• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ausführen von Knotenverwaltungsaufgaben mit AWS Systems Manager
In den folgenden Themen wird beschrieben, wie allgemeine Knotenaufgaben mithilfe der einheitlichen AWS Systems Manager Konsole für eine AWS Organizations Organisation und einen einzelnen Knoten ausgeführt AWS-Konten werden.
**Topics**
+ [Überprüfen von Erkenntnissen](review-node-insights.md)
+ [Erkunden von Knoten](view-aggregated-node-details.md)
+ [Just-in-time Knotenzugriff mit Systems Manager](systems-manager-just-in-time-node-access.md)
+ [Diagnose und Abhilfemaßnahmen](diagnose-and-remediate.md)
+ [Systems-Manager-Einstellungen anpassen](settings-overview.md)
# Überprüfen von Erkenntnissen
Mithilfe der einheitlichen Systems Manager-Konsole können Sie Einblicke in den Gesamtstatus verwalteter Knoten und nicht verwalteter EC2 Instanzen in Ihrer Organisation oder Ihrem Konto gewinnen.
Systems Manager bietet einen visuellen Überblick über Ihre verwalteten Knoten und EC2 Instanzen, die noch nicht von Systems Manager verwaltet werden. (Ein verwalteter Knoten ist jede Maschine, die für die Verwendung mit Systems Manager in [Hybrid- und Multi-Cloud](operating-systems-and-machine-types.md#supported-machine-types)-Umgebungen konfiguriert ist. Informationen zu unterstützten Maschinentypen finden Sie unter [Unterstützte Maschinentypen in Hybrid- und Multi-Cloud-Umgebungen](operating-systems-and-machine-types.md#supported-machine-types).)
Dieser Überblick wird in einzelnen Berichtsfeldern, sogenannten *Widgets*, bereitgestellt, die interaktive Kreisdiagramme und andere Grafiken enthalten.
**Bevor Sie beginnen**
Um Knoteneinblicke zu überprüfen, müssen Sie zunächst Ihre Organisation oder Ihr Konto in die vereinheitlichte Systems-Manager-Konsole integrieren. Weitere Informationen finden Sie unter [Einrichten von AWS Systems Manager](systems-manager-setting-up-console.md).
Öffnen Sie nach dem Onboarding die [Systems-Manager-Konsole](https://console.aws.amazon.com/systems-manager/explorer) und wählen Sie **Knoteneinblicke überprüfen** aus.
Die folgende Abbildung zeigt die einzelnen Berichtsfelder, *Widgets*, genannt, die auf der Seite **Knoteneinblicke überprüfen** verfügbar sind.
![\[Knotendaten werden auf der Seite Knoteneinblicke überprüfen von Systems Manager angezeigt\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/SYS2-Dashboard-Nodes.png)
Die Anzeige unterstützt Widgets, die Ihnen die folgenden Informationen liefern.
**Zusammenfassung des Knotens**
Gibt an, wie viele EC2 Instanzen in Ihrer Organisation oder Ihrem Konto derzeit keine verwalteten Knoten sind und wie viele verwaltete Knoten sich in der Flotte Ihrer Organisation oder Ihres Kontos befinden.
**Was ist eine nicht verwaltete Instance?**
Wenn Sie eine verwaltete EC2 Instanz beenden, wird sie in der Systems Manager Manager-Konsole als „Nicht verwaltet“ gemeldet. Dieses Verhalten ist zu erwarten, da SSM Agent keine aktive Verbindung zum Service hat.
Dies unterscheidet sich von der AWS Config Definition einer Instanz als nicht verwaltet. Wenn eine Instanz derzeit gestoppt ist, wird der Status der Instanz AWS Config gemeldet, als das letzte Mal eine „Heartbeat“ -Verbindung zwischen SSM Agent der Instanz und dem Systems Manager Manager-Dienst hergestellt wurde.
Wenn die Instanz neu gestartet wird, stellt sie automatisch wieder eine Verbindung zum Systems-Manager-Service her, und ihr Status in der vereinheitlichten Konsole wird innerhalb von fünf Minuten auf „Verwaltet“ zurückgesetzt. Es ist kein manuelles Eingreifen erforderlich, und alle Systems Manager Manager-Konfigurationen für die Instanz werden während des Stop/Start Zyklus beibehalten.
Wenn die Instance jedoch einige Minuten nach dem Start immer noch nicht als „Verwaltet“ gemeldet wird, ist sie wahrscheinlich nicht richtig für die Systems-Manager-Verwaltung konfiguriert. In diesem Fall empfehlen wir, eine Diagnose durchzuführen, um festzustellen, warum sich die Instance weiterhin in einem nicht verwalteten Zustand befindet. Weitere Informationen finden Sie unter [Diagnose und Behebung nicht verwalteter Amazon-EC2-Instances in Systems Manager](remediating-unmanaged-instances.md).
Wenn der Diagnosescan das Problem nicht ermitteln kann, überprüfen Sie anhand der folgenden ThemenSSM Agent, ob die Anforderungen für AWS Identity and Access Management (IAM) -Rollen und die Voraussetzungen für Systems Manager erfüllt sind:
+ [Fehlerbehebung für SSM Agent](troubleshooting-ssm-agent.md)
+ [Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md)
+ [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md)
**Typen verwalteter Knoten**
Gibt an, wie viele verwaltete Knoten in Ihrer Flotte EC2 Instanzen sind und wie viele andere Servertypen es gibt, darunter Server in Ihren eigenen Räumlichkeiten (lokale Server), AWS IoT Greengrass Kerngeräte AWS IoT und Geräte, die keine AWS Edge-Geräte sind, sowie virtuelle Maschinen (VMs), auch VMs in anderen Cloud-Umgebungen. Sie können den Mauszeiger über die Grafik mit den **Knotentypen** bewegen, um Links zu weiteren Details auf der Seite **Knoten erkunden** aufzurufen.
Weitere Informationen zur AWS Unterstützung von Hybrid- und Multicloud-Umgebungen finden Sie unter [AWS Lösungen für Hybrid- und](https://aws.amazon.com/hybrid-multicloud/) Multicloud-Umgebungen.
**SSM Agent-Versionen**
Enthält Informationen zu Installationen von AWS Systems Manager Agent (SSM Agent) in Ihrer Flotte. SSM Agentist Amazon-Software, die auf Ihren verwalteten Knoten läuft. SSM Agentermöglicht es Systems Manager, diese Ressourcen zu aktualisieren, zu verwalten und zu konfigurieren. Der Agent verarbeitet Anfragen vom Systems Manager Manager-Dienst in der AWS Cloud und führt sie dann wie in der Anfrage angegeben aus.
Für verwaltete Knoten in Ihrer Flotte berichtet dieses Widget über die SSM Agent-Versionen in Ihrer Flotte, von den neuesten bis zu den ältesten. Sie können den Mauszeiger über die **SSM Agent-Versionsgrafik** bewegen, um auf der Seite **Knoten erkunden** auf Links zu weiteren Details zuzugreifen.
Mehr über SSM Agent erfahren Sie unter [Arbeiten mit SSM Agent](ssm-agent.md).
**Betriebssysteme für verwaltete Knoten**
Bietet eine Aufschlüsselung des Prozentsatzes der einzelnen Betriebssysteme auf verwalteten Knoten in Ihrer Flotte. Sie können den Mauszeiger über die Grafik **Verwaltete Knoten nach Betriebssystemen** bewegen, um Links zu weiteren Informationen auf der Seite **Knoten erkunden** aufzurufen.
Sie können das Widget-Layout auf der Seite „**Knoteninformationen überprüfen**“ anpassen, indem Sie eine drag-and-drop Funktion verwenden und Widgets entfernen und der Anzeige hinzufügen.
Verwenden Sie die Informationen in den folgenden Themen, die Ihnen beim Arbeiten mit den Systems Manager Node Insights Widgets helfen.
**Topics**
+ [Hinzufügen oder Entfernen von Widgets auf der Seite mit den **Erkenntnissen des Review-Knoten**](review-node-insights-add-and-remove-widgets.md)
+ [Widgets auf der Seite mit den Erkenntnissen des **Überprüfungsknotens** neu anordnen](review-node-insights-rearrange-widgets.md)
# Hinzufügen oder Entfernen von Widgets auf der Seite mit den **Erkenntnissen des Review-Knoten**
Sie können das Layout auf der Seite mit den **Erkenntnissen zum Review-Knoten** von Systems Manager anpassen, indem Sie Widgets hinzufügen und entfernen.
**Anmerkung**
Standardmäßig werden auf der Seite alle verfügbaren Widgets angezeigt.
**So fügen Sie Widgets auf der Seite mit den **Erkenntnissen des Review-Knoten** hinzu oder entfernen diese**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im linken Navigationsbereich **Erkenntnisse des Überprüfungsknotens** aus.
1. Gehen Sie wie folgt vor, um ein Widget von der Anzeige zu entfernen:
1. Wählen Sie das Menü Weitere Optionen (![\[The More options menu\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/more-options-menu-widgets.png)) für das Widget.
1. Wählen Sie **Remove widget** (Widget entfernen) aus.
1. Gehen Sie wie folgt vor, um der Anzeige ein Widget hinzuzufügen:
1. Wählen Sie **Widgets hinzufügen** aus.
1. Klicken **Sie im Bereich Widgets hinzufügen** auf den Ziehgriff (![\[The drag handle\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) des Widgets, das Sie der Anzeige hinzufügen möchten, und halten Sie die Maustaste gedrückt.
1. Ziehen Sie das Widget und legen Sie es im Hauptbereich ab.
# Widgets auf der Seite mit den Erkenntnissen des **Überprüfungsknotens** neu anordnen
Sie können das Layout auf der Seite mit den **Erkenntnissen des Review-Knotens** anpassen, indem Sie die Widgets neu anordnen.
**So können Sie Widgets auf der Seite mit den Erkenntnissen des **Überprüfungsknotens** neu anordnen**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Erkenntnisse des Überprüfungsknotens** aus.
1. Um das Widget-Layout anzupassen, wählen Sie ein Widget aus, das Sie verschieben möchten. Klicken Sie auf den Namen des Ziehgriffs (![\[The drag handle\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/drag-handle-dashboard.png)), halten Sie ihn und ziehen Sie ihn dann an seine neue Position.
1. Wiederholen Sie diesen Vorgang für jedes Widget, das Sie neu positionieren möchten.
Wenn Sie sich entscheiden, dass Ihnen das neue Layout nicht gefällt, wählen Sie **Auf benutzerdefiniertes Layout zurücksetzen**, um alle Widgets wieder an ihren ursprünglichen Speicherort zu verschieben.
# Erkunden von Knoten
Auf der Seite **Knoten erkunden** in Systems Manager können Sie die Details der verwalteten Knoten in Ihrer Organisation oder Ihrem Konto anhand der Kriterien überprüfen, die Sie in Filtern angeben. Sie können auch die Systems-Manager-Integration mit Amazon Q Developer (Amazon Q), einer AWS generativen KI-Lösung, verwenden, um mithilfe von Text-Prompts zu suchen.
**Bevor Sie beginnen**
Um das Feature **Knoten erkunden** verwenden zu können, müssen Sie zunächst Ihre Organisation oder Ihr Konto in die vereinheitlichte Systems Manager-Konsole integrieren. Weitere Informationen finden Sie unter [Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation](systems-manager-setting-up-organizations.md).
Öffnen Sie nach dem Onboarding die [Systems-Manager-Konsole](https://console.aws.amazon.com/systems-manager/) und wählen Sie **Knoten erkunden**.
**Anmerkung**
Wenn Sie einen Aggregatorindex für Resource Explorer in einer anderen Region als Ihrer Heimatregion erstellt haben, stuft Systems Manager den aktuellen Index herab. Anschließend bewirbt Systems Manager den lokalen Index in Ihrer Heimatregion als neuen Aggregatorindex. Während dieser Zeit werden nur Knoten für Ihre Heimatregion angezeigt. Dieser Vorgang kann bis zu 24 Stunden dauern.
**Topics**
+ [Erkunden von Knoten mithilfe von Konsolenfiltern](view-aggregated-node-details-console.md)
+ [Erkunden von Knoten mithilfe von Text-Prompts in Amazon Q](view-aggregated-node-details-Q.md)
+ [Details zu einzelnen Knoten anzeigen und Maßnahmen für einen Knoten ergreifen](node-detail-actions.md)
+ [Bericht über verwaltete Knoten herunterladen oder exportieren](explore-nodes-download-report.md)
+ [Inhalt und Erscheinungsbild von Knotenberichten verwalten](explore-nodes-manage-report-display.md)
# Erkunden von Knoten mithilfe von Konsolenfiltern
In der Systems-Manager-Konsole können Sie dann Ihre verwalteten Knoten nach den folgenden Ansichten gruppieren:
------
#### [ All nodes (No filter) ]
Listet alle verwalteten Knoten in Ihrem Unternehmen oder Konto auf.
![\[Eine Liste der verwalteten Knoten auf der Seite Knoten erkunden\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/2-explore-nodes-managed-nodes.png)
------
#### [ Node types ]
Bietet Registerkarten für die separate Anzeige von Daten für Amazon Elastic Compute Cloud (Amazon EC2) -Instances und andere Maschinentypen, einschließlich Server in Ihren eigenen Räumlichkeiten (lokale Server), AWS IoT Greengrass Kerngeräte AWS IoT und AWS Nicht-Edge-Geräte sowie virtuelle Maschinen (VMs), auch VMs in anderen Cloud-Umgebungen.
![\[Listen der verwalteten Knoten auf Knoten-Registerkarten\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/2-explore-nodes-node-types.png)
------
#### [ Operating systems ]
Stellt eine Registerkarte für jeden Betriebssystemtyp in Ihrer Organisation oder Ihrem Konto bereit, z. B. **Amazon Linux** und **Microsoft Windows Server 2022 Datacenter**. Auf jeder Registerkarte können Sie die Liste weiter filtern, indem Sie nur bestimmte Versionen der Betriebssysteme auswählen, z. B. *Amazon Linux 2* und *Amazon Linux 2023*.
![\[Listen der verwalteten Knoten auf den Betriebssystem-Registerkarten\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/2-explore-nodes-operating-system.png)
------
#### [ SSM-Agent versions ]
Stellt eine Registerkarte für jede Version von SSM Agent bereit, die auf verwalteten Knoten in Ihrer Flotte installiert ist. Auf jeder Registerkarte können Sie die Liste weiter filtern, indem Sie nur bestimmte Betriebssysteme wie **Amazon Linux** und **Microsoft Windows Server 2022 Datacenter** auswählen.
![\[Listen der verwalteten Knoten auf Agenten-Registerkarten\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/2-explore-nodes-agent-versions.png)
------
Darüber hinaus können Sie für jede dieser Ansichten die Liste der gemeldeten Knoten weiter verfeinern, indem Sie festlegen, dass nur Knoten für eine bestimmte Eigenschaft angezeigt werden, z. B. für den Knotenstatus, die AWS-Konto -ID, die ID der Organisationseinheit und mehr.
Sie können die Berichtsanzeige anpassen, indem Sie auswählen, welche der verfügbaren Datenspalten auf der Seite **Knoten durchsuchen** angezeigt werden. Sie können auch Berichte in `CSV`- oder `JSON`-Formaten herunterladen oder Berichte im `CSV`-Format nach Amazon S3 exportieren.
**Topics**
+ [Auswahl einer Filteransicht für Zusammenfassungen verwalteter Knoten](explore-nodes-filter-view.md)
# Auswahl einer Filteransicht für Zusammenfassungen verwalteter Knoten
Auf der Seite **Knoten erkunden** in Systems Manager können Sie aggregierte Daten über Ihre Flotte anhand einer Reihe verfügbarer Filteransichten anzeigen.
**So wählen Sie eine Filteransicht für Zusammenfassungen verwalteter Knoten aus**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Knoten erkunden** aus.
1. Wählen Sie für die **Filteransicht** eine der Filteroptionen aus und verfeinern Sie den Bericht optional weiter:
+ **Verwaltete Knoten** – Im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) können Sie eine Eigenschaft und ein Trennzeichen auswählen, z. B. `Node type = Managed EC2 instances`.
+ **Betriebssysteme** – In der Liste **Betriebssystemversionen filtern** können Sie eine Betriebssystemversionsnummer auswählen. Im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) können Sie eine Eigenschaft und ein Trennzeichen auswählen, z. B `Node type = Managed EC2 instances`.
+ **SSM Agent-Versionen** – In der Liste **Betriebssysteme filtern** können Sie einen Betriebssystemnamen auswählen. Im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) können Sie eine Eigenschaft und ein Trennzeichen auswählen, z. B `Node type = Managed EC2 instances`.
+ **Knotentypen** – In der Liste **Betriebssysteme filtern** können Sie einen Betriebssystemnamen auswählen. Im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) können Sie eine Eigenschaft und ein Trennzeichen auswählen, z. B `Node type = Managed EC2 instances`.
Nachdem Sie die Liste optional gefiltert haben, können Sie Details zu einem bestimmten verwalteten Knoten anzeigen, indem Sie dessen ID in der Spalte **Knoten-ID** auswählen. In dieser Detailansicht können Sie eine Reihe von Aktionen auf dem Knoten ausführen.
# Erkunden von Knoten mithilfe von Text-Prompts in Amazon Q
Mithilfe der Systems-Manager-Integration mit Amazon Q Developer können Sie Text-Prompts verwenden, um Informationen zu Ihren verwalteten Knoten anzuzeigen, die von generativer KI erstellt wurden.
Amazon Q Developer ist ein generativer KI-gestützter Konversationsassistent, der Ihnen helfen kann, Anwendungen zu verstehen, zu erstellen, zu erweitern und zu betreiben AWS . Damit Sie schneller darauf aufbauen können AWS, wird das Modell, das Amazon Q zugrunde liegt, um qualitativ hochwertige AWS Inhalte erweitert, um vollständigere, umsetzbarere und referenziertere Antworten zu erhalten. Weitere Informationen finden Sie unter [Was ist Amazon Q Developer?](https://docs.aws.amazon.com/amazonq/latest/aws-builder-use-ug/what-is.html) im *Benutzerhandbuch zu Amazon Q Developer*.
