快速设置 主机管理 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

快速设置 主机管理

使用 AWS Systems Manager 快速设置 快速配置所需的安全角色和 Systems Manager 实例上常用的 Amazon EC2 功能。您可以通过与 快速设置 集成,在单个账户中或跨多个账户和区域使用 AWS Organizations。这些功能帮助您管理和监控实例的运行状况,同时提供开始使用所需的最低权限。具体来说,快速设置 帮助您使用标签在所选实例或目标实例上配置以下组件:

  • 适用于 Systems Manager 的 AWS Identity and Access Management (IAM) 实例配置文件角色。

  • 每两周一次的计划 SSM 代理 更新。

  • 每 30 分钟一次的计划清单元数据收集。

  • 每天扫描一次实例以查找缺少的补丁。

  • 一次性的 Amazon CloudWatch 代理安装和配置。

  • 每月一次的计划 CloudWatch 代理更新。

注意

如果您的 Organization (组织) 快速设置 目标为之前运行了 Local (本地) 快速设置 的账户,则不会更改现有配置。当您运行 状态管理器Organization (组织) 时,将创建一个新的 关联集。快速设置这意味着,您可以有其配置选项和计划重叠的关联。

Organization 快速设置 在以下 AWS 区域中可用:

  • 美国东部(弗吉尼亚北部)

  • 美国东部(俄亥俄)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈)

  • 亚太地区 (孟买)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太区域(东京)

  • 欧洲(法兰克福)

  • 欧洲(爱尔兰)

  • 欧洲(伦敦)

  • 欧洲(巴黎)

  • 加拿大 (中部)

  • 南美洲(圣保罗)

Local 快速设置 在支持 Systems Manager 的所有区域中可用。有关受支持区域的列表,请参阅中的区域Amazon Web Services 一般参考 中的 Systems Manager 服务终端节点列。

要访问 快速设置,请在 控制台的导航窗格中选择 快速设置Systems Manager。您还可以通过选择导航窗格顶部的 快速设置AWS Systems Manager,然后选择 Get Started with (开始使用 Amazon S3)Systems Manager 来访问 ,如下图所示。要访问 Organization (组织) 快速设置 类型(这使您能够将多个账户和区域设为目标),您必须登录到组织的 管理账户。有关如何开始使用 AWS Organizations 的信息,请参阅 中的 AWS Organizations 入门。AWS Organizations 用户指南


                访问 AWS 快速设置
注意

您可以随时编辑您的账户的 快速设置 配置。要编辑 Organization (组织) 快速设置 配置,Configuration status (配置状态) 必须为 Success (成功)Failed (失败)。在编辑 快速设置 配置之前,我们建议您了解如何使用 快速设置 结果页面更改配置。有关更多信息,请参阅使用 快速设置 结果

权限角色

默认情况下,Systems Manager 没有权限与您的实例通信或在您的实例上执行操作。您必须使用 AWS Identity and Access Management (IAM) 实例配置文件和 IAM 服务角色(或担任角色)授予访问权限。实例配置文件是一个容器,可在启动时将 IAM 角色信息传递给 EC2 实例。服务角色允许 Systems Manager 在您的实例上运行命令。有关实例配置文件的更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html 中的使用实例配置文件IAM 用户指南。有关服务角色的更多信息,请参阅创建角色以向 AWS 服务委派权限

您可以选择通过选择 快速设置Use the default role (使用默认角色),让 为您创建和配置这些角色。如果选择现有的角色,则该角色必须包含至少具有本主题中所述权限的 IAM 策略。如果您选择现有角色,但它们没有这些权限,则 快速设置 可能无法配置一个或多个选定组件,或者这些组件可能无法正常运行。

注意

快速设置 不会覆盖实例上已存在的实例配置文件。

有关默认实例配置文件的详细信息

Instance profile role (实例配置文件角色) 部分中,如果您选择 Use the default role (使用默认角色),则 快速设置 将创建一个新的 IAM 实例配置文件,该配置文件使用 AmazonSSMManagedInstanceCore 策略和一个附加策略。 策略允许 AmazonSSMManagedInstanceCore 在您的实例上执行以下操作。Systems Manager

