Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration - AWS Systems Manager
VoraussetzungenDie Umgebung der Standardkonfiguration für die Host-Verwaltung aktivierenDie Umgebung der Standardkonfiguration für die Host-Verwaltung deaktivierenBeispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration

Mit der Einstellung Standard-Host-Management-Konfiguration können AWS Systems Manager Sie Ihre Amazon EC2 EC2-Instances automatisch als verwaltete Instances verwalten. Eine verwaltete Instance ist eine EC2-Instance, die für die Verwendung mit Systems Manager konfiguriert ist.

Die Verwaltung Ihrer Instances mit Systems Manager bietet unter anderem folgende Vorteile:

  • Stellen Sie mit Session Manager eine sichere Verbindung zu Ihren EC2-Instances her.

  • Führen Sie automatisierte Patch-Scans mit Patch Manager durch.

  • Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.

  • Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.

  • Halten Sie SSM Agent automatisch auf dem neuesten Stand.

Fleet Manager, Inventory, Patch Manager und Session Manager sind Tools in Systems Manager.

Mit der Standard-Host-Management-Konfiguration können Sie EC2-Instances verwalten, ohne manuell ein AWS Identity and Access Management (IAM-) Instance-Profil erstellen zu müssen. Stattdessen erstellt und wendet die Standard-Host-Management-Konfiguration eine Standard-IAM-Rolle an, um sicherzustellen, dass Systems Manager über Berechtigungen zur Verwaltung aller Instances in der AWS-Konto und an der AWS-Region Stelle verfügt, an der sie aktiviert ist.

Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie auch Richtlinien zur Standard-IAM-Rolle hinzufügen, die von der Standardkonfiguration für die Host-Verwaltung erstellt wird. Wenn Sie keine Berechtigungen für alle Funktionen benötigen, die von der Standard-IAM-Rolle bereitgestellt werden, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM-Rolle, die Sie für die Standardkonfiguration für die Host-Verwaltung auswählen, gelten für alle verwalteten Amazon-EC2-Instances in der Region und im Konto.

Weitere Informationen zu der Richtlinie, die von der Standardkonfiguration für die Host-Verwaltung verwendet wird, finden Sie unter AWS verwaltete Richtlinie: Amazon SSMManaged EC2 InstanceDefaultPolicy.

Implementieren des Zugriffs mit geringsten Berechtigungen

Die in diesem Thema beschriebenen Verfahren sollten nur von Administratoren durchgeführt werden. Daher empfehlen wir, Zugriff mit den geringsten Berechtigungen zu implementieren, um zu verhindern, dass nichtadministrative Benutzer die Standardkonfiguration für die Host-Verwaltung konfigurieren oder ändern. Beispielrichtlinien, die den Zugriff auf die Standardkonfiguration für die Host-Verwaltung einschränken, finden Sie unter Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung weiter unten in diesem Thema.

Wichtig

Registrierungsinformationen für Instances, die mit der Standardkonfiguration für die Host-Verwaltung registriert wurden, speichern Registrierungsinformationen lokal in den Verzeichnissen var/lib/amazon/ssm oder C:\ProgramData\Amazon. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein Instance-Profil verwenden, um Ihrer IAM-Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.

Voraussetzungen

Um die Standard-Host-Management-Konfiguration in der AWS-Region und an der AWS-Konto Stelle zu verwenden, an der Sie die Einstellung aktivieren, müssen die folgenden Anforderungen erfüllt sein.

  • Eine zu verwaltende Instanz muss den Instanz-Metadatendienst Version 2 (IMDSv2) verwenden.

    Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 Version 2 finden Sie unter Übergang zur Verwendung von Instance Metadata Service Version 2 im Amazon EC2 EC2-Benutzerhandbuch

  • SSM Agent-Version 3.2.582.0 oder höher muss auf der zu verwaltenden Instance installiert sein.

    Informationen zur Überprüfung der auf Ihrer Instance installierten Version von SSM Agent finden Sie unter Überprüfen der SSM Agent-Versionsnummer.

    Weitere Informationen zur Aktualisierung von SSM Agent finden Sie unter Automatische Aktualisierung von SSM Agent.

  • Sie als Administrator, der die Aufgaben in diesem Thema ausführt, benötigen Berechtigungen für die GetServiceSettingUpdateServiceSettingAPI-Operationen ResetServiceSetting, und. Darüber hinaus müssen Sie über Berechtigungen für die iam:PassRole-Berechtigung für die AWSSystemsManagerDefaultEC2InstanceManagementRole-IAM-Rolle verfügen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die diese Berechtigungen vorsieht. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  • Wenn ein IAM-Instance-Profil bereits mit einer mit Systems Manager zu verwaltenden EC2 Instance verknüpft ist, müssen Sie alle Berechtigungen entfernen, die die ssm:UpdateInstanceInformation-Operation zulassen. SSM Agent versucht, die Berechtigungen des Instance-Profils zu verwenden, bevor Sie die Berechtigungen der Standardkonfiguration für die Host-Verwaltung verwenden. Wenn Sie die ssm:UpdateInstanceInformation-Operation in Ihrem eigenen IAM-Instance-Profil zulassen, wird die Instance die Berechtigungen der Standardkonfiguration für die Host-Verwaltung nicht verwenden.

Die Umgebung der Standardkonfiguration für die Host-Verwaltung aktivieren

Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder aktivieren AWS Tools for Windows PowerShell.

Sie müssen die Standardkonfiguration für die Hostverwaltung einzeln in jeder Region aktivieren, in der Ihre Amazon-EC2-Instances mit dieser Einstellung verwaltet werden sollen.

Nachdem Sie die Standardkonfiguration für die Hostverwaltung aktiviert haben, kann es bis zu 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der Rolle verwenden, die Sie im folgenden Verfahren in Schritt 5 ausgewählt haben.

So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager aus.

  3. Wählen Sie im Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung konfigurieren.

  4. Aktivieren Sie Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie die AWS Identity and Access Management (IAM) -Rolle aus, die verwendet wird, um die Systems Manager Manager-Tools für Ihre Instances zu aktivieren. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Sie enthält die Mindestberechtigungen für die Verwaltung Ihrer Amazon-EC2-Instances mit Systems Manager. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.

  6. Wählen Sie Konfigurieren, um die Einrichtung abzuschließen.

So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)

  1. Erstellen Sie auf Ihrem lokalen Computer eine JSON-Datei, die die folgende Vertrauensbeziehungsrichtlinie enthält.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
                "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
        }
    ]
}

  2. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie je nach Betriebssystemtyp Ihres lokalen Computers einen der folgenden Befehle aus, um eine Servicerolle in Ihrem Konto zu erstellen. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

    Linux & macOS
    aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
    Windows
    aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
    PowerShell
    New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"

  3. Führen Sie den folgenden Befehl aus, um Ihrer neu erstellten Rolle die von AmazonSSMManagedEC2InstanceDefaultPolicy verwaltete Richtlinie anzufügen. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

    Linux & macOS
    aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"

  4. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

    Linux & macOS
    aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  5. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für die Standard-Hostverwaltungskonfiguration im aktuellen AWS-Konto und anzuzeigen AWS-Region.

    Linux & macOS
    aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

    Der Befehl gibt Informationen wie die folgenden zurück.

    {
    "ServiceSetting": {
        "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
        "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
        "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
        "LastModifiedUser": "System",
        "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
        "Status": "Custom"
    }
}

Die Umgebung der Standardkonfiguration für die Host-Verwaltung deaktivieren

Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder deaktivieren AWS Tools for Windows PowerShell.

Sie müssen die Einstellung Standardmäßige Hostverwaltungskonfiguration nacheinander in jeder Region deaktivieren, in der Ihre Amazon-EC2-Instances nicht mehr von dieser Konfiguration verwaltet werden sollen. Wenn Sie sie in einer Region deaktivieren, wird sie nicht in allen Regionen deaktiviert.

Wenn Sie die Standardkonfiguration für die Host-Verwaltung ausschalten und Ihren Amazon-EC2-Instances kein Instance-Profil zugeordnet haben, das den Zugriff auf Systems Manager ermöglicht, werden diese nicht mehr von Systems Manager verwaltet.

So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager aus.

  3. Wählen Sie im Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung.

  4. Deaktivieren Sie Einstellung der Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie Konfigurieren, um die Standardkonfiguration für die Host-Verwaltung zu deaktivieren.

So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)

  • Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

    Linux & macOS
    aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung

Die folgenden Beispielrichtlinien zeigen, wie Sie verhindern können, dass Mitglieder Ihrer Organisation Änderungen an der Standardkonfiguration für die Host-Verwaltung in Ihrem Konto vornehmen.

Richtlinie zur Dienststeuerung für AWS Organizations

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass Mitglieder, die keine Administratorrechte haben, Ihre AWS Organizations Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        }
    ]
}

Richtlinie für IAM-Prinzipale

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass IAM-Gruppen, -Rollen oder Benutzer in AWS Organizations Ihrem Unternehmen Ihre Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}