SSM Part 3 Flashcards

1
Q

SSM Session Manager
Что позволяет этот сервис?
В чём преимущество по сравнению с традиционным методом?
В чём недостаток по сравнению с традиционным методом?

A

Сервис позволяет безопасно открыть shell-терминал-сессию на сервере.

При этом НЕ нужно иметь
- SSH access (порт 22 открыт для протокола TCP)
- Bastion Host
- SSH keys

При это нужно иметь
- установленный SSM Agent
- managed instance через IAM права доступа к SSM API

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

SSM Session Manager
Чем похож на SSM Run Command? Чем отличается?
Чем похож на EC2 instance connect? Чем отличается?

A
  • SSM Run Command выполняет заранее указанные команды.
  • SSM Session Manger открывает CLI сессию для live ввода команд.
  • SSM Session Manger НЕ использует SSH туннель вообще. Но при этом обзывает установить SSM агента и сделать instance managed.
  • EC2 instance connect за кулиссами использует SSH.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

SSM Session Manager
Какая IAM Role должна быть у пользователя, чтобы он мог использовать SSM Session Managed для подключения к EC2?

Как можно задействовать CloudTrail?

Что такое AmazonSSMManagedInstanceCore?

A

Роль пользователя должна содержать
- Action: ssm:StartSession
- Resource: instance/*

CloudTrail фиксирует вызов API ssm:StartSession

AmazonSSMManagedInstanceCore - это название Managed Роли, которую должен иметь EC2 в качестве своего instance profile

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

SSM Session Manger
Можно ли подключаться к EC2 в приватной подсети?
Через какую технологию это можно сделать?
А через какую нельзя?

A
  • SSM Session Manager может работать с EC2 instance’ами в private VPC subnet
  • Для этого нужно использовать VPC Endpoints (а именно VPC Interface Endpoints)

VPC Gateway Endpoint используется ТОЛЬКО для S3 и DynamoDB

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

DHMC
Что это такое?
Для чего это нужно?
Что такое Instance Identity Role?

A

DHMC - Default Host Management Configuration

По-умолчанию EC2 instance должен иметь Instance Profile,
который включает IAM Role с доступом в SSM.
Только тогда instance является SSM managed.

Но DHMC позволяет управлять instance’ом через SSM без такого Instance Profile

Instance Identity Role - это IAM Role БЕЗ прав доступа, которая просто идентифицирует EC2 instance (например, для сервиса SSM)

После идентификации такого instance’а, SSM передаёт (pass) IAM Role AWSSystemsManagerDefaultEC2InstanceManagementRole

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Hybrid Node, Hybrid Activation
Что это такое?
Каких видов серверов это касается?
Как происходит этот процесс?
Как его можно автоматизировать?

Что обозначают префиксы -i и -mi?

A

Hybrid Node - это сервер/iot-девайс/VM под управление SSM
То есть “Traditional Node” - это EC2 instance под управление SSM

Hybrid Activation - это процесс регистрации гибридного узла в SSM

1) Администратор создаёт Hybrid Activation
и получает специальные activation code и id
2) Администратор устанавливает SSM агента на On-Premise (”гибридный”) сервер
и указывает в нём activation code и id
3) Теперь On-Premise сервер зарегистрирован в SSM и виден в консоли SSM

Автоматизировать можно через
- bootstrap скрипт в On-Premise сервере
- плюс API Gateway и Lambda

В консоли SSM
- EC2 instances имеют префикс i-
- Hybrid Managed Nodes имеют префикс mi-

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

IoT Greengrass девайсы
Как они связаны с SSM?
Как отличить IoT девайс на SSM консоли?
Что такое Token Exchange Role?
Какие pre-requisites для IoT девайса, чтобы стать SSM managed?

Что даёт SSM для IoT девайсов? Какой use-case?

A

IoT Greengrass девайсы могут регистрироваться в сервисе SSM как Managed Nodes с префиксом mi-

pre-requisites
- SSM Agent установлен
- Девайс имеет Token Exchange Role

Также как и для EC2, для IoT (managed SSM) девайсов доступны
- Patch Manager
- Session Manager
- Run Command
IoT девайсы имеет смысл регистрировать в SSM, чтобы автоматически обновлять им ОС.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

SSM Compliance
Что даёт этот сервис?
Как можно собрать и проанализировать с его данные? Где их можно хранить?

A

SSM Compliance позволяет сканировать свой EC2 fleet на соответствие
- patch compliance (какие патчи в Patch Manager применены)
- configuration inconsistencies (НЕ постоянство связей в State Manager)

  • Данные SSM Compliance можно собрать из РАЗНЫХ РЕГИОНОВ и загрузить S3.
  • После чего проанализировать их через Athena и QuickSight
  • Данные также можно отправить в Security Hub
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

SSM Ops Center
Что даёт этот сервис?
Для каких серверов?
Что такое OpsItem? Как его можно обработать?

A

это сервис, в котором для экономии времени и удобства в одном месте собраны issues из разных AWS сервисов
- Security Issues (Security Hub)
- Performance Issues (DynamoDB throttle)
- Failures (ASG failed launch new instance)

Для EC2 и On-Premise

OpsItem - это issue, которая требует реакции/исправления (remediation)
OpsCenter предоставляет рекомендуемые Runbooks для исправления

How well did you know this?
1
Not at all
2
3
4
5
Perfectly