Durch die Integration zwischen Systems Manager und Amazon Q erhalten Sie schnell Transparenz und Kontrolle über große, verteilte Umgebungen in mehreren AWS-Konten Regionen. Sie können Abfragen in natürlicher Sprache verwenden, um Knotendaten schnell zu durchsuchen und dann Probleme zu identifizieren und schneller Maßnahmen zu ergreifen.
Wenn Sie eine Frage in natürlicher Sprache zu verwalteten Knoten oder verwalteten Instances stellen, verwendet Amazon Q die Systems-`ListNodes`-Manager-Aktion und erstellt Filter auf der Grundlage Ihrer Texteingabe, um Ergebnisse abzurufen.
Angenommen, Sie geben Amazon Q den folgenden Prompt:
**List my managed nodes running Red Hat Enterprise Linux 9.2**
Amazon Q bestimmt, welche Filter in eine Anfrage aufgenommen werden sollen, und führt dann eine Abfrage aus, die der folgenden ähnelt:
```
aws ssm list-nodes \
--filters Key=PlatformName,Values='Red Hat Enterprise Linux',Type=Equal Key=PlatformVersion,Values=9.2,Type=Equal
```
Amazon Q generiert dann einen Bericht über Red Hat Enterprise Linux Instances in Ihrem Konto, der Informationen wie die Anzahl der Instances IDs, ihre und ihre Regionen auflistet.
Sie können auch eine JSON-Zusammenfassung der Details jeder Instance anzeigen und einen Link öffnen, um die gesamte Liste der EC2-Instances oder verwalteten Knoten auf der Seite **Knoten durchsuchen** von Systems Manager anzuzeigen. **Knoten erkunden** zeigen Ergebnisse an, die den Filterkriterien entsprechen, die Sie in Ihrem Prompt angegeben haben. Von dort aus können Sie die Filter für Ihre Anfrage ändern oder verfeinern, wie unter [Erkunden von Knoten](view-aggregated-node-details.md) beschrieben.
**Topics**
+ [Lernen Sie, effektive Prompts zu erstellen, um Amazon Q nach Ihrer Flotte zu fragen](view-aggregated-node-details-Q-prompts.md)
+ [Verwaltete Knoten mit Amazon Q erkunden](explore-managed-nodes-using-Q.md)
# Lernen Sie, effektive Prompts zu erstellen, um Amazon Q nach Ihrer Flotte zu fragen
Je besser die Frage oder der Prompt ist, die Sie Amazon Q geben, desto besser ist das Ergebnis, das Sie erhalten.
**Tipps für Abfrage-Prompts**
Beachten Sie die folgenden Tipps, wenn Sie Amazon Q nach Ihrer Flotte fragen:
1. Um die Genauigkeit Ihrer Ergebnisse zu verbessern, verwenden Sie in Ihren Eingabe-Prompts die Begriffe „verwaltete Knoten“ und „verwaltete Instances“ statt nur „Knoten“ und „Instances“.
1. Um Ergebnisse für mehrere Konten abzufragen, die Teil einer *Organisation* sind, wie unter konfiguriert AWS Organizations, müssen Sie mit dem delegierten Administratorkonto in der angegebenen Heimatregion angemeldet sein.
1. Verwenden Sie im delegierten Administratorkonto Begriffe, um Amazon Q zu verdeutlichen, dass Sie nach Knoten und Instances in der gesamten Organisation fragen, indem Sie speziell Begriffe wie „in meiner Organisation“ oder „in meinem Konto 123456789012“ verwenden.
**Topics**
+ [Beispielfragen für Amazon Q](#sample-questions-Q)
+ [Unterstützte Betriebssystemnamen und Versionen für Eingabe-Prompts](#supported-os-names-Q)
## Beispielfragen für Amazon Q
In der folgenden Tabelle finden Sie Beispielfragen, die zeigen, wie Sie Abfragen von Amazon Q erstellen können, die zu besseren Ergebnissen führen.
Wir stellen auch Beispiele für die Filter bereit, die Amazon Q bei der Ausführung des [ListNodes](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListNodes.html)Befehls anwendet und die aus dem Inhalt Ihrer Aufforderung generiert werden.
| Beispiel für eine Frage in natürlicher Sprache | Amazon Q hat Filter angewendet |
| --- | --- |
| Show me my Windows managed nodes. | PlatformType = Windows
|
| List my managed instances in account 123456789012. | AccountId = 123456789012
|
| Show me all managed nodes running Amazon Linux 2 across my organization. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| Show me all managed instances running Microsoft Windows Server 2019 Datacenter in my organization. | PlatformName = Microsoft Windows Server 2019 Datacenter
|
| Can you show me all managed nodes with SSM Agent version 3.3.1142.0? | AgentType = amazon-ssm-agent
AgentVersion = 3.3.1142.0
|
| List all Amazon Linux 2 managed instances in account 123456789012 that have SSM Agent version 3.3.1230.0. | PlatformName = Amazon Linux
PlatformVersion = 2
AccountId = 123456789012
AgentType = amazon-ssm-agent
AgentVersion = 3.3.1230.0
|
| What Microsoft Windows Server 2012 R2 Enterprise managed nodes are running in the eu-central-1 region across my entire organization? | PlatformName = Microsoft Windows Server 2012 R2 Enterprise
Region = eu-central-1
|
| Show me all managed instances running Red Hat Linux 7 in ou-d6ty-gxdma6vm. | PlatformName = RHEL Linux
PlatformVersion = 7
OrganizationalUnitId = ou-d6ty-gxdma6vm
|
| What Ubuntu managed instances are in account 123456789012? | PlatformName = Ubuntu
AccountId = 123456789012
|
| List my Linux managed instances. | PlatformType = Linux
|
| Find my macOS managed nodes. | PlatformType = macOS
|
| Show me all versions of Amazon Linux managed nodes in my org. | PlatformName = Amazon Linux
|
| List managed nodes running Amazon Linux 2. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| List the managed nodes with Ubuntu 16.04 in account 123456789012. | PlatformName = Ubuntu
PlatformVersion = 16.04
AccountId = 123456789012
|
| Find all managed nodes that have an SSM Agent version that is not 3.3.987.0. | AgentType = amazon-ssm-agent
AgentVersion != 3.3.987.0
|
| List all managed instances that are not running a Linux operating system. | PlatformType != Linux
|
## Unterstützte Betriebssystemnamen und Versionen für Eingabe-Prompts
Wenn Sie Amazon Q nach den verwalteten Knoten in Ihrem Konto fragen, ist es hilfreich, den Namen eines Betriebssystems mit der Bezeichnung im Systems Manager anzugeben. Sie können auch Versionsnummern angeben, um Ihre Ergebnisse weiter einzugrenzen. Wie in den folgenden Tabellen dargestellt, könnten Sie beispielsweise nach Ergebnissen fragen, die sich speziell auf **macOS 14.5**, **Microsoft Windows Server 2019 Datacenter** und **AlmaLinux 9.2 through 9.4** beziehen, um nur einige Beispiele zu nennen.
Diese Listen sind möglicherweise nicht vollständig und werden nur als Beispiele angeboten.
**macOS**
| Plattformname | Versionsnummern |
| --- | --- |
| macOS | 13.2, 13.4, 13.7, 14.1, 14.5, 14.6.1, 15.0 |
**Windows**
| Versionen | Versionsnummern |
| --- | --- |
| Microsoft Windows Server 2012 R2 Rechenzentrum | 6.3.9600 |
| Microsoft Windows Server 2012 R2 Standard | 6,3,9600 |
| Microsoft Windows Server 2012 Standard | 6.2.9200 |
| Microsoft Windows Server 2016 Rechenzentrum | N/A |
| Microsoft Windows Server 2016 Standard | 10.0.14393 |
| Microsoft Windows Server 2019 Rechenzentrum | N/A |
| Microsoft Windows Server 2019 Standard | N/A |
| Microsoft Windows Server 2022 Rechenzentrum | N/A |
| Microsoft Windows Server 2022 Standard | 10,0,20348 |
**Linux**
| Plattformnamen | Versionsnummern |
| --- | --- |
| AlmaLinux | 8.10, 9.2, 9.3, 9.4 |
| Amazon Linux 2 | 2.0 und höher |
| Amazon Linux 2023 | 2023.0.20230315.0 und höher |
| BottleRocket | 1.14.3, 1.16.1, 1.18.0, 1.19.1, 1.19.2, 1.19.5, 1.20.0, 1.20.1, 1.20.2, 1.20.3, 1.20.5, 1.21.1, 1.23.0, 1.24.0, 1.24.1, 1.25.0, 1.26.1, |
| CentOS Stream | 9 |
| Debian GNU/Linux | 11-12 |
| Oracle Linux Server | 7.8, 8.2, 8.3, 8.8, 8.9, 8.10, 9.4 |
| Red Hat Enterprise Linux | 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.2, 9.3, 9.4 |
| Red Hat Enterprise Linux-Server | 17.3, 7.6, 7.7, 7.8, 7.9 |
| Rocky Linux | 8.6, 8.7, 8.8, 8.9, 8.10, 9.1, 9.2, 9.3, 9.4 |
| Ubuntu Server | 16.04, 18.04, 20.04, 22.04, 24.04 |
# Verwaltete Knoten mit Amazon Q erkunden
Die Systems Manager Manager-Integration mit Amazon Q Developer ermöglicht es Ihnen, Fragen zu verwalteten Knoten in Ihrer Flotte von überall dort aus zu stellen, AWS-Managementkonsole wo die Amazon Q-Schnittstelle verfügbar ist.
Weitere Informationen zur Interaktion mit Amazon Q finden Sie unter [Chatten mit Amazon Q Developer überr AWS](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/chat-with-q.html) im *Benutzerhandbuch zu Amazon Q Developer*.
**So können Sie verwaltete Knoten mit Amazon Q erkunden**
1. Wählen Sie an einer beliebigen Stelle in der AWS-Managementkonsole das Amazon Q-Symbol (![\[The Amazon Q icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/q-icon-white.png)).
1. Stellen Sie im Prompt-Feld unten im Amazon-Q-Bereich eine Frage zu verwalteten Knoten in Ihrem Konto oder Ihrer Organisation.
**Tipp**
Tipps zur Erstellung effektiver Prompts finden Sie in [Lernen Sie, effektive Prompts zu erstellen, um Amazon Q nach Ihrer Flotte zu fragen](view-aggregated-node-details-Q-prompts.md) den Informationen unter.
1. Prüfen Sie die Informationen zu bestimmten Knoten, oder wählen Sie ** AWS Systems Manager -Konsole öffnen**, um mit der Suche fortzufahren.
# Details zu einzelnen Knoten anzeigen und Maßnahmen für einen Knoten ergreifen
Aus einer Liste auf der Seite **Knoten durchsuchen** in Systems Manager können Sie einen einzelnen Knoten auswählen, um umfassende Details über den Computer anzuzeigen oder eine Vielzahl von Aktionen auf dem Knoten auszuführen. Die Seite **Allgemein** auf der Detailseite enthält umfassende Informationen über den Knoten.
**So zeigen Sie die Details einzelner Knoten an und ergreifen Maßnahmen für einen Knoten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Knoten erkunden** aus.
1. (Optional) Gehen Sie wie unter [Auswahl einer Filteransicht für Zusammenfassungen verwalteter Knoten](explore-nodes-filter-view.md) beschrieben vor, um die Liste der verwalteten Knoten, die für Ihre Organisation oder Ihr Konto angezeigt wird, zu verfeinern.
1. Wählen Sie in der Spalte **Knoten-ID** die verknüpfte ID eines Knotens aus.
1. Um weitere Details über den Knoten anzuzeigen, wählen Sie im linken Navigationsbereich in der **Eigenschaftenliste** eine Eigenschaft aus, zu der Sie weitere Informationen erhalten möchten:
+ **Tags** – Zeigt eine Liste von Tags an, die auf den Knoten angewendet werden. Sie können auch Markierungen hinzufügen oder entfernen.
+ **Inventar** – Wählen Sie einen Inventartyp aus, z. B. **AWS:Application** oder **AWS:Network**, um Inventardetails für den Knoten anzuzeigen.
+ **Verknüpfungen** – Zeigt Details zu allen State Manager-Zuordnungen an, die auf den Knoten angewendet wurden, einschließlich Details wie Status und Name des zugehörigen SSM-Dokuments.
+ **Patches** – Zeigt zusammenfassende Informationen über Patches und den Patch-Status für den Knoten an.
+ **Konformität mit der Konfiguration** – Zeigt Konformitätsdetails für den Knoten an, z. B. den Konformitätsstatus und den Schweregrad des Kompatibilitätsproblems.
Weitere Informationen zu Details auf den Registerkarten finden Sie unter [Was ist die vereinheitlichte Konsole?](systems-manager-unified-console.md).
1. Verwenden Sie die folgenden Optionen im Menü **Knotenaktionen**, um Aktionen auf dem Knoten auszuführen:
**Anmerkung**
Diese Aktionen sind nur für verwaltete Knoten in der Region AWS-Konto und der Region verfügbar, in der Sie gerade arbeiten. Für verwaltete Knoten, auf die Sie möglicherweise in anderen Konten oder Regionen Zugriff haben, können Sie stattdessen auf eine **Eigenschaftenliste** zugreifen.
+ **Terminalsitzung verbinden, starten** – Stellen Sie eine Verbindung zum Knoten mit [AWS Systems Manager Session Manager](session-manager.md) her.
+ **Tools**
+ **Dateisystem anzeigen** – Durchsuchen Sie den Inhalt der Verzeichnisstruktur des Knotens. Verzeichnisse hinzufügen, umbenennen und entfernen. Dateien ausschneiden oder kopieren und einfügen.
+ **Leistungsindikatoren anzeigen** – Zeigt Leistungsinformationen über den Knoten an, z. B. CPU-Auslastung, Netzwerkverkehr und andere Nutzungsarten.
+ **Verwaltete Prozesse** – Zeigt Informationen zur Ressourcennutzung auf dem Knoten an. Starten oder stoppen von Prozessen auf dem Knoten.
+ **Benutzer und Gruppen verwalten** – Zeigen Sie Benutzerkonten und Benutzergruppen auf dem Knoten an, fügen Sie sie hinzu oder löschen Sie sie.
+ **Run-Befehl ausführen** — Wird verwendet[AWS Systems Manager Run Command](run-command.md), um die Konfiguration des Knotens zu verwalten. Run Commandverwendet [Systems Manager Manager-Dokumente](documents.md), um bei Bedarf Änderungen vorzunehmen, z. B. Anwendungen zu aktualisieren oder Linux-Shell-Skripts und PowerShell Windows-Befehle auszuführen.
+ **Patch-Knoten** – Verwenden Sie das Feature **Jetzt patchen** in [AWS Systems Manager Patch Manager](patch-manager.md), um von der Konsole aus einen On-Demand-Patching-Vorgang auf dem Knoten auszuführen.
**Anmerkung**
Die vorherigen Aufgaben können auch über das Menü **Tools** in der linken Navigationsleiste gestartet werden.
+ **Knoteneinstellungen**
+ **Tags hinzufügen** – Wendet zusätzliche Tag-Schlüsselwertpaare auf den Knoten an.
+ **Benutzerkennwort für den Knoten zurücksetzen** – Legen Sie ein neues Passwort für einen bestimmten Benutzer auf dem Knoten fest.
+ **IAM-Rolle ändern** – Ändern Sie die IAM-Rolle, die dem Knoten zugeordnet ist. Erstellen Sie eine neue IAM-Rolle, die an den Knoten angefügt werden.
# Bericht über verwaltete Knoten herunterladen oder exportieren
Sie können die Funktion **Knoten durchsuchen** von Systems Manager verwenden, um gefilterte oder ungefilterte Listen verwalteter Knoten für Ihre AWS Organisation oder Ihr Konto in der Systems Manager Manager-Konsole anzuzeigen. In Fällen, in denen Sie die Daten offline anzeigen oder in einer anderen Anwendung verarbeiten möchten, können Sie den Bericht als `CSV`- oder `JSON`-Datei speichern.
Je nach Größe des Berichts werden Sie aufgefordert, den Bericht auf Ihren lokalen Computer herunterzuladen oder in einen Amazon-S3-Bucket zu exportieren. Berichte werden nur im `CSV`-Format in S3-Buckets gespeichert.
**Um einen Bericht über verwaltete Knoten herunterzuladen oder zu exportieren**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Knoten erkunden** aus.
1. (Optional) Gehen Sie wie unter [Auswahl einer Filteransicht für Zusammenfassungen verwalteter Knoten](explore-nodes-filter-view.md) beschrieben vor, um die Liste der verwalteten Knoten, die für Ihre Organisation oder Ihr Konto angezeigt wird, zu verfeinern.
1. Wählen Sie **Bericht** (![\[The download report icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/download-arrow-icon.png)).
1. Wenn das Dialogfeld **Bericht herunterladen** angezeigt wird, gehen Sie wie folgt vor:
1. Geben Sie in das Feld **Dateiname** einen Namen für die Datei ein. Es wird empfohlen, einen Namen anzugeben, der den Umfang des Berichts repräsentiert, z. B. `all-organization-nodes` oder `ec2-instances-out-of-date-agent`.
1. Geben Sie unter **Eingeschlossene Spalten** an, ob Spalten für alle verfügbaren Knotendetails oder nur die Spalten enthalten sein sollen, die Sie für Ihre aktuelle Anzeige ausgewählt haben.
**Tipp**
Informationen zur Verwaltung der Spalten in Ihrer Berichtsanzeige finden Sie unter [Inhalt und Erscheinungsbild von Knotenberichten verwalten](explore-nodes-manage-report-display.md).
1. Wählen Sie als **Dateiformat** **CSV** oder **JSON** aus, je nachdem, wie Sie die Datei verwenden möchten.
1. Wählen Sie unter **Tabellenüberschrift** die Option **Zeile mit Spaltennamen einbeziehen** aus, um eine Zeile mit Spaltenüberschriften in eine `CSV`-Datei aufzunehmen.
1. Wählen Sie **Herunterladen** aus.
Der Bericht wird gemäß den Einstellungen Ihres Browsers am Standard-Download-Speicherort gespeichert.
