Paraobter mais informações, consulte Referência de plug-ins dedocumentos do SSM (p. 375).


Compatibilidade comversões de parâmetrono Parameter Store

Agora, ao editar um parâmetro, o Parameter Store iteraautomaticamente o número da versão com um incremento de1. Você pode especificar um nome de parâmetro e um númerode versão específico em chamadas de API e em documentosdo SSM. Se não especificar um número de versão, o sistemausará automaticamente a versão mais recente.

As versões de parâmetro fornecem uma camada de proteçãopara o caso de um parâmetro ser alterado acidentalmente.Você pode visualizar os valores de todas as versões econsultar versões anteriores, se necessário. Você podetambém usar versões de parâmetro para ver quantas vezesum parâmetro mudou ao longo de um período. Para obtermais informações, consulte Como trabalhar com as versões deparâmetro (p. 442).


516



Suporte paramarcação dedocumentos doSystems Manager

Agora você pode usar a API AddTagsToResource, a AWSCLI ou o AWS Tools for Windows para marcar documentosdo Systems Manager com pares de chave/valor. A marcaçãoajuda a identificar rapidamente recursos específicos com basenas tags que você atribuiu a eles. Isso é uma adição ao suporteà marcação existente para instâncias gerenciadas, Janela demanutençãos, parâmetros do Parameter Store e linhas de basede patches. Novos tópicos incluem Marcar documentos doSystems Manager (p. 361) e Controlar o acesso a documentosusando tags (p. 362).

3 de outubrode 2017

Diversas atualizaçõesde documentaçãopara corrigir erros ouatualizar conteúdocom base emcomentários

• Atualização de Configuração do AWS Systems Manager emambientes híbridos (p. 39) com informações para o RaspbianLinux.

• Atualização de Configuração do AWS SystemsManager (p. 7) com o novo requisito para instâncias doWindows. O Agente do SSM requer o Windows PowerShell3.0 ou posterior para executar determinados documentosdo SSM em instâncias do Windows (por exemplo, odocumento AWS-ApplyPatchBaseline). Verifique se assuas instâncias do Windows estão executando o WindowsManagement Framework 3.0 ou posterior. A estrutura incluio PowerShell. Para obter mais informações, consulte oWindows Management Framework 3.0.

2 de outubrode 2017

Solução de problemasde instânciasdo Windowsinacessíveis usandoo fluxo de trabalhode AutomaçãoEC2Rescue

O EC2Rescue pode ajudá-lo a diagnosticar e solucionarproblemas em instâncias do Windows Server do AmazonEC2. Você pode executar a ferramenta como um fluxo detrabalho de Automação do Systems Manager usando odocumento AWSSupport-ExecuteEC2Rescue. O documentoAWSSupport-ExecuteEC2Rescue foi projetado para realizaruma combinação de ações do Systems Manager, ações doAWS CloudFormation e funções Lambda que automatizamas etapas normalmente necessárias para usar EC2Rescue.Para obter mais informações, consulte Executar a ferramentaEC2Rescue em instâncias inacessíveis (p. 171).

29 desetembro de2017

Agente do SSMinstalado por padrãono Amazon Linux

Por padrão, o Agente do SSM é instalado em s do AmazonLinux de 09/2017 e posteriores. Você deve instalarmanualmente o Agente do SSM em outras versões do Linux,conforme descrito em Instalar e configurar o Agente do SSMem instâncias do Linux (p. 23).


517





Melhorias no Executarcomando

O Executar comando contém as melhorias a seguir.

• Você pode restringir a execução do comando a instânciasespecíficas criando uma política de usuário do IAM que incluiuma condição de que o usuário só pode executar comandosem instâncias que são marcadas com tags específicasdo Amazon EC2. Para obter mais informações, consulteRestrição de acesso ao Executar comando com base emtags de instância (p. 223).

• Você tem mais opções para definir destinos para instânciasusando tags do Amazon EC2. Agora, você pode especificarvárias chaves de rótulo e vários valores de tag ao enviarcomandos. Para obter mais informações, consulte Enviarcomandos para uma frota (p. 229).


Systems Managercom suporte noRaspbian

Agora, o Systems Manager pode ser executado emdispositivos Raspbian Jessie e Raspbian Stretch, incluindo oRaspberry Pi (32 bits). Para obter mais informações, consulteRaspbian (p. 31).

7 de setembrode 2017

Enviarautomaticamente logsdo Agente do SSM aoAmazon CloudWatchLogs

Agora, você pode fazer uma alteração de configuraçãosimples em suas instâncias para que o Agente do SSM enviearquivos de log ao CloudWatch. Para obter mais informações,consulte Envio de logs para o CloudWatch Logs (Agente doSSM) (p. 463).


