SSM part 1

Question 1

Resource-based Policies и Rotation
Есть ли они в SSM Parameter Store, Secrets Manager?
Как они называются?

Answer 1

Resource-based Policies
- SSM Parameter Store НЕ поддерживает Resource-based Policies
- Secrets Manager поддерживает Resource-based Policies для своих секретов

Rotation
SSM Parameter Store
- в ADVANCED платном тарифе поддерживает фичу Parameter Policies
- Parameter Policies нужны чтобы навязать РОТАЦИЮ
(дать TTL, по истечение которого user ВЫНУЖДЕН удалить или обновить параметр)
Secrets Manager
- также поддерживает фичу Rotation of Secrets (аналог SSM Parameter Policy)

Question 2

SSM
Какие ОС поддерживает?
Как сделать instance managed?
Где предустановлен SSM агент?

Answer 2

Windows и Linux
1) Установить SSM агента
2) Дать IAM права на доступ к SSM API
Предустановлен на AMI “Amazon Linux 2” и Ubuntu

Question 3

SSM Resource Group
Как они устроены технически?
Как они устроены по смыслу?
Какие есть ограничения, чтобы создать группу?
Зачем оперировать группами?

Answer 3

Технически, несколько ресурсов с одинаковыми AWS тегами - это группа, для которой в SSM можно создать Resource Group (по их тэгу)

По смыслу
- по окружениям (DEV, PROD)
- по отделам (finance, operations)
- по слоям стэка

Ограничение
SSM Resource Group объединяет все ресурсы с указанным тэгом в конкретном РЕГИОНЕ

В SSM можно одним махом выполнять изменения конфигурации для целой группы.

Question 4

SSM Document
Что это? В каком формате?
Для каких сервисов нужно?
Каких типов он бывает?

Answer 4

SSM Document - это JSON/YAML документ, который может быть использован как модуль для разных сервисов SSM
- SSM Automation
- SSM Run Command
- SSM State Manager
- SSM Patch Manager

• Pre-defined
• Custom

Question 5

SSM Run Command
Как связан с SSM Document? Что Run Command ждут от Document?
Как связан с SSM Groups?

Answer 5

В сервисе SSM Run Command можно выполнить выбранный SSM Document
То есть SSM Document (для сервиса SSM Run Command) содержит исполняемый скрипт.

Команды сервиса SSM Run Command можно выполнять для целой SSM Resource Group’ы.

Question 6

SSM Run Command имеет настройки
- rate control
- error threshold
Что они обозначают?

Answer 6

• Rate Control настройка позволяет указать количество/процент EC2 instance’ов,
  на которых нужно выполнять команду параллельно
  (например, на 3-ёх из 100 instance’ов)
• Error Threshold настройка позволяет указать количество/процент EC2 instance’ов,
  на которых должна зафэйлиться CLI команда,
  чтобы остановить дальнейшее выполнение команды на оставшихся EC2 instance’ах.

Question 7

SSM Run Command
Какой альтернативный стандартный метод есть для выполнения CLI команд на EC2?
В чём его недостаток по сравнению с SSM Run Command?
Как так устроен SSM Run Command, что у него нет такого недостатка?

Answer 7

SSM Agent выполняет команды сервиса SSM Run Command.

При этом в Security Group’ах EC2 instance’а НЕ нужно разрешать входной SSH трафик.

Без использования SSM Agent’а и SSM Run Command нам обязательно приходится разрешать входной SSH трафик,
чтобы выполнить log in на EC2 instance для выполнения CLI команд.

Question 8

SSM Run Command
Как он связан с S3, CloudWatch, SNS, EventBridge?

Answer 8

Output CLI команд (по сути логи) можно слать в CloudWatch и S3.
Сообщения об успешности команд (failed, succeed, in progress) можно слать в SNS.
CloudWatch scheduled event может по расписанию запускать SSM Run Command.