1. Wenn das Dialogfeld **Nach Amazon S3 exportieren** angezeigt wird, gehen Sie wie folgt vor:
1. Geben Sie für **S3-URI** den URI für den Bucket ein, in den der Bericht exportiert werden soll.
**Tipp**
Wählen Sie Ansicht aus, um eine Liste Ihrer Buckets in der Amazon-S3-Konsole **anzuzeigen**. Um aus einer Liste von Buckets in Ihrem Konto auszuwählen, wählen Sie **S3 durchsuchen**.
1. Geben Sie unter **Autorisierungsmethode** die Servicerolle an, die verwendet werden soll, um Berechtigungen für den Export des Berichts in den Bucket zu erteilen.
Wenn Sie sich dafür entscheiden, dass Systems Manager die Rolle für Sie erstellt, werden alle erforderlichen Berechtigungen und Vertrauenserklärungen für den Vorgang bereitgestellt.
Wenn Sie Ihre eigene Rolle verwenden oder erstellen möchten, muss die Rolle die erforderlichen Berechtigungen und Vertrauenserklärungen enthalten. Weitere Informationen zum Erstellen dieser Rolle finden Sie unter [Erstellen einer benutzerdefinierten Servicerolle zum Exportieren von Diagnoseberichten nach S3](create-s3-export-role.md).
1. Wählen Sie **Absenden** aus.
# Erstellen einer benutzerdefinierten Servicerolle zum Exportieren von Diagnoseberichten nach S3
Wenn Sie gefilterte oder ungefilterte Listen verwalteter Knoten für Ihre AWS -Organisation oder Ihr Konto auf der Seite **Knoten durchsuchen** von Systems Manager anzeigen, können Sie die Liste als Bericht als `CSV`-Datei in einen Amazon-S3-Bucket exportieren.
Dazu müssen Sie eine Servicerolle mit den erforderlichen Berechtigungen und Vertrauensrichtlinien für den Vorgang angeben. Sie können festlegen, dass Systems Manager die Rolle während des Herunterladens des Berichts für Sie erstellt. Optional können Sie die Rolle und die erforderliche Richtlinie selbst erstellen.
**Erstellen einer benutzerdefinierten Servicerolle zum Exportieren von Diagnoseberichten nach S3**
1. Folgen Sie den Schritten unter [Richtlinien mithilfe des JSON-Editors erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
+ Verwenden Sie für den Inhalt der Richtlinie Folgendes und stellen Sie sicher, dass Sie ihn durch Ihre eigenen Informationen ersetzen. *placeholder values*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:ListNodes"
],
"Resource": "*"
}
]
}
```
------
+ Geben Sie der Richtlinie einen Namen, damit Sie sie im nächsten Schritt leichter erkennen können.
1. Folgen Sie den Schritten unter [Erstellen einer IAM-Rolle mithilfe einer benutzerdefinierten Vertrauensrichtlinie (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) im *IAM-Benutzerhandbuch*.
+ Geben Sie für Schritt 4 die folgende Vertrauensrichtlinie ein und achten Sie darauf, diese durch Ihre eigenen Informationen zu ersetzen. *placeholder values*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. Wählen Sie für Schritt 10 **Schritt 2: Berechtigungen hinzufügen** aus und wählen Sie den Namen der im vorherigen Schritt erstellten Richtlinie aus.
Nachdem Sie die Rolle erstellt haben, können Sie sie auswählen, wenn Sie die unter [Bericht über verwaltete Knoten herunterladen oder exportieren](explore-nodes-download-report.md) beschriebenen Schritte ausführen.
# Inhalt und Erscheinungsbild von Knotenberichten verwalten
Sie können die Funktion **Knoten durchsuchen** von Systems Manager verwenden, um gefilterte oder ungefilterte Listen verwalteter Knoten für Ihre AWS Organisation oder Ihr Konto in der Systems Manager Manager-Konsole anzuzeigen. Sie können aus über einem Dutzend Feldern wählen, die Sie in Ihre Knotenlisten aufnehmen möchten, z. B. **Knoten-ID**, **Betriebssystemname**, **Region** und mehr. Sie können auch die Spalten für Ihre Listen und Berichte neu anordnen und ändern, wie die Liste in der Konsole angezeigt wird.
**So können Sie Inhalt und das Erscheinungsbild von Knotenberichten verwalten**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Knoten erkunden** aus.
1. Klicken Sie auf den Bereich **Knoten** und wählen Sie das Zahnradsymbol (![\[The preferences gear icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/preferences-icon.png)).
1. Gehen Sie im Dialogfeld **Einstellungen** wie folgt vor:
1. Wählen Sie unter **Seitengröße** aus, wie viele Zeilen in jeder Konsolenansicht enthalten sein sollen: **10**, **25** oder **50.**
1. Wählen Sie für **Zeilenumbruch** das Feld aus, um den gesamten Inhalt einer Zelle in der verfügbaren Spaltenbreite anzuzeigen.
1. Wählen Sie für **Gestreifte Zeilen** das Feld aus, um abwechselnd Reihen mit durchsichtigem und schattiertem Hintergrund anzuzeigen.
1. Gehen Sie für **Sichtbaren Inhalt auswählen** wie folgt vor:
+ Schalten Sie einzelne Spalten für Ihre Listenanzeige und Berichte ein oder aus.
+ Um die Reihenfolge der Spalten zu ändern, klicken Sie auf den Ziehgriff (![\[The drag handle\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) eines Spaltennamens, halten Sie ihn gedrückt und ziehen Sie ihn in der Liste nach oben oder unten.
1. Wählen Sie **Bestätigen** aus.
# Just-in-time Knotenzugriff mit Systems Manager
Systems Manager hilft Ihnen, die Sicherheit Ihrer Knoten zu verbessern, indem er *just-in-time*den Zugriff unterstützt. Just-in-timeDer Knotenzugriff ermöglicht es Benutzern, temporären, zeitlich begrenzten Zugriff auf Knoten zu beantragen, den Sie nur dann genehmigen können, wenn der Zugriff wirklich benötigt wird. Dadurch entfällt die Notwendigkeit, seit langem bestehenden Zugriff auf Knoten bereitzustellen, die durch IAM-Richtlinien verwaltet werden. Darüber hinaus bietet Systems Manager Sitzungsaufzeichnungen für RDP-Sitzungen zu Windows Server Knoten, damit Sie Compliance-Anforderungen erfüllen, Ursachenanalysen durchführen und vieles mehr können. Um den just-in-time Knotenzugriff nutzen zu können, müssen Sie die einheitliche Systems Manager Manager-Konsole einrichten.
Mit dem just-in-time Knotenzugriff erstellen Sie detaillierte IAM-Richtlinien, um sicherzustellen, dass nur die Benutzer, denen Sie die Genehmigung erteilen, Zugriffsanfragen an Ihre Knoten stellen können. Anschließend erstellen Sie *Genehmigungsrichtlinien*, in denen die erforderlichen Genehmigungen für die Knotenverbindung definiert sind. Für den just-in-time Knotenzugriff gibt es Richtlinien für die *automatische Genehmigung* und die Richtlinien für die *manuelle Genehmigung*. Eine automatische Genehmigungsrichtlinie definiert, mit welchen Knoten Benutzer automatisch eine Verbindung herstellen können. Richtlinien für manuelle Genehmigungen definieren die Anzahl und die Stufen der manuellen Genehmigungen, die für den Zugriff auf die von Ihnen angegebenen Knoten erteilt werden müssen. Sie können auch eine Richtlinie zur *Zugriffsverweigerung* erstellen. Eine Zugriffsverweigerungsrichtlinie verhindert ausdrücklich die automatische Genehmigung von Zugriffsanforderungen an die von Ihnen angegebenen Knoten. Eine Richtlinie zum Verweigern des Zugriffs gilt für alle Konten in einer Organisation. AWS Organizations Richtlinien für die automatische Genehmigung und die manuelle Genehmigung gelten nur für die AWS-Konten und an dem Ort, an AWS-Regionen dem sie erstellt wurden.
Wenn ein Benutzer versucht, eine Verbindung zu einem Knoten herzustellen, wird er aufgefordert, einen Grund für den Knotenzugriff einzugeben. Anschließend werden Ihre Genehmigungsrichtlinien ausgewertet. Abhängig von Ihren Richtlinien stellen Benutzer entweder automatisch eine Verbindung zum Zielknoten her oder Systems Manager erstellt automatisch eine manuelle Genehmigungsanforderung im Namen des Anforderers. Die Genehmiger, die in der für den Knoten geltenden Richtlinie für die manuelle Genehmigung angegeben sind, werden über die Zugriffsanforderung informiert und können die Anforderung genehmigen oder ablehnen. Genehmigende und Anforderer können entweder per E-Mail oder über die Amazon-Q-Developer-Integration in Chat-Anwendungen wie Slack oder Microsoft Teams benachrichtigt werden. Systems Manager gewährt nur dann Zugriff auf angeforderte Knoten, wenn die angegebenen Genehmiger alle erforderlichen Genehmigungen erteilt haben. Sobald alle erforderlichen Genehmigungen eingegangen sind, kann der Benutzer für die Dauer des in der Genehmigungsrichtlinie angegebenen Zugriffsfensters beliebig viele Sitzungen auf dem Knoten starten. Systems Manager beendet just-in-time Knotenzugriffssitzungen nicht automatisch. Es hat sich bewährt, Werte für die *maximale Sitzungsdauer* und das *Timeout bei Sitzungsinaktivität* anzugeben. Diese Einstellungen verhindern, dass Benutzer auch nach Ablauf des Zeitraums, für den der Zugriff genehmigt wurde, mit Knoten verbunden bleiben.
Wir empfehlen, eine Kombination von Genehmigungsrichtlinien zu verwenden, um Knoten mit kritischeren Daten zu schützen und Benutzern gleichzeitig zu ermöglichen, sich ohne Eingreifen mit weniger kritischen Knoten zu verbinden. Sie können beispielsweise manuelle Genehmigungen für Zugriffsanforderungen an Datenbankknoten vorschreiben und Sitzungen für nicht-persistente Knoten der Präsentationsstufe automatisch genehmigen.
Systems Manager unterstützt den just-in-time Knotenzugriff für Benutzer, die mit IAM Identity Center oder IAM verbunden sind. Wenn ein Verbundbenutzer eine Zugriffsanforderung einreicht, gibt er den Zielknoten und den Grund an, warum eine Verbindung zum Knoten hergestellt werden muss. Systems Manager vergleicht die Benutzeridentität mit den Parametern, die in den Genehmigungsrichtlinien Ihrer Organisation definiert sind. Wenn die Richtlinienbedingungen für die automatische Genehmigung erfüllt sind oder Genehmigungsberechtigte Genehmigungen manuell erteilen, kann der Anforderer eine Verbindung zum Zielknoten herstellen. Wenn ein Benutzer versucht, eine Verbindung zu einem zugelassenen Knoten herzustellen, erstellt Systems Manager ein temporäres Token und verwendet es, um die Sitzung einzurichten.
Da der Systems Manager-Dienst die Authentifizierung für Zugriffsanforderungen und die Einrichtung von Sitzungen übernimmt, müssen Sie keine IAM-Richtlinien verwenden, um den Zugriff auf Ihre Knoten zu verwalten. Durch die Verwendung von just-in-time Knotenzugriff hilft Systems Manager Ihrem Unternehmen, ständigen Rechten ein Ende zu setzen, da Sie Benutzern nur das Erstellen von Zugriffsanfragen gestatten müssen, anstatt ihnen zu erlauben, Sitzungen mit dauerhaften Berechtigungen für Ihre Knoten zu starten. Um Ihnen zu helfen, die Compliance-Anforderungen zu erfüllen, speichert Systems Manager alle Zugriffsanforderungen ein Jahr lang. Systems Manager gibt auch EventBridge Ereignisse für den just-in-time Knotenzugriff bei fehlgeschlagenen Zugriffsanforderungen und Statusaktualisierungen für Zugriffsanforderungen für manuelle Genehmigungen aus. Weitere Informationen finden Sie unter [Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge](monitoring-eventbridge-events.md).
**Topics**
+ [just-in-timeZugriff mit Systems Manager einrichten](systems-manager-just-in-time-node-access-setting-up.md)
+ [Starten Sie eine just-in-time Knotenzugriffssitzung](systems-manager-just-in-time-node-access-start-session.md)
+ [Verwaltung von just-in-time Zugriffsanfragen](systems-manager-just-in-time-node-access-manage-requests.md)
+ [Übergang zum just-in-time Knotenzugriff von Session Manager](systems-manager-just-in-time-node-access-moving-from-session-manager.md)
+ [just-in-timeZugriff mit Systems Manager deaktivieren](systems-manager-just-in-time-node-access-disable.md)
+ [Just-in-time Häufig gestellte Fragen zum Knotenzugriff](just-in-time-node-access-faq.md)
# just-in-timeZugriff mit Systems Manager einrichten
Die Einrichtung des just-in-time Knotenzugriffs mit Systems Manager umfasste mehrere Schritte. Zunächst wählen Sie die *Ziele* aus, für die Sie den just-in-time Knotenzugriff einrichten möchten. Ziele bestehen aus AWS Organizations Organisationseinheiten (OUs) und AWS-Regionen. Standardmäßig werden dieselben Ziele, die Sie bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole ausgewählt haben, für den just-in-time Knotenzugriff ausgewählt. Sie können wählen, ob Sie den just-in-time Knotenzugriff für alle Ziele oder für eine Teilmenge der Ziele einrichten möchten, die Sie bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole angegeben haben. Das Hinzufügen neuer Ziele, die bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole nicht ausgewählt wurden, wird nicht unterstützt.
Als Nächstes erstellen Sie *Genehmigungsrichtlinien*, um festzulegen, wann Knotenverbindungen manuell genehmigt werden müssen und wann diese automatisch genehmigt werden. Genehmigungsrichtlinien werden von jedem Konto in Ihrer Organisation verwaltet. Sie können auch eine Richtlinie aus dem delegierten Administratorkonto teilen, um die automatische Genehmigung von Verbindungen zu bestimmten Knoten ausdrücklich zu verweigern.
**Anmerkung**
Die Einrichtung des just-in-time Knotenzugriffs hat keine Auswirkungen auf bestehende IAM-Richtlinien oder -Einstellungen, für Session Manager die Sie konfiguriert haben. Sie müssen die Genehmigung für die `StartSession` API-Aktion aus Ihren IAM-Richtlinien entfernen, um sicherzustellen, dass nur der just-in-time Knotenzugriff verwendet wird, wenn Benutzer versuchen, eine Verbindung zu Ihren Knoten herzustellen. Nachdem Sie den just-in-time Knotenzugriff eingerichtet haben, empfehlen wir, Ihre Genehmigungsrichtlinien mit einer Untergruppe von Benutzern und Knoten zu testen, um sicherzustellen, dass Ihre Richtlinien wie gewünscht funktionieren, bevor Sie die Berechtigungen für entfernen. Session Manager
**Unterstützung der Authentifizierung**
Beachten Sie die folgenden Details zur Authentifizierungsunterstützung für den just-in-time Knotenzugriff:
+ Just-in-time Der Knotenzugriff unterstützt den Authentifizierungstyp Single Sign-On nicht, wenn eine Verbindung zu Windows Server Instanzen über Remote Desktop hergestellt wird.
+ Nur AWS -Security-Token-Service (AWS STS) `AssumeRole` temporäre Sicherheitsanmeldedaten werden unterstützt. Weitere Informationen finden Sie unter folgenden Themen im *IAM-Benutzerhandbuch*:
+
+ [Temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Anmeldeinformationen vergleichen AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)
+ [Temporäre Sicherheitsnachweise anfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)
Die folgenden IAM-Richtlinien beschreiben die Berechtigungen, die für die Verwaltung erforderlich sind, und ermöglichen es Benutzern, mit Systems Manager just-in-time Knotenzugriffsanforderungen für Knoten zu erstellen. Nachdem Sie überprüft haben, dass Sie über die erforderlichen Berechtigungen für die Verwendung des just-in-time Knotenzugriffs mit Systems Manager verfügen, können Sie den Einrichtungsvorgang fortsetzen. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
## IAM-Richtlinie zur Aktivierung just-in-time des Knotenzugriffs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:CreateConfigurationManager",
"ssm-quicksetup:DeleteConfigurationManager",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:GetServiceSettings",
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:ListTagsForResource",
"ssm-quicksetup:TagResource",
"ssm-quicksetup:UntagResource",
"ssm-quicksetup:UpdateConfigurationDefinition",
"ssm-quicksetup:UpdateConfigurationManager",
"ssm-quicksetup:UpdateServiceSettings"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Sid": "StackSetOperations",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-JITNA*:*"
]
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "SSMAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/AWS-EnableExplorer",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Sid": "SSMAssociationPermissions",
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:association/*"
},
{
"Sid": "SSMResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "ListResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:ListResourceDataSync"
],
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Sid": "CreateStackSetsServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-JustInTimeAccessDenyAccessOrgPolicy"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "IdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## IAM-Richtlinie für die Konfiguration des Knotenzugriffs just-in-time
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/SSM-JustInTimeAccessTokenRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"justintimeaccess.ssm.amazonaws.com"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerPreferencesOperation",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "Session"
}
}
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:TerminateSession"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:UpdateConnectionRecordingPreferences",
"ssm-guiconnect:GetConnectionRecordingPreferences",
"ssm-guiconnect:DeleteConnectionRecordingPreferences"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingKmsOperation",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"StringLike": {
"kms:ViaService": "ssm-guiconnect.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowFleetManagerOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
},
{
"Sid": "SNSTopicManagement",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:SSM-JITNA*"
]
},
{
"Sid": "SNSListTopics",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "EventBridgeRuleManagement",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:us-east-1::rule/SSM-JITNA*"
]
},
{
"Sid": "ChatbotSlackManagement",
"Effect": "Allow",
"Action": [
"chatbot:CreateSlackChannelConfiguration",
"chatbot:UpdateSlackChannelConfiguration",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:DescribeSlackWorkspaces",
"chatbot:DeleteSlackChannelConfiguration",
"chatbot:RedeemSlackOauthCode",
"chatbot:DeleteSlackWorkspaceAuthorization",
"chatbot:GetSlackOauthParameters"
],
"Resource": "*"
},
{
"Sid": "ChatbotTeamsManagement",
"Effect": "Allow",
"Action": [
"chatbot:ListMicrosoftTeamsChannelConfigurations",
"chatbot:CreateMicrosoftTeamsChannelConfiguration",
"chatbot:UpdateMicrosoftTeamsChannelConfiguration",
"chatbot:ListMicrosoftTeamsConfiguredTeams",
"chatbot:DeleteMicrosoftTeamsChannelConfiguration",
"chatbot:RedeemMicrosoftTeamsOauthCode",
"chatbot:DeleteMicrosoftTeamsConfiguredTeam",
"chatbot:GetMicrosoftTeamsOauthParameters",
"chatbot:TagResource"
],
"Resource": "*"
},
{
"Sid": "SSMEmailSettings",
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:GetServiceSetting"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/email-role-mapping",
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/enabled-email-notifications"
]
},
{
"Sid": "AllowViewingJitnaCloudWatchMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/SSM/JustInTimeAccess"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "ManualPolicy",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"ssm:GetServiceSetting",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SessionPreference",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AllowIamListForKMS",
"Effect": "Allow",
"Action": [
"iam:ListUsers"
],
"Resource": "arn:aws:iam::111122223333:user/*"
},
{
"Sid": "KMSPermission",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:ListAliases",
"kms:CreateAlias"
],
"Resource": "*"
},
{
"Sid": "KMSCreateKey",
"Effect": "Allow",
"Action": [
"kms:CreateKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"SystemsManagerJustInTimeNodeAccessManaged"
]
}
}
},
{
"Sid": "AllowIamRoleForChatbotAction",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"chatbot.amazonaws.com"
]
}
}
},
{
"Sid": "AllowIamServiceRoleForChat",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/management.chatbot.amazonaws.com/AWSServiceRoleForAWSChatbot"
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:111122223333:log-group::log-stream:"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"identitystore:DescribeGroup",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
## IAM-Richtlinie für Genehmiger von Zugriffsanforderungen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessRequestDescriptions",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowGetSpecificAccessRequest",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:opsitem/*"
},
{
"Sid": "AllowApprovalRejectionSignal",
"Effect": "Allow",
"Action": [
"ssm:SendAutomationSignal"
],
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## IAM-Richtlinie für Benutzer mit just-in-time Knotenzugriff
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowJITNAOperations",
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken"
],
"Resource": "*"
},
{
"Sid": "AllowOpsItemCreationAndRetrieval",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "AllowListAccessRequests",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents",
"ssm:DescribeSessions"
],
"Resource": "*"
},
{
"Sid": "RequestManualApprovals",
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "ManualApprovalPolicy"
}
}
},
{
"Sid": "StartManualApprovalsAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*"
},
{
"Sid": "CancelAccessRequestManualApproval",
"Effect": "Allow",
"Action": "ssm:StopAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "DescribeEC2Instances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "AllowListSSMManagedNodesAndTags",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "AllowRDPOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:ListConnections",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesReadOnly",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "ExploreNodes",
"Effect": "Allow",
"Action": [
"ssm:ListNodesSummary",
"ssm:ListNodes",
"ssm:DescribeInstanceProperties"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Um den Zugriff auf API-Operationen einzuschränken, die Genehmigungsrichtlinien erstellen, aktualisieren oder löschen, verwenden Sie den Bedingungsschlüssel `ssm:DocumentType` für die Dokumenttypen `AutoApprovalPolicy` und `ManualApprovalPolicy `. Die API-Vorgänge `StartAccessRequest` und `GetAccessToken` unterstützen die folgenden globalen Kontextschlüssel nicht:
`aws:SourceVpc`
`aws:SourceVpce`
`aws:VpcSourceIp`
`aws:UserAgent`
`aws:MultiFactorAuthPresent`
Weitere Informationen zu Bedingungskontextschlüsseln für Systems Manager finden Sie unter [Bedingungsschlüssel für AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) in der *Service Authorization-Referenz*.
Das folgende Verfahren beschreibt, wie der erste Einrichtungsschritt für den just-in-time Knotenzugriff abgeschlossen wird.
**Um den just-in-time Knotenzugriff einzurichten**
1. Melden Sie sich beim delegierten Systems Manager-Administratorkonto für Ihre Organisation an.
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Just-in-time Knotenzugriff** aus.
1. Wählen Sie **Das neue Erlebnis aktivieren** aus.
1. Wählen Sie die Regionen aus, in denen Sie den just-in-time Knotenzugriff aktivieren möchten. Standardmäßig werden dieselben Regionen, die Sie bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole ausgewählt haben, für den just-in-time Knotenzugriff ausgewählt. Die Auswahl neuer Regionen, die bei der Einrichtung der vereinheitlichten Systems-Manager-Konsole nicht bereits ausgewählt wurden, ist nicht möglich.
1. Wählen Sie ** just-in-timeKnotenzugriff aktivieren** aus.
Die Nutzung des just-in-time Knotenzugriffs für 30 Tage nach Aktivierung der Funktion ist kostenlos. Nach Ablauf der 30-tägigen Testphase ist die Nutzung des just-in-time Node Access kostenpflichtig. Weitere Informationen finden Sie unter [AWS Systems Manager - Preise](https://aws.amazon.com/systems-manager/pricing/).
# Erstellen Sie Genehmigungsrichtlinien für Ihre Knoten
Genehmigungsrichtlinien definieren, welche Genehmigungen Benutzer für den Zugriff auf einen Knoten benötigen. Da just-in-time beim Knotenzugriff keine seit langem bestehenden Berechtigungen für Knoten über IAM-Richtlinien erforderlich sind, müssen Sie Genehmigungsrichtlinien erstellen, um den Zugriff auf Ihre Knoten zu ermöglichen. Wenn für einen Knoten keine Genehmigungsrichtlinien gelten, können Benutzer keinen Zugriff auf den Knoten anfordern.
Beim just-in-time Knotenzugriff gibt es drei Arten von Richtlinien. Die Richtlinientypen sind *automatische Genehmigung*, *Zugriffsverweigerung* und *manuelle Genehmigung*.
**Just-in-time Richtlinientypen für den Knotenzugriff**
+ Eine automatische Genehmigungsrichtlinie definiert, mit welchen Knoten Benutzer automatisch eine Verbindung herstellen können.
+ Richtlinien für manuelle Genehmigungen definieren die Anzahl und die Stufen der manuellen Genehmigungen, die für den Zugriff auf die von Ihnen angegebenen Knoten erteilt werden müssen.
+ Eine Zugriffsverweigerungsrichtlinie verhindert ausdrücklich die automatische Genehmigung von Zugriffsanforderungen an die von Ihnen angegebenen Knoten.
Eine Richtlinie zur Zugriffsverweigerung gilt für alle Konten in einer AWS Organizations Organisation. Beispielsweise könnten Sie ausdrücklich automatische Genehmigungen für die `Intern`-Gruppe für Knoten verweigern, die mit dem `Production`-Schlüssel gekennzeichnet sind. Richtlinien für die automatische Genehmigung und die manuelle Genehmigung gelten nur für die AWS-Konten und AWS-Regionen wo sie erstellt wurden. Jedes Mitgliedskonto Ihrer Organisation verwaltet seine eigenen Genehmigungsrichtlinien. Genehmigungsrichtlinien werden in der folgenden Reihenfolge ausgewertet:
1. Zugriffsverweigerung
1. Automatische Genehmigung
1. Manuell
Sie können zwar nur eine Zugriffsverweigerungsrichtlinie pro Organisation und eine automatische Genehmigungsrichtlinie pro Konto und Region einrichten, aber Sie werden wahrscheinlich mehrere Richtlinien für manuelle Genehmigungen in einem Konto haben. Bei der Bewertung manueller Genehmigungsrichtlinien wird beim just-in-time Knotenzugriff immer die spezifischere Richtlinie für einen Knoten bevorzugt. Richtlinien für die manuelle Genehmigung werden in der folgenden Reihenfolge ausgewertet:
1. Spezifisches Tag
1. Alle Knoten
Sie haben beispielsweise einen Knoten, der mit dem `Demo`-Schlüssel markiert ist. In demselben Konto gibt es eine Richtlinie für manuelle Genehmigungen, die auf alle Knoten abzielt und eine Genehmigung von einer Ebene erfordert. Sie haben auch eine Richtlinie zur manuellen Genehmigung, die zwei Genehmigungen von zwei Ebenen für Knoten erfordert, die mit dem `Demo`-Schlüssel gekennzeichnet sind. Systems Manager wendet die Richtlinie, die auf das `Demo`-Tag abzielt, auf den Knoten an, da sie spezifischer ist als die Richtlinie, die auf alle Knoten abzielt. Auf diese Weise können Sie eine allgemeine Richtlinie für alle Knoten in Ihrem Konto erstellen, um sicherzustellen, dass Benutzer Zugriffsanforderungen stellen können, und Sie gleichzeitig bei Bedarf detailliertere Richtlinien erstellen können.
Je nach Ihrer Organisation werden Ihren Knoten möglicherweise mehrere Tags zugewiesen. Wenn in diesem Szenario mehrere Richtlinien zur manuellen Genehmigung für einen Knoten gelten, schlagen Zugriffsanforderungen fehl. Ein Knoten ist beispielsweise mit den Schlüsseln `Production` und `Database` gekennzeichnet. In demselben Konto haben Sie eine Richtlinie zur manuellen Genehmigung, die für Knoten gilt, die mit dem `Production`-Schlüssel markiert sind, und eine weitere Richtlinie zur manuellen Genehmigung, die für Knoten gilt, die mit dem `Database`-Schlüssel markiert sind. Dies führt zu einem Konflikt für den Knoten, der mit beiden Schlüsseln markiert ist, und die Zugriffsanforderungen schlagen fehl. Systems Manager leitet den Benutzer zu der fehlgeschlagenen Anforderung weiter. Dort können sie Details zu den widersprüchlichen Richtlinien und Tags einsehen, sodass sie die erforderlichen Anpassungen vornehmen können, sofern sie über die erforderlichen Berechtigungen verfügen. Andernfalls können sie einen Kollegen in ihrer Organisation benachrichtigen, der über die erforderlichen Berechtigungen verfügt, um die Richtlinien zu ändern. Richtlinienkonflikte, die zu fehlgeschlagenen Zugriffsanfragen führen, lösen EventBridge Ereignisse aus, sodass Sie flexibel Ihre eigenen Antwort-Workflows erstellen können. Darüber hinaus sendet Systems Manager E-Mail-Benachrichtigungen für Richtlinienkonflikte, die zu fehlgeschlagenen Zugriffsanforderungen führen, an die von Ihnen angegebenen Empfänger. Weitere Informationen zur Konfiguration von E–Mail-Benachrichtigungen für Richtlinienkonflikte finden Sie unter [Benachrichtigungen für just-in-time Zugriffsanfragen konfigurieren](systems-manager-just-in-time-node-access-notifications.md).
In einer *Zugriffsverweigerungsrichtlinie* verwenden Sie die Cedar-Richtliniensprache, um zu definieren, mit welchen Knoten Benutzer in Ihrer Organisation explizit nicht automatisch eine Verbindung herstellen können. Diese Richtlinie wird über das delegierte Administratorkonto für Ihre Organisation erstellt und gemeinsam genutzt. Die Richtlinie „Zugriff verweigern“ hat Vorrang vor allen Richtlinien für die automatische Genehmigung. Sie können pro Organisation nur eine Zugriffsverweigerungsrichtlinie einrichten.
In einer Richtlinie für die *automatische Genehmigung* verwenden Sie die Cedar-Richtliniensprache, um zu definieren, welche Benutzer ohne manuelle Genehmigung automatisch eine Verbindung zu den angegebenen Knoten herstellen können. Die Zugriffsdauer für eine Zugriffsanforderung, die automatisch genehmigt wird, beträgt 1 Stunde. Dieser Wert kann nicht geändert werden. Sie können nur eine Richtlinie für die automatische Genehmigung pro Konto und Region einrichten.
In einer *manuellen* Genehmigungsrichtlinie geben Sie die Zugriffsdauer, die Anzahl der erforderlichen Genehmigungsebenen, die Anzahl der pro Ebene erforderlichen Genehmiger und die Knoten an, für die sie just-in-time Zugriffsanfragen genehmigen können. Die Zugriffsdauer für eine Richtlinie zur manuellen Genehmigung muss zwischen 1 und 336 Stunden liegen. Wenn Sie mehrere Genehmigungsebenen angeben, werden die Genehmigungen für die Zugriffsanforderung Ebene für Ebene verarbeitet. Das bedeutet, dass alle Genehmigungen, die Sie für eine Ebene benötigen, erteilt werden müssen, bevor der Genehmigungsprozess auf nachfolgende Ebenen übergeht. Wenn Sie in einer Richtlinie zur manuellen Genehmigung mehrere Tags angeben, werden diese als `or`-Anweisungen und nicht `and`-Anweisungen bewertet. Wenn Sie beispielsweise eine Richtlinie zur manuellen Genehmigung erstellen, die die Tags`Application`, `Web` und `Test` enthält, gilt die Richtlinie für jeden Knoten, der mit einem dieser Schlüssel markiert ist. Die Richtlinie gilt nicht nur für Knoten, die mit allen drei Schlüsseln markiert sind.
Wir empfehlen, eine Kombination aus manuellen Richtlinien mit Ihrer Richtlinie zur automatischen Genehmigung zu verwenden, um Knoten mit kritischeren Daten zu schützen und Benutzern gleichzeitig zu ermöglichen, sich ohne Eingreifen mit weniger kritischen Knoten zu verbinden. Sie können beispielsweise manuelle Genehmigungen für Zugriffsanforderungen an Datenbankknoten vorschreiben und Sitzungen für nicht-persistente Knoten der Präsentationsstufe automatisch genehmigen.
In den folgenden Verfahren wird beschrieben, wie Genehmigungsrichtlinien für den just-in-time Knotenzugriff erstellt werden.
**Topics**
+ [Manuelle Genehmigungsrichtlinien für den just-in-time Knotenzugriff erstellen](systems-manager-just-in-time-node-access-create-manual-policies.md)
+ [Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung](auto-approval-deny-access-policy-statement-structure.md)
+ [Erstellen Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff](systems-manager-just-in-time-node-access-create-auto-approval-policies.md)
+ [Erstellen Sie eine Deny-Access-Richtlinie für just-in-time den Knotenzugriff](systems-manager-just-in-time-node-access-create-deny-access-policies.md)
+ [Erstellen Sie Genehmigungsrichtlinien für den just-in-time Knotenzugriff mit Amazon Q](systems-manager-just-in-time-node-access-create-approval-policies-q-ide-cli.md)
# Manuelle Genehmigungsrichtlinien für den just-in-time Knotenzugriff erstellen
Im folgenden Verfahren wird das Erstellen von Richtlinien zur manuellen Genehmigung beschrieben. Mit Systems Manager können Sie bis zu 50 manuelle Genehmigungsrichtlinien pro AWS-Konto und erstellen AWS-Region.
**Erstellen Sie eine Richtlinie zur manuellen Genehmigung wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Knotenzugriff verwalten** aus.
1. Geben Sie im Abschnitt **Richtliniendetails** des Schritts **Richtlinie zur manuellen Genehmigung erstellen** einen Namen und eine Beschreibung für die Genehmigungsrichtlinie ein.
1. Geben Sie einen Wert für die **Zugriffsdauer** ein. Dies ist die maximale Zeitspanne, für die ein Benutzer Sitzungen zu einem Knoten starten kann, nachdem eine Zugriffsanforderung genehmigt wurde. Dieser Wert muss zwischen 1 und 336 Stunden liegen.
1. Geben Sie im Abschnitt **Knotenziele** Tag-Schlüssel-Wert-Paare ein, die den Knoten zugeordnet sind, für die Sie die Richtlinie anwenden möchten. Wenn keines der in der Richtlinie angegebenen Tags einem Knoten zugeordnet ist, wird die Richtlinie nicht auf den Knoten angewendet.
1. Geben Sie im Abschnitt **Genehmiger für Zugriffsanforderungen** die Benutzer oder Gruppen ein, die Zugriffsanforderungen für die Knotenziele in der Richtlinie genehmigen sollen. Genehmiger von Zugriffsanforderungen können Benutzer und Gruppen von IAM Identity Center oder IAM-Rollen sein. Sie können bis zu 5 Genehmiger pro Ebene und bis zu 5 Genehmigerebenen angeben.
1. Wählen Sie **Richtlinie zur manuellen Genehmigung erstellen** aus.
# Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung
Die folgende Tabelle enthält die Struktur der Richtlinien für automatische Genehmigung und Zugriffsverweigerung.
| Komponente | Syntax |
| --- | --- |
| Auswirkung | `permit \| forbid` |
| scope | `(principal, action, resource)` |
| Bedingungsklausel | when {
principal or resource has attribute name
}; |
## Richtlinienkomponenten
Eine Richtlinie für automatische Genehmigung oder Zugriffsverweigerung umfasst die folgenden Komponenten:
+ **Effekt**: entweder `permit` (zulassen) oder `forbid` (verweigern).
+ **Umfang**: Die Prinzipale, Aktionen und Ressourcen, für die der Effekt gilt. Sie können den Umfang in Cedar undefiniert lassen, indem Sie keine Prinzipale, Aktionen oder Ressourcen angeben. Die Richtlinie gilt dann für alle möglichen Prinzipale, Aktionen und Ressourcen. Für den Zugriff auf just-in-time Knoten gilt das `action` immer. `AWS::SSM::Action::"getTokenForInstanceAccess"`
+ **Bedingungsklausel**: Der Kontext, in dem der Effekt gilt.
## Kommentare
Sie können Kommentare in Ihre Richtlinien einfügen. Kommentare sind als Zeilen definiert, die mit `//` beginnen und mit einem Zeilenumbruchzeichen enden.
Das folgende Beispiel zeigt Kommentare in einer Richtlinie:
```
// Allows users in the Engineering group from the Platform org to automatically connect to nodes tagged with Engineering and Production keys.
