快速设置主机管理 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

快速设置主机管理

可以使用 AWS Systems Manager 快速设置在 Amazon EC2 实例上快速配置所需的安全角色和常用的 Systems Manager 功能。通过与 AWS Organizations 集成,您可以在单个账户或跨多个账户和区域使用快速设置。这些功能帮助您管理和监控实例的运行状况,同时提供开始使用所需的最低权限。具体来说,快速设置帮助您使用标签在所选实例或目标实例上配置以下组件:

  • 适用于 Systems AWS Identity and Access Management Manager (IAM) 实例配置文件角色。

  • 每两周一次的计划更新 SSM 代理。

  • 每 30 分钟一次的计划清单元数据收集。

  • 每天扫描一次实例以查找缺少的补丁。

  • Amazon CloudWatch 代理的一次性安装和配置。

  • 每月一次的计划 CloudWatch 代理更新。

注意

您无法创建多个针对同一 AWS 区域的快速设置主机管理配置。

组织快速设置在以下 AWS 区域中可用:

  • 美国东部(弗吉尼亚北部)

  • 美国东部(俄亥俄)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈)

  • 亚太地区 (孟买)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太区域(东京)

  • 欧洲(法兰克福)

  • 欧洲(爱尔兰)

  • 欧洲(伦敦)

  • 欧洲(巴黎)

  • 加拿大 (中部)

  • 南美洲(圣保罗)

本地快速设置在所有支持 Systems Manager 的区域中可用。有关受支持区域的列表,请参阅区域中的列Systems Manager 服务终端节点中的Amazon Web Services 一般参考

要访问快速设置,请选择快速设置在 Systems Manager 控制台的导航窗格中。您还可以访问快速设置,方法是选择AWS Systems Manager,然后选择导航窗格顶部的,然后选择使用 Systems 入门,如下图所示。要访问组织快速设置类型(使您能够定位多个帐户和区域),您必须登录到组织的管理帐户。有关 AWS Organizations 入门的信息,请参阅AWS Organizations 入门中的AWS Organizations 用户指南

注意

您可以随时为您的帐户编辑快速设置配置。编辑组织快速设置配置,配置状态必须是成功或者已失败。在编辑快速设置配置之前,我们建议您使用快速设置结果页面了解如何更改配置。有关更多信息,请参阅 使用快速设置结果

权限角色

默认情况下,Systems Manager 没有权限与您的实例通信或在您的实例上执行操作。您必须使用 AWS Identity and Access Management (IAM) 实例配置文件和 IAM 服务角色(或假定角色)。实例配置文件是一个容器,可在启动时将 IAM 角色信息传递给 EC2 实例。服务角色允许 Systems Manager 在您的实例上运行命令。有关实例配置文件的更多信息,请参阅使用实例配置文件中的IAM 用户指南。有关服务角色的更多信息,请参阅创建角色以向 AWS 服务委派权限

注意

快速设置不会覆盖在您的实例上已存在的实例配置文件。

有关默认实例配置文件的详细信息

实例配置文件角色部分,如果选择使用默认角色,然后快速设置创建一个新的 IAM 实例配置文件,该配置文件使用AmazonSSMManagedInstanceCore政策和一个额外的政策。这些区域有:AmazonSSMManagedInstanceCore策略允许 Systems Manager 在您的实例上执行以下操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*" } ] }
注意

有关 ssmmessages*ec2messages* 操作的信息,请参阅参考:ec2messages、ssmmessages 和其他 API 调用

快速设置还会将以下策略添加到实例配置文件中。该策略允许云中的 Systems Manager 服务与 Amazon EC2 实例之间进行受信任的通信。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ec2.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

有关服务角色的详细信息

Systems Manager 服务角色部分,如果选择使用默认角色,快速设置会创建一个包含以下策略的新 IAM 服务角色。第一个策略允许 Systems Manager 在您的实例上执行以下操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:PassRole", "ec2:DescribeIamInstanceProfileAssociations", "iam:GetInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:AssociateIamInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "*" } ] }

以下策略允许 Systems Manager 代表您执行上一个策略中的操作。Systems Manager 担任您的角色来执行这些操作。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
注意

使用 Systems Manager 的实例配置实例并不会为用户授予访问权限,用于在该实例上运行命令或使用 Systems Manager 功能。您的 IAM 用户、组或角色必须使用单独的权限策略配置您的 IAM 用户、组或角色,以便您可以使用 Systems Manager 在实例上执行操作。有关更多信息,请参阅 设置 AWS Systems Manager

更新 Systems Manager (SSM) 代理

SSM 代理是一个 Amazon 软件,它处理来自 AWS 云中的 Systems Manager 服务的请求,然后按照请求中指定的方式在您的实例上运行它们。默认情况下,SSM 代理在以下 Amazon 系统映像 (AMI) 上预装了:

  • Amazon Linux

  • Amazon Linux 2

  • Amazon Linux 2 ECE 优化 AMIs

  • macOS 10.14.x (莫哈韦) 和 10.15.x (卡塔利娜)

