AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Systems Manager 先决条件

AWS Systems Manager 可帮助您大规模配置和管理 Amazon EC2 实例、本地服务器和虚拟机 (VM) 以及其他 AWS 资源。

本节介绍为 Systems Manager 设置和配置 Amazon EC2 实例和本地服务器或虚拟机的先决条件。本节使用术语托管实例 来描述为 Systems Manager 配置的 EC2 实例或本地服务器和 VM。

重要

在开始使用 Systems Manager 之前,我们建议您先了解以下 AWS 服务。实际了解这些服务对于成功设置和使用 Systems Manager 至关重要。

  • Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS 云中提供可扩展的计算容量。有关更多信息,请参阅什么是 Amazon EC2? (Linux) 和什么是 Amazon EC2? (Windows)。

  • AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。有关更多信息,请参阅 IAM User Guide中的什么是 IAM?

操作系统

AWS Systems Manager 支持以下操作系统。

操作系统类型

Windows Server

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
2003 和 2003 R2
2008
2008 R2
2012 和 2012 R2
2016
2019

Linux

Amazon Linux

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
2012.03 – 2018.03

注意

从版本 2015.03 开始,Amazon Linux 仅发布 Intel 64 位 (x86_64) 版本。

Amazon Linux 2

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
2.0 和所有更高版本

Ubuntu Server

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
12.04 LTS 和 14.04 LTS
16.04 LTS 和 18.04 LTS

Red Hat Enterprise Linux (RHEL)

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
6.0
6.5
6.9
7.0
7.4
7.5
7.6

CentOS

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
6.0
6.3 及更高的 6.x 版本
7.1 及更高的 7.x 版本

SUSE Linux Enterprise Server (SLES)

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
12 及更高的 12.x 版本

Raspbian

版本 ARM 32 位 (arm)
Jessie
拉伸

SSM 代理

SSM 代理是一个工具,它负责处理 Systems Manager 请求并按照请求中指定的方式配置计算机。必须在要用于 Systems Manager 的每个实例上安装 SSM 代理。在某些实例类型中,默认情况下会安装 SSM 代理。在其他实例类型中,必须如下表所述手动安装代理。

注意

每当更改 Systems Manager 以及添加新功能时,将更新 SSM 代理。要确保您的实例始终运行最新版本的 SSM 代理,建议您创建将在新版可用时自动更新 SSM 代理的 状态管理器 关联。您也可使用 Run Command 将一个或多个实例快速更新为最新版本。有关更多信息,请参阅自动更新 SSM 代理 (CLI) (状态管理器) 和使用 Run Command 更新 SSM 代理

操作系统类型 说明
Windows

在 Windows Server 2016 和 2019 实例以及通过 2016 年 11 月或之后发布的 Windows Server 2003-2012 R2 AMI 创建的实例上,会默认安装 SSM 代理。

2016 年 11 月之前发布的 Windows AMI 使用 EC2Config 服务处理请求并配置实例。

除非出于特定原因需要使用 EC2Config 服务或早期版本的 SSM 代理来处理 Systems Manager 请求,否则建议下载最新版本 SSM 代理并将其安装到每个 Amazon EC2 实例或托管实例(混合环境中的服务器和虚拟机 (VM))。有关更多信息,请参阅 在 Windows 实例上安装和配置 SSM 代理

Linux 默认情况下,Amazon Linux、Amazon Linux 2、Ubuntu Server 16.04 和 Ubuntu Server 18.04 LTS 基本 EC2 AMI 上都安有 SSM 代理。对于其他版本的 EC2 Linux(包括经 Amazon ECS 优化的 AMI 等非基本映像),您必须手动安装 SSM 代理。有关更多信息,请参阅在 Amazon EC2 Linux 实例上安装和配置 SSM 代理
本地服务器和虚拟机

在要在混合环境中使用的本地服务器和虚拟机中,必须手动安装 SSM 代理。为这些计算机下载和安装 SSM 代理的过程与用于 Amazon EC2 实例的过程不同。有关更多信息,请参阅在 Windows 混合环境中的服务器和虚拟机上安装 SSM 代理

