为单个账户和区域设置 Systems Manager 统一控制台
要为单个 Amazon Web Services 账户和 Amazon Web Services 区域设置 Systems Manager 统一控制台体验,您无需使用 Organizations 或注册委派管理员账户。Systems Manager 控制台体验的设置过程会为您完成许多先决条件任务。根据您选择配置的功能,这包括启用默认主机管理配置,为您的节点提供所需 IAM 权限等。以下是 Systems Manager 统一控制台创建的资源的详细列表。
统一控制台资源
根据您选择配置的功能,某些资源可能无法创建。
IAM 角色
-
RoleForOnboardingAutomation:允许 Systems Manager 在设置过程中管理资源。有关策略的更多信息,请参阅 AWSQuickSetupSSMManageResourcesExecutionPolicy。 -
RoleForLifecycleManagement:允许 Lambda 管理设置过程创建的资源的生命周期。有关策略的更多信息,请参阅 AWSQuickSetupSSMLifecycleManagementExecutionPolicy。 -
RoleForAutomation:Systems Manager Automation 执行运行手册要承担的服务角色。有关更多信息,请参阅 使用控制台为 Automation 创建服务角色。 -
AWSSSMDiagnosisAdminRole:诊断运行手册的自动化执行角色。有关这些策略的更多信息,请参阅 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy、AWS-SSM-Automation-DiagnosisBucketPolicy 和 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy。 -
AWSSSMRemediationAdminRole:修复运行手册的自动化执行角色。有关这些策略的更多信息,请参阅 AWS-SSM-RemediationAutomation-AdministrationRolePolicy、AWS-SSM-Automation-DiagnosisBucketPolicy 和 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy。 -
ManagedInstanceCrossAccountManagementRole:允许 Systems Manager 跨账户收集托管式节点的信息。
State Manager 关联
-
EnableDHMCAssociation:每天运行一次,确保启用默认主机管理配置。 -
SystemAssociationForEnablingExplorer:每天运行一次,确保已启用 Explorer。Explorer 用于同步来自托管式节点的数据。 -
EnableAREXAssociation:每天运行一次,确保已启用 Amazon 资源探索器。资源探索器用于确定组织中的哪些 Amazon EC2 实例未由 Systems Manager 管理。 -
SSMAgentUpdateAssociation:每 14 天运行一次,确保托管式节点上安装了 SSM Agent 的最新可用版本。 -
SystemAssociationForInventoryCollection:每 12 小时运行一次,从托管式节点收集清单数据。
S3 存储桶
-
DiagnosisBucket:存储从诊断运行手册执行中收集的数据。
Lambda 函数
-
SSMLifecycleOperatorLambda:允许主体访问所有 Amazon Systems Manager 快速设置功能 操作。 -
SSMLifecycleResource:自定义资源,可帮助管理设置过程创建的资源的生命周期。
此外,在设置过程完成后,您可以选择诊断并修复节点任务,以自动将修复应用于未报告为由 Systems Manager 管理的节点。这可能包括识别诸如 Systems Manager 端点的网络连接问题等问题。
设置统一控制台
为单个账户和区域设置 Systems Manager
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
选择启用 Systems Manager。
-
在功能配置部分中,选择要为配置启用的选项:
- 启用默认主机管理配置(DHMC)
-
允许 Systems Manager 配置 DHMC。此功能允许 Systems Manager 使用 IAM 角色,以确保账户和区域中的所有 Amazon EC2 实例都具有由 Systems Manager 管理所需的权限。您也可以指定偏差修复的频率。当用户对与通过配置进行的选择冲突的服务或功能进行任何更改时,会发生配置偏差。Systems Manager 会检查配置偏差,并尝试根据您指定的频率进行修复。您可以指定 1 到 31 天之间的值。如果您已经在某个区域配置了 DHMC,则 Systems Manager 不会更改您之前选择的 IAM 角色。有关 DHMC 的更多信息,请参阅使用默认主机管理配置自动管理 EC2 实例。
DHMC 使您不必手动创建 Amazon Identity and Access Management(IAM)实例配置文件即可管理 Amazon EC2 实例。建议您选择此选项,以确保您的 EC2 实例具有由 Systems Manager 管理所必需的权限。
- 启用清单元数据收集
-
让 Systems Manager 能够配置从节点的以下类型的元数据收集:
-
Amazon 组件 - EC2 驱动程序、代理和版本等。
-
应用程序 - 应用程序名称、发布者和版本等。
-
节点详细信息 - 系统名称、操作系统(OS)名称、操作系统版本、上次启动时间、DNS、域、工作组和操作系统架构等。
-
网络配置 - IP 地址、MAC 地址、DNS、网关和子网掩码等。
-
服务 - 名称、显示名称、状态、相关服务、服务类型和启动类型等(仅限 Windows Server 节点)。
-
Windows 角色 - 名称、显示名称、路径、功能类型和安装状态等(仅限 Windows Server 节点)。
-
Windows 更新 - 补丁 ID、安装者和安装日期等(仅限 Windows Server 节点)。
指定清单元数据的收集频率。您可以指定 1 到 744 之间的值。有关 Inventory(Amazon Systems Manager 中的一项工具)的更多信息,请参阅 Amazon Systems Manager 清单。
-
- 启用 Systems Manager(SSM)Agent 自动更新
-
让 Systems Manager 能够按您指定的频率检查是否存在新版本的代理。频率值必须在 1 到 31 天之间。如果存在新版本,Systems Manager 会自动将托管式节点上的代理更新为发布的最新版本。Systems Manager 不会在尚未安装代理的实例上安装代理。有关哪些 AMIs 预装了 SSM Agent 的信息,请参阅 查找预装了 SSM Agent 的 AMIs。
建议您选择此选项,以确保您的节点始终运行最新版本的 SSM Agent。有关 SSM Agent 的更多信息(包括有关如何手动安装该代理的信息),请参阅 使用 SSM Agent。
-
选择提交。