  • Ubuntu Services

  • Windows Server 二零一六年十一月或之后发布的 2008-2012 R2 AMI

  • Windows Server 2016 和 2019

注意

SSM 代理未安装在所有 AMIs 基于 Amazon Linux 或 Amazon Linux 2。例如,在基于亚马逊 Linux 2 的 EKS 优化 AMI 上未预安装 SSM 代理。

如果启用该选项,Systems Manager 每两周自动检查一次新版本的代理。如果具有新版本,Systems Manager 会自动将实例上的代理更新为最新发行的版本。我们建议您选择该选项,以确保您的实例始终运行最新版本的 SSM 代理。有关 SSM 代理的详细信息(包括有关如何手动安装该代理的信息),请参阅使用 SSM 代理

从您的实例中收集清单

AWS Systems Manager Inventory 提供对您的计算环境的可见性。您可以使用 Inventory 从托管实例中收集元数据。您可以将该元数据存储在 Amazon Simple Storage Service (Amazon S3) 存储桶中。然后,使用内置工具查询数据并快速确定哪些实例正在运行软件和软件策略所需的配置,以及需要更新哪些实例。快速设置配置以下类型的元数据收集:

  • AWS 组件:EC2 驱动程序、代理和版本等。

  • 应用程序:应用程序名称、发布者和版本等。

  • 实例详细信息:系统名称、操作系统 (OS) 名称、操作系统版本、上次引导时间、DNS、域、工作组和操作系统架构等。

  • 网络配置:IP 地址、MAC 地址、DNS、网关和子网掩码等。

  • 服务:名称、显示名称、状态、相关服务、服务类型、启动类型等(Windows Server 实例)。

  • Windows 角色:名称、显示名称、路径、功能类型和安装状态等(Windows Server 实例)。

  • Windows 更新:补丁 ID、安装者和安装日期等 (Windows Server 实例)。

您可以配置 Systems Manager Inventory 以从实例中收集以下其他类型的元数据。有关更多信息,请参阅 AWS Systems Manager 清单

  • 自定义清单:按照中所述分配给托管实例的元数据使用自定义清单

  • 文件:名称、大小、版本、安装日期、修改时间和上次访问时间等。

  • 标签:分配给您的实例的标签。

  • Windows 注册表:注册表项路径、值名称、值类型和值。

重要

全局清单配置是通过清单页面上的一键式配置选项创建的,针对的是您 AWS 账户中的所有实例。如果已在您的实例上启用全局清单配置,在快速设置中启用清单收集将会创建另一个计划,以收集指定实例或目标实例的清单数据。不会发生冲突。不过,如果您已在某些实例上启用非全局清单配置,以前创建的配置将失败。清单收集不支持每个实例具有多个特定的配置。要解决该问题,请部署全局清单配置或删除冲突配置。

每天扫描实例以查找缺少的补丁

如果在快速设置中启用该选项,Systems Manager 会使用 Patch Manager 每天扫描您的实例,并在合规性页. 该报告根据默认补丁基准显示有多少实例符合补丁要求。该报告包含一份每个实例及其合规性状态的列表。您可以浏览该列表以查看有关不合规实例的详细信息。有关修补操作和补丁基准的更多信息,请参阅AWS Systems Manager 补丁管理器。要查看合规性信息,请参阅 Systems Manager合规性页.

安装和配置 CloudWatch 代理

Amazon CloudWatch 提供数据和切实可行的见解以监控您的应用程序,了解和响应系统范围的性能变化,优化资源利用率,并提供统一的运行状况视图。CloudWatch 代理从您的实例中收集指标和日志文件,并合并这些信息,以便您可以快速确定实例的运行状况。有关更多信息,请参阅 。使用 CloudWatch 代理从 EC2 实例和本地服务器中收集指标和日志。可能会增加成本。有关更多信息,请参阅 Amazon CloudWatch 定价

每四周更新一次 CloudWatch 代理

如果启用该选项,Systems Manager 每四周自动检查一次新版本的 CloudWatch 代理。如果具有新版本,Systems Manager 会自动将实例上的代理更新为最新发行的版本。我们建议您选择该选项,以确保您的实例始终运行最新版本的 CloudWatch 代理。

选择快速设置目标

在选择快速设置选项后,请在 Targets (目标) 部分中选择要使用这些选项配置的实例。快速设置包含以下用于定位实例的选项。

Local

  • 选择当前 AWS 账户和区域中的所有实例:快速设置将找到配置选项并将其应用于当前 AWS 账户和区域中的所有实例。

  • 指定实例标签:快速设置使用您指定的标签键和(可选)标签值来查找实例。

  • 手动选择实例:快速设置可您从列表中选择一个或多个实例。

  • 删除资源组:使用快速设置,您可以选择包含要定位的资源的资源组。

Organization

  • 目标组织单元 (OU):可以使用快速设置帮助您将多个 AWS Orventory 组织单位 (OU) 设为目标。快速设置将您的配置应用于 OU 中的所有帐户。

  • 目标区域:使用快速设置,您可以选择要在目标组织单元 (OU)

