Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Automatisierte Instanzkonfiguration in AMS Accelerate
AMS Accelerate bietet einen automatisierten Service zur Instanzkonfiguration. Dieser Service stellt sicher, dass eine Instance die richtigen Logs und Metriken ausgibt, damit AMS die Instance ordnungsgemäß verwalten kann. Die automatisierte Instanzkonfiguration hat ihre eigenen Voraussetzungen und Schritte für das Onboarding, die später in diesem Abschnitt beschrieben werden.
**Topics**
+ [
# So funktioniert die automatisierte Instanzkonfiguration in Accelerate
](inst-auto-config-how-works.md)
+ [
# Automatische Installation des SSM-Agenten
](ssm-agent-auto-install.md)
+ [
# Automatisierte Änderungen der Instanzkonfiguration
](inst-auto-config-changes-made.md)
# So funktioniert die automatisierte Instanzkonfiguration in Accelerate
Durch die automatisierte Instanzkonfiguration kann AMS Accelerate täglich bestimmte Konfigurationen für Instances durchführen, die Sie durch Hinzufügen bestimmter Agenten und Tags angeben.
# Voraussetzungen für die automatisierte Instanzkonfiguration in Accelerate
Diese Bedingungen müssen erfüllt sein, damit AMS Accelerate die zuvor beschriebenen automatisierten Aktionen auf verwalteten Instances ausführen kann.
**Der SSM-Agent ist installiert**
Für die automatische Instanzkonfiguration von AMS Accelerate muss der AWS Systems Manager SSM Agent installiert sein.
Informationen zur Verwendung der auto Installationsfunktion des AMS SSM Agents finden Sie unter[Automatische Installation des SSM-Agenten](ssm-agent-auto-install.md).
Informationen zur manuellen Installation des SSM-Agenten finden Sie im Folgenden:
+ Linux: [SSM Agent manuell auf EC2 Amazon-Instances für Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html) installieren - AWS Systems Manager
+ Windows: [SSM Agent manuell auf EC2 Amazon-Instances für Windows Server](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html) installieren - AWS Systems Manager
**Der SSM-Agent befindet sich im verwalteten Zustand**
Für die automatische Instanzkonfiguration von AMS Accelerate ist ein betriebsbereiter SSM-Agent erforderlich. Der SSM-Agent muss installiert sein und die EC2 Amazon-Instance muss sich im verwalteten Status befinden. Weitere Informationen finden Sie in der AWS Dokumentation [Arbeiten mit SSM Agent.](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)
# Automatisierte Einrichtung der Instanzkonfiguration
Vorausgesetzt, dass die Voraussetzungen erfüllt sind, initiiert das Hinzufügen eines bestimmten EC2 Amazon-Instance-Tags automatisch die automatische AMS Accelerate-Instance-Konfiguration. Verwenden Sie eine der folgenden Methoden, um dieses Tag hinzuzufügen:
1. (Dringend empfohlen) Verwenden Sie den AMS Accelerate Resource Tagger
Informationen zur Konfiguration der Tagging-Logik für Ihr Konto finden Sie unter. [So funktioniert Tagging](acc-tag-intro.md#acc-tag-how-works) Nachdem das Tagging abgeschlossen ist, werden Tags und die automatische Instanzkonfiguration automatisch verarbeitet.
1. Manuelles Hinzufügen von Tags
Fügen Sie den EC2 Amazon-Instances manuell das folgende Tag hinzu:
**Schlüssel: **ams:rt:ams-managed**, Wert: true.**
**Anmerkung**
Der Instanzkonfigurationsdienst versucht, die erforderlichen AMS-Konfigurationen anzuwenden, sobald das **ams:rt:ams-managed-Tag** auf die Instance angewendet wurde. Der Service bestätigt die für AMS erforderlichen Konfigurationen, wenn eine Instance gestartet wird und wenn eine tägliche AMS-Konfigurationsprüfung stattfindet.
# Automatische Installation des SSM-Agenten
Damit AMS Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances verwaltet, müssen Sie AWS Systems Manager SSM Agent auf jeder Instance installieren. Wenn auf Ihren Instances kein SSM Agent installiert ist, können Sie die Funktion zur automatischen Installation von AMS SSM Agent verwenden.
**Anmerkung**
Wenn Ihr Konto nach dem 06.03.2024 in AMS Accelerate integriert wurde, ist diese Funktion standardmäßig aktiviert. Um diese Funktion zu deaktivieren, wenden Sie sich an Ihre CA oder CSDM.
Um diese Funktion für Konten zu aktivieren, die vor dem 06.03.2024 eingerichtet wurden, wenden Sie sich an Ihre CA oder CSDM.
Diese Funktion ist nur für EC2 Instances verfügbar, die nicht zu einer Auto Scaling Scaling-Gruppe gehören und auf denen von AMS unterstützte Linux-Betriebssysteme ausgeführt werden.
