调整 Systems Manager 设置 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

调整 Systems Manager 设置

设置页面上的选项可启用和配置 Systems Manager 统一控制台中的功能。显示的选项取决于您登录的账户以及您是否已设置 Systems Manager。

注意

设置页面上的选项不会影响 Systems Manager 工具(以前称为功能)。

账户设置设定

如果启用了 Systems Manager,您登录的账户不是 Organizations 的成员,或者委派管理员尚未将您的 Organizations 账户添加到 Systems Manager,则账户设置页面会显示禁用 Systems Manager 的选项。禁用 Systems Manager 意味着 Systems Manager 不会显示统一控制台。所有 Systems Manager 工具仍可运行。

组织设置设定

组织设置选项卡上,主区域部分显示在设置期间选择为主区域的 Amazon Web Services 区域。在使用 Amazon Organizations 的多账户和多区域环境中,Systems Manager 会自动将所有账户和区域的节点数据聚合到主区域。通过这种方式聚合数据,您可以在单个位置跨账户和区域查看节点数据。

注意

如果要更改主区域,则必须禁用 Systems Manager 然后重新启用它。要禁用 Systems Manager,请选择禁用

组织设置部分显示在设置期间选择的 Amazon 组织单位和 Amazon Web Services 区域。要更改哪些组织单位和区域在 Systems Manager 中显示节点数据,请选择编辑。有关设置 Systems Manager for Organizations 的更多信息,请参阅设置 Amazon Systems Manager

功能配置

功能配置部分允许启用和配置可增强整个组织的节点管理的关键 Systems Manager 功能。这些功能协同工作,为托管节点提供自动管理、合规性监控和维护。

您可以在初始 Systems Manager 设置期间配置这些功能,也可以稍后通过“设置”页面修改它们。每个功能都可以根据组织的要求独立启用或禁用。

默认主机管理配置

默认主机管理配置 (DHMC) 会自动将您组织中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例配置为由 Systems Manager 管理。启用后,DHMC 可确保新的和现有 EC2 实例具有与 Systems Manager 服务通信所需的 Amazon Identity and Access Management (IAM) 权限和配置。

DHMC 提供以下好处:

  • 自动 IAM 角色分配 - 确保 EC2 实例具有所需的 IAM 角色和策略以作为托管节点运行

  • 偏差修复 - 当实例丢失其托管节点状态时,自动纠正配置偏差

  • 简化启用过程 - 减少新实例的手动配置步骤

  • 一致配置 - 在 EC2 实例集中保持统一的设置

配置偏差修复频率

当 EC2 实例丢失其托管节点配置时,偏差修复会自动检测并纠正。您可以配置 Systems Manager 检查和修复配置偏差的频率。

配置默认主机管理配置
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 功能配置部分,找到默认主机管理配置

  4. 要启用 DHMC,请启用切换开关。

  5. 对于偏差修复频率,请选择希望 Systems Manager 检查和修复配置偏差的频率:

    • 每天 - 每天检查和修复偏差一次

    • 每周 - 每周检查和修复偏差一次

    • 每月 - 每月检查和修复偏差一次

  6. 选择保存

注意

启用 DHMC 后,Systems Manager 会在您的账户中创建必要的 IAM 角色和策略。这些角色允许 EC2 实例与 Systems Manager 服务通信。有关 DHMC 创建的 IAM 角色的更多信息,请参阅使用 Systems Manager 管理 EC2 实例

清单元数据收集

清单元数据收集会自动收集有关托管节点的详细信息,包括已安装的应用程序、网络配置、系统更新以及其他系统元数据。此信息可帮助您保持合规性、执行安全分析并了解基础设施组成。

清单收集具有以下好处:

  • 合规性监控 - 跟踪已安装的软件和配置以进行合规性报告

  • 安全分析 - 识别过时的软件和潜在安全漏洞

  • 资产管理 - 维护基础设施的最新清单

  • 查询功能 - 通过 Amazon Q 开发者版使用收集的数据进行自然语言查询

收集的清单数据的类型

启用清单元数据收集后,Systems Manager 会从托管节点收集以下类型的信息:

  • 应用程序 - 已安装的软件包和应用程序

  • 网络配置 - 网络接口、IP 地址和网络设置

  • 系统更新 - 已安装的补丁和可用更新

  • 系统属性 - 硬件规格、操作系统详细信息和系统配置

  • 服务 - 正在运行的服务及其配置

配置清单收集频率

您可以配置 Systems Manager 从托管节点收集清单元数据的频率。更频繁的收集可提供更多最新信息,但可能会增加 Amazon 服务的使用量。

配置清单元数据收集
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 功能配置部分,找到清单元数据收集

  4. 要启用清单收集,请启用切换开关。

  5. 对于收集频率,选择希望 Systems Manager 收集清单数据的频率:

    • 每天 - 每天收集清单数据一次

    • 每周 - 每周收集清单数据一次

    • 每月 - 每月收集清单数据一次

  6. 选择保存

重要

清单收集要求托管节点具有收集系统信息所需的权限。确保托管节点具有适当的 IAM 角色和策略。有关所需权限的更多信息,请参阅Amazon Systems Manager 清单

SSM Agent 更新

自动 SSM Agent 更新可确保托管节点运行最新版本的 SSM Agent。保持代理为最新版本可让您访问最新功能、安全改进和错误修复。

SSM Agent 自动更新具有以下好处:

  • 最新功能 - 访问新的 Systems Manager 功能和改进

  • 安全更新 - 自动安装安全补丁和修复程序

  • 提高可靠性 - 错误修复和稳定性改进

  • 减少维护 - 无需手动更新代理

配置自动代理更新

您可以配置 Systems Manager 在托管节点上检查和安装 SSM Agent 更新的频率。定期更新有助于确保最佳性能和安全性。

配置 SSM Agent 更新
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 功能配置部分,找到 SSM Agent 更新

  4. 要启用自动更新,请启用切换开关。

  5. 对于更新频率,选择希望 Systems Manager 检查和安装代理更新的频率:

    • 每天 - 每天检查更新一次

    • 每周 - 每周检查更新一次

    • 每月 - 每月检查更新一次

  6. 选择保存

诊断并修复设置

诊断并修复设置确定 Systems Manager 是否自动扫描您的节点,以确保它们可以与 Systems Manager 进行通信。如果启用,则该功能将根据您定义的计划自动运行。该功能可识别哪些节点无法连接至 Systems Manager 以及原因。此功能还提供推荐的运行手册,用于修复网络问题以及其他导致无法将节点配置为托管节点的问题。

安排定期诊断扫描

Systems Manager 可以诊断并帮助您修复多种类型的部署失败以及偏差配置。Systems Manager 还可以识别您账户或组织中 Systems Manager 无法将其视为托管节点的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。EC2 实例诊断过程可以识别与虚拟私有云 (VPC)、域名服务 (DNS) 设置或 Amazon Elastic Compute Cloud (Amazon EC2) 安全组中的错误配置相关的问题。

为了简化识别无法连接到 Systems Manager 的节点的任务,安排定期诊断功能使您能够自动执行定期诊断扫描。扫描有助于识别哪些节点无法连接到 Systems Manager 以及原因。使用以下过程启用并配置您的节点的定期诊断扫描。

安排定期诊断扫描
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择设置,然后选择诊断并修复选项卡。

  3. 启用安排定期诊断选项。

  4. 对于扫描周期,选择您希望扫描运行的频率。

  5. (可选)对于开始时间,以 24 小时格式输入诊断开始的时间。例如,对于晚上 8:15,请输入 20:15

    您输入的时间是您当前当地时区的时间。

    如果未指定时间,则诊断扫描将立即运行。Systems Manager 还会安排扫描在未来的当前时间运行。如果指定了时间,则 Systems Manager 会等待在指定的时间运行诊断扫描。

  6. 选择保存

  7. 扫描完成后,通过选择左侧导航栏中的诊断并修复来查看详细信息。

有关诊断并修复功能的更多信息,请参阅诊断并修复

更新 S3 存储桶加密

当您载入 Systems Manager 时,快速设置功能会在委派管理员账户中为 Amazon Organizations 设置创建一个 Amazon Simple Storage Service (Amazon S3) 存储桶。对于单账户设置,存储桶会存储在正在设置的账户中。此存储桶用于存储诊断扫描期间生成的元数据。

有关设置 Systems Manager 统一控制台的更多信息,请参阅设置 Amazon Systems Manager

默认情况下,存储桶中您的数据使用 Amazon 拥有并且为您管理的 Amazon Key Management Service (Amazon KMS) 密钥进行加密。

您可以选择使用其他 Amazon KMS 密钥进行存储桶加密。另一种方法是,您可以使用具有 Amazon KMS keys的服务器端加密密钥 (SSE-KMS) 以及客户自主管理型密钥 (CMK)。有关信息,请参阅使用 Amazon S3 存储桶和 Systems Manager 的存储桶策略

使用其他 Amazon KMS 密钥进行 S3 存储桶加密
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择设置,然后选择诊断并修复选项卡。

  3. 更新 S3 存储桶加密区域中,选择编辑

  4. 选中自定义加密设置(高级)复选框。

  5. 选择 Amazon KMS 密钥中,选择或输入密钥的 Amazon 资源名称 (ARN)。

    提示

    要创建新密钥,请选择创建 Amazon KMS 密钥

  6. 选择保存