• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration
Mit der Einstellung Standard-Host-Management-Konfiguration können AWS Systems Manager Sie Ihre Amazon EC2 EC2-Instances automatisch als *verwaltete Instances* verwalten. Eine verwaltete Instance ist eine EC2-Instance, die für die Verwendung mit Systems Manager konfiguriert ist.
Die Verwaltung Ihrer Instances mit Systems Manager bietet unter anderem folgende Vorteile:
+ Stellen Sie mit Session Manager eine sichere Verbindung zu Ihren EC2-Instances her.
+ Führen Sie automatisierte Patch-Scans mit Patch Manager durch.
+ Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.
+ Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.
+ Halten Sie SSM Agent automatisch auf dem neuesten Stand.
*Fleet Manager, Inventory, Patch Manager und Session Manager sind Tools in Systems Manager.*
Mit der Standard-Host-Management-Konfiguration können Sie EC2-Instances verwalten, ohne manuell ein AWS Identity and Access Management (IAM-) Instance-Profil erstellen zu müssen. Stattdessen erstellt und wendet die Standard-Host-Management-Konfiguration eine Standard-IAM-Rolle an, um sicherzustellen, dass Systems Manager über Berechtigungen zur Verwaltung aller Instances in der AWS-Konto und an der AWS-Region Stelle verfügt, an der sie aktiviert ist.
Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie auch Richtlinien zur Standard-IAM-Rolle hinzufügen, die von der Standardkonfiguration für die Host-Verwaltung erstellt wird. Wenn Sie keine Berechtigungen für alle Funktionen benötigen, die von der Standard-IAM-Rolle bereitgestellt werden, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM-Rolle, die Sie für die Standardkonfiguration für die Host-Verwaltung auswählen, gelten für alle verwalteten Amazon-EC2-Instances in der Region und im Konto.
Weitere Informationen zu der Richtlinie, die von der Standardkonfiguration für die Host-Verwaltung verwendet wird, finden Sie unter [AWS verwaltete Richtlinie: Amazon SSMManaged EC2 InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy).
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Die in diesem Thema beschriebenen Verfahren sollten nur von Administratoren durchgeführt werden. Daher empfehlen wir, *Zugriff mit den geringsten Berechtigungen* zu implementieren, um zu verhindern, dass nichtadministrative Benutzer die Standardkonfiguration für die Host-Verwaltung konfigurieren oder ändern. Beispielrichtlinien, die den Zugriff auf die Standardkonfiguration für die Host-Verwaltung einschränken, finden Sie unter [Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung](#least-privilege-examples) weiter unten in diesem Thema.
**Wichtig**
Registrierungsinformationen für Instances, die mit der Standardkonfiguration für die Host-Verwaltung registriert wurden, speichern Registrierungsinformationen lokal in den Verzeichnissen `var/lib/amazon/ssm` oder `C:\ProgramData\Amazon`. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein Instance-Profil verwenden, um Ihrer IAM-Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.
**Topics**
+ [Voraussetzungen](#dhmc-prerequisites)
+ [Die Umgebung der Standardkonfiguration für die Host-Verwaltung aktivieren](#dhmc-activate)
+ [Die Umgebung der Standardkonfiguration für die Host-Verwaltung deaktivieren](#dhmc-deactivate)
+ [Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung](#least-privilege-examples)
## Voraussetzungen
Um die Standard-Host-Management-Konfiguration in der AWS-Region und an der AWS-Konto Stelle zu verwenden, an der Sie die Einstellung aktivieren, müssen die folgenden Anforderungen erfüllt sein.
+ Eine zu verwaltende Instanz muss den Instanz-Metadatendienst Version 2 (IMDSv2) verwenden.
Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 Version 2 finden Sie unter [Übergang zur Verwendung von Instance Metadata Service Version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) im *Amazon EC2 EC2-Benutzerhandbuch*
+ SSM Agent-Version 3.2.582.0 oder höher muss auf der zu verwaltenden Instance installiert sein.
Informationen zur Überprüfung der auf Ihrer Instance installierten Version von SSM Agent finden Sie unter [Überprüfen der SSM Agent-Versionsnummer](ssm-agent-get-version.md).
Weitere Informationen zur Aktualisierung von SSM Agent finden Sie unter [Automatische Aktualisierung von SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console).
+ Sie als Administrator, der die Aufgaben in diesem Thema ausführt, benötigen Berechtigungen für die [GetServiceSetting[UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)API-Operationen [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html), und. Darüber hinaus müssen Sie über Berechtigungen für die `iam:PassRole`-Berechtigung für die `AWSSystemsManagerDefaultEC2InstanceManagementRole`-IAM-Rolle verfügen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die diese Berechtigungen vorsieht. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
+ Wenn ein IAM-Instance-Profil bereits mit einer mit Systems Manager zu verwaltenden EC2 Instance verknüpft ist, müssen Sie alle Berechtigungen entfernen, die die `ssm:UpdateInstanceInformation`-Operation zulassen. SSM Agent versucht, die Berechtigungen des Instance-Profils zu verwenden, bevor Sie die Berechtigungen der Standardkonfiguration für die Host-Verwaltung verwenden. Wenn Sie die `ssm:UpdateInstanceInformation`-Operation in Ihrem eigenen IAM-Instance-Profil zulassen, wird die Instance die Berechtigungen der Standardkonfiguration für die Host-Verwaltung nicht verwenden.
## Die Umgebung der Standardkonfiguration für die Host-Verwaltung aktivieren
Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder aktivieren AWS Tools for Windows PowerShell.
Sie müssen die Standardkonfiguration für die Hostverwaltung einzeln in jeder Region aktivieren, in der Ihre Amazon-EC2-Instances mit dieser Einstellung verwaltet werden sollen.
Nachdem Sie die Standardkonfiguration für die Hostverwaltung aktiviert haben, kann es bis zu 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der Rolle verwenden, die Sie im folgenden Verfahren in Schritt 5 ausgewählt haben.
**So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.
1. Wählen Sie im **Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung konfigurieren**.
1. Aktivieren Sie **Standardkonfiguration für die Host-Verwaltung aktivieren**.
1. Wählen Sie die AWS Identity and Access Management (IAM) -Rolle aus, die verwendet wird, um die Systems Manager Manager-Tools für Ihre Instances zu aktivieren. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Sie enthält die Mindestberechtigungen für die Verwaltung Ihrer Amazon-EC2-Instances mit Systems Manager. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.
1. Wählen Sie **Konfigurieren**, um die Einrichtung abzuschließen.
**So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)**
1. Erstellen Sie auf Ihrem lokalen Computer eine JSON-Datei, die die folgende Vertrauensbeziehungsrichtlinie enthält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie je nach Betriebssystemtyp Ihres lokalen Computers einen der folgenden Befehle aus, um eine Servicerolle in Ihrem Konto zu erstellen. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
```
------
#### [ PowerShell ]
```
New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"
```
------
1. Führen Sie den folgenden Befehl aus, um Ihrer neu erstellten Rolle die von `AmazonSSMManagedEC2InstanceDefaultPolicy` verwaltete Richtlinie anzufügen. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ PowerShell ]
```
Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"
```
------
1. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
```
------
Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.
1. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für die Standard-Hostverwaltungskonfiguration im aktuellen AWS-Konto und anzuzeigen AWS-Region.
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ PowerShell ]
```
Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
```
------
Der Befehl gibt Informationen wie die folgenden zurück.
```
{
"ServiceSetting": {
"SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
"SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
"LastModifiedUser": "System",
"ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
"Status": "Custom"
}
}
```
## Die Umgebung der Standardkonfiguration für die Host-Verwaltung deaktivieren
Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder deaktivieren AWS Tools for Windows PowerShell.
Sie müssen die Einstellung Standardmäßige Hostverwaltungskonfiguration nacheinander in jeder Region deaktivieren, in der Ihre Amazon-EC2-Instances nicht mehr von dieser Konfiguration verwaltet werden sollen. Wenn Sie sie in einer Region deaktivieren, wird sie nicht in allen Regionen deaktiviert.
Wenn Sie die Standardkonfiguration für die Host-Verwaltung ausschalten und Ihren Amazon-EC2-Instances kein Instance-Profil zugeordnet haben, das den Zugriff auf Systems Manager ermöglicht, werden diese nicht mehr von Systems Manager verwaltet.
**So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.
1. Wählen Sie im **Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung**.
1. Deaktivieren Sie **Einstellung der Standardkonfiguration für die Host-Verwaltung aktivieren**.
1. Wählen Sie **Konfigurieren**, um die Standardkonfiguration für die Host-Verwaltung zu deaktivieren.
**So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)**
+ Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ Windows ]
```
aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ PowerShell ]
```
Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
```
------
## Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung
Die folgenden Beispielrichtlinien zeigen, wie Sie verhindern können, dass Mitglieder Ihrer Organisation Änderungen an der Standardkonfiguration für die Host-Verwaltung in Ihrem Konto vornehmen.
### Richtlinie zur Dienststeuerung für AWS Organizations
Die folgende Richtlinie zeigt, wie Sie verhindern können, dass Mitglieder, die keine Administratorrechte haben, Ihre AWS Organizations Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:ResetServiceSetting"
],
"Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
"Condition": {
"StringNotEqualsIgnoreCase": {
"aws:PrincipalTag/job-function": [
"administrator"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
},
"StringNotEqualsIgnoreCase": {
"aws:PrincipalTag/job-function": [
"administrator"
]
}
}
},
{
"Effect": "Deny",
"Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole"
],
"Condition": {
"StringNotEqualsIgnoreCase": {
"aws:PrincipalTag/job-function": [
"administrator"
]
}
}
}
]
}
```
------
### Richtlinie für IAM-Prinzipale
Die folgende Richtlinie zeigt, wie Sie verhindern können, dass IAM-Gruppen, -Rollen oder Benutzer in AWS Organizations Ihrem Unternehmen Ihre Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:ResetServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
}
]
}
```
------