• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 调整 Systems Manager 设置
**设置**页面上的选项可启用和配置 Systems Manager 统一控制台中的功能。显示的选项取决于您登录的账户以及您是否已设置 Systems Manager。
**注意**
**设置**页面上的选项不会影响 Systems Manager 工具(以前称为功能)。
## 账户设置设定
如果启用了 Systems Manager,您登录的账户不是 Organizations 的成员,或者委派管理员尚未将您的 Organizations 账户添加到 Systems Manager,则**账户设置**页面会显示**禁用 Systems Manager** 的选项。禁用 Systems Manager 意味着 Systems Manager 不会显示统一控制台。所有 Systems Manager 工具仍可运行。
## 组织设置设定
在**组织设置**选项卡上,**主区域**部分显示在设置期间选择为主区域的 Amazon Web Services 区域。在使用 Amazon Organizations 的多账户和多区域环境中,Systems Manager 会自动将所有账户和区域的节点数据聚合到主区域。通过这种方式聚合数据,您可以在单个位置跨账户和区域查看节点数据。
**注意**
如果要更改主区域,则必须禁用 Systems Manager 然后重新启用它。要禁用 Systems Manager,请选择**禁用**。
**组织设置**部分显示在设置期间选择的 Amazon 组织单位和 Amazon Web Services 区域。要更改哪些组织单位和区域在 Systems Manager 中显示节点数据,请选择**编辑**。有关设置 Systems Manager for Organizations 的更多信息,请参阅[设置 Amazon Systems Manager](systems-manager-setting-up-console.md)。
## 功能配置
**功能配置**部分允许启用和配置可增强整个组织的节点管理的关键 Systems Manager 功能。这些功能协同工作,为托管节点提供自动管理、合规性监控和维护。
您可以在初始 Systems Manager 设置期间配置这些功能,也可以稍后通过“设置”页面修改它们。每个功能都可以根据组织的要求独立启用或禁用。
### 默认主机管理配置
默认主机管理配置 (DHMC) 会自动将您组织中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例配置为由 Systems Manager 管理。启用后,DHMC 可确保新的和现有 EC2 实例具有与 Systems Manager 服务通信所需的 Amazon Identity and Access Management (IAM) 权限和配置。
DHMC 提供以下好处:
+ **自动 IAM 角色分配** - 确保 EC2 实例具有所需的 IAM 角色和策略以作为托管节点运行
+ **偏差修复** - 当实例丢失其托管节点状态时,自动纠正配置偏差
+ **简化启用过程** - 减少新实例的手动配置步骤
+ **一致配置** - 在 EC2 实例集中保持统一的设置
#### 配置偏差修复频率
当 EC2 实例丢失其托管节点配置时,偏差修复会自动检测并纠正。您可以配置 Systems Manager 检查和修复配置偏差的频率。
**配置默认主机管理配置**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,选择**设置**。
1. 在**功能配置**部分,找到**默认主机管理配置**。
1. 要启用 DHMC,请启用切换开关。
1. 对于**偏差修复频率**,请选择希望 Systems Manager 检查和修复配置偏差的频率:
+ **每天** - 每天检查和修复偏差一次
+ **每周** - 每周检查和修复偏差一次
+ **每月** - 每月检查和修复偏差一次
1. 选择**保存**。
**注意**
启用 DHMC 后,Systems Manager 会在您的账户中创建必要的 IAM 角色和策略。这些角色允许 EC2 实例与 Systems Manager 服务通信。有关 DHMC 创建的 IAM 角色的更多信息,请参阅[使用 Systems Manager 管理 EC2 实例](systems-manager-setting-up-ec2.md)。
### 清单元数据收集
清单元数据收集会自动收集有关托管节点的详细信息,包括已安装的应用程序、网络配置、系统更新以及其他系统元数据。此信息可帮助您保持合规性、执行安全分析并了解基础设施组成。
清单收集具有以下好处:
+ **合规性监控** - 跟踪已安装的软件和配置以进行合规性报告
+ **安全分析** - 识别过时的软件和潜在安全漏洞
+ **资产管理** - 维护基础设施的最新清单
+ **查询功能** - 通过 Amazon Q 开发者版使用收集的数据进行自然语言查询
#### 收集的清单数据的类型
启用清单元数据收集后,Systems Manager 会从托管节点收集以下类型的信息:
+ **应用程序** - 已安装的软件包和应用程序
+ **网络配置** - 网络接口、IP 地址和网络设置
+ **系统更新** - 已安装的补丁和可用更新
+ **系统属性** - 硬件规格、操作系统详细信息和系统配置
+ **服务** - 正在运行的服务及其配置
#### 配置清单收集频率
您可以配置 Systems Manager 从托管节点收集清单元数据的频率。更频繁的收集可提供更多最新信息,但可能会增加 Amazon 服务的使用量。
**配置清单元数据收集**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,选择**设置**。
1. 在**功能配置**部分,找到**清单元数据收集**。
1. 要启用清单收集,请启用切换开关。
1. 对于**收集频率**,选择希望 Systems Manager 收集清单数据的频率:
+ **每天** - 每天收集清单数据一次
+ **每周** - 每周收集清单数据一次
+ **每月** - 每月收集清单数据一次
1. 选择**保存**。
**重要**
清单收集要求托管节点具有收集系统信息所需的权限。确保托管节点具有适当的 IAM 角色和策略。有关所需权限的更多信息,请参阅[Amazon Systems Manager 清单](systems-manager-inventory.md)。
### SSM Agent 更新
自动 SSM Agent 更新可确保托管节点运行最新版本的 SSM Agent。保持代理为最新版本可让您访问最新功能、安全改进和错误修复。
SSM Agent 自动更新具有以下好处:
+ **最新功能** - 访问新的 Systems Manager 功能和改进
+ **安全更新** - 自动安装安全补丁和修复程序
+ **提高可靠性** - 错误修复和稳定性改进
+ **减少维护** - 无需手动更新代理
#### 配置自动代理更新
您可以配置 Systems Manager 在托管节点上检查和安装 SSM Agent 更新的频率。定期更新有助于确保最佳性能和安全性。
**配置 SSM Agent 更新**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,选择**设置**。
1. 在**功能配置**部分,找到 **SSM Agent 更新**。
1. 要启用自动更新,请启用切换开关。
1. 对于**更新频率**,选择希望 Systems Manager 检查和安装代理更新的频率:
+ **每天** - 每天检查更新一次
+ **每周** - 每周检查更新一次
+ **每月** - 每月检查更新一次
1. 选择**保存**。
## 诊断并修复设置
**诊断并修复**设置确定 Systems Manager 是否自动扫描您的节点,以确保它们可以与 Systems Manager 进行通信。如果启用,则该功能将根据您定义的计划自动运行。该功能可识别哪些节点无法连接至 Systems Manager 以及原因。此功能还提供推荐的运行手册,用于修复网络问题以及其他导致无法将节点配置为托管节点的问题。
### 安排定期诊断扫描
Systems Manager 可以诊断并帮助您修复多种类型的部署失败以及偏差配置。Systems Manager 还可以识别您账户或组织中 Systems Manager 无法将其视为*托管节点*的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。EC2 实例诊断过程可以识别与虚拟私有云 (VPC)、域名服务 (DNS) 设置或 Amazon Elastic Compute Cloud (Amazon EC2) 安全组中的错误配置相关的问题。
为了简化识别无法连接到 Systems Manager 的节点的任务,**安排定期诊断**功能使您能够自动执行定期诊断扫描。扫描有助于识别哪些节点无法连接到 Systems Manager 以及原因。使用以下过程启用并配置您的节点的定期诊断扫描。
**安排定期诊断扫描**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,选择**设置**,然后选择**诊断并修复**选项卡。
1. 启用**安排定期诊断**选项。
1. 对于**扫描周期**,选择您希望扫描运行的频率。
1. (可选)对于**开始时间**,以 24 小时格式输入诊断开始的时间。例如,对于晚上 8:15,请输入 **20:15**。
您输入的时间是您当前当地时区的时间。
如果未指定时间,则诊断扫描将立即运行。Systems Manager 还会安排扫描在未来的当前时间运行。如果指定了时间,则 Systems Manager 会等待在指定的时间运行诊断扫描。
1. 选择**保存**。
1. 扫描完成后,通过选择左侧导航栏中的**诊断并修复**来查看详细信息。
有关**诊断并修复**功能的更多信息,请参阅[诊断并修复](diagnose-and-remediate.md)。
### 更新 S3 存储桶加密
当您载入 Systems Manager 时,快速设置功能会在委派管理员账户中为 Amazon Organizations 设置创建一个 Amazon Simple Storage Service (Amazon S3) 存储桶。对于单账户设置,存储桶会存储在正在设置的账户中。此存储桶用于存储诊断扫描期间生成的元数据。
有关设置 Systems Manager 统一控制台的更多信息,请参阅[设置 Amazon Systems Manager](systems-manager-setting-up-console.md)。
默认情况下,存储桶中您的数据使用 Amazon 拥有并且为您管理的 Amazon Key Management Service (Amazon KMS) 密钥进行加密。
您可以选择使用其他 Amazon KMS 密钥进行存储桶加密。另一种方法是,您可以使用具有 Amazon KMS keys的服务器端加密密钥 (SSE-KMS) 以及客户自主管理型密钥 (CMK)。有关信息,请参阅[使用 Amazon S3 存储桶和 Systems Manager 的存储桶策略](systems-manager-diagnosis-metadata-bucket.md)。
**使用其他 Amazon KMS 密钥进行 S3 存储桶加密**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,选择**设置**,然后选择**诊断并修复**选项卡。
1. 在**更新 S3 存储桶加密**区域中,选择**编辑**。
1. 选中**自定义加密设置(高级)**复选框。
1. 在**选择 Amazon KMS 密钥**中,选择或输入密钥的 Amazon 资源名称 (ARN)。
**提示**
要创建新密钥,请选择**创建 Amazon KMS 密钥**。
1. 选择**保存**。