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*" } ] }
注意

有关 ssmmessages*ec2messages* 操作的信息,请参阅参考:ec2messages、ssmmessages 和其他 API 调用

快速设置 还会将以下策略添加到实例配置文件中。该策略允许云中的 Systems Manager 服务与您的 Amazon EC2 实例之间进行受信任的通信。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ec2.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

有关服务角色的详细信息

Systems Manager service role (AWS 服务角色) 部分中,如果您选择 Use the default role (使用默认角色),快速设置 将创建一个新的 IAM 服务角色,其中包含以下策略。第一个策略允许 Systems Manager 在您的实例上执行以下操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:PassRole", "ec2:DescribeIamInstanceProfileAssociations", "iam:GetInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:AssociateIamInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "*" } ] }

以下策略允许 Systems Manager 代表您执行上一个策略中的操作。Systems Manager 担任您的角色以执行这些操作。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
注意

使用实例配置文件为 Systems Manager 配置实例并不会为用户授予访问权限,用于在该实例上运行命令或使用 Systems Manager 功能。必须为您的 IAM 用户、组或角色配置单独的权限策略,以便您可以使用 Systems Manager 在实例上执行操作。有关更多信息,请参阅设置 AWS Systems Manager

更新 Systems Manager (SSM) 代理

SSM 代理 是一个 Amazon 软件,它处理来自 AWS 云中的 Systems Manager 服务的请求,然后按照请求中指定的方式在您的实例上运行它们。默认情况下,在以下 Amazon 系统映像 (AMI) 上预装了 SSM 代理:

  • Amazon Linux

  • Amazon Linux 2

  • Amazon Linux 2 经 ECS 优化的 AMIs

  • macOS 10.14.x (Mojave) 和 10.15.x (Catalina)

  • Ubuntu Server 16.04、18.04 和 20.04

  • 2016 年 11 月或以后发布的 Windows Server 2008-2012 R2 AMI

  • Windows Server 2016 和 2019

注意

SSM 代理 未安装在基于 Amazon Linux 或 Amazon Linux 2 的所有 AMIs 上。例如,SSM 代理 未预安装在基于 Amazon Linux 2 的经 EKS 优化的 AMI 上。

如果启用该选项,Systems Manager 每两周自动检查一次新版本的代理。如果存在新版本,Systems Manager 自动将实例上的代理更新为最新发行的版本。我们建议您选择该选项,以确保您的实例始终运行最新版本的 SSM 代理。有关 SSM 代理 的更多信息(包括有关如何手动安装该代理的信息),请参阅使用 SSM 代理

从您的实例中收集清单

可以通过 AWS Systems Manager Inventory 了解您的计算环境。您可以使用 Inventory 从托管实例中收集元数据。您可以将该元数据存储在中央 Amazon Simple Storage Service (Amazon S3) 存储桶中。然后,使用内置工具查询数据并快速确定哪些实例正在运行软件和软件策略所需的配置,以及哪些实例需要更新。快速设置 为以下类型的元数据配置收集:

  • AWS 组件:EC2 驱动程序、代理和版本等。

  • 应用程序:应用程序名称、发布者和版本等。

  • 实例详细信息:系统名称、操作系统 (OS) 名称、操作系统版本、上次启动时间、DNS、域、工作组、操作系统架构等。

  • 网络配置:IP 地址、MAC 地址、DNS、网关、子网掩码等。

  • 服务:名称、显示名称、状态、相关服务、服务类型、启动类型等(仅限 Windows Server 实例)。

  • Windows 角色:名称、显示名称、路径、功能类型、安装状态等(仅限 Windows Server 实例)。

  • Windows 更新:补丁 ID、安装者、安装日期等(仅限 Windows Server 实例)。

您可以配置 Systems Manager Inventory 以从实例中收集以下其他类型的元数据。有关更多信息,请参阅AWS Systems Manager 清单

  • 自定义清单:如使用自定义清单中所述分配给托管实例的元数据。

  • 文件:名称、大小、版本、安装日期、修改时间、上次访问时间等。

  • 标签:分配给您的实例的标签。

  • Windows 注册表:注册表项路径、值名称、值类型和值。

重要

全局清单配置是通过清单页面上的一键式配置选项创建的,针对的是您 AWS 账户中的所有实例。如果已在您的实例上启用全局清单配置,在快速设置中启用清单收集将会创建另一个计划,以收集指定实例或目标实例的清单数据。不会发生冲突。不过,如果您已在某些实例上启用非全局清单配置,以前创建的配置将失败。清单收集不支持每个实例具有多个特定的配置。要解决该问题,请部署全局清单配置或删除冲突配置。