注意

GitHub 上可以找到 SSM 代理的源代码,您可以调整代理以满足自己的需求。我们鼓励您针对要包含的更改提交提取请求。但是,Amazon Web Services 当前不支持运行此软件的修改后副本。

接口 VPC 终端节点或 Internet 访问

为了便于托管实例与 Systems Manager 服务彼此进行通信,您必须执行以下操作之一:

  • 配置 Systems Manager 以使用接口 Virtual Private Cloud (VPC) 终端节点

  • 在托管实例上启用出站 Internet 访问权限

注意

无需启用入站 Internet 访问权限。

要增强托管实例的安全状况,我们建议您将 Systems Manager 配置为使用接口 VPC 端点。接口终端节点由 PrivateLink 提供支持,该技术使您能够通过使用私有 IP 地址私下访问 Amazon EC2 和 Systems Manager API。PrivateLink 将托管实例、Systems Manager 和 EC2 之间的所有网络流量限制在 Amazon 网络内 (托管实例无法访问 Internet)。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。有关更多信息,请参阅 设置 Systems Manager 的 VPC 端点。有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅通过 PrivateLink 访问 AWS 服务

TLS 证书

每个托管实例都必须安装以下传输层安全性 (TLS) 证书之一。

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certificate Authority

AWS 服务使用这些证书来加密对其他 AWS 服务的调用。默认情况下,已在所有 Amazon 系统映像 (AMI) 上安装这些证书之一。对于基本操作系统或您的本地环境中的系统,必须从 Amazon Trust Services 安装并启用其中一个证书。如果您的计算环境中的证书由组策略对象 (GPO) 进行托管,则您可能需要将组策略配置为包含其中一个证书。有关 Amazon Root 和 Starfield 证书的更多信息,请参阅如何准备将 AWS 移动到其自己的证书颁发机构

Systems Manager 访问配置

配置对 Systems Manager 的访问权限需要执行以下操作:

有关 Systems Manager 访问权限的更多信息,请参阅 AWS Systems Manager 的身份验证和访问控制

的 AWS 工具

在 Windows Server 实例中,需要 Windows PowerShell 3.0 或更高版本才能运行特定 SSM 文档(例如,AWS-ApplyPatchBaseline 文档)。验证您的 Windows 实例是否在 Windows 管理框架 3.0 或更高版本上运行。该框架包括 PowerShell。

AWS 区域

AWS Systems Manager 在 AWS General Reference 中的 AWS Systems Manager 支持的区域表中所列的 AWS 区域中可用。在开始 Systems Manager 配置过程之前,建议确保该服务在要使用它的每个 AWS 区域中均可用。

对于混合环境中的服务器和虚拟机,我们建议您选择与您的数据中心或计算环境最接近的区域。

(可选)监控和通知

您可以配置 Amazon CloudWatch Events 来记录使用 Systems Manager 发送的命令的状态执行更改。您还可以配置 Amazon Simple Notification Service (Amazon SNS) 来发送有关特定命令状态更改的通知。监控和通知是可选功能,但如果决定使用其中任何一项,建议在 Systems Manager 配置过程开始时对其进行设置。有关更多信息,请参阅了解命令状态

(可选)Amazon S3 存储桶

Systems Manager 控制台中的命令输出将在 2500 个字符后被截断。为了访问完整输出日志,您可以将 Systems Manager 输出存储在 Amazon Simple Storage Service (Amazon S3) 存储桶中。您还可以创建 Amazon S3 键前缀(子文件夹)来帮助组织日志输出。在 S3 存储桶中保存输出日志数据是可选功能,但如果决定使用该功能,建议在 Systems Manager 配置过程开始时对其进行设置。有关更多信息,请参阅创建存储桶

有关 Systems Manager 限制的信息,请参阅 AWS Systems Manager 限制