Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

设置 Systems Manager

要开始使用 Amazon EC2 Systems Manager,请验证先决条件、配置 AWS Identity and Access Management (IAM) 角色并在托管实例上安装 SSM 代理。

Systems Manager 先决条件

Amazon EC2 Systems Manager 包括下列先决条件。

要求 描述

支持的操作系统 (Windows)

实例必须运行支持的 Windows Server 版本:Windows Server 2003 至 Windows Server 2016,包括 R2 版本。

支持的操作系统 (Linux)

实例必须运行支持的 Linux 版本。

64 位和 32 位系统

  • Amazon Linux 2014.09、2014.03 或更高版本

  • Ubuntu Server 16.0.4 LTS、14.04 LTS 或 12.04 LTS

  • Red Hat Enterprise Linux (RHEL) 6.5 或更高版本

  • CentOS 6.3 或更高版本

仅 64 位系统

  • Amazon Linux 2015.09、2015.03 或更高版本

  • Red Hat Enterprise Linux (RHEL) 7.x 或更高版本

  • CentOS 7.1 或更高版本

  • SUSE Linux Enterprise Server (SLES) 12 或更高版本

支持的区域

Systems Manager 在这些区域中可用

对于混合环境中的服务器和虚拟机,我们建议您选择与您的数据中心或计算环境最接近的区域。

适用于 Systems Manager 的角色

Systems Manager 需要一个针对将处理命令的实例的 IAM 角色和一个针对执行命令的用户的独立角色。两个角色都需要权限策略才能通过 Systems Manager API 进行通信。您可以选择使用 Systems Manager 托管策略或创建自己的角色并指定权限。有关更多信息,请参阅 为 Systems Manager 配置安全角色

如果您要配置本地服务器,或要使用 Systems Manager 配置虚拟机,那么还必须配置 IAM 服务角色。有关更多信息,请参阅 创建 IAM 服务角色

SSM 代理 (EC2 Linux 实例)

SSM 代理负责处理 Systems Manager 请求并按照请求中指定的方式配置您的计算机。您必须下载 SSM 代理并安装到 EC2 Linux 实例中。有关更多信息,请参阅 在 Linux 上安装 SSM 代理

GitHub 上可以找到 SSM 代理的源代码,您可以调整代理以满足您的需求。我们鼓励您针对要包含的更改提交提取请求。但是,Amazon Web Services 当前不支持运行此软件的修改后副本。

SSM 代理 (EC2 Windows 实例)

SSM 代理负责处理 Systems Manager 请求并按照请求中指定的方式配置您的计算机。默认情况下,SSM 代理安装在 Windows Server 2016 实例以及通过 2016 年 11 月或之后发布的 Windows Server 2003-2012 R2 AMI 创建的实例上。

2016 年 11 月之前 发布的 Windows AMI 使用 EC2Config 服务处理请求并配置实例。

除非您出于特定原因需要使用 EC2Config 服务或早期版本的 SSM 代理来处理 Systems Manager 请求,否则建议您下载最新版本的 SSM 代理并将其安装到每个 Amazon EC2 实例或托管实例 (混合环境中的服务器和 VM)。有关更多信息,请参阅 在 Windows 上安装 SSM 代理

SSM 代理 (混合环境)

混合环境中托管实例的 SSM 代理下载和安装过程与 Amazon EC2 实例的不同。有关更多信息,请参阅 在 Windows 混合环境中的服务器和虚拟机上安装 SSM 代理

Internet 访问

验证 EC2 实例是否具有出站 Internet 访问权。无需入站 Internet 访问权。

配置监控和通知 (可选)

您可以配置 Amazon CloudWatch Events 来记录使用 Systems Manager 发送的命令的状态执行更改。您还可以配置 Amazon Simple Notification Service (Amazon SNS) 来发送有关特定命令状态更改的通知。有关更多信息,请参阅 设置事件和通知

Amazon S3 存储桶 (可选)

您可以在 Amazon Simple Storage Service (Amazon S3) 存储桶中存储 System Manager 输出。Amazon EC2 控制台中的输出将在 2500 个字符后被截断。此外,您可能希望创建 Amazon S3 键前缀 (子文件夹) 来帮助您整理输出。有关更多信息,请参阅创建存储桶

有关 Systems Manager 限制的信息,请参阅 Amazon EC2 Systems Manager 限制。要增加限制,请转到 AWS 支持中心并提交限制增加请求表单。

Ec2messages 和未记录的 API 调用

如果您监控 API 调用,将看到以下 API 调用。

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • UpdateInstanceInformation

  • ListInstanceAssociations

  • DescribeInstanceProperties

  • DescribeDocumentParameters

ec2messages:* API 的调用是对 ec2messages 终端节点的调用。Systems Manager 使用此终端节点从 SSM 代理调用云中的 Systems Manager 服务。需要此终端节点发送和接收命令。

UpdateInstanceInformation:SSM 代理每五分钟调用一次云中的 Systems Manager 服务以提供检测信号信息。需要此调用来保持代理的检测信号,以便服务了解代理按照预期工作。

ListInstanceAssociations:代理调用该 API 以了解新 Systems Manager State Manager 关联是否可用。State Manager 需要此 API 才能正常运行。

DescribeInstancePropertiesDescribeDocumentParameters:Systems Manager 调用这些 API 在 Amazon EC2 控制台中呈现特定节点。DescribeInstanceProperties API 在左侧导航中显示托管实例节点。DescribeDocumentParameters API 在左侧导航中显示文档节点。