步骤 1:满足 Session Manager 先决条件 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

步骤 1:满足 Session Manager 先决条件

在使用 Session Manager 之前,请确保环境满足以下要求。

Session Manager先决条件
要求 说明

支持的操作系统

除了混合环境中使用高级实例套餐的服务器或虚拟机 (VM) 之外,Session Manager 还支持连接到 Amazon Elastic Compute Cloud (Amazon EC2) 实例。

Session Manager 支持以下操作系统版本:

注意

Session Manager 支持混合环境中使用高级实例套餐的 EC2 实例、边缘设备、本地服务器和虚拟机 (VM)。有关高级实例的更多信息,请参阅 打开高级实例套餐

Linux

Session Manager 支持 Amazon Systems Manager 所支持的所有 Linux 版本。有关信息,请参阅 Systems Manager 的先决条件

macOS

Session Manager 支持 Amazon Systems Manager 所支持的所有 macOS 版本。有关信息,请参阅 Systems Manager 的先决条件

Windows

Session Manager 支持 Windows Server 2012 至 Windows Server 2019。

注意

不支持 Microsoft Windows Server 2016 Nano。

SSM Agent

至少应在要通过会话连接的托管式节点上安装 2.3.68.0 版本或更高版本的 Amazon Systems Manager SSM Agent。

要通过该选项以使用在 Amazon Key Management Service (Amazon KMS) 中创建的密钥加密会话数据,必须在托管式节点上安装 2.3.539.0 版本或更高版本的 SSM Agent。

要在会话中使用 Shell 配置文件,必须在托管式节点上安装 SSM Agent 3.0.161.0 版本或更高版本。

要开启 Session Manager 端口转发或 SSH 会话,必须在托管式节点上安装 SSM Agent 3.0.222.0 版本或更高版本。

要使用 Amazon CloudWatch Logs 流式传输会话数据,必须在托管式节点上安装 SSM Agent 3.0.284.0 版本或更高版本。

有关如何确定实例上运行的版本号的信息,请参阅 正在检查 SSM Agent 版本号。有关手动安装或自动更新 SSM Agent 的信息,请参阅 使用 SSM Agent

关于 ssm-user 账户

从 SSM Agent 的版本 2.3.50.0 开始,代理在托管式节点上创建名为 ssm-user 的用户账户,此账户具有根权限或管理员权限。(在 2.3.612.0 之前的版本上,此账户在 SSM Agent 启动或重新启动时创建。在版本 2.3.612.0 及更高版本上,ssm-user 在托管式节点上首次启动会话时创建。) 系统使用此用户账户的管理凭证启动会话。有关限制此账户的管理控制权限的信息,请参阅关闭或打开 ssm-user 账户管理权限

Windows Server 域控制器上的 ssm-user

从 SSM Agent 版本 2.3.612.0 开始,ssm-user 账户不会在用作 Windows Server 域控制器的托管式节点上自动创建。要在用作域控制器的 Windows Server 计算机上使用 Session Manager,您必须手动创建 ssm-user 账户(如果此账户尚不存在),并为相关用户分配域管理员权限。在 Windows Server 上,每次会话启动时,SSM Agent 都会为 ssm-user 账户设置新密码,因此您无需在创建账户时指定密码。

连接到端点

您要连接到的托管式节点必须还允许到以下端点的 HTTPS(端口 443)出站流量:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

或者,您可以使用接口端点连接到所需端点。有关更多信息,请参阅步骤 6:(可选)使用 Amazon PrivateLink 为 Session Manager 设置 VPC 端点

Amazon CLI

(可选)如果使用 Amazon Command Line Interface (Amazon CLI)(而不是使用 Amazon Systems Manager 控制台或 Amazon EC2 控制台)启动会话,则必须在本地计算机上安装 1.16.12 版本或更高版本的 CLI。

您可调用 aws --version 来查看版本。

如果您需要安装或升级 CLI,请参阅 Amazon Command Line Interface 用户指南中的安装 Amazon Command Line Interface

重要

当新功能添加到 Systems Manager 或者对现有功能进行了更新时,会发布 SSM Agent 的新版本。如果较早版本的代理正在托管式节点上运行,有些 SSM Agent 过程会失败。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关信息,请参阅 自动更新到 SSM Agent。要获得有关 SSM Agent 更新的通知,请在 GitHub 上订阅 SSM Agent 发布说明页面。

此外,要使用 CLI 通过 Session Manager 管理节点,必须先在本地计算机上安装 Session Manager 插件。有关信息,请参阅 (可选)为 Amazon CLI 安装 Session Manager 插件

启用高级实例套餐(混合环境)

若要使用 Session Manager 连接到本地计算机,必须在您可以在其中创建混合激活以将本地计算机注册为托管式实例的 Amazon Web Services 账户 和 Amazon Web Services 区域 中启用高级实例套餐。有关高级实例套餐的更多信息,请参阅 打开高级实例套餐

验证 IAM 服务角色权限(混合环境)

混合实例使用在混合激活中指定的 Amazon Identity and Access Management (IAM) 服务角色,与 Systems Manager API 操作进行通信。此服务角色必须包含使用 Session Manager 连接到本地计算机所需的权限。如果您的服务角色包含 Amazon 托管式策略 AmazonSSMManagedInstanceCore,则已提供 Session Manager 所需的权限。

如果您发现服务角色不包含所需权限,则必须取消注册托管式实例,然后利用使用具有所需权限的 IAM 服务角色的新混合激活进行注册。有关取消注册托管式实例的更多信息,请参阅 在混合环境中取消注册托管式节点。有关创建包含 Session Manager 权限的 IAM 策略的更多信息,请参阅验证或创建包含 Session Manager 权限的 IAM 角色