## Voraussetzungen für die Verwendung des SSM-Agenten
+ Stellen Sie sicher, dass das mit den Ziel-Instances verknüpfte Instanzprofil über eine der folgenden Richtlinien verfügt (oder über gleichwertige Berechtigungen, die in den Zielinstanzen aufgeführt sind):
+ Amazon SSMManaged EC2 InstanceDefaultPolicy
+ Amazon SSMManaged InstanceCore
+ Stellen Sie sicher, dass es keine Service Control-Richtlinie auf der AWS Organizations Ebene gibt, die die in den vorherigen Richtlinien aufgeführten Berechtigungen ausdrücklich verweigert.
Weitere Informationen finden Sie unter [Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html).
+ Um ausgehenden Datenverkehr zu blockieren, stellen Sie sicher, dass die folgenden Schnittstellenendpunkte auf der VPC aktiviert sind, auf der sich die Ziel-Instances befinden (ersetzen Sie „Region“ in der URL entsprechend):
+ ssm..amazonaws.com
+ ssmmessages..amazonaws.com
+ ec2-Nachrichten. .amazonaws.com
Weitere Informationen finden Sie unter [Verbessern der Sicherheit von EC2 Instances mithilfe von VPC-Endpunkten für Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html).
Allgemeine Tipps zur Aktivierung oder Fehlerbehebung bei der Verfügbarkeit verwalteter Knoten finden Sie unter [Lösung 2: Stellen Sie sicher, dass ein IAM-Instanzprofil für die Instanz angegeben wurde (nur EC2 Instanzen)](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2).
**Anmerkung**
AMS stoppt und startet jede Instanz im Rahmen der automatischen Installation. Wenn eine Instance gestoppt wird, gehen die auf den Instance-Speicher-Volumes gespeicherten Daten und die im RAM gespeicherten Daten verloren. Weitere Informationen finden Sie unter [Was passiert, wenn Sie eine Instance beenden](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop).
## Fordern Sie die automatische Installation des SSM-Agenten auf Ihren Instances an
Wenn Ihre Konten in das AMS Accelerate Patch Add-On integriert sind, konfigurieren Sie ein Patch-Wartungsfenster (MW) für die Instances. Ein funktionierender SSM-Agent ist erforderlich, um den Patch-Vorgang abzuschließen. Wenn der SSM-Agent auf einer Instanz fehlt, versucht AMS, ihn während des Patch-Wartungsfensters automatisch zu installieren.
**Anmerkung**
AMS stoppt und startet jede Instanz im Rahmen der automatischen Installation. Wenn eine Instance gestoppt wird, gehen die auf den Instance-Speicher-Volumes gespeicherten Daten und die im RAM gespeicherten Daten verloren. Weitere Informationen finden Sie unter [Was passiert, wenn Sie eine Instance beenden](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop).
## So funktioniert die automatische Installation des SSM-Agenten
AMS verwendet EC2 Benutzerdaten, um das Installationsskript auf Ihren Instances auszuführen. Um das Benutzerdatenskript hinzuzufügen und es auf Ihren Instances auszuführen, muss AMS jede Instance beenden und starten.
Wenn Ihre Instance bereits über ein Benutzerdatenskript verfügt, führt AMS während des auto Installationsvorgangs die folgenden Schritte aus:
1. Erstellt eine Sicherungskopie des vorhandenen Benutzerdatenskripts.
1. Ersetzt das vorhandene Benutzerdatenskript durch das SSM-Agent-Installationsskript.
1. Startet die Instanz neu, um den SSM Agent zu installieren.
1. Stoppt die Instanz und stellt das ursprüngliche Skript wieder her.
1. Startet die Instanz mit dem Originalskript neu.
# Automatisierte Änderungen der Instanzkonfiguration
Die Automatisierung der AMS Accelerate-Instance-Konfiguration nimmt die folgenden Änderungen in Ihrem Konto vor:
1. IAM-Berechtigungen
Fügt die von IAM verwalteten Richtlinien hinzu, die erforderlich sind, um der Instanz die Erlaubnis zu erteilen, die von AMS Accelerate installierten Agenten zu verwenden.
1. Agent
1. Der CloudWatch Amazon-Agent ist für die Ausgabe von Betriebssystemprotokollen und Metriken verantwortlich. Die Automatisierung der Instance-Konfiguration stellt sicher, dass der CloudWatch Agent installiert ist und die AMS Accelerate-Mindestversion ausführt.
1. Der AWS Systems Manager SSM-Agent ist für die Ausführung von Remote-Befehlen auf der Instance verantwortlich. Die Automatisierung der Instanzkonfiguration stellt sicher, dass auf dem SSM Agent die AMS Accelerate-Mindestversion ausgeführt wird.
