AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Systems Manager 先决条件

使用 AWS Systems Manager 管理您的 Amazon EC2 实例的先决条件以及您的本地服务器或虚拟机 (VM) 都在本用户指南的设置章节中进行了介绍。本主题提供有关其中一些要求的其他详细信息。

在开始为您的组织设置 Systems Manager 之前,我们建议您先了解以下 AWS 服务。实际了解这些服务对于成功设置 Systems Manager 至关重要。

  • Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS 云中提供可扩展的计算容量。有关更多信息,请参阅什么是 Amazon EC2? (Linux) 和什么是 Amazon EC2? (Windows)。

  • AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。有关更多信息,请参阅 IAM User Guide 中的什么是 IAM?

先决条件:支持的操作系统

您的 Amazon EC2 实例、本地服务器和虚拟机必须运行以下操作系统之一才能与 AWS Systems Manager 一起使用。

操作系统类型

Windows Server

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
2003 和 2003 R2
2008
2008 R2
2012 和 2012 R2
2016
2019

Linux

Amazon Linux

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
2012.03 – 2018.03

注意

从版本 2015.03 开始,Amazon Linux 仅发布 Intel 64 位 (x86_64) 版本。

Amazon Linux 2

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
2.0 和所有更高版本

Ubuntu Server

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
12.04 LTS 和 14.04 LTS
16.04 LTS 和 18.04 LTS

Red Hat Enterprise Linux (RHEL)

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
6.0
6.5
6.9
7.0
7.4
7.5
7.6

CentOS

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
6.0
6.3 及更高的 6.x 版本
7.1 及更高的 7.x 版本

SUSE Linux Enterprise Server (SLES)

版本 Intel 32 位 (x86) Intel 64 位 (x86_64) ARM 64 位 (arm64)
12 及更高的 12.x 版本

Raspbian

版本 ARM 32 位 (arm)
Jessie
拉伸

先决条件:SSM 代理

AWS Systems Manager Agent (SSM 代理) is Amazon software that can be installed and configured on an Amazon EC2 instance, an on-premises server, or a virtual machine (VM). SSM 代理 makes it possible for Systems Manager to update, manage, and configure these resources. The agent processes requests from the Systems Manager service in the AWS Cloud, and then runs them as specified in the request. SSM 代理 then sends status and execution information back to the Systems Manager service by using the Amazon Message Delivery Service (service prefix: ec2messages).

SSM 代理 必须安装在您想要与 Systems Manager 一起使用的每个实例上。默认情况下,在从以下 Amazon 系统映像 (AMI) 创建的实例上预安装 SSM 代理:

  • Windows Server 2003-2012 R2 AMIs published in November 2016 or later

  • Windows Server 2016 and 2019

  • Amazon Linux

  • Amazon Linux 2

  • Ubuntu Server 16.04

  • Ubuntu Server 18.04

在其他 AMI 上,以及混合环境的本地服务器和虚拟机上,必须手动安装代理,如下表所述。

重要

SSM 代理 的更新版本在有新功能添加到 Systems Manager 或者对现有功能进行了更新时发布。如果较早版本的代理运行在实例上,一些 SSM 代理 过程会失败。因此,我们建议您自动完成确保实例上的 SSM 代理 为最新的过程。有关信息,请参阅 自动更新到 SSM 代理

操作系统类型 说明
Windows

2016 年 11 月之前 发布的 Windows AMI 使用 EC2Config 服务处理请求并配置实例。

除非您出于特定原因需要使用 EC2Config 服务或早期版本的 SSM 代理来处理 Systems Manager 请求,否则建议您下载最新版本的 SSM 代理并将其安装到混合环境中的每个 Amazon EC2 实例和托管实例。有关更多信息,请参阅在 Windows 实例上安装和配置 SSM 代理

Linux 默认情况下,Amazon Linux、Amazon Linux 2、Ubuntu Server 16.04 和 Ubuntu Server 18.04 LTS 基本 EC2 AMI 上都安有 SSM 代理。对于用于 Linux 的其他 Amazon EC2 版本(包括经 Amazon ECS 优化的 AMI 等非基本映像),必须手动安装 SSM 代理。有关更多信息,请参阅 在 Amazon EC2 Linux 实例上安装和配置 SSM 代理
本地服务器和虚拟机

在要在混合环境中使用的本地服务器和虚拟机 (VM) 中,必须手动安装 SSM 代理。为这些计算机下载和安装 SSM 代理的过程与用于 Amazon EC2 实例的过程不同。有关更多信息,请参阅以下主题:

先决条件:接口 VPC 终端节点或 Internet 访问

为了便于托管实例与 Systems Manager 服务彼此进行通信,您必须执行以下操作之一:

  • 配置 Systems Manager 以使用接口 Virtual Private Cloud (VPC) 终端节点

  • 在托管实例上启用出站 Internet 访问权限

注意

不需要在托管实例上启用入站 Internet 访问权限。

要增强托管实例的安全状况,我们建议您将 Systems Manager 配置为使用接口 VPC 端点。接口终端节点由 PrivateLink 提供支持,该技术使您能够通过使用私有 IP 地址私下访问 Amazon EC2 和 Systems Manager API。PrivateLink 将 Amazon EC2 服务、Systems Manager 服务和托管实例之间的所有网络流量限制在 Amazon 网络以内。(托管实例无法访问 Internet。) 而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。有关更多信息,请参阅 (Optional) Create a Virtual Private Cloud Endpoint

有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅 Amazon VPC User Guide 中的通过 AWS PrivateLink 访问服务

先决条件:TLS 证书

每个托管实例都必须安装以下传输层安全性 (TLS) 证书之一。

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certificate Authority

AWS 服务使用这些证书来加密对其他 AWS 服务的调用。默认情况下,已在 Amazon 系统映像 (AMI) 中创建的所有实例上安装这些证书之一。在从非 Amazon 提供的 AMI 创建的实例上,以及在您自己的本地服务器和虚拟机上,必须使用 AWS Certificate Manager (ACM) 从 Amazon Trust Services 安装和启用其中一个证书。

有关使用 Amazon Trust Services 证书或 ACM 的信息,请参阅 AWS Certificate Manager User Guide

如果您的计算环境中的证书由组策略对象 (GPO) 进行托管,则您可能需要将组策略配置为包含其中一个证书。

有关 Amazon Root 和 Starfield 证书的更多信息,请参阅博客文章如何准备将 AWS 移动到其自己的证书颁发机构