Criptografar aSincronização dedados de recursos

A Sincronização de dados de recursos do Systems Managerpermite agregar dados de inventário coletados em dezenas oucentenas de instâncias gerenciadas em um bucket do AmazonS3 central. Agora, você pode criptografar a Sincronizaçãode dados de recursos usando uma chave do AWS KeyManagement Service. Para obter mais informações, consulteDemonstração: usar a Sincronização de dados de recursospara agregar dados de inventário (p. 115).


Novas demonstraçõesdo State Manager

Duas novas demonstrações adicionadas à documentação doState Manager:

Demonstração: atualizar automaticamente o Agente do SSM(CLI) (p. 346)

Demonstração: atualizar automaticamente drivers do PV eminstâncias Windows do EC2 (console) (p. 347)

31 de agostode 2017

518



Conformidade deconfiguração doSystems Manager

Use a Conformidade de configuração para verificar sua frota deinstâncias gerenciadas no que diz respeito à conformidade depatches e a inconsistências de configuração. Você pode coletare agregar dados de várias contas e regiões da AWS, e depoisfazer buscas detalhadas em recursos específicos que não sãocompatíveis. Por padrão, a Conformidade de configuraçãoexibe dados de conformidade sobre a aplicação de patch doPatch Manager e as associações do State Manager. Vocêtambém pode personalizar o serviço e criar seus própriostipos de conformidade com base nos seus requisitos de TI ounegócios. Para obter mais informações, consulte Conformidadede configuração do AWS Systems Manager (p. 122).

28 de agostode 2017

Nova ação deAutomação:aws:executeAutomation

Executa um fluxo de trabalho de Automação secundáriochamando um documento de Automação secundário. Comessa ação, você pode criar documentos de Automação paraseus fluxos de trabalho mais comuns e fazer referência aesses documentos durante uma execução da Automação.Essa ação pode simplificar seus documentos de Automação,removendo a necessidade de duplicar etapas em documentossemelhantes. Para obter mais informações, consulteaws:executeAutomation (p. 417).

22 de agostode 2017

Automação comodestino de um eventodo CloudWatch

Você pode iniciar um fluxo de trabalho de Automaçãoespecificando um documento de Automação como o destinode um evento do Amazon CloudWatch. É possível iniciarfluxos de trabalho de acordo com um cronograma ou quandoocorrer um evento específico do sistema AWS. Para obtermais informações, consulte Configurar a Automação como umdestino do CloudWatch Events (opcional) (p. 148).

21 de agostode 2017

Versionamentode associações eatualizações gerais doState Manager

Agora, você pode criar diferentes versões de associaçãodo State Manager. Existe um limite de 1.000 versões paracada associação. Você também pode especificar nomes parasuas associações. Além disso, a documentação do StateManager foi atualizada para tratar informações desatualizadase inconsistências. Para obter mais informações, consulte StateManager do AWS Systems Manager (p. 335).

21 de agostode 2017

519



Alterações nas Janelade manutençãos

As Janela de manutençãos incluem as seguintes alterações oumelhorias:

• Anteriormente, as Janela de manutençãos podiam executartarefas somente por meio do Executar comando. Agora, vocêpode executar tarefas usando a Automação do SystemsManager, o AWS Lambda e o AWS Step Functions.

• É possível editar destinos de uma Janela de manutenção,além de especificar um nome, uma descrição e umproprietário de destino.

• Você pode editar tarefas em uma Janela de manutenção,bem como especificar um novo documento do SSM paratarefas do Executar comando e de Automação.

• Agora, todos os parâmetros do Executar comandosão comportados, incluindo DocumentHash,DocumentHashType, TimeoutSeconds, Comment eNotificationConfig.

• Agora, você pode usar um sinalizador safe ao tentarcancelar o registro de um destino. Se habilitado, o sistemaretornará um erro se o destino for referenciado por qualquertarefa.

Para obter mais informações, consulte Janela de manutençãosdo AWS Systems Manager (p. 300).

16 de agostode 2017

Nova ação deAutomação:aws:approve

Essa nova ação para documentos de Automação pausatemporariamente uma execução de Automação até que asentidades principais designadas aprovem ou rejeitem essaação. Depois que o número necessário de aprovações foratingido, a execução da Automação será retomada.

Para obter mais informações, consulte Referência dodocumento de Automação do Systems Manager (p. 398).

10 de agostode 2017

520



Função de admissãode Automação nãomais necessária

Antes, a Automação exigia especificar uma função de serviço(ou uma função de admissão) para que o serviço tivessepermissão para realizar ações em seu nome. A Automação nãoexige mais essa função, pois o serviço agora opera usando ocontexto do usuário que invocou a execução.

No entanto, as seguintes situações ainda exigem que vocêespecifique uma função de serviço para Automação:

• Quando você deseja restringir os privilégios de um usuárioem um recurso, mas deseja que esse usuário executeum fluxo de trabalho de automação que exija privilégiossuperiores. Neste cenário, você pode criar uma função deserviço com privilégios mais altos e permitir que o usuárioexecute o fluxo de trabalho.

• As operações que você espera executar por mais de 12horas exigem uma função de serviço.

Para obter mais informações, consulte Configurar aAutomação (p. 141).

3 de agostode 2017

Conformidade deconfiguração

Use a Conformidade de configuração do Amazon EC2 SystemsManager para verificar sua frota de instâncias gerenciadas noque diz respeito à conformidade de patches e a inconsistênciasde configuração. Você pode coletar e agregar dados de váriascontas e regiões da AWS, e depois fazer buscas detalhadasem recursos específicos que não são compatíveis. Para obtermais informações, consulte Conformidade de configuração doAWS Systems Manager (p. 122).

8 de agostode 2017

Aprimoramento emdocumentos do SSM

Agora, documentos do SSM Command e do Policy oferecemsuporte entre plataformas. Isso significa que um únicodocumento do SSM pode processar plug-ins para sistemasoperacionais Windows e Linux. O suporte entre plataformaspermite consolidar o número de documentos que vocêgerencia. O suporte entre plataformas é oferecido emdocumentos do SSM que usam o esquema versão 2.2 ouposterior.

Os documentos de Comando do SSM que usam o esquemaversão 2.0 ou posterior agora podem incluir vários plug-ins domesmo tipo. Por exemplo, você pode criar um documento deComando que chama o plug-in aws:runRunShellScript váriasvezes.

Para obter mais informações sobre as alterações doesquema versão 2.2, consulte Documentos do AWS SystemsManager (p. 349). Para obter mais informações sobre plug-insdo SSM, consulte o tópico sobre Plug-ins do Systems Manager.

12 de julho de2017

521

https://docs.aws.amazon.com/systems-manager/latest/APIReference/ssm-plugins.html



Aplicação de patchesdo Linux

Agora, o Patch Manager pode corrigir as seguintesdistribuições do Linux:

Sistemas de 64 bits e 32 bits

• Amazon Linux 2014.03, 2014.09 ou posterior• Ubuntu Server 16.04 LTS, 14.04 LTS ou 12.04 LTS• Red Hat Enterprise Linux (RHEL) 6.5 ou posterior

Somente para sistemas de 64 bits

• Amazon Linux 2015.03, 2015.09 ou posterior• Red Hat Enterprise Linux (RHEL) 7.x ou posterior

Para obter mais informações, consulte Patch Manager do AWSSystems Manager (p. 251).

Note

• Para aplicar patch a instâncias do Linux, essasinstâncias devem executar a versão 2.0.834.0ou posterior do Agente do SSM. Para obterinformações sobre como atualizar o agente, consultea seção intitulada Exemplo: atualizar o Agente doSSM, no Executar comandos do console (p. 226).

• O documento AWS-ApplyPatchBaseline do SSMestá sendo substituído pelo documento AWS-RunPatchBaseline.

6 de julho de2017

Sincronização dedados de recursos

Você pode usar a Sincronização de dados de recursos doSystems Manager para enviar dados de inventário coletadosde todas as suas instâncias gerenciadas para um único bucketdo Amazon S3. Em seguida, a Sincronização de dados derecursos atualiza automaticamente os dados centralizadosquando novos dados de inventário são coletados. Comtodos os dados de Inventário armazenados em um bucketdo Amazon S3 de destino, você pode usar serviços comoo Amazon Athena e o Amazon QuickSight para consultar eanalisar os dados agregados. Para obter mais informações,consulte Configurando a Sincronização de dados de recursospara inventário (p. 88). Para obter um exemplo de comotrabalhar com a Sincronização de dados de recursos, consulteDemonstração: usar a Sincronização de dados de recursospara agregar dados de inventário (p. 115).

29 de junhode 2017

522



Hierarquias deparâmetros doSystems Manager

Gerenciar dezenas ou centenas de parâmetro do SystemsManager como uma lista simples é um processo demorado epropenso a erros. Você pode usar hierarquias de parâmetrospara ajudá-lo a organizar e gerenciar parâmetros do SystemsManager. Uma hierarquia é um nome de parâmetro que incluium caminho que você define usando barras. Veja a seguirum exemplo que usa três níveis de hierarquia no nome paraidentificar o seguinte:

/Environment/Type of computer/Application/Data

/Dev/DBServer/MySQL/db-string13

Para obter mais informações, consulte Organizar parâmetrosem hierarquias (p. 432). Para obter um exemplo decomo trabalhar com hierarquias de parâmetros, consulteDemonstração: gerenciar parâmetros usando hierarquias (AWSCLI) (p. 461).

22 de junhode 2017

Compatibilidadeentre o Agente doSSM e o SUSE LinuxEnterprise Server

Você pode instalar o Agente do SSM no SUSE Linux EnterpriseServer (SLES) de 64 bits. Para obter mais informações,consulte Instalar e configurar o Agente do SSM em instânciasdo Linux (p. 23).

14 de junhode 2017

523


AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

524

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html