每天扫描实例以查找缺少的补丁

如果您在 快速设置 中启用此选项,则 Systems Manager 会使用 Patch Manager 每天扫描您的实例并在 Compliance (合规性) 页面中生成简单的报告。该报告根据默认补丁基准显示有多少实例符合补丁要求。该报告包含一份每个实例及其合规性状态的列表。您可以浏览该列表以查看有关不合规实例的详细信息。有关修补操作和补丁基准的更多信息,请参阅AWS Systems Manager Patch Manager。要查看合规性信息,请参阅 Systems Manager 合规性页面。

安装和配置 CloudWatch 代理

Amazon CloudWatch 提供数据和切实可行的见解以监控您的应用程序,了解和响应系统范围的性能变化,优化资源利用率,并提供统一的运行状况视图。CloudWatch 代理从您的实例中收集指标和日志文件,并合并这些信息,以便您可以快速确定实例的运行状况。有关更多信息,请参阅使用 CloudWatch 代理从 EC2 实例和本地服务器收集指标和日志。可能会增加成本。有关更多信息,请参阅 Amazon CloudWatch 定价

每四周更新一次 CloudWatch 代理

如果启用该选项,Systems Manager 每四周自动检查一次新版本的 CloudWatch 代理。如果存在新版本,Systems Manager 自动将实例上的代理更新为最新发行的版本。我们建议您选择该选项,以确保您的实例始终运行最新版本的 CloudWatch 代理。

为 快速设置 选择目标

选择 快速设置 选项后,在 Targets (目标) 部分中选择要使用这些选项配置的实例。快速设置 包括针对实例的以下选项。

Local

  • 选择当前 AWS 账户和区域中的所有实例:快速设置 找到配置选项并将其应用于当前 AWS 账户和区域中的所有实例。

  • 指定实例标签:快速设置 使用您指定的标签键和(可选)标签值来查找实例。

  • 手动选择实例:快速设置 允许您从列表中选择一个或多个实例。

  • 选择资源组:快速设置 允许您选择包含要设为目标的资源的资源的资源组。

Organization

  • 目标组织部门 (OU):快速设置 使您可以将多个 AWS Organizations 组织部门 (OU) 设为目标。快速设置 将配置应用于 OU 中的所有账户。

  • 目标区域:快速设置 允许您选择目标组织单位 (OU) 中的目标区域。

注意

使用 Organization (组织) 快速设置 时,您不能将单个实例或标签设为目标。目标组织单位 (OU)目标区域 内账户中的所有实例由 配置。快速设置 还将您的配置应用于快速设置目标组织单位 (OU)目标区域 内的账户中启动的所有新实例。您可以使用 Organization (组织) 快速设置 指定最多 2000 个目标。Organization (组织) 中的目标等于 快速设置 堆栈实例。AWS CloudFormation这意味着,目标是一个对区域内的账户中堆栈的引用。您可以通过将账户数量乘以指定的区域数量来获取目标总数。有关 AWS CloudFormation 堆栈实例的更多信息,请参阅 中的堆栈实例。AWS CloudFormation 用户指南

使用 快速设置 结果

Systems Manager 针对您选择的每个选项在单独的卡中显示 快速设置 的结果。


                    AWS 快速设置 的结果。

对于您选择的每个选项,Systems Manager 创建并立即运行 状态管理器 关联。当关联在所有选定实例或目标实例上成功运行时,配置状态字段将显示成功。如果某个关联无法运行,则配置状态失败。如果关联正在处理,则配置状态待处理。要更新 Pending (待处理) 项目的 Configuration status (配置状态),请刷新浏览器。

注意

即使您仅选择几个实例,清单收集选项也可能需要长达 10 分钟才能完成。

Configuration status (配置状态)Not configured (未配置) 意味着您未在 中选择该选项。快速设置如果在托管实例中看到该状态,则表示您没有在角色选择列表中选择角色。您可以按照本主题中的说明再次运行 快速设置,然后选择一个角色。

要编辑 快速设置 选项的关联,请选择选项卡中的 Edit (编辑) 按钮。如果您编辑关联,请勿Edit Association 页面中选择其他 SSM 文档。如果您选择其他 SSM 文档,则选项在 快速设置 中不可用。请仅更改关联的参数和目标。在保存对关联的更改时,状态管理器 自动运行关联。

要查看快速设置的合规性数据,请选择 View compliance summary in Explorer (在资源管理器中查看合规性摘要) 按钮。这将打开 AWS Systems Manager Explorer 控制面板。有关 Explorer 的更多信息,请参阅 AWS Systems Manager Explorer

在登录到 快速设置 组织的 管理账户 时查看 AWS Organizations 结果时,您将在 Organization (组织) 选项卡中看到 快速设置Organization (组织) 的结果摘要。此视图显示您的 已应用配置快速设置,允许您筛选结果,显示目标的部署关联状态,并使您能够在 快速设置 部署卡中查看各个目标的更多详细信息。

部署状态 是指目标或堆栈实例的状态。换句话说,此状态指示 AWS CloudFormation 是否成功部署了您的配置选项。 部署状态不会评估在快速设置中创建的关联的状态。

关联状态 是指 快速设置 在目标或堆栈实例中创建的所有关联的状态。所有关联都必须成功运行,否则目标的状态为 Failed (失败)

对 快速设置 结果进行故障排除

如果 快速设置 卡显示 Not configured (未配置),您可能在 快速设置 页面上缺少了选项。作为解决此问题的第一步,请选择 结果页面顶部的 Edit all (全部编辑)快速设置 按钮,然后查看您的选择。如果您错过了一个或多个选项,则可以选择这些选项,然后选择 Reset (重置) 来配置这些选项。

如果一个或多个 快速设置 结果卡仍出现问题,请使用以下过程排查该问题。

注意

要调查 Organization (组织)Failed (失败) 关联,您必须使用失败的关联登录账户,并使用以下过程。快速设置从 查看结果时,Association ID (关联 ID)管理账户 不是指向目标账户的超链接。

对失败的 快速设置 配置进行故障排除

  1. 在 快速设置 结果页面中,选择 Configuration status (配置状态)Failed (失败) 的卡中的 View Details (查看详细信息)

    
                            在 快速设置 卡中选择“View Details (查看详细信息)”按钮
  2. 关联 ID 页面中,选择执行历史记录选项卡。

  3. 执行 ID 下面,选择失败的关联执行。

    
                            选择关联执行 ID
  4. 关联执行目标页面列出运行关联的所有实例。为无法运行的执行选择输出按钮。

    
                            为无法运行的关联执行选择“输出”按钮
  5. 输出页面中,选择步骤 - 输出以在命令执行中查看该步骤的错误消息。每个步骤可能会显示不同的错误消息。请查看所有步骤的错误消息以帮助解决问题。

    
                            为无法运行的关联执行选择“步骤输出”

如果查看步骤输出无法解决问题,您可以重新创建关联以查看问题是否仍然存在。要重新创建关联,您必须先删除 快速设置 选项已存在的所有关联。您可以使用 结果卡中的 Delete (删除)快速设置 按钮删除关联。也可以在导航窗格中选择 状态管理器 以删除关联。删除关联后,请再次运行 快速设置 以查看问题是否仍然存在。

再次运行快速设置

您可以通过选择 快速设置 结果页面上的 Edit all (全部编辑) 按钮来再次运行 快速设置。您可以选择或清除选项。如果清除选项,Systems Manager 不会删除关联。例如,如果您以前选择了 Collect inventory from your instances every 30 minutes (每 30 分钟从实例中收集一次清单) 选项,并在再次运行 快速设置 时清除该选项,则原始关联仍然存在。您必须从 快速设置 结果页面或 State Manager 页面中删除关联。

重要

如果要在新实例上运行 快速设置,我们建议您选择新实例,同时选择以前运行了快速设置的所有实例。通过选择以前运行了 快速设置 的所有实例,您可以同步所有实例的关联执行。这会同步状态和合规性报告。我们还建议您使用标签指定目标实例。具有指定标签的新实例将自动添加到 快速设置 关联中。这意味着它们会自动在 快速设置 结果和 Compliance (合规性) 页面中显示状态。