AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Systems Manager 快速设置

可以使用 AWS Systems Manager 快速设置在 Amazon EC2 实例上快速配置所需的安全角色和常用的 Systems Manager 功能。这些功能帮助您管理和监控实例的运行状况,同时提供开始使用所需的最低权限。具体来说,快速设置帮助您使用标签在所选实例或目标实例上配置以下组件:

  • 适用于 Systems Manager 的 AWS Identity and Access Management (IAM) 实例配置文件角色。

  • 每两周一次的计划 SSM 代理 更新。

  • 每 30 分钟一次的计划清单元数据收集。

  • 每天扫描一次实例以查找缺少的补丁。

  • 一次性的 Amazon CloudWatch 代理安装和配置。

  • 每月一次的计划 CloudWatch 代理更新。

要访问快速设置,请在 Systems Manager 控制台的导航窗格中选择快速设置。您也可以在导航窗格顶部选择 AWS Systems Manager,然后选择开始使用 Systems Manager 以访问快速设置,如图所示。


            访问 AWS 快速设置

注意

您可以随时更改快速设置配置。在此之前,我们建议您使用快速设置结果页面了解如何更改配置。有关更多信息,请参阅 使用快速设置结果

权限角色

默认情况下,Systems Manager 没有权限与您的实例通信或在您的实例上执行操作。您必须使用 AWS Identity and Access Management (IAM) 实例配置文件和 IAM 服务角色(或担任角色)授予访问权限。实例配置文件是一个容器,可在启动时将 IAM 角色信息传递给 Amazon EC2 实例。服务角色允许 Systems Manager 在您的实例上运行命令。有关实例配置文件的更多信息,请参阅 IAM User Guide 中的使用实例配置文件。有关服务角色的更多信息,请参阅创建角色以向 AWS 服务委派权限

您可以选择使用默认角色,让快速设置为您创建和配置这些角色。如果选择现有的角色,则该角色必须包含至少具有本主题中所述权限的 IAM 策略。如果您选择现有的角色,但它们没有这些权限,则快速设置可能无法配置一个或多个选定的组件,或者这些组件可能无法正常运行。

注意

快速设置不会覆盖在您的实例上已存在的实例配置文件。

有关默认实例配置文件的详细信息

实例配置文件角色部分中,如果选择使用默认角色,快速设置会创建使用 AmazonSSMManagedInstanceCore 策略和一个附加策略的新 IAM 实例配置文件。AmazonSSMManagedInstanceCore 策略允许 Systems Manager 在您的实例上执行以下操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*" } ] }

注意

有关 ssmmessages*ec2messages* 操作的信息,请参阅参考:ec2messages、ssmmessages 和其他 API 调用

快速设置还会将以下策略添加到实例配置文件中。该策略允许云中的 Systems Manager 服务与您的 Amazon EC2 实例之间进行受信任的通信。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ec2.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

有关服务角色的详细信息

Systems Manager 服务角色部分中,如果选择使用默认角色,快速设置会创建一个包含以下策略的新 IAM 服务角色。第一个策略允许 Systems Manager 在您的实例上执行以下操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:PassRole", "ec2:DescribeIamInstanceProfileAssociations", "iam:GetInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:AssociateIamInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "*" } ] }

以下策略允许 Systems Manager 代表您执行上一个策略中的操作。Systems Manager 担任您的角色以执行这些操作。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

注意

使用实例配置文件为 Systems Manager 配置实例并不会为用户授予访问权限,用于在该实例上运行命令或使用 Systems Manager 功能。必须为您的 IAM 用户、组或角色配置单独的权限策略,以便您可以使用 Systems Manager 在实例上执行操作。有关更多信息,请参阅 设置 AWS Systems Manager

更新 Systems Manager (SSM) 代理

SSM 代理 是一个 Amazon 软件,它处理来自 AWS 云中的 Systems Manager 服务的请求,然后按照请求中指定的方式在您的实例上运行它们。默认情况下,在以下 Amazon 系统映像 (AMI) 上预装了 SSM 代理:

  • 2006 年 11 月或以后发布的 Windows Server 2003-2012 R2 AMI

  • Windows Server 2016 和 2019

  • Amazon Linux

  • Amazon Linux 2

  • Ubuntu Server 16.04

  • Ubuntu Server 18.04

如果启用该选项,Systems Manager 每两周自动检查一次新版本的代理。如果存在新版本,Systems Manager 自动将实例上的代理更新为最新发行的版本。我们建议您选择该选项,以确保您的实例始终运行最新版本的 SSM 代理。有关 SSM 代理 的更多信息(包括有关如何手动安装该代理的信息),请参阅使用 SSM 代理

从您的实例中收集清单

可以通过 AWS Systems Manager Inventory 了解您的计算环境。您可以使用 Inventory 从托管实例中收集元数据。您可以将该元数据存储在中央 Amazon Simple Storage Service (Amazon S3) 存储桶中。然后,使用内置工具查询数据并快速确定哪些实例正在运行软件和软件策略所需的配置,以及需要更新哪些实例。快速设置配置以下类型的元数据收集:

  • AWS 组件:EC2 驱动程序、代理和版本等。

  • 应用程序:应用程序名称、发布者和版本等。

  • 实例详细信息:系统名称、操作系统 (OS) 名称、操作系统版本、上次引导时间、DNS、域、工作组和操作系统架构等。

  • 网络配置:IP 地址、MAC 地址、DNS、网关和子网掩码等。

  • 服务:名称、显示名称、状态、相关服务、服务类型和启动类型等(仅限 Windows 实例)。

  • Windows 角色:名称、显示名称、路径、功能类型和安装状态等(仅限 Windows 实例)。

  • Windows 更新:补丁 ID、安装者和安装日期等(仅限 Windows 实例)。

您可以配置 Systems Manager Inventory 以从实例中收集以下其他类型的元数据。有关更多信息,请参阅 AWS Systems Manager Inventory

  • 自定义清单:按照 使用自定义清单 中所述分配给托管实例的元数据。

  • 文件:名称、大小、版本、安装日期、修改时间和上次访问时间等。

  • 标签:分配给您的实例的标签。

  • Windows 注册表:注册表项路径、值名称、值类型和值。

重要

全局清单配置是通过清单页面上的一键式配置选项创建的,针对的是您 AWS 账户中的所有实例。如果已在您的实例上启用全局清单配置,在快速设置中启用清单收集将会创建另一个计划,以收集指定实例或目标实例的清单数据。不会发生冲突。不过,如果您已在某些实例上启用非全局清单配置,以前创建的配置将失败。清单收集不支持每个实例具有多个特定的配置。要解决该问题,请部署全局清单配置或删除冲突配置。

每天扫描实例以查找缺少的补丁

如果在快速设置中启用该选项,则 Systems Manager 会使用 Patch Manager 每天扫描您的实例,并在合规性页面中生成一个简单的报告。该报告根据默认补丁基准显示有多少实例符合补丁要求。该报告包含一份每个实例及其合规性状态的列表。您可以浏览该列表以查看有关不合规实例的详细信息。有关修补操作和补丁基准的更多信息,请参阅AWS Systems Manager Patch Manager。要查看合规性信息,请参阅 Systems Manager 合规性页面。

安装和配置 CloudWatch 代理

Amazon CloudWatch 提供数据和切实可行的见解以监控您的应用程序,了解和响应系统范围的性能变化,优化资源利用率,并提供统一的运行状况视图。CloudWatch 代理从您的实例中收集指标和日志文件,并合并这些信息,以便您可以快速确定实例的运行状况。有关更多信息,请参阅使用 CloudWatch 代理从 Amazon EC2 实例和本地服务器中收集指标和日志。可能会增加成本。有关更多信息,请参阅 Amazon CloudWatch 定价