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
```
## Mehrere Klauseln
Mit dem Operator `&&` können Sie in einer Richtlinienanweisung mehrere Bedingungsklauseln angeben.
```
// Allow access if node has tag where the tag key is Environment
// & tag value is Development
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Development"
};
```
## Reservierte Zeichen
Das folgende Beispiel zeigt, wie eine Richtlinie geschrieben wird, wenn eine Kontexteigenschaft ein `:` (Semikolon) verwendet – ein reserviertes Zeichen in der Richtliniensprache.
```
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
}
```
Weitere Beispiele finden Sie unter [Beispiele für Richtlinienanweisungen](#policy-statement-examples).
## Just-in-time Schema für den Knotenzugriff
Das Folgende ist das Cedar-Schema für den just-in-time Knotenzugriff.
```
namespace AWS::EC2 {
entity Instance tags String;
}
namespace AWS::IdentityStore {
entity Group;
entity User in [Group] {
employeeNumber?: String,
costCenter?: String,
organization?: String,
division?: String,
};
}
namespace AWS::IAM {
entity Role;
type AuthorizationContext = {
principalTags: PrincipalTags,
};
entity PrincipalTags tags String;
}
namespace AWS::SSM {
entity ManagedInstance tags String;
action "getTokenForInstanceAccess" appliesTo {
principal: [AWS::IdentityStore::User],
resource: [AWS::EC2::Instance, AWS::SSM::ManagedInstance],
context: {
"iam": AWS::IAM::AuthorizationContext
}
};
}
```
## Integrierte Operatoren
Wenn Sie den Kontext einer Richtlinie für automatische Genehmigung oder Zugriffsverweigerung unter Verwendung verschiedener Bedingungen erstellen, können Sie mit dem Operator `&&` zusätzliche Bedingungen angeben. Es gibt viele andere integrierte Operatoren, mit denen Sie Ihren Richtlinienbedingungen zusätzliche Aussagekraft verleihen können. Die folgende Tabelle enthält alle integrierten Operatoren zur Referenz.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/auto-approval-deny-access-policy-statement-structure.html)
## Beispiele für Richtlinienanweisungen
Nachfolgend finden Sie beispielhafte Richtlinienanweisungen.
```
// Users assuming IAM roles with a principal tag of "Elevated" can automatically access nodes tagged with the "Environment" key when the value equals "prod"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify IAM role principal tag
context.iam.principalTags.getTag("AccessLevel") == "Elevated" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "prod"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "prod"
};
```
```
// Identity Center users in the "Contractor" division can automatically access nodes tagged with the "Environment" key when the value equals "dev"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify that the user is part of the "Contractor" division
principal.division == "Contractor" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "dev"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "dev"
};
```
```
// Identity Center users in a specified group can automatically access nodes tagged with the "Environment" key when the value equals "Production"
permit(principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::getTokenForInstanceAccess,
resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Production"
};
```
# Erstellen Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff
Richtlinien für automatische Genehmigungen verwenden die Richtliniensprache Cedar, um festzulegen, welche Benutzer ohne manuelle Genehmigung automatisch eine Verbindung zu den angegebenen Knoten herstellen können. Eine automatische Genehmigungsrichtlinie enthält mehrere `permit` Anweisungen, die `principal` und `resource` angeben. Jede Anweisung enthält eine `when`-Klausel, in der die Bedingungen für die automatische Genehmigung definiert sind.
Es folgt eine Beispielrichtlinie für die automatische Genehmigung.
```
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};
```
Das folgende Verfahren beschreibt, wie Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff erstellen. Die Zugriffsdauer für eine Zugriffsanforderung, die automatisch genehmigt wird, beträgt 1 Stunde. Dieser Wert kann nicht geändert werden. Sie können nur eine automatische Genehmigungsrichtlinie pro AWS-Konto und AWS-Region haben. Weitere Informationen zum Erstellen einer Richtlinienanweisung finden Sie unter [Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung](auto-approval-deny-access-policy-statement-structure.md).
**Erstellen Sie eine Richtlinie für automatische Genehmigungen wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Knotenzugriff verwalten** aus.
1. Wählen Sie auf der Registerkarte **Genehmigungsrichtlinien** die Option **Richtlinie für automatische Genehmigung erstellen** aus.
1. Geben Sie Ihre Richtlinienanweisung für die Richtlinie zur automatischen Genehmigung im Abschnitt **Richtlinienanweisung** ein. Sie können die bereitgestellten **Beispielanweisungen** als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.
1. Wählen Sie **Richtlinie für automatische Genehmigung erstellen** aus.
# Erstellen Sie eine Deny-Access-Richtlinie für just-in-time den Knotenzugriff
Richtlinien zur Zugriffsverweigerung verwenden die Cedar-Richtliniensprache, um zu definieren, mit welchen Knoten sich Benutzer ohne manuelle Genehmigung nicht automatisch verbinden können. Eine Zugriffsverweigerungsrichtlinie enthält mehrere `forbid`-Anweisungen, in denen das `principal` und `resource` angegeben wird. Jede Anweisung enthält eine `when`-Klausel, in der die Bedingungen für die ausdrückliche Ablehnung der automatischen Genehmigung definiert sind.
Im Folgenden finden Sie ein Beispiel für eine Zugriffsverweigerungsrichtlinie.
```
forbid (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```
Das folgende Verfahren beschreibt, wie Sie eine Zugriffsverweigerungsrichtlinie für den just-in-time Knotenzugriff erstellen. Weitere Informationen zum Erstellen einer Richtlinienanweisung finden Sie unter [Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung](auto-approval-deny-access-policy-statement-structure.md).
**Anmerkung**
Notieren Sie die folgenden Informationen:
Sie können Richtlinien zur Zugriffsverweigerung erstellen, während Sie beim AWS -Verwaltungskonto oder Konto eines delegierten Administrators angemeldet sind. Sie können nur eine Zugriffsverweigerungsrichtlinie pro AWS Organizations -Organisation haben.
Just-in-time node access verwendet AWS Resource Access Manager (AWS RAM), um Ihre Zugriffsverweigerungsrichtlinie mit Mitgliedskonten in Ihrer Organisation zu teilen. Wenn Sie Ihre Zugriffsverweigerungsrichtlinie mit den Mitgliedskonten in Ihrer Organisation teilen möchten, muss die gemeinsame Nutzung von Ressourcen über das Verwaltungskonto Ihrer Organisation aktiviert werden. Weitere Informationen finden Sie unter [Ressourcenfreigabe für AWS Organizations aktivieren](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM -Benutzerhandbuch*.
**Erstellen Sie eine Zugriffsverweigerungsrichtlinie wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Knotenzugriff verwalten** aus.
1. Wählen Sie auf der Registerkarte **Genehmigungsrichtlinien** die Option **Richtlinie zur Zugriffsverweigerung erstellen** aus.
1. Geben Sie Ihre Richtlinienanweisung für die Richtlinie zur Zugriffsverweigerung im Abschnitt **Richtlinienanweisung** ein. Sie können die bereitgestellten **Beispielanweisungen** als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.
1. Wählen Sie **Richtlinie zur Zugriffsverweigerung erstellen** aus.
# Erstellen Sie Genehmigungsrichtlinien für den just-in-time Knotenzugriff mit Amazon Q
Die Verwendung von Amazon Q Developer für die Befehlszeile bietet Beratung und Unterstützung in verschiedenen Aspekten der Softwareentwicklung. Für den just-in-time Knotenzugriff hilft Ihnen Amazon Q bei der Erstellung von Genehmigungsrichtlinien, indem es den Code für die Richtlinien generiert und aktualisiert, Richtlinienerklärungen analysiert und vieles mehr. Die folgenden Informationen beschreiben, wie Genehmigungsrichtlinien mithilfe von Amazon Q für die Befehlszeile erstellt werden.
## Identifizieren Sie Ihren Anwendungsfall
Der erste Schritt beim Erstellen von Genehmigungsrichtlinien besteht darin, Ihren Anwendungsfall klar zu definieren. In Ihrer Organisation möchten Sie beispielsweise Zugriffsanforderungen für Knoten mit einem `Environment:Testing`-Tag automatisch genehmigen. Möglicherweise möchten Sie auch explizit automatische Genehmigungen für Knoten mit einem `Environment:Production`-Tag verweigern, wenn eine Mitarbeiter-ID mit `TEMP` beginnt. Für Knoten mit einem `Tier:Database`-Tag möchten Sie möglicherweise zwei Stufen manueller Genehmigungen vorschreiben.
In einem bestimmten Szenario bevorzugen Sie möglicherweise eine Richtlinie oder Bedingung gegenüber einer anderen. Daher empfiehlt es sich, das Richtlinienverhalten ganz klar zu definieren, das bestimmen soll, welche Aussagen am besten zu Ihrem Anwendungsfall und Ihren Voreinstellungen passen.
## Einrichten Ihrer Entwicklungsumgebung
Installieren Sie Amazon Q für die Befehlszeile, in der Sie Ihre Genehmigungsrichtlinien entwickeln möchten. Informationen zur Installation von Amazon Q für die Befehlszeile finden Sie unter [Amazon Q für die Befehlszeile installieren](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html) im *Benutzerhandbuch für Amazon Q Developer*.
Aus AWS Dokumentationsgründen empfehlen wir außerdem, den MCP-Server zu installieren. Dieser MCP-Server verbindet Amazon Q über die Befehlszeile mit den aktuellsten Dokumentationsressourcen. Informationen zur Verwendung von MCP mit Amazon Q für die Befehlszeile finden Sie unter [Verwenden von MCP mit Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-mcp.html) im *Benutzerhandbuch für Amazon Q Developer*.
Weitere Informationen zum AWS Documentation MCP Server finden Sie unter [AWS Documentation MCP](https://awslabs.github.io/mcp/servers/aws-documentation-mcp-server/) Server.
Installieren und konfigurieren Sie den AWS CLI, falls Sie dies noch nicht getan haben. Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI.](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
## Entwickeln der Inhalte für Genehmigungsrichtlinien
Nachdem Ihr Anwendungsfall identifiziert und die Umgebung eingerichtet ist, können Sie den Inhalt für Ihre Richtlinien entwickeln. Ihr Anwendungsfall und Ihre Einstellungen bestimmen weitgehend die Art der Genehmigungsrichtlinien und -anweisungen, die Sie verwenden.
Wenn Sie sich nicht sicher sind, wie Sie eine bestimmte Richtlinie verwenden sollen, oder weitere Informationen zum Schema für eine Richtlinie benötigen, finden Sie weitere Informationen unter [Erstellen Sie Genehmigungsrichtlinien für Ihre Knoten](systems-manager-just-in-time-node-access-approval-policies.md) und in den nachfolgenden Themen. In diesen Themen wird detailliert erläutert, wie Richtlinien bewertet werden, und es werden praktische Beispielanweisungen bereitgestellt.
Im folgenden Verfahren wird beschreiben, wie Sie Genehmigungsrichtlinien mit Amazon Q für die Befehlszeile erstellen.
**Anmerkung**
Amazon Q Developer verwendet generative KI. Möglicherweise müssen Sie die Antworten überprüfen. Weitere Informationen finden Sie in der [AWS -Richtlinie für verantwortungsvolle KI](https://aws.amazon.com/ai/responsible-ai/policy/).
**Erstellen Sie Genehmigungsrichtlinien mit Amazon Q für die Befehlszeile wie folgt:**
1. Öffnen Sie Ihr Terminal und starten Sie eine Sitzung mit Amazon Q.
```
$ q chat
```
1. Geben Sie einen Prompt ein und beschreiben Sie, welche Art von Richtlinienanweisung Sie erstellen möchten. Wenn Sie beispielsweise das vorherige Szenario für eine Genehmigungsrichtlinie verwenden, könnten Sie den folgenden Prompt eingeben:
```
Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.
```
1. Die Eingabe dieses Beispiel-Prompts führte zu der folgenden Ausgabe:
```
Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
Here's the Cedar policy statement:
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Testing"
};
This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators
The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.
```
1. Fügen Sie die Richtlinienanweisung in eine neue Cedar-Datei ein, um die Syntax zu überprüfen. Sie können die Anweisung auch mithilfe des [Cedar-Playgrounds](https://www.cedarpolicy.com/en/playground) überprüfen.
1. Nachdem Sie die Anweisung validiert haben, speichern Sie die Cedar-Datei.
1. Führen Sie auf Ihrem Terminal den folgenden AWS CLI Befehl aus, um ein SSM-Dokument mit Ihrem Richtlinieninhalt zu erstellen. Bevor Sie Genehmigungsrichtlinien in einer Produktionsumgebung verwenden, testen Sie Ihre Genehmigungsrichtlinien mit einer Teilmenge von Identitäten und Knoten in einem und. AWS-Konto AWS-Region
**Anmerkung**
Für eine Richtlinie zur automatische Genehmigung muss der Dokumentname `SSM-JustInTimeAccessAutoApprovalPolicy` lauten. Es kann nur eine automatische Genehmigungsrichtlinie pro AWS-Konto und AWS-Region geben. Bei einer Zugriffsverweigerungsrichtlinie muss der Dokumentname `SSM-JustInTimeAccessDenyAccessOrgPolicy` lauten. Pro AWS Organizations Organisation kann es nur eine Zugriffsverweigerungsrichtlinie geben, und die Richtlinie muss im delegierten Administratorkonto für Systems Manager erstellt werden. Die Benennungsbeschränkungen für Richtlinien zur manuellen Genehmigung entsprechen denen anderer SSM-Dokumente. Weitere Informationen finden Sie unter [CreateDocument](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateDocument.html#systemsmanager-CreateDocument-request-Name).
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/policyContent.cedar \
--name "SSM-JustInTimeAccessAutoApprovalPolicy" \
--document-type "AutoApproval"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\policyContent.cedar ^
--name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
--document-type "AutoApproval"
```
------
#### [ PowerShell ]
```
$cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
-Content $cedar `
-Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
-DocumentType "AutoApproval"
```
------
# Sitzungseinstellungen für den just-in-time Knotenzugriff aktualisieren
Mit dem just-in-time Knotenzugriff können Sie allgemeine Sitzungs- und Protokollierungspräferenzen in allen AWS-Konto Bereichen und AWS-Region in Ihrer Organisation festlegen. Alternativ können Sie ein Dokument CloudFormation StackSets mit den Sitzungseinstellungen für mehrere Konten und Regionen erstellen, um einheitliche Sitzungseinstellungen zu gewährleisten. Informationen zum Schema für Dokumente mit Sitzungseinstellungen finden Sie unter [Schema des Sitzungsdokuments](session-manager-schema.md).
Für Protokollierungszwecke empfehlen wir die Verwendung der Streaming-Option mit Amazon CloudWatch Logs. Mit dieser Funktion können Sie einen kontinuierlichen Stream von Sitzungsdatenprotokollen an CloudWatch Logs senden. Beim Streamen von Sitzungsdaten sind wichtige Details enthalten, z. B. die Befehle, die ein Benutzer in einer Sitzung ausgeführt hat, die ID des Benutzers, der die Befehle ausgeführt hat, und Zeitstempel, wann die Sitzungsdaten in CloudWatch Logs gestreamt werden. Beim Streamen von Sitzungsdaten werden die Protokolle JSON-formatiert, um Ihnen bei der Integration in Ihre vorhandenen Protokollierungslösungen zu helfen.
Systems Manager beendet just-in-time Knotenzugriffssitzungen nicht automatisch. Es hat sich bewährt, Werte für die *maximale Sitzungsdauer* und das *Timeout bei Sitzungsinaktivität* anzugeben. Mit diesen Einstellungen können Sie verhindern, dass ein Benutzer länger mit einem Knoten verbunden bleibt, als in der Zugriffsanforderung genehmigt wurde. Das folgende Verfahren beschreibt, wie Sie die Sitzungseinstellungen für den just-in-time Knotenzugriff aktualisieren.
**Wichtig**
Sie müssen die AWS KMS Schlüssel, die für die Session Manager Verschlüsselung und RDP-Aufzeichnung beim just-in-time Knotenzugriff verwendet werden, mit dem Tag-Schlüssel `SystemsManagerJustInTimeNodeAccessManaged` und dem Tag-Wert `true` kennzeichnen.
Weitere Informationen zum Kennzeichnen von KMS-Schlüsseln finden Sie unter [Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) im *Entwicklerhandbuch für AWS Key Management Service *.
**Aktualisieren Sie die Sitzungseinstellungen wie folgt**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie die Registerkarte **Just-in-time Knotenzugriff** aus.
1. Wählen Sie im Abschnitt **Sitzungseinstellungen** die Option **Bearbeiten** aus.
1. Aktualisieren Sie die allgemeinen Einstellungen und die Protokollierungseinstellungen und wählen Sie **Speichern** aus.
# Benachrichtigungen für just-in-time Zugriffsanfragen konfigurieren
Sie können Systems Manager so konfigurieren, dass Benachrichtigungen gesendet werden, wenn ein Benutzer eine just-in-time Knotenzugriffsanfrage an die E-Mail-Adressen oder den Chat-Client für Genehmiger und den Anforderer erstellt. Die Benachrichtigung enthält den Grund für die vom Anforderer bereitgestellte Zugriffsanfrage, den AWS-Konto, AWS-Region, Status der Anfrage und die ID des Zielknotens. Derzeit unterstützt Systems Manager Slack und Microsoft Teams über die Integration mit Amazon Q Developer in Chat-Anwendungen. Wenn die Benachrichtigung über Chat-Client erfolgt, können die Genehmiger direkt mit den Zugriffsanforderungen interagieren. Sie müssen sich nicht mehr an der Konsole anmelden, um auf Zugriffsanforderungen zu reagieren.
**Bevor Sie beginnen**
Bevor Sie einen Chat-Client für Benachrichtigungen über den just-in-time Knotenzugriff konfigurieren, beachten Sie die folgende Anforderung:
+ Wenn Sie IAM-Rollen verwenden, um Benutzeridentitäten in Ihrem Konto zu verwalten, müssen Sie die E-Mail-Adressen der Genehmiger oder Anforderer, an die Sie Benachrichtigungen senden möchten, manuell mit der zugehörigen Rolle verknüpfen. Andernfalls können die vorgesehenen Empfänger nicht per E-Mail benachrichtigt werden.
In den folgenden Verfahren wird beschrieben, wie Benachrichtigungen für just-in-time Knotenzugriffsanforderungen konfiguriert werden.
**Um einen Chat-Client für Benachrichtigungen über den just-in-time Knotenzugriff zu konfigurieren**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie die Registerkarte **Just-in-time Knotenzugriff** aus.
1. Wählen Sie im Abschnitt **Chat** die Option **Neuen Client konfigurieren** aus.
1. Wählen Sie in der Dropdownliste **Clienttyp auswählen** den Typ des Chat-Clients aus, den Sie konfigurieren möchten, und wählen Sie **Weiter** aus.
1. Sie werden aufgefordert, Amazon Q Developer den Zugriff auf Chat-Clients zu erlauben. Wählen Sie **Zulassen** aus.
1. Geben Sie im Abschnitt **Kanal konfigurieren** die Informationen für Ihren Chat-Client-Kanal ein und wählen Sie die Arten von Benachrichtigungen aus, die Sie erhalten möchten.
1. Wenn Sie Benachrichtigungen für Slack konfigurieren, laden Sie „@Amazon Q“ zu jedem Slack-Kanal ein, für den Benachrichtigungen konfiguriert werden.
1. Wählen **Kanal konfigurieren** aus.
**Anmerkung**
Um approving/rejecting Zugriffsanfragen direkt von einem Slack-Channel aus zuzulassen, stellen Sie sicher, dass die IAM-Rolle, die mit dem Slack-Channel konfiguriert ist, über `ssm:SendAutomationSignal` Berechtigungen verfügt und über eine Vertrauensrichtlinie verfügt, die Chatbot einschließt:
```
{
"Effect": "Allow",
"Principal": {
"Service": "chatbot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
```
**Um E-Mail-Benachrichtigungen für Benachrichtigungen über den Knotenzugriff zu konfigurieren just-in-time**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie die Registerkarte **Just-in-time Knotenzugriff** aus.
1. Wählen Sie im Bereich **E-Mail** die Option **Bearbeiten** aus.
1. Wählen Sie **E-Mails hinzufügen** und dann die **IAM-Rolle** aus, der Sie E-Mail-Adressen manuell zuordnen möchten.
1. Geben Sie eine E-Mail-Adresse in das Feld **E-Mail-Adresse** ein. Immer wenn eine Zugriffsanforderung erstellt wird, für die eine Genehmigung durch die von Ihnen angegebene IAM-Rolle erforderlich ist, werden die E-Mail-Adressen, die der Rolle zugeordnet sind, benachrichtigt.
1. Wählen Sie **E-Mail-Adresse hinzufügen** aus.
# Aufzeichnen von RDP-Verbindungen
Just-in-time Der Knotenzugriff beinhaltet die Möglichkeit, RDP-Verbindungen aufzuzeichnen, die zu Ihren Windows Server Knoten hergestellt wurden. Für die Aufzeichnung von RDP-Verbindungen sind ein S3-Bucket und ein kundenverwalteter AWS Key Management Service -Schlüssel (AWS KMS) erforderlich. Das AWS KMS key wird verwendet, um die Aufzeichnungsdaten vorübergehend zu verschlüsseln, während sie generiert und auf Systems Manager Manager-Ressourcen gespeichert werden. Bei dem kundenverwalteten Schlüssel muss es sich um einen symmetrischen Schlüssel handeln, der zum Verschlüsseln und Entschlüsseln verwendet wird. Sie können entweder einen Schlüssel für mehrere Regionen für Ihre Organisation verwenden, oder Sie müssen in jeder Region, in der Sie den just-in-time Knotenzugriff aktiviert haben, einen vom Kunden verwalteten Schlüssel erstellen.
Wenn Sie die KMS-Verschlüsselung für den S3-Bucket aktiviert haben, in dem Sie die Aufzeichnungen speichern, müssen Sie dem `ssm-guiconnect`-Service-Prinzipal Zugriff auf den kundenverwalteten Schlüssel gewähren, der für die Bucket-Verschlüsselung verwendet wird. Bei dem kundenverwalteten Schlüssel kann es sich um einen anderen Schlüssel handeln als den, den Sie in den Einstellungen für die Aufzeichnung angegeben haben. Darin muss auch festgelegt sein, wofür die `kms:CreateGrant`-Berechtigung zum Herstellen von Verbindungen erforderlich ist.
## Konfigurieren der S3-Bucket-Verschlüsselung für RDP-Aufzeichnungen
Verbindungsaufzeichnungen werden in dem S3-Bucket gespeichert, den Sie angeben, wenn Sie die RDP-Aufzeichnung aktivieren.
Wenn Sie einen KMS-Schlüssel als Standardverschlüsselungsmechanismus für den S3-Bucket (SSE-KMS) verwenden, müssen Sie dem `ssm-guiconnect`-Service-Prinzipal Zugriff auf `kms:GenerateDataKey`-Aktionen für den Schlüssel gewähren. Wir empfehlen die Verwendung eines kundenverwalteten Schlüssels, wenn Sie die SSE-KMS-Verschlüsselung mit dem S3-Bucket verwenden. Der Grund ist, dass Sie für einen kundenverwalteten Schlüssel die zugehörige Schlüsselrichtlinie aktualisieren können. Sie können die wichtigsten Richtlinien für Von AWS verwaltete Schlüssel nicht aktualisieren.
**Wichtig**
Sie müssen die AWS KMS Schlüssel, die für die Session Manager Verschlüsselung und RDP-Aufzeichnung beim just-in-time Knotenzugriff verwendet werden, mit dem Tag-Schlüssel `SystemsManagerJustInTimeNodeAccessManaged` und dem Tag-Wert `true` kennzeichnen.
Weitere Informationen zum Kennzeichnen von KMS-Schlüsseln finden Sie unter [Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) im *Entwicklerhandbuch für AWS Key Management Service *.
Verwenden Sie die folgende Richtlinie für kundenverwaltete Schlüssel, um dem `ssm-guiconnect`-Service Zugriff auf den KMS-Schlüssel für S3-Speicher zu gewähren. Informationen zur Aktualisierung eines kundenverwalteten Schlüssels finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) im *Entwicklerhandbuch für AWS Key Management Service *.
Ersetzen Sie sie jeweils *example resource placeholder* durch Ihre eigenen Informationen:
+ *account-id*steht für die ID AWS-Konto desjenigen, der die Verbindung initiiert.
+ *region*steht für den AWS-Region Ort, an dem sich der S3-Bucket befindet. (Sie können `*` verwenden, wenn der Bucket Aufzeichnungen aus mehreren Regionen empfängt. Beispiel: `s3.*.amazonaws.com`.)
**Anmerkung**
Sie können in der Richtlinie `aws:SourceOrgID` anstatt `aws:SourceAccount` verwenden, wenn das Konto einer Organisation in AWS Organizations angehört.
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## Konfigurieren von IAM-Berechtigungen für die Aufzeichnung von RDP-Verbindungen
Zusätzlich zu den erforderlichen IAM-Berechtigungen für den just-in-time Knotenzugriff müssen dem Benutzer oder der Rolle, die Sie verwenden, je nach der Aufgabe, die Sie ausführen müssen, die folgenden Berechtigungen gewährt werden.
**Berechtigungen für die Konfiguration der Verbindungsaufzeichnung**
Zum Konfigurieren der RDP-Verbindungsaufzeichnung sind die folgenden Berechtigungen erforderlich:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**Berechtigungen für das Initiieren von Verbindungen**
Um RDP-Verbindungen mit just-in-time Knotenzugriff herzustellen, sind die folgenden Berechtigungen erforderlich:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**Bevor Sie beginnen**
Um Ihre Verbindungsaufzeichnungen zu speichern, müssen Sie zunächst einen S3-Bucket erstellen und die folgende Bucket-Richtlinie hinzufügen. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
(Informationen zum Hinzufügen oder Ändern einer Bucket-Richtlinie finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## Aktivierung und Konfiguration der RDP-Verbindungsaufzeichnung
Im folgenden Verfahren wird beschrieben, wie Sie die RDP-Verbindungsaufzeichnung aktivieren und konfigurieren.
**Aktivieren und Konfigurieren Sie die RDP-Verbindungsaufzeichnung wie folgt**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie die Registerkarte **Just-in-time Knotenzugriff** aus.
1. Wählen Sie im Bereich **RDP-Aufzeichnung** die Option **RDP-Aufzeichnung aktivieren** aus.
1. Wählen Sie den S3-Bucket aus, in den Sie Sitzungsaufzeichnungen hochladen möchten.
1. Wählen Sie den kundenverwalteten Schlüssel aus, der verwendet werden soll, um die Aufzeichnungsdaten vorübergehend zu verschlüsseln, während sie generiert und auf Systems Manager-Ressourcen gespeichert werden. (Dabei kann es sich um einen anderen kundenverwalteten Schlüssel handeln als den, den Sie zum Verschlüsseln des Buckets verwenden.)
1. Wählen Sie **Speichern** aus.
## Statuswerte für die RDP-Verbindungsaufzeichnung
Zu den gültigen Statuswerten für RPD-Verbindungsaufzeichnungen gehören:
+ `Recording`: Die Verbindung wird gerade aufgezeichnet
+ `Processing`: Das Video wird verarbeitet, nachdem die Verbindung beendet wurde.
+ `Finished`: Endstatus „Erfolg“: Das aufgezeichnete Video wurde verarbeitet und in den angegebenen Bucket hochgeladen.
+ `Failed`: Endstatus „Fehler“. Die Verbindung wurde nicht aufgezeichnet.
+ `ProcessingError`- Bei der Videoverarbeitung ist ein oder mehrere Zwischenprodukte failures/errors aufgetreten. Mögliche Ursachen sind Fehler bei der Serviceabhängigkeit oder fehlende Berechtigungen aufgrund einer Fehlkonfiguration des S3-Buckets, der für das Speichern von Aufzeichnungen angegeben wurde. In diesem Status wird der Service weiterhin versuchen, die Aufzeichnung zu verarbeiten.
**Anmerkung**
`ProcessingError` kann darauf zurückzuführen sein, dass der `ssm-guiconnect`-Service-Prinzipal nicht berechtigt ist, Objekte in den S3-Bucket hochzuladen, nachdem die Verbindung hergestellt wurde. Eine weitere mögliche Ursache sind fehlende KMS-Berechtigungen für den KMS-Schlüssel, der für die S3-Bucket-Verschlüsselung verwendet wird.
# Ändern der Ziele
Wenn Sie den just-in-time Knotenzugriff einrichten, wählen Sie die *Ziele* aus, für die Sie den just-in-time Knotenzugriff einrichten möchten. Ziele bestehen aus AWS Organizations Organisationseinheiten (OUs) und AWS-Regionen. Standardmäßig werden dieselben Ziele, die Sie bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole ausgewählt haben, für den just-in-time Knotenzugriff ausgewählt. Sie können wählen, ob Sie den just-in-time Knotenzugriff für alle Ziele oder für eine Teilmenge der Ziele einrichten möchten, die Sie bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole angegeben haben. Das Hinzufügen neuer Ziele, die bei der Einrichtung der einheitlichen Systems Manager Manager-Konsole nicht ausgewählt wurden, wird nicht unterstützt. Sie können die ausgewählten Ziele ändern, nachdem Sie den just-in-time Knotenzugriff eingerichtet haben.
Das folgende Verfahren beschreibt, wie Sie die Ziele für den just-in-time Knotenzugriff ändern.
**Ändern Sie Ziele wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie die Registerkarte **Just-in-time Knotenzugriff** aus.
1. Wählen Sie im Bereich **Ziele** die Option **Bearbeiten** aus.
1. Wählen Sie die **Organisationseinheiten** und **Regionen** aus, in denen Sie den just-in-time Knotenzugriff verwenden möchten.
1. Wählen Sie **Speichern**.
# Ändern von Identitätsanbietern
Standardmäßig verwendet der just-in-time Knotenzugriff IAM als Identitätsanbieter. Nach der Aktivierung des just-in-time Knotenzugriffs können Kunden, die die einheitliche Konsole mit einer Organisation verwenden, diese Einstellung ändern, um IAM Identity Center zu verwenden. Just-in-timeDer Knotenzugriff unterstützt IAM Identity Center nicht als Identitätsanbieter, wenn es für ein einzelnes Konto und eine Region eingerichtet ist.
Das folgende Verfahren beschreibt, wie Sie den Identitätsanbieter für den just-in-time Knotenzugriff ändern.
**Ändern Sie Identitätsanbieter wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie die Registerkarte **Just-in-time Knotenzugriff** aus.
1. Wählen Sie im Abschnitt **Benutzeridentität** die Option **Bearbeiten** aus.
1. Wählen Sie **AWS IAM Identity Center**.
1. Wählen Sie **Speichern**.
# Starten Sie eine just-in-time Knotenzugriffssitzung
Nach der Aktivierung und Einrichtung des just-in-time Knotenzugriffs sowie der Konfiguration der Sitzungs- und Benachrichtigungseinstellungen sind Benutzer bereit, just-in-time Knotenzugriffssitzungen zu starten. Sie können Sitzungen mithilfe des just-in-time Knotenzugriffs über die Systems Manager Manager-Konsole oder AWS Command Line Interface über das Session Manager Plug-In starten. Just-in-timeKnotenzugriffssitzungen können auf Knoten im selben Konto und in derselben Region gestartet werden. In den folgenden Verfahren wird beschrieben, wie Sitzungen mit just-in-time Knotenzugriff gestartet werden.
**Anmerkung**
Wenn Ihre Benutzer zuvor Verbindungen Session Manager zu Knoten hergestellt haben, müssen Sie beispielsweise die Session Manager Berechtigungen aus ihren IAM-Richtlinien entfernen`ssm:StartSession`, um Sitzungen mit just-in-time Knotenzugriff zu starten. Andernfalls wird weiterhin Session Manager zum Herstellen von Knotenverbindungen verwendet.
**Um eine Sitzung mit just-in-time Knotenzugriff über die Konsole zu starten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Knoten erkunden** aus.
1. Wählen Sie den Knoten aus, zu dem Sie eine Verbindung herstellen möchten.
1. Wählen Sie in der Dropdownliste **Aktionen** die Option **Verbinden** aus.
Wenn die Genehmigungsrichtlinien Ihrer Organisation nicht zulassen, dass automatisch eine Verbindung zum Knoten hergestellt wird, werden Sie aufgefordert, eine Zugriffsanforderung zu senden. Nachdem Sie die angeforderten Informationen ausgefüllt und die Zugriffsanforderung abgesendet haben, können Sie Sitzungen für diesen Knoten starten, sobald alle erforderlichen Genehmigungen eingegangen sind.
**Um eine Sitzung mit just-in-time Knotenzugriff zu starten, verwenden Sie den AWS CLI**
1. Führen Sie den folgenden Befehl aus, um den Zugriffsanforderungsworkflow zu starten. Achten Sie dabei darauf, den *placeholder values* durch Ihre eigenen Informationen zu ersetzen.
```
aws ssm start-access-request \
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE
--reason "Troubleshooting networking performance issue"
```
Abhängig von den Genehmigungsrichtlinien Ihrer Organisation werden Sie entweder automatisch mit dem Knoten verbunden oder der manuelle Genehmigungsprozess wird gestartet. Notieren Sie sich bei Anforderungen, die manuell genehmigt werden müssen, die ID der Zugriffsanforderung, die in der Antwort zurückgegeben wird.
1. Warten Sie, bis alle erforderlichen Genehmigungen vorliegen.
1. Nachdem alle erforderlichen Genehmigungen erteilt wurden, führen Sie den folgenden Befehl aus, um ein Zugriffstoken mit temporären Anmeldeinformationen zu erhalten. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws ssm get-access-token \
--access-request-id oi-12345abcdef
```
Notieren Sie das in der Antwort zurückgegebene Zugriffstoken.
1. Führen Sie den folgenden Befehl aus, um die temporären Anmeldeinformationen in der zu verwenden AWS CLI, und stellen Sie sicher, dass Sie sie durch Ihre eigenen Informationen ersetzen. *placeholder values*
```
export AWS_SESSION_TOKEN=AQoDYXdzEJr...
```
1. Führen Sie den folgenden Befehl aus, um eine Sitzung *placeholder values* mit dem Knoten zu starten, und achten Sie darauf, die durch Ihre eigenen Informationen zu ersetzen.
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
# Verwaltung von just-in-time Zugriffsanfragen
Für mehr Transparenz in Ihrem Unternehmen repliziert Systems Manager Zugriffsanforderungen an das delegierte Administratorkonto für Ihre Organisation. Um Ihnen zu helfen, die Compliance-Anforderungen zu erfüllen, speichert Systems Manager alle Zugriffsanforderungen ein Jahr lang. In den folgenden Themen wird beschrieben, wie Zugriffsanforderungen für just-in-time Knoten verwaltet werden. Diese Informationen sind für Genehmiger von Zugriffsanforderungen bestimmt. Bevor Sie beginnen, empfehlen wir Ihnen, Ihre IAM-Richtlinien zu überprüfen und sicherzustellen, dass Sie über die erforderlichen Berechtigungen für die Verwaltung des just-in-time Knotenzugriffs verfügen. Weitere Informationen finden Sie unter [just-in-timeZugriff mit Systems Manager einrichten](systems-manager-just-in-time-node-access-setting-up.md).
**Topics**
+ [Zugriffsanfragen für just-in-time Knoten genehmigen und ablehnen](systems-manager-just-in-time-node-access-approve-deny-requests.md)
# Zugriffsanfragen für just-in-time Knoten genehmigen und ablehnen
Genehmiger von Zugriffsanfragen können just-in-time Knotenzugriffsanforderungen über die einheitliche Systems Manager Manager-Konsole oder mithilfe Ihres bevorzugten Befehlszeilentools genehmigen oder ablehnen. Diese Informationen sind für Genehmiger von Zugriffsanforderungen bestimmt. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um Zugriffsanforderungen zu genehmigen oder zu verweigern, wenden Sie sich an Ihren Administrator. In den folgenden Verfahren wird beschrieben, wie Zugriffsanforderungen für just-in-time Knoten genehmigt oder verweigert werden.
**So genehmigen oder verweigern Sie just-in-time Knotenzugriffsanfragen mit der Konsole**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Knotenzugriff verwalten** aus.
1. Wählen Sie die Registerkarte **Zugriffsanforderungen** aus.
1. Wählen Sie den Schalter **Anforderungen für mich** aus.
1. Aktivieren Sie das Kontrollkästchen neben der Zugriffsanforderung, die Sie genehmigen oder verweigern möchten.
1. Wählen Sie **Genehmigen** oder **Verweigern** aus.
Nachdem Sie eine Zugriffsanforderung genehmigt haben, können Sie Ihre Genehmigung jederzeit widerrufen, indem Sie auf **Widerrufen** klicken.
**Um just-in-time Knotenzugriffsanfragen über die Befehlszeile zu genehmigen oder abzulehnen**
1. Notieren Sie sich die Zugriffsanforderungs-ID aus der Benachrichtigung. Beispiel, *oi-12345abcdef*.
1. Führen Sie den folgenden Befehl aus, um Details zum Workflow für die Genehmigung von Zugriffsanfragen zurückzugeben, und achten Sie darauf, diese durch Ihre eigenen Informationen zu ersetzen. *placeholder values*
```
aws ssm get-ops-item \
--ops-item-id oi-12345abcdef
```
Notieren Sie sich den `automationExecutionId`-Wert im `/aws/accessrequest`-Feld für die `OperationalData`. Beispiel, *9231944f-61c6-40be-8bce-8ee2bEXAMPLE*.
1. Führen Sie den folgenden Befehl aus, um die Zugriffsanforderung zu genehmigen oder zu verweigern. Verwenden Sie den `Approve`-Signaltyp, um die Anfrage zu genehmigen. und `Deny`, um sie zu verweigern. Ersetzen Sie *placeholder values* durch Ihre eigenen Informationen.
```
aws ssm send-automation-signal \
--automation-execution-id 9231944f-61c6-40be-8bce-8ee2bEXAMPLE \
--signal-type "Approve"
```
# Übergang zum just-in-time Knotenzugriff von Session Manager
Wenn Sie den just-in-time Knotenzugriff aktivieren, nimmt Systems Manager keine Änderungen an Ihren vorhandenen Ressourcen für vorSession Manager. Dadurch wird sichergestellt, dass Ihre bestehende Umgebung nicht unterbrochen wird und Benutzer weiterhin Sitzungen starten können, während Sie Genehmigungsrichtlinien erstellen und validieren. Sobald Sie bereit sind, Ihre Genehmigungsrichtlinien zu testen, müssen Sie Ihre bestehenden IAM-Richtlinien ändern, um den Übergang zum just-in-time Knotenzugriff abzuschließen. Dazu gehören das Hinzufügen der erforderlichen Berechtigungen für den just-in-time Knotenzugriff auf Identitäten und das Entfernen der Berechtigungen für den `StartSession` API-Vorgang für. Session Manager Wir empfehlen, Genehmigungsrichtlinien mit einer Teilmenge von Identitäten und Knoten in einem und zu testen. AWS-Konto AWS-Region
Weitere Hinweise zu den für den just-in-time Knotenzugriff erforderlichen Berechtigungen finden Sie unter. [just-in-timeZugriff mit Systems Manager einrichten](systems-manager-just-in-time-node-access-setting-up.md)
Weitere Informationen zum Ändern und den IAM-Berechtigungen der Identität finden Sie unter [Hinzufügen und Entfernen von IAM-Identitäts-Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*.
Im Folgenden wird detailliert beschrieben, wie Sie von zum just-in-time Knotenzugriff wechseln könnenSession Manager.
Die Umstellung von Session Manager auf just-in-time Node Access erfordert sorgfältige Planung und Tests, um einen reibungslosen Übergang ohne Betriebsunterbrechung zu gewährleisten. In den folgenden Abschnitten wird beschrieben, wie Sie diesen Prozess abschließen können.
## Voraussetzungen
Überprüfen Sie zu Beginn, ob Sie die folgenden Aufgaben ausgeführt haben:
+ Einrichten der vereinheitlichten Systems-Manager-Konsole.
+ Es wurde überprüft, ob Sie berechtigt sind, die IAM-Richtlinien in Ihrem Konto zu ändern.
+ Es wurden alle IAM-Richtlinien und -Rollen identifiziert, die derzeit Session Manager-Berechtigungen erteilen.
+ Es wurde Ihre aktuelle Session Manager-Konfiguration dokumentiert, einschließlich der Sitzungs- und Protokollierungseinstellungen.
## Bewertung
Beurteilen Sie Ihre aktuelle Umgebung und skizzieren Sie das gewünschte Genehmigungsverhalten, indem Sie die folgenden Aufgaben ausführen:
1. **Inventarisieren Ihrer Knoten** – Identifizieren Sie alle Knoten, auf die Benutzer derzeit über Session Manager zugreifen.
1. **Identifizieren von Benutzerzugriffsmustern** – Dokumentieren Sie, welche Benutzer oder Rollen Zugriff auf welche Knoten benötigen und unter welchen Umständen.
1. **Zuordnen von Genehmigungsworkflows** – Legen Sie fest, wer Zugriffsanforderungen für verschiedene Knotentypen genehmigen soll.
1. **Überprüfen der Tagging-Strategie** – Stellen Sie sicher, dass Ihre Knoten ordnungsgemäß gekennzeichnet sind, um Ihre geplanten Genehmigungsrichtlinien zu unterstützen.
1. **Prüfen vorhandener IAM-Richtlinien** – Identifizieren Sie alle Richtlinien, die Session Manager-Berechtigungen beinhalten.
## Planung
### Schrittweiser Ansatz
Beim Übergang vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff empfehlen wir, einen schrittweisen Ansatz wie den folgenden zu verwenden:
1. **Phase 1: Einrichtung und Konfiguration** — Aktivieren Sie den just-in-time Knotenzugriff, ohne bestehende Session Manager Berechtigungen zu ändern.
1. **Phase 2: Richtlinienentwicklung** – Erstellen und testen Sie Genehmigungsrichtlinien für Ihre Knoten.
1. **Phase 3: Pilotmigration** — Ändern Sie eine kleine Gruppe unkritischer Knoten und Benutzer oder Rollen vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff.
1. **Phase 4: Vollständige Migration** – Schrittweise Migration aller verbleibenden Knoten und Benutzer oder Rollen.
### Überlegungen zum Zeitplan
Berücksichtigen Sie bei der Erstellung Ihres Zeitplans für den Übergang vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff die folgenden Faktoren:
+ Nehmen Sie sich Zeit für die Schulung der Benutzer und die Anpassung an den neuen Genehmigungsablauf.
+ Planen Sie Migrationen in Zeiten geringerer betrieblicher Aktivität.
+ Schließen Sie Pufferzeit für Problembehebungen und Anpassungen mit ein.
+ Planen Sie einen Parallelbetrieb ein, in dem beide Systeme verfügbar sind.
## Implementierungsschritte
### Phase 1: Einrichtung und Konfiguration
1. Aktivieren Sie den just-in-time Knotenzugriff in der Systems Manager Manager-Konsole. Die detaillierten Schritte finden Sie unter [just-in-timeZugriff mit Systems Manager einrichten](systems-manager-just-in-time-node-access-setting-up.md).
1. Konfigurieren Sie die Sitzungseinstellungen für den just-in-time Knotenzugriff so, dass sie Ihren aktuellen Session Manager Einstellungen entsprechen. Weitere Informationen finden Sie unter [Sitzungseinstellungen für den just-in-time Knotenzugriff aktualisieren](systems-manager-just-in-time-node-access-session-preferences.md).
1. Richten Sie Benachrichtigungseinstellungen für Zugriffsanforderungen ein. Weitere Informationen finden Sie unter [Benachrichtigungen für just-in-time Zugriffsanfragen konfigurieren](systems-manager-just-in-time-node-access-notifications.md).
1. Wenn Sie RDP-Verbindungen zu Windows Server-Knoten verwenden, konfigurieren Sie die RDP-Aufzeichnung. Weitere Informationen finden Sie unter [Aufzeichnen von RDP-Verbindungen](systems-manager-just-in-time-node-access-rdp-recording.md).
### Phase 2: Richtlinienentwicklung
1. Erstellen Sie IAM-Richtlinien für Administratoren und Benutzer mit just-in-time Knotenzugriff.
1. Entwickeln Sie Genehmigungsrichtlinien auf der Grundlage Ihrer Sicherheitsanforderungen und Ihres Anwendungsfalls.
1. Testen Sie Ihre Richtlinien in einer Nicht-Produktionsumgebung, um sicherzustellen, dass sie wie erwartet funktionieren.
### Phase 3: Pilot-Migration
1. Wählen Sie eine kleine Gruppe von Benutzern und unkritischen Knoten für das Pilotprojekt aus.
1. Erstellen Sie neue IAM-Richtlinien für Pilotbenutzer, die just-in-time Knotenzugriffsberechtigungen beinhalten.
1. Entfernen Sie die Session Manager-Berechtigungen (`ssm:StartSession`) aus den IAM-Richtlinien der Pilotbenutzer.
1. Schulen Sie Pilotbenutzer im neuen Workflow für Zugriffsanforderungen.
1. Überwachen Sie das Pilotprojekt auf Probleme und holen Sie Feedback ein.
1. Passen Sie die Richtlinien und Verfahren auf der Grundlage der Ergebnisse des Pilotprojekts an.
**Beispiel für eine Änderung der IAM-Richtlinie für Pilotbenutzer**
Ursprüngliche Richtlinie mit Session Manager-Berechtigungen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
Geänderte Richtlinie für den just-in-time Knotenzugriff:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
### Phase 4: Vollständige Migration
Entwickeln Sie einen Zeitplan für die stapelweise Migration der verbleibenden Benutzer und Knoten.
## Testmethode
Führen Sie während des gesamten Migrationsprozesses die folgenden Tests durch:
+ **Richtlinienvalidierung** – Stellen Sie sicher, dass die Genehmigungsrichtlinien für die vorgesehenen Knoten und Benutzer gelten.
+ **Workflow für Zugriffsanforderungen** – Testen Sie den gesamten Workflow von der Zugriffsanforderung bis zur Sitzungseinrichtung sowohl für automatische Genehmigungsszenarien als auch für manuelle Genehmigungsszenarien.
+ **Benachrichtigungen** – Stellen Sie sicher, dass Genehmiger Benachrichtigungen über konfigurierte Kanäle (E-Mail, Slack, Microsoft Teams) erhalten.
+ **Protokollierung und Überwachung** – Stellen Sie sicher, dass Sitzungsprotokolle und Zugriffsanforderungen ordnungsgemäß erfasst und gespeichert werden.
## Bewährte Methoden für eine erfolgreiche Migration
+ **Kommunizieren Sie frühzeitig und häufig** — Informieren Sie die Benutzer über den Zeitplan für die Migration und die Vorteile des just-in-time Knotenzugriffs.
+ **Starten mit unkritischen Systemen** – Beginnen Sie mit der Migration mit Entwicklungs- oder Testumgebungen, bevor Sie zur Produktion übergehen.
+ **Dokumentieren von allem** – Führen Sie detaillierte Aufzeichnungen über Ihre Genehmigungsrichtlinien, IAM-Richtlinienänderungen und Konfigurationseinstellungen.
+ **Überwachen und Anpassen** – Überwachen Sie kontinuierlich Zugriffsanforderungen und Genehmigungsworkflows und passen Sie die Richtlinien nach Bedarf an.
+ **Etablieren von Governance** – Richten Sie einen Prozess ein, mit dem die Genehmigungsrichtlinien regelmäßig überprüft und aktualisiert werden, wenn sich Ihre Umgebung ändert.
# just-in-timeZugriff mit Systems Manager deaktivieren
Das folgende Verfahren beschreibt, wie Sie den just-in-time Knotenzugriff deaktivieren. Nach dem Deaktivieren des just-in-time Knotenzugriffs können Benutzer in Ihrer Organisation möglicherweise keine Verbindung zu Ihren Knoten herstellen, es sei denn, Sie haben bereits andere Verbindungsmethoden implementiert.
**Um den just-in-time Knotenzugriff zu deaktivieren**
1. Melden Sie sich beim delegierten Systems Manager-Administratorkonto für Ihre Organisation an.
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Registerkarte **Just-in-time Knotenzugriff** die Option **Deaktivieren** aus.
# Just-in-time Häufig gestellte Fragen zum Knotenzugriff
## Wie wechsle ich vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff?
Nachdem Sie die einheitliche Konsole eingerichtet und den just-in-time Knotenzugriff aktiviert haben, müssen Sie Ihre bestehenden IAM-Richtlinien ändern, um die Umstellung auf den just-in-time Knotenzugriff abzuschließen. Dazu gehören das Hinzufügen der erforderlichen Berechtigungen für den just-in-time Knotenzugriff und das Entfernen der Berechtigungen für den `StartSession` API-Vorgang fürSession Manager. Weitere Informationen zu IAM-Richtlinien für den just-in-time Knotenzugriff finden Sie unter[just-in-timeZugriff mit Systems Manager einrichten](systems-manager-just-in-time-node-access-setting-up.md).
## Muss ich die einheitliche Konsole einrichten, um den just-in-time Knotenzugriff nutzen zu können?
Ja, die Einrichtung der einheitlichen Konsole ist eine Voraussetzung für den just-in-time Knotenzugriff. Nachdem Sie die einheitliche Konsole eingerichtet und den just-in-time Knotenzugriff aktiviert haben, gibt es jedoch mehrere Methoden, um eine Verbindung zu Ihren Knoten herzustellen. Sie können beispielsweise just-in-time Knotenzugriffssitzungen von der Amazon EC2 EC2-Konsole aus starten und die AWS CLI. Weitere Informationen zum Einrichten der einheitlichen Konsole finden Sie unter [Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation](systems-manager-setting-up-organizations.md).
## Sind mit dem just-in-time Knotenzugriff Kosten verbunden?
Systems Manager bietet eine kostenlose 30-Tage-Testversion für den just-in-time Knotenzugriff. Nach der Testversion fallen für den just-in-time Knotenzugriff Kosten an. Weitere Informationen finden Sie unter [AWS Systems Manager – Preise](https://aws.amazon.com/systems-manager/pricing/).
## Welchen Vorrang haben Richtlinien zur Genehmigung des just-in-time Knotenzugriffs?
Genehmigungsrichtlinien werden in der folgenden Reihenfolge ausgewertet:
1. Zugriffsverweigerung
1. Automatische Genehmigung
1. Manuell
## Wie werden Richtlinien für die manuelle Genehmigung ausgewertet?
Just-in-time Beim Knotenzugriff wird immer die spezifischere Richtlinie für einen Knoten bevorzugt. Richtlinien für die manuelle Genehmigung werden in der folgenden Reihenfolge ausgewertet:
1. Spezifisches Tag
1. Alle Knoten
## Was passiert, wenn für einen Knoten keine Genehmigungsrichtlinie gilt?
Um mithilfe des Knotenzugriffs eine Verbindung zu einem just-in-time Knoten herzustellen, muss für den Knoten eine Genehmigungsrichtlinie gelten. Wenn für einen Knoten keine Genehmigungsrichtlinien gelten, können Benutzer keinen Zugriff auf den Knoten anfordern.
## Können mehrere Genehmigungsrichtlinien für ein Tag gelten?
Ein Tag kann in Ihren Genehmigungsrichtlinien nur einmal als Ziel verwendet werden.
## Was passiert, wenn aufgrund von Tag-Überschneidungen mehrere Richtlinien für die manuelle Genehmigung für einen Knoten gelten?
Wenn mehrere Richtlinien für die manuelle Genehmigung für einen Knoten gelten, führt dies zu einem Konflikt und Benutzer können keinen Zugriff auf den Knoten beantragen. Denken Sie daran, wenn Sie Ihre Richtlinien für die manuelle Genehmigung erstellen. Einige Instances können je nach Fall nämlich mehrere Tags haben.
## Kann ich den just-in-time Knotenzugriff verwenden, um Zugriff zu beantragen und Sitzungen auf Knoten über Konten und Regionen hinweg zu starten?
Just-in-time Der Knotenzugriff unterstützt das Anfordern von Zugriff auf und das Starten von Sitzungen auf Knoten im selben Konto und derselben Region wie der Anforderer.
## Kann ich den just-in-time Knotenzugriff verwenden, um Zugriff zu beantragen und Sitzungen auf Knoten zu starten, die mit einer Hybridaktivierung registriert sind?
Ja, der just-in-time Knotenzugriff unterstützt das Anfordern von Zugriff auf und das Starten von Sitzungen auf Knoten, die mit einer Hybridaktivierung registriert sind. Der Knoten muss im selben Konto und in derselben Region wie der Anforderer registriert sein.
# Diagnose und Abhilfemaßnahmen
Mithilfe der einheitlichen Systems-Manager-Konsole können Sie Probleme in Ihrer gesamten Flotte in einem einzigen Diagnosevorgang identifizieren. In Unternehmen können Sie dann mit einem einzigen Automation-Vorgang versuchen, die Problembehebung für alle oder nur für ausgewählte Ziele durchzuführen. Für eine Organisation können Sie als delegierter Kontoadministrator Ziele für alle Konten und Regionen auswählen. Wenn Sie in einem einzelnen Konto arbeiten, können Sie Ziele in einer einzelnen Region gleichzeitig auswählen.
Systems Manager kann verschiedene Arten von Bereitstellungsfehlern sowie fehlerhafte Konfigurationen diagnostizieren und Ihnen helfen, diese zu beheben. Systems Manager kann auch Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Ihrem Konto oder Ihrer Organisation identifizieren, die Systems Manager nicht als *verwalteten Knoten* behandeln kann. Der EC2-Instance-Diagnoseprozess kann Probleme im Zusammenhang mit Fehlkonfigurationen für eine Virtual Private Cloud (VPC), in einer Domain Name Service (DNS)-Einstellung oder in einer Amazon Elastic Compute Cloud (Amazon EC2)-Sicherheitsgruppe identifizieren.
**Anmerkung**
Systems Manager unterstützt sowohl EC2-Instances als auch andere Maschinentypen in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) als *verwaltete Knoten*. Um ein verwalteter Knoten zu sein, muss AWS Systems Manager-Agent (SSM Agent) auf der Maschine installiert sein und Systems Manager muss berechtigt sein, Aktionen auf der Maschine auszuführen.
Für EC2-Instances kann diese Berechtigung auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitgestellt werden. Weitere Informationen finden Sie unter [Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md).
Für Nicht-EC2-Maschinen wird diese Berechtigung mithilfe einer IAM-Servicerolle bereitgestellt. Weitere Informationen finden Sie unter [Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle](hybrid-multicloud-service-role.md).
**Bevor Sie beginnen**
Um die **Diagnose- und Problembehebungsfunktion** zur Erkennung nicht verwalteter EC2-Instances verwenden zu können, müssen Sie zunächst Ihre Organisation oder Ihr Konto in die einheitliche Systems-Manager-Konsole einbinden. Während dieses Vorgangs müssen Sie die Option wählen, IAM-Rollen und verwaltete Richtlinien zu erstellen, die für diese Operationen erforderlich sind. Weitere Informationen finden Sie unter [Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation](systems-manager-setting-up-organizations.md).
Mithilfe der folgenden Themen können Sie bestimmte häufig auftretende Typen fehlgeschlagener Bereitstellungen, schwankender Konfigurationen und nicht verwalteter EC2-Instances identifizieren und beheben.
**Topics**
+ [Diagnose und Behebung fehlgeschlagener Bereitstellungen](remediating-deployment-issues.md)
+ [Diagnose und Behebung von Konfigurationsabweichungen](remediating-configuration-drift.md)
+ [Diagnose und Behebung nicht verwalteter Amazon-EC2-Instances in Systems Manager](remediating-unmanaged-instances.md)
+ [Arten von Runbook-Aktionen mit Auswirkungen auf die Behebung](remediation-impact-type.md)
+ [Ausführungsfortschritt und Verlauf von Behebungen in Systems Manager anzeigen](diagnose-and-remediate-execution-history.md)
# Diagnose und Behebung fehlgeschlagener Bereitstellungen
Systems Manager kann die folgenden Arten von fehlgeschlagenen Bereitstellungen diagnostizieren und Ihnen dann bei der Behebung helfen:
+ Kerneinrichtung für Mitgliedskonten von Organisationen
+ Kerneinrichtung für delegiertes Administratorkonto
+ Kerneinrichtung für Ihr Konto
Gehen Sie wie folgt vor, um zu versuchen, diese Art von Problemen zu beheben.
**Um fehlgeschlagene Bereitstellungen zu diagnostizieren und zu beheben**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Diagnose und Behebung** aus.
1. Wählen Sie die Registerkarte **Bereitstellungsprobleme**.
1. Sehen Sie sich im Abschnitt **Fehlgeschlagene Bereitstellungen** die Liste der Ergebnisse für fehlgeschlagene Bereitstellungen an.
1. Wählen Sie in der Spalte **Einrichtungsschritt** den Namen eines Ergebnisses aus, um weitere Informationen zu dem Problem zu erhalten. Zum Beispiel: **Kerneinrichtung für Mitgliedskonten von Organisationen**.
1. Auf der Detailseite für diese fehlgeschlagene Bereitstellung können Sie eine Liste der Konten und die Anzahl der einzelnen Regionen einsehen, in denen Bereitstellungsfehler aufgetreten sind.
1. Wählen Sie eine Konto-ID aus, um Informationen über die Gründe für Fehler in diesem Konto anzuzeigen.
1. Prüfen Sie im Bereich **Fehlerhafte Regionen** die unter **Statusgrund** angegebenen Informationen. Diese Informationen können einen Grund für die fehlgeschlagene Bereitstellung angeben und so Aufschluss darüber geben, welche Konfigurationsänderungen vorgenommen werden müssen.
1. Wenn Sie die Bereitstellung erneut versuchen möchten, ohne Änderungen an der Konfiguration vorzunehmen, wählen Sie **Erneut bereitstellen**.
# Diagnose und Behebung von Konfigurationsabweichungen
Systems Manager kann die folgenden Typen veränderter Konfigurationen diagnostizieren und Ihnen dann helfen, sie zu korrigieren:
+ Kerneinrichtung für Mitgliedskonten von Organisationen
+ Kerneinrichtung für delegiertes Administratorkonto
+ Kerneinrichtung für Ihr Konto
Gehen Sie wie folgt vor, um zu versuchen, diese Arten von fehlerhaften Konfigurationen zu korrigieren.
**So diagnostizieren und beheben Sie Konfigurationsabweichungen**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich die Option **Diagnose und Behebung** aus.
1. Wählen Sie die Registerkarte **Bereitstellungsprobleme**.
1. Sehen Sie sich im Abschnitt **Konfigurationsabweichungen** die Liste der Ergebnisse für fehlgeschlagene Bereitstellungen an.
–oder–
Um eine neue Diagnose durchzuführen, wählen Sie **Abweichung finden**.
1. Wählen Sie in der Spalte **Einrichtungsschritt** den Namen eines Ergebnisses aus, um weitere Informationen zu dem Problem zu erhalten. Zum Beispiel: **Kerneinrichtung für Mitgliedskonten von Organisationen**.
1. Auf der Detailseite für diese fehlgeschlagene Bereitstellung können Sie eine Liste der Konten und die Anzahl der einzelnen Regionen einsehen, in denen es zu Konfigurationsabweichungen gekommen ist.
1. Wählen Sie eine Konto-ID aus, um Informationen über den Grund für Konfigurationsabweichungen in diesem Konto anzuzeigen.
1. Im Bereich **Ressourcenabweichungen** werden in der Spalte **Ressource** die Namen der Ressourcen aufgeführt, bei denen es zu Abweichungen gekommen ist. In der Spalte **Abweichungs-Typ** wird angegeben, ob die Ressource geändert oder gelöscht wurde.
1. Um die beabsichtigte Konfiguration erneut bereitzustellen, wählen Sie **Erneut** bereitstellen.
# Diagnose und Behebung nicht verwalteter Amazon-EC2-Instances in Systems Manager
Um Sie bei der Verwaltung Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instances mit Systems Manager zu unterstützen, können Sie die vereinheitlichte Systems-Manager-Konsole verwenden, um Folgendes zu tun:
1. Führen Sie einen manuellen oder geplanten Diagnoseprozess durch, um zu ermitteln, welche EC2-Instances in Ihrem Konto oder Ihrer Organisation derzeit nicht durch Systems Manager verwaltet werden.
1. Identifizieren Sie Netzwerk- oder andere Probleme, die Systems Manager daran hindern, die Verwaltung der Instances zu übernehmen.
1. Führen Sie eine Automation-Ausführung durch, um das Problem automatisch zu beheben, oder greifen Sie auf Informationen zu, die Sie bei der manuellen Behebung des Problems unterstützen.
Verwenden Sie die Informationen in den folgenden Themen, um Probleme zu diagnostizieren und zu beheben, die Systems Manager daran hindern, Ihre EC2-Instances zu verwalten.
## Wie Systems Manager die betroffenen Knoten für die Liste „Probleme mit nicht verwalteten EC2-Instances“ zählt
Die Anzahl der Knoten, die auf der Registerkarte **Probleme mit nicht verwalteten EC2-Instances als nicht verwaltet** gemeldet wurden, entspricht der Gesamtzahl der Instances mit einem der folgenden Statuswerte zum Zeitpunkt des Diagnosescans:
+ `Running`
+ `Stopped`
+ `Stopping`
**Diese Zahl wird im Bereich Problemübersicht als **Betroffene Knoten** gemeldet.** In der folgenden Abbildung ist die Anzahl der betroffenen Knoten dargestellt, die derzeit nicht von Systems Manager verwaltet werden, `40`.
![\[Im Bereich „Problemübersicht“ werden 40 betroffene Knoten auf der Seite Diagnose und Behebung angezeigt\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/2-unmanaged-EC2-instance-count.png)
Im Gegensatz zu dem Bericht über nicht verwaltete EC2-Instances auf der Seite **Knoteninformationen überprüfen** ist diese Anzahl von EC2-Instances nicht dynamisch. Sie stellt die Ergebnisse dar, die während des letzten gemeldeten Diagnosescans gemacht wurden und als Wert für die **Scanzeit** angezeigt werden. Wir empfehlen daher, regelmäßig einen Diagnosescan für nicht verwaltete EC2-Instances durchzuführen, um die gemeldete Anzahl der betroffenen Knoten auf dem neuesten Stand zu halten.
Informationen zur Anzahl nicht verwalteter Instances finden Sie auf der Seite **Knoten-Erkenntnisse überprüfen** unter [Was ist eine nicht verwaltete Instance?](review-node-insights.md#unmanaged-instance-definition) im Thema [Überprüfen von Erkenntnissen](review-node-insights.md).
**Topics**
+ [Wie Systems Manager die betroffenen Knoten für die Liste „Probleme mit nicht verwalteten EC2-Instances“ zählt](#unmanaged-instance-scan-count)
+ [Kategorien von diagnostizierbaren Problemen mit nicht verwalteten EC2-Instances](diagnosing-ec2-category-types.md)
+ [Ausführen einer Diagnose und optionaler Problembehebung für nicht verwaltete EC2-Instances](running-diagnosis-execution-ec2.md)
+ [Planung eines wiederkehrenden Scans für nicht verwaltete EC2-Instances](schedule-recurring-ec2-diagnosis.md)
# Kategorien von diagnostizierbaren Problemen mit nicht verwalteten EC2-Instances
In diesem Thema werden die Hauptkategorien von EC2-Managementproblemen sowie die spezifischen Probleme in jeder Kategorie aufgeführt, bei deren Diagnose und Behebung Systems Manager Ihnen helfen kann. Beachten Sie, dass Systems Manager bei einigen Problemen zwar das Problem identifizieren kann, aber keine automatische Behebung anbietet. In diesen Fällen werden Sie von der Systems-Manager-Konsole zu Informationen weitergeleitet, die Ihnen helfen, ein Problem manuell zu lösen.
Der Diagnoseprozess untersucht jede Gruppe von EC2-Instances gleichzeitig entsprechend der Virtual Private Cloud (VPC), zu der sie gehören.
**Topics**
+ [Problemkategorie: Konfiguration von Sicherheitsgruppen und HTTPS-Kommunikation](#unmanaged-ec2-issue-security-groups)
+ [Problemkategorie: Konfiguration von DNS- oder DNS-Hostnamen](#unmanaged-ec2-issue-dns-configuration)
+ [Problemkategorie: VPC-Endpunktkonfiguration](#unmanaged-ec2-issue-vpc-endpoint-configuration)
+ [Problemkategorie: Netzwerk-ACL-Konfiguration](#unmanaged-ec2-issue-nacl-configuration)
## Problemkategorie: Konfiguration von Sicherheitsgruppen und HTTPS-Kommunikation
Bei einem Diagnosevorgang wird möglicherweise festgestellt, dass SSM Agent keine Kommunikation mit dem Systems-Manager-Service über HTTPS möglich ist. In diesen Fällen können Sie sich dafür entscheiden, ein Automation-Runbook auszuführen, das versucht, Sicherheitsgruppen zu aktualisieren, die an die Instances angehängt sind.
**Anmerkung**
Gelegentlich kann Systems Manager diese Probleme möglicherweise nicht automatisch beheben, aber Sie können die betroffenen Sicherheitsgruppen manuell bearbeiten.
**Unterstützte Problemtypen**
+ **Instance-Sicherheitsgruppe**: Ausgehender Datenverkehr ist auf Port 443 nicht zulässig
+ **`ssm`-Sicherheitsgruppe des VPC-Endpunkts**: Eingehender Datenverkehr ist auf Port 443 nicht zulässig
+ **`ssmmessages`-Sicherheitsgruppe des VPC-Endpunkts**: Eingehender Datenverkehr ist auf Port 443 nicht zulässig
+ **`ec2messages`-Sicherheitsgruppe des VPC-Endpunkts**: Eingehender Datenverkehr ist auf Port 443 nicht zulässig
Weitere Informationen finden Sie unter [Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen](troubleshooting-ssm-agent.md#agent-ts-ingress-egress-rules) im Thema [Fehlerbehebung für SSM Agent](troubleshooting-ssm-agent.md).
## Problemkategorie: Konfiguration von DNS- oder DNS-Hostnamen
Bei einem Diagnosevorgang wird möglicherweise festgestellt, dass Domain Name System (DNS) oder DNS-Hostnamen für die VPC nicht richtig konfiguriert sind. In diesen Fällen können Sie ein Automation-Runbook ausführen, das versucht, die Attribute `enableDnsSupport` und `enableDnsHostnames` der betroffenen VPC zu aktivieren.
**Unterstützte Problemtypen**
+ Die DNS-Unterstützung ist in einer VPC deaktiviert.
+ Ein DNS-Hostname ist in einer VPC deaktiviert.
Weitere Informationen finden Sie unter [Ihre VPC-DNS-bezogenen Attribute überprüfen](troubleshooting-ssm-agent.md#agent-ts-dns-attributes) im Thema [Fehlerbehebung für SSM Agent](troubleshooting-ssm-agent.md).
## Problemkategorie: VPC-Endpunktkonfiguration
Bei einem Diagnosevorgang wird möglicherweise festgestellt, dass VPC-Endpunkte nicht richtig für die VPC konfiguriert sind.
Wenn VPC-Endpoints, die von SSM Agent erforderlich sind, nicht existieren, versucht Systems Manager, ein Automation-Runbook auszuführen, um die VPC-Endpoints zu erstellen und sie einem Subnetz in jeder relevanten regionalen Availability Zone (AZ) zuzuordnen. Wenn die erforderlichen Endpunkte in VPC vorhanden sind, aber keinem Subnetz zugeordnet sind, in dem das Problem auftritt, ordnet das Runbook die VPC-Endpunkte dem betroffenen Subnetz zu.
**Anmerkung**
Systems Manager unterstützt nicht die Behebung aller falsch konfigurierten VPC-Endpunktprobleme. In diesen Fällen leitet Sie Systems Manager zu manuellen Abhilfemaßnahmen weiter, anstatt ein Automation-Runbook auszuführen.
**Unterstützte Problemtypen**
+ Es PrivateLink wurde kein `ssm.region.amazonaws.com` Endpunkt für gefunden.
+ Es PrivateLink wurde kein `ssmmessages.region.amazonaws.com` Endpunkt für gefunden.
+ Es PrivateLink wurde kein `ec2messages.region.amazonaws.com` Endpunkt für gefunden.
**Diagnostizierbare Problemtypen**
Systems Manager kann die folgenden Problemtypen diagnostizieren, aber derzeit ist kein Runbook zur Behebung dieser Probleme verfügbar. Sie können Ihre Konfiguration für diese Probleme manuell bearbeiten.
+ Das Subnetz einer Instance ist nicht mit einem `ssm.region.amazonaws.com`-Endpunkt verbunden.
+ Das Subnetz einer Instance ist nicht mit einem `ssmmessages.region.amazonaws.com`-Endpunkt verbunden.
+ Das Subnetz einer Instance ist nicht mit einem `ec2messages.region.amazonaws.com`-Endpunkt verbunden.
Weitere Informationen finden Sie unter [Ihre VPC-Konfiguration überprüfen](troubleshooting-ssm-agent.md#agent-ts-vpc-configuration) im Thema [Fehlerbehebung für SSM Agent](troubleshooting-ssm-agent.md).
## Problemkategorie: Netzwerk-ACL-Konfiguration
Bei einem Diagnosevorgang wird möglicherweise festgestellt, dass die Netzwerkzugriffskontrolllisten (NACLs) für die VPC nicht richtig konfiguriert sind, wodurch der für die Systems Manager Manager-Kommunikation erforderliche Datenverkehr blockiert wird. NACLs sind zustandslos, daher müssen sowohl ausgehende als auch eingehende Regeln den Systems Manager Manager-Verkehr zulassen.
Systems Manager kann NACL-Konfigurationsprobleme identifizieren und Anleitungen zur manuellen Behebung bereitstellen.
**Unterstützte Problemtypen**
+ **Instanzsubnetz NACL**: Ausgehender Datenverkehr ist auf Port 443 zu Systems Manager Manager-Endpunkten nicht zulässig
+ **Instance-Subnetz NACL**: Eingehender Datenverkehr ist auf kurzlebigen Ports (1024-65535) für Systems Manager Manager-Antworten nicht zulässig
**Diagnostizierbare Problemtypen**
Systems Manager kann die folgenden NACL-Konfigurationsprobleme diagnostizieren, aber eine manuelle Behebung ist erforderlich:
+ Die Subnetz-NACL einer Instance blockiert ausgehenden HTTPS-Verkehr (Port 443) zu Systems Manager Manager-Endpunkten
+ Das Subnetz-NACL einer Instance blockiert eingehenden kurzlebigen Port-Verkehr (1024-65535), der für Systems Manager Manager-Antworten erforderlich ist
Weitere Informationen finden Sie unter [Problembehandlung beim SSM-Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html) und unter [Benutzerdefiniertes Netzwerk ACLs für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/custom-network-acl.html#nacl-ephemeral-ports).
# Ausführen einer Diagnose und optionaler Problembehebung für nicht verwaltete EC2-Instances
Verwenden Sie das folgende Verfahren, um die netzwerk- und VPC-bezogenen Probleme zu diagnostizieren, die Systems Manager möglicherweise daran hindern, Ihre EC2-Instances zu verwalten.
Mit der Diagnose können Probleme der folgenden Typen erkannt und gruppiert werden:
+ **Probleme mit der Netzwerkkonfiguration** – Arten von Netzwerkproblemen, die die Kommunikation von EC2-Instances mit dem Systems-Manager-Service in der Cloud verhindern könnten. Für diese Probleme sind möglicherweise Behebungsmaßnahmen verfügbar. Weitere Informationen zu Netzwerkkonfigurationsproblemen finden Sie unter [Kategorien von diagnostizierbaren Problemen mit nicht verwalteten EC2-Instances](diagnosing-ec2-category-types.md).
+ **Unbekannte Probleme** – Eine Liste mit Ergebnissen für Fälle, in denen der Diagnosevorgang nicht ermitteln konnