AWS Systems Manager

Anotações sobre o AWS Systems Manager para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:

• Link oficial

Anotações gerais

• Oferece visibilidade e controle de sua infraestrutura na AWS
• É usado para corrigir sistemas em grande escala
• É usado para obter insights operacionais
• Permite que os usuários controlem seus recursos unificando serviços onde ele podem visualizar, monitorar e automatizar
• EC2 e On-Premises
• Patching
• Windows e Linux
• SSM agent
• Para ambientes On-Premises acessar o SSM é necessário criar uma Role

---

Agent SSM

Documentação oficial

• Nome do agente amazon-ssm-agent
• O agent já vem pré instalado em Amazon Linux e Ubuntu
• Logs - /var/log/amazon/ssm/errors.log
• IAM Police que deve ser adicionada na Role da EC2 - AmazonSSMManagedInstanceCore

---

Fleet Manager

Documentação oficial

É uma interface de usuário unificada (UI) que ajuda você a gerenciar remotamente os nós em execução na AWS ou on-premises.
Pode visualizar o status de integridade e a performance de toda a sua frota de servidores em um console.

• Pode resetar a senha dos usuários

Node Overview

• Filesystem
• Users and Groups
• Performance Counters
• Processes

---

Parameter Store

Documentação oficial

_O Parameter Store, oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. _

• Para que a EC2 utilize o AWS KMS, a role da EC2 deve conter a permissão de leitura ao SSM Parameter Store e kms:decript para utilizar o AWS KMS Key.
• Se você armazenar as credenciais usando parâmetros padrão no Parameter Store do Systems Manager, não haverá cobrança adicional
• AWS Secrets Manager é mais caro para armazenar credenciais.
• ssm:DecryptParameter
• Secure String Parameter - Armazenamento de string para conexão com Bancos de Dados
• kms:Decrypt - Lambda precisa dessa permissão para descriptografar a senha armazenada no Parameter Store

Types

• String
• String List
• Secure String (KMS Key ID / Value)

Referências

• Como o AWS Systems Manager Parameter Store usa o AWS KMS

---

Compliance

• AWS Systems Manager features
• Conformidade com o AWS Systems Manager
• Inspeciona atualização de pacotes

---

RUN Command

Documentação oficial

• Compatíveis com Windows, Linux e MacOS
• Inspeciona processos em execução na EC2
• Output - S3 ou CloudWatch Logs
• Recupera senha do Administrador de Windows - AWSSupport-Run2RescueForWindowsTool

Alguns Documentos

• AWS-RunAnsiblePlaybook
• AWS-ConfigureDocker
• AWS-InstallMissingWindowsUpdates
• AWS-RunShellScript
• AWSSupport-Run2RescueForWindowsTool

Referências

• How can I reset the administrator password on an EC2 Windows instance?

---

Sessions Manager

Documentação oficial

• Linux, Windows e MacOs
• Envia log S3 ou CloudWatch Logs(a EC2 tem que ter permissão para gravar)
• Tempo default session idle - 20 min
• Connect to your instance without SSH keys or a bastion host.
• Sessions are secured using an AWS Key Management Service key.
• You can log session commands and details in an Amazon S3 bucket or CloudWatch Logs log group.

** Envio dos logs da sessão para CloudWath Logs**

• Criar Policy que libera acesso do Sessions Manager ao CloudWatch Logs
• Criar Logs Group
• Habilitar no Sessions Manager

Diferença entre EC2 Connect e Session Manager

• EC2 Connect (SSH) - Precisa de liberação da porta 22 no SG e Public IP na EC2
• Session Manager - IAM Role

Benefícios

• Centraliza acesso usando IAM Role
• Não precisa liberar SG
• Não precisa de Key
• Não precisa de IP Público
• Log e auditoria na sessão (Session History)
• Acessa instância c/ one-click
• Não precisa de VPN

---

Patch Manager

Documentação oficial

O Patch Manager, um recurso que automatiza o processo de aplicação de patches aos nós gerenciados com atualizações de segurança e outros tipos de atualizações.

• Gera report dos patchs faltantes
• Aplica os patchs faltantes
• Aprova ou reprova patch
• Pode habilitar "auto approval delay", quantos dias depois da aprovação o patch será aplicado
• Se o SSM agent não estiver rodando na EC2, o patch não é aplicado

Patchs Baselines
Documentação oficial

• Baselines prontos criados pela AWS

Maintenace Window
Documentação oficial

O Maintenance Windows, ajuda você a definir uma programação de quando executar ações que possivelmente causem interrupções aos nós, como aplicar patches a um sistema operacional, atualizar drivers ou instalar um software ou patches.

• Janela de manutenção para aplicar os patchs
• Baseado em Cron/Rate

Patch Operation

• Scan and Install
• Scan

---

Automation

Documentação oficial

Automation, simplifica as tarefas comuns de manutenção, implantação e correção para Serviços da AWS.

• Automation Document - Criados pela AWS
• Pode alterar os documentos 
• Divididos por categoria
• Pode solicitar aprovações para IAM Users (precisa do SNS)

Exemplos de Automations Tasks

• Attach IAM ot EC2 Instance
• Create AMI of Instances
• Perform Patching Activities

Referências

• Demonstrações do Automation
• Amazon EC2 Systems Manager Automation is now a Amazon CloudWatch Events Target
• Trabalhar com automações

---

Inventory

Documentação oficial

O Inventory fornece visibilidade de seu ambiente de computação da AWS e para coletar metadados dos nós gerenciados.

• Por padrão a coleta ocorre todo dia a cada 30 min 
• Pode colocar a coleta por Hora, Dia ou Mês
• Pode-se selecionar os Parâmetros que serão disponibilizados
• Recomenda centralizar as descobertas em um Bucket

Referências

• Saiba mais sobre o Systems Manager Inventory
• Demonstrações do Systems Manager Inventory
• Amazon EC2 Systems Manager Introduction