每四周更新一次 CloudWatch 代理

如果启用该选项,Systems Manager 每四周自动检查一次新版本的 CloudWatch 代理。如果存在新版本,Systems Manager 自动将实例上的代理更新为最新发行的版本。我们建议您选择该选项,以确保您的实例始终运行最新版本的 CloudWatch 代理。

使用快速设置结果

对于您选择的每个选项,Systems Manager 在单独的卡中显示快速设置结果。


                AWS 快速设置结果。

对于您选择的每个选项,Systems Manager 创建并立即运行 状态管理器 关联。在所有选定实例或目标实例上成功运行关联时,配置状态字段将显示成功。如果某个关联无法运行,则配置状态失败。如果关联正在处理,则配置状态待处理。要更新待处理项目的配置状态,请刷新浏览器。

注意

即使您仅选择几个实例,清单收集选项也可能需要长达 10 分钟才能完成。

如果配置状态未配置,则表示您没有在快速设置中选择该选项。如果在托管实例中看到该状态,则表示您没有在角色选择列表中选择角色。您可以按照本主题中所述再次运行快速设置,然后选择一个角色。

要编辑快速设置选项的关联,请在选项卡中选择编辑按钮。如果编辑关联,请不要编辑关联页面中选择另一个 SSM 文档。如果选择另一个 SSM 文档,该选项将在快速设置中不可用。请仅更改关联的参数和目标。在保存对关联的更改时,状态管理器 自动运行关联。

对快速设置结果进行故障排除

如果快速设置卡显示未配置,您可能在快速设置页面上未选择相应的选项。作为解决该问题的第一步,请选择快速设置结果页面顶部的全部编辑按钮,然后查看您选择的内容。如果未选择一个或多个选项,您可以选择这些选项,然后选择重置以配置这些选项。

如果在一个或多个快速设置结果卡中仍看到问题,请使用以下过程解决该问题。

对失败的快速设置配置进行故障排除

  1. 在快速设置结果页面中,在配置状态失败的卡中选择查看详细信息

    
                        在快速设置卡中选择“查看详细信息”按钮
  2. 关联 ID 页面中,选择执行历史记录选项卡。

  3. 执行 ID 下面,选择失败的关联执行。

    
                        选择关联执行 ID
  4. 关联执行目标页面列出运行关联的所有实例。为无法运行的执行选择输出按钮。

    
                        为无法运行的关联执行选择“输出”按钮
  5. 输出页面中,选择步骤 - 输出以在命令执行中查看该步骤的错误消息。每个步骤可能会显示不同的错误消息。请查看所有步骤的错误消息以帮助解决问题。

    
                        为无法运行的关联执行选择“步骤输出”

如果查看步骤输出无助于解决问题,您可以重新创建关联以查看问题是否仍然存在。要重新创建关联,必须先删除快速设置选项已存在的所有关联。您可以使用快速设置结果卡中的删除按钮删除关联。也可以在导航窗格中选择 状态管理器 以删除关联。在删除关联后,再次运行快速设置以查看问题是否仍然存在。

再次运行快速设置

您可以选择快速设置结果页面上的全部编辑按钮以再次运行快速设置。您可以选择或清除选项。如果清除选项,Systems Manager 不会删除关联。例如,如果您以前选择了 Collect inventory from your instances every 30 minutes (每 30 分钟从实例中收集一次清单) 选项,并在再次运行快速设置时清除该选项,则原来的关联仍然存在。您必须从快速设置结果页面或 State Manager 页面中删除关联。

重要

如果要在新实例上运行快速设置,我们建议您选择新实例,并且还要选择以前运行了快速设置的所有实例。通过选择以前运行了快速设置的所有实例,您可以为所有实例同步关联执行。这会同步状态和合规性报告。我们还建议您使用标签指定目标实例。具有指定标签的新实例将自动添加到快速设置关联中。这意味着,它们自动在快速设置结果和合规性页面中显示状态。