AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 1:满足 Session Manager 先决条件

在使用 Session Manager 之前,请确保环境满足以下要求。

Session Manager 先决条件

要求 描述

支持的操作系统

AWS Session Manager 支持以下操作系统版本:

注意

Session Manager 支持 Amazon EC2 实例,以及混合环境中使用 advanced-instances 层的服务器或虚拟机 (VM)。有关高级实例的更多信息,请参阅(可选)启用 Advanced-Instances 层

Linux

Session Manager 为 AWS Systems Manager 支持的所有 Linux 版本提供完整的支持。有关信息,请参阅 Systems Manager 先决条件

Windows

Session Manager 支持 Windows Server 2008 R2 至 Windows Server 2016。

注意

Microsoft Windows Server 2016 Nano 不受支持。

SSM 代理

必须在要通过会话连接的实例上安装 2.3.68.0 版本或更高版本的 SSM 代理。要使用此选项使用在 AWS Key Management Service (AWS KMS) 中创建的客户主密钥 (CMK) 加密会话数据,必须安装 SSM 代理 的版本 2.3.539.0 或更高版本。

要安装或更新 SSM 代理,请参阅使用 SSM 代理

关于 ssm-user 账户

从 SSM 代理 的版本 2.3.50.0 开始,代理在实例上创建用户账户,此账户具有根或管理员权限,称为 ssm-user。(在 2.3.612.0 之前的版本上,账户在 SSM 代理 启动或重启时创建。在 2.3.612.0 及更高版本上,ssm-user 将在会话在实例上首次启动时创建。) 系统使用此用户账户的管理凭证启动会话。有关限制此账户管理控制权限的信息,请参阅步骤 6:(可选)禁用或启用 ssm-user 账户管理权限

Windows Server 域控制器上的 ssm-user

从 SSM 代理 版本 2.3.612.0 开始,ssm-user 账户不会在用作 Windows Server 域控制器的托管实例上自动创建。要在用作域控制器的 Windows Server 计算机上使用 Session Manager,您必须手动创建 ssm-user 账户(如果没有)。在 Windows Server 上,每次会话启动时,SSM 代理 都会为 ssm-user 账户设置新密码,因此您无需在创建账户时指定密码。

AWS CLI

(可选)如果使用 AWS CLI(而不是使用 AWS Systems Manager 控制台)启动会话,则必须在本地计算机上安装 1.16.12 版本或更高版本的 CLI。

您可调用 aws --version 来查看版本。

如果需要安装或升级 CLI,请参阅AWS Command Line Interface User Guide中的安装 AWS Command Line Interface

重要

SSM 代理 的更新版本在有新功能添加到 Systems Manager 或者对现有功能进行了更新时发布。如果较早版本的代理运行在实例上,一些 SSM 代理 过程会失败。因此,我们建议您自动完成确保实例上的 SSM 代理 为最新的过程。有关信息,请参阅 自动更新到 SSM 代理。要获得有关 SSM 代理 更新的通知,请在 GitHub 上订阅 SSM 代理发布说明页面

此外,要使用 CLI 通过 Session Manager 管理实例,必须先在本地计算机上安装 Session Manager plugin。有关信息,请参阅 (可选)为 AWS CLI 安装 Session Manager Plugin