AWS Systems Manager
Servicio que centraliza la gestión operativa de instancias EC2 y servidores on-premises, permitiendo aplicar parches, ejecutar comandos, gestionar parámetros y conectarse por sesión sin SSH
Descripción general
AWS Systems Manager (SSM) es un conjunto de servicios que integra la gestión operativa de recursos AWS y servidores on-premises. Para instancias con SSM Agent instalado, proporciona acceso shell sin abrir puertos SSH (Session Manager), ejecución remota de comandos (Run Command), aplicación automática de parches del SO (Patch Manager), recopilación de inventario de software (Inventory) y almacenamiento seguro de parámetros de configuración (Parameter Store). Parameter Store gestiona centralmente valores de configuración y cadenas de conexión, con cifrado KMS aplicado al tipo SecureString. Tiene una generosa capa gratuita, con parámetros estándar de Parameter Store gratuitos hasta 10,000.
Session Manager y acceso seguro sin SSH
Session Manager proporciona acceso shell interactivo a instancias EC2 y servidores on-premises sin necesidad de abrir puertos SSH/RDP, gestionar claves SSH o configurar bastiones. La conexión se establece a través del SSM Agent usando el canal de datos de Systems Manager, cifrado con TLS. Todas las sesiones se registran en CloudTrail y opcionalmente se pueden enviar los logs completos de la sesión a S3 o CloudWatch Logs para auditoría. Los permisos de acceso se controlan mediante políticas IAM, permitiendo control granular sobre quién puede iniciar sesiones en qué instancias. Port forwarding permite acceder a puertos de la instancia (bases de datos, aplicaciones web) a través del túnel de Session Manager sin exponer puertos públicamente. Para entornos regulados, se puede forzar el uso exclusivo de Session Manager deshabilitando SSH completamente en los grupos de seguridad.
Patch Manager y automatización de mantenimiento
Patch Manager automatiza el proceso de aplicar parches de seguridad y actualizaciones del sistema operativo a flotas de instancias. Las líneas base de parches definen qué parches aprobar automáticamente según clasificación (crítico, importante), producto y días desde la publicación. Las ventanas de mantenimiento programan la aplicación de parches durante períodos de bajo tráfico, y los grupos de parches organizan instancias por entorno (desarrollo, producción) para aplicar diferentes líneas base. El flujo típico es: escanear para identificar parches faltantes, revisar el informe de cumplimiento, y aplicar parches aprobados durante la ventana de mantenimiento. La integración con AWS Organizations permite gestionar líneas base de parches centralmente y aplicarlas a todas las cuentas de la organización.
Parameter Store y gestión de configuración
Parameter Store proporciona almacenamiento jerárquico seguro para datos de configuración y secretos. Los parámetros se organizan en jerarquías con rutas (por ejemplo, /app/prod/db/connection-string) y soportan tres tipos: String, StringList y SecureString (cifrado con KMS). Las aplicaciones recuperan parámetros en tiempo de ejecución mediante la API de SSM, eliminando la necesidad de hardcodear configuraciones. La integración con CloudFormation permite referenciar parámetros en plantillas, y la integración con ECS/Lambda permite inyectar parámetros como variables de entorno. Las políticas de parámetros avanzados incluyen notificaciones de expiración y versionado con historial de cambios. Para secretos que requieren rotación automática, Secrets Manager es la alternativa recomendada, mientras que Parameter Store es ideal para configuraciones generales y valores que no requieren rotación.