1. CloudWatch Konfiguration
1. Um sicherzustellen, dass die erforderlichen Metriken und Protokolle ausgegeben werden, passt AMS Accelerate die CloudWatch Konfiguration an. Weitere Informationen finden Sie im folgenden Abschnitt,[CloudWatch Details zur Konfigurationsänderung](inst-auto-config-details-cw.md).
Bei der automatisierten Instanzkonfiguration werden Änderungen oder Ergänzungen an Ihren IAM-Instanzprofilen und der CloudWatch Konfiguration vorgenommen.
# Details zur Änderung von IAM-Berechtigungen
Jede verwaltete Instanz muss über eine AWS Identity and Access Management Rolle verfügen, die die folgenden verwalteten Richtlinien umfasst:
+ arn:aws:iam: :aws:policy/Amazon SSMManaged InstanceCore
+ arn:aws:iam: :aws:policy/ CloudWatchAgentServerPolicy
+ arn:aws:iam: :aws:policy/ AMSInstance ProfileBasePolicy
Bei den ersten beiden handelt es sich um verwaltete Richtlinien. AWS Die vom AMS verwaltete Richtlinie lautet:
**AMSInstanceProfileBasePolicy**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:UpdateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:Encrypt"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Wenn Ihrer Instance bereits eine IAM-Rolle zugewiesen ist, aber eine dieser Richtlinien fehlt, fügt AMS die fehlenden Richtlinien zu Ihrer IAM-Rolle hinzu. Wenn Ihre Instance keine IAM-Rolle hat, fügt AMS die IAM-Rolle hinzu. **AMSOSConfigurationCustomerInstanceProfile** Die **AMSOSConfigurationCustomerInstanceProfile**IAM-Rolle enthält alle Richtlinien, die für AMS Accelerate erforderlich sind.
**Anmerkung**
Wenn das standardmäßige Instanzprofillimit von 10 erreicht ist, erhöht AMS das Limit auf 20, sodass die erforderlichen Instanzprofile angehängt werden können.
# CloudWatch Details zur Konfigurationsänderung
Zusätzliche Details zur CloudWatch Konfiguration.
+ CloudWatch Speicherort der Konfigurationsdatei auf der Instanz:
+ Windows:%ProgramData%\$1 Amazon\$1AmazonCloudWatchAgent\$1 amazon-cloudwatch-agent .json
+ Linux:/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/ams-accelerate-config.json
+ CloudWatch Speicherort der Konfigurationsdatei in Amazon S3:
+ Windows: https://ams-configuration-artifacts- *REGION\$1NAME* .s3. *REGION\$1NAME*.amazon.aws. com/configurations/cloudwatch/latest/windows-cloudwatch-config.json
+ Linux: https://- .s3. ams-configuration-artifacts *REGION\$1NAME* *REGION\$1NAME*.amazonaws. com/configurations/cloudwatch/latest/linux-cloudwatch-config.json
+ Gesammelte Metriken:
+ Windows:
+ AWS Systems Manager SSM-Agent (CPU\$1Usage)
+ CloudWatch Agent (CPU\$1Usage)
+ Speicherauslastung für alle Festplatten (% freier Speicherplatz)
+ Arbeitsspeicher (% der belegten, zugesicherten Byte)
+ Linux:
+ AWS Systems Manager SSM-Agent (CPU\$1Usage)
+ CloudWatch Agent (CPU\$1Usage)
+ Zentralprozessor (cpu\$1usage\$1idle, cpu\$1usage\$1iowait, cpu\$1usage\$1user, cpu\$1usage\$1system)
+ Festplatte (verwendet\$1Prozent, inodes\$1used, inodes\$1total)
+ Dis.io (io\$1time, write\$1bytes, read\$1bytes, schreibt, liest)
+ Mem (mem\$1used\$1percent)
+ Tauschen Sie (swap\$1used\$1percent)
+ Gesammelte Protokolle:
+ Windows:
+ SSMAgentAmazon-Protokoll
+ AmazonCloudWatchAgentLog
+ SSMErrorAmazon-Protokoll
+ AmazonCloudFormationLog
+ ApplicationEventLog
+ EC2ConfigServiceEventLog
+ MicrosoftWindowsAppLockerEXEAndDLLEventLoggen
+ MicrosoftWindowsAppLockerMSIAndScriptEventLog
+ MicrosoftWindowsGroupPolicyOperationalEventLog
+ SecurityEventLog
+ SystemEventLog
+ Linux:
+ /var/log/amazon/ssm/amazon-ssm-agent.log
+ /var/log/amazon/ssm/errors.log
+ /.log var/log/audit/audit
+ /-init-output.log var/log/cloud
+ /var/log/cloud-init.log
+ /var/log/cron
+ /var/log/dpkg.log
+ /var/log/maillog
+ /var/log/messages
+ /var/log/secure
+ /var/log/spooler
+ /var/log/syslog
+ /.log var/log/yum
+ /.log var/log/zypper