Schritt 1: Erfüllen der Session Manager-Voraussetzungen - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Erfüllen der Session Manager-Voraussetzungen

Stellen Sie vor der Verwendung von Session Manager sicher, dass Ihre Umgebung den folgenden Anforderungen entspricht.

Session Manager-Voraussetzungen
Anforderung Description

Unterstützte Betriebssysteme

Session Managerunterstützt die Verbindung zu Amazon Elastic Compute Cloud (Amazon EC2) -Instances sowie zu EC2 Nicht-Maschinen in Ihrer Hybrid- und Multi-Cloud-Umgebung, die die Advanced-Instance-Stufe verwenden.

Session Manager unterstützt die folgenden Betriebssystemversionen:

Anmerkung

Session Managerunterstützt EC2 Instances, Edge-Geräte sowie lokale Server und virtuelle Maschinen (VMs) in Ihrer Hybrid- und Multi-Cloud-Umgebung, die die Stufe „Advanced-Instances“ verwenden. Weitere Informationen über erweiterte Instances finden Sie unter Konfigurieren von Instance-Kontingenten.

Linux und macOS

Session Managerunterstützt alle Versionen von Linux undmacOS, die von unterstützt werden. AWS Systems Manager Weitere Informationen finden Sie unter Unterstützte Betriebssysteme und Maschinentypen.

Windows

Session Manager unterstützt Windows Server 2012 und höher.

Anmerkung

Microsoft Windows Server 2016 Nano wird nicht unterstützt.

SSM Agent

Auf den verwalteten Knoten, zu denen Sie über Sitzungen eine Verbindung herstellen möchten, muss mindestens AWS Systems Manager SSM Agent Version 2.3.68.0 oder höher installiert sein.

Um die Option zum Verschlüsseln von Sitzungsdaten mithilfe eines in AWS Key Management Service (AWS KMS) erstellten Schlüssels verwenden zu können, SSM Agent muss Version 2.3.539.0 oder höher auf dem verwalteten Knoten installiert sein.

Um Shell-Profile in einer Sitzung zu verwenden, muss SSM Agent Version 3.0.161.0 oder höher auf dem verwalteten Knoten installiert sein.

Um eine Session Manager-Port-Weiterleitung oder SSH-Sitzung zu starten, muss SSM Agent Version 3.0.222.0 oder höher auf dem verwalteten Knoten installiert sein.

Um Sitzungsdaten mit Amazon CloudWatch Logs zu streamen, muss SSM Agent Version 3.0.284.0 oder höher auf dem verwalteten Knoten installiert sein.

Informationen zum Ermitteln der auf einer Instance ausgeführten Versionsnummer finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Informationen über das manuelle Installieren oder automatische Aktualisieren von SSM Agent finden Sie unter Arbeiten mit SSM Agent.

Über das ssm-user-Konto

Beginnend mit Version 2.3.50.0 von SSM Agent erstellt der Agent unter Verwendung der Root- oder Administratorberechtigungen ein Benutzerkonto auf dem verwalteten Knoten, das ssm-user genannt wird. (Auf Versionen vor 2.3.612.0 wird das Konto erstellt, wenn SSM Agent startet oder neu startet. Auf Version 2.3.612.0 und höher wird ssm-user erstellt, wenn eine Sitzung auf dem verwalteten Knoten zum ersten Mal gestartet wird.) Sitzungen werden mittels der Anmeldeinformationen für dieses Benutzerkonto gestartet. Weitere Informationen zum Einschränken der administrativen Kontrolle für dieses Konto finden Sie unter Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto.

ssm-user auf Windows Server-Domain-Controller

Ab SSM Agent Version 2.3.612.0 wird das ssm-user-Konto nicht automatisch auf verwalteten Knoten erstellt, die als Windows Server-Domain-Controller verwendet werden. Um Session Manager auf einer Windows Server-Maschine zu verwenden, die als Domain-Controller verwendet wird, erstellen Sie das ssm-user-Konto manuell, sofern es noch nicht vorhanden ist, und weisen dem Benutzer Domain-Administratorberechtigungen zu. Unter Windows Server legt SSM Agent bei jedem Start einer Sitzung ein neues Passwort für das ssm-user-Konto fest. Es ist also nicht erforderlich, ein Passwort anzugeben, wenn Sie das Konto erstellen.

Konnektivität mit Endpunkten

In diesem Fall müssen die verwalteten Knoten auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten zulassen:

  • ec2-Nachrichten. region.amazonaws.com

  • ssm. region.amazonaws.com

  • SMS-Nachrichten. region.amazonaws.com

Weitere Informationen finden Sie unter den folgenden Themen:

Alternativ können Sie sich über Schnittstellenendpunkte mit den erforderlichen Endpunkten verbinden. Weitere Informationen finden Sie unter Schritt 6: (Optional) Verwenden von AWS PrivateLink zum Einrichten eines VPC-Endpunkts für Session Manager.

AWS CLI

(Optional) Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, um Ihre Sitzungen zu starten (anstatt die AWS Systems Manager Konsole oder die EC2 Amazon-Konsole zu verwenden), muss Version 1.16.12 oder höher der CLI auf Ihrem lokalen Computer installiert sein.

Zum Überprüfen der Version können Sie den Befehl aws --version aufrufen.

Wenn Sie die CLI installieren oder aktualisieren müssen, finden Sie weitere Informationen unter Installation von AWS Command Line Interface im AWS Command Line Interface Benutzerhandbuch.

Wichtig

Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

Um die CLI zur Verwaltung Ihrer Knoten mit Session Manager verwenden zu können, müssen Sie zunächst das Session Manager-Plugin auf Ihrer lokalen Maschine installieren. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugin für die AWS CLI.

Aktivieren des Advanced-Instances-Kontingents (Hybrid- und Multi-Cloud-Umgebungen)

Um eine Verbindung zu EC2 Computern herzustellen, die keine Computer verwendenSession Manager, müssen Sie die Stufe Advanced-Instances in der Kategorie AWS-Konto und AWS-Region dort, wo Sie Hybrid-Aktivierungen erstellen, aktivieren, um EC2 Maschinen ohne Computer als verwaltete Knoten zu registrieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Weitere Informationen zum Aktivieren des Advanced-Instances-Kontingent finden Sie unter Konfigurieren von Instance-Kontingenten.

Überprüfen der Berechtigungen für IAM-Servicerollen (Hybrid- und Multi-Cloud-Umgebungen)

Hybrid-aktivierte Knoten verwenden die in der Hybrid-Aktivierung angegebene AWS Identity and Access Management (IAM) -Servicerolle, um mit Systems Manager Manager-API-Vorgängen zu kommunizieren. Diese Servicerolle muss die Berechtigungen enthalten, die zum Herstellen einer Verbindung mit Ihren Hybrid- und Multi-Cloud-Maschinen mit Session Manager erforderlich sind. Wenn Ihre Servicerolle die AWS verwaltete Richtlinie enthältAmazonSSMManagedInstanceCore, Session Manager sind die erforderlichen Berechtigungen für bereits bereitgestellt.

Wenn Sie feststellen, dass die Servicerolle nicht die erforderlichen Berechtigungen enthält, müssen Sie die verwaltete Instance abmelden und sie bei einer neuen Hybrid-Aktivierung registrieren, die eine IAM-Servicerolle mit den erforderlichen Berechtigungen verwendet. Informationen über das Abmelden verwalteter Instances finden Sie unter Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung. Weitere Informationen zum Erstellen von IAM-Richtlinien mit Session Manager-Berechtigungen finden Sie unter Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager.