AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

Systems Manager 先决条件

AWS Systems Manager 可帮助您大规模配置和管理 Amazon EC2 实例、本地服务器和虚拟机以及其他 AWS 资源。在开始使用 Systems Manager 之前,我们建议您先了解以下 AWS 服务。实际了解这些服务对于成功设置和使用 Systems Manager 至关重要。

  • Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS 云中提供可扩展的计算容量。有关更多信息,请参阅什么是 Amazon EC2? (Linux) 和什么是 Amazon EC2? (Windows).

  • AWS Identity and Access Management (IAM) 是一项 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。有关更多信息,请参阅什么是 IAM?

注意

本部分介绍了为 Systems Manager 设置和配置您的 Amazon EC2 实例和本地服务器或虚拟机的先决条件。本部分使用术语托管实例 来描述为 Systems Manager 配置的 EC2 实例或本地服务器和 VM。

要求 描述

支持的操作系统

托管实例必须运行支持的 Windows 或 Linux 版本。

注意

Patch Manager 功能当前不支持所有以下 操作系统。有关信息,请参阅 Patch Manager 支持的操作系统

Windows

Windows Server 2003 至 Windows Server 2016,包括 R2 版本

Linux 64 位和 32 位系统

  • Amazon Linux 基本 AMI 2014.09、2014.03 或更高版本

  • Ubuntu Server 18.04 LTS、16.04 LTS、14.04 LTS 或 12.04 LTS

  • Red Hat Enterprise Linux (RHEL) 6.5

  • CentOS 6.3 或更高版本

仅限 Linux 32 位系统

  • Raspbian Jessie

  • Raspbian Stretch

仅限 Linux 64 位系统

  • Amazon Linux 2015.09、2015.03 或更高版本

  • Amazon Linux 2

  • Red Hat Enterprise Linux (RHEL) 6.0、7.4 或 7.5

  • CentOS 7.1 或更高版本

  • SUSE Linux Enterprise Server (SLES) 12 或更高版本

支持的区域

Systems Manager 在这些区域中可用

对于混合环境中的服务器和虚拟机,我们建议您选择与您的数据中心或计算环境最接近的区域。

访问 Systems Manager

配置对 Systems Manager 的访问权限需要执行以下操作:

有关 Systems Manager 访问权限的更多信息,请参阅AWS Systems Manager 的身份验证和访问控制

SSM 代理

SSM 代理负责处理 Systems Manager 请求并按照请求中指定的方式配置您的计算机。

Windows

默认情况下,SSM 代理安装在 Windows Server 2016 实例以及通过 2016 年 11 月或之后发布的 Windows Server 2003-2012 R2 AMI 创建的实例上。

2016 年 11 月之前 发布的 Windows AMI 使用 EC2Config 服务处理请求并配置实例。

除非您出于特定原因需要使用 EC2Config 服务或早期版本的 SSM 代理来处理 Systems Manager 请求,否则建议您下载最新版本的 SSM 代理并将其安装到每个 Amazon EC2 实例或托管实例 (混合环境中的服务器和 VM)。有关更多信息,请参阅 在 Windows 实例上安装和配置 SSM 代理

Linux

默认情况下,Amazon Linux、Amazon Linux 2、Ubuntu Server 16.04 和 Ubuntu Server 18.04 LTS 基本 AMI 上安装了 SSM 代理。您必须在其他版本的 EC2 Linux 上手动安装 SSM 代理,包括经 Amazon ECS 优化的 AMI 等非基本映像。有关更多信息,请参阅在 Linux 实例上安装和配置 SSM 代理

本地服务器和 VM

混合环境中服务器和 VM 的 SSM 代理下载和安装过程与用于 Amazon EC2 实例的过程不同。有关更多信息,请参阅 在 Windows 混合环境中的服务器和虚拟机上安装 SSM 代理

注意

GitHub 上可以找到 SSM 代理的源代码,您可以调整代理以满足您的需求。我们鼓励您针对要包含的更改提交提取请求。但是,Amazon Web Services 当前不支持运行此软件的修改后副本。

配置接口 VPC 端点或 Internet 访问

您必须将 Systems Manager 配置为使用接口 Virtual Private Cloud (VPC) 终端节点,或者必须在托管实例上启用出站 Internet 访问。无需入站 Internet 访问。

要增强托管实例的安全状况,我们建议您将 Systems Manager 配置为使用接口 VPC 端点。接口终端节点由 PrivateLink 提供技术支持,该技术让您可以通过使用私有 IP 地址私下访问 Amazon EC2 和 Systems Manager API。PrivateLink 将托管实例、Systems Manager 和 EC2 之间的所有网络流量限制在 Amazon 网络内 (托管实例无法访问 Internet)。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。有关更多信息,请参阅 设置 Systems Manager 的 VPC 端点。有关 PrivateLink 和 VPC 端点的更多信息,请参阅通过 PrivateLink 访问 AWS 服务

Amazon Root 或 Starfield 证书

您的托管实例必须已安装以下传输层安全性 (TLS) 证书之一。

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certificate Authority

AWS 服务使用这些证书来加密对其他 AWS 服务的调用。默认情况下,已在所有 Amazon 系统映像 (AMI) 上安装这些证书之一。对于基本操作系统或您的本地环境中的系统,必须从 Amazon Trust Services 安装并启用其中一个证书。如果您的计算环境中的证书由组策略对象 (GPO) 进行托管,则您可能需要将组策略配置为包含其中一个证书。有关 Amazon Root 和 Starfield 证书的更多信息,请参阅如何准备将 AWS 移动到其自己的证书颁发机构

Windows PowerShell 3.0 或更高版本

SSM 代理需要 Windows PowerShell 3.0 或更高版本才能在 Windows 实例上执行特定 SSM 文档(例如,AWS-ApplyPatchBaseline 文档)。验证您的 Windows 实例是否在 Windows 管理框架 3.0 或更高版本上运行。该框架包括 PowerShell。有关更多信息,请参阅 Windows 管理框架 3.0

配置监控和通知 (可选)

您可以配置 Amazon CloudWatch Events 来记录使用 Systems Manager 发送的命令的状态执行更改。您还可以配置 Amazon Simple Notification Service (Amazon SNS) 来发送有关特定命令状态更改的通知。有关更多信息,请参阅 了解命令状态

Amazon S3 存储桶 (可选)

您可以在 Amazon Simple Storage Service (Amazon S3) 存储桶中存储 Systems Manager 输出。控制台中的输出将在 2500 个字符后被截断。此外,您可能希望创建 Amazon S3 键前缀 (子文件夹) 来帮助您整理输出。有关更多信息,请参阅创建存储桶

有关 Systems Manager 限制的信息,请参阅 AWS Systems Manager 限制