注意

在使用组织快速设置。账户中的所有实例目标组织单元 (OU)目标区域由快速设置配置。快速设置还将您的配置应用于您在目标组织单元 (OU)目标区域。您最多可以指定 2000 个目标组织快速设置。中的目标组织快速设置等同于 AWS CloudFormation 堆栈实例。这意味着目标是对区域内的账户中的堆栈的引用。您可以通过将帐户数乘以指定的区域数来获得目标总数。有关 AWS CloudFormation 堆栈实例的更多信息,请参阅堆栈实例中的AWS CloudFormation 用户指南

使用快速设置结果

Systems Manager 将为您选择的每个选项在单独的卡中显示快速设置结果。


                    AWS 快速设置结果。

对于您选择的每个选项,Systems Manager 会创建并立即运行状态 Manager 关联。这些区域有:配置状态字段显示成功当关联成功运行在全部选定或目标实例。如果某个关联无法运行,则配置状态失败。如果关联正在处理,则配置状态待处理。更新配置状态对于 来说为Pending项目,请刷新您的浏览器。

注意

即使您仅选择几个实例,清单收集选项也可能需要长达 10 分钟才能完成。

A配置状态未配置表示您没有在快速设置中选择相应的选项。如果在托管实例中看到该状态,则表示您没有在角色选择列表中选择角色。您可以按照本主题中所述再次运行快速设置,然后选择一个角色。

要编辑快速设置选项的关联,请在选项卡中选择编辑按钮。如果编辑关联,不要选择不同的 SSM 文档编辑关联页. 如果选择另一个 SSM 文档,该选项将在快速设置中不可用。请仅更改关联的参数和目标。当您保存对关联的更改时,State Manager 自动运行关联。

要查看快速设置的合规性数据,请选择在浏览器中查看符合性摘要按钮。这将打开 AWS Systems Manager 资源管理器控制面板。有关资源管理器的更多信息,请参阅AWS Systems Manager 资源器

在登录 AWS Organizations 组织的管理账户时查看快速设置结果时,您会看到组织快速设置组织选项卡。此视图显示应用的配置,允许您过滤结果,显示部署关联状态,并允许您在快速设置部署卡。

部署状态是指目标或堆栈实例的状态。换句话说,此状态指示 AWS CloudFormation 是否成功部署了您的配置选项。部署状态不会评估在快速设置中创建的关联的状态。

关联状态是指快速设置在目标或堆栈实例中创建的所有关联的状态。必须成功运行所有关联,否则目标的状态为已失败

对快速设置结果进行故障排除

如果快速设置卡显示未配置,您可能在快速设置页面上未选择相应的选项。作为解决该问题的第一步,请选择快速设置结果页面顶部的全部编辑按钮,然后查看您选择的内容。如果未选择一个或多个选项,您可以选择这些选项,然后选择Reset配置这些选项。

如果在一个或多个快速设置结果卡中仍看到问题,请使用以下过程解决该问题。

注意

要调查已失败的关联组织快速安装,您必须使用失败的关联登录到帐户,并使用以下步骤。这些区域有:关联 ID查看来自管理帐户的结果时,不是指向目标帐户的超链接。

对失败的快速设置配置进行故障排除

  1. 在 “快速设置” 结果页面中,选择查看详细信息在卡片中带有配置状态已失败

    
                            在快速设置卡中选择“查看详细信息”按钮
  2. 关联 ID 页面中,选择执行历史记录选项卡。

  3. 执行 ID 下面,选择失败的关联执行。

    
                            选择关联执行 ID
  4. 关联执行目标页面列出运行关联的所有实例。为无法运行的执行选择输出按钮。

    
                            为无法运行的关联执行选择“输出”按钮
  5. 输出页面中,选择步骤 - 输出以在命令执行中查看该步骤的错误消息。每个步骤可能会显示不同的错误消息。请查看所有步骤的错误消息以帮助解决问题。

如果查看步骤输出并不能解决问题,您可以重新创建关联以查看问题是否仍然存在。要重新创建关联,必须先删除快速设置选项已存在的所有关联。您可以使用快速设置结果卡中的删除按钮删除关联。您也可以选择以下方式删除关联:状态管理器在导航窗格中。在删除关联后,再次运行快速设置以查看问题是否仍然存在。

再次运行快速设置

您可以选择快速设置结果页面上的全部编辑按钮以再次运行快速设置。您可以选择或清除选项。如果清除选项,Systems Manager 不会删除关联。例如,如果您以前选择了 Collect inventory from your instances every 30 minutes (每 30 分钟从实例中收集一次清单) 选项,并在再次运行快速设置时清除该选项,则原来的关联仍然存在。您必须从快速设置结果页面或 State Manager 页面中删除关联。

重要

如果要在新实例上运行快速设置,我们建议您选择新实例,并且还要选择以前运行了快速设置的所有实例。通过选择以前运行了快速设置的所有实例,您可以为所有实例同步关联执行。这会同步状态和合规性报告。我们还建议您使用标签指定目标实例。具有指定标签的新实例将自动添加到快速设置关联中。这意味着,它们自动在快速设置结果和合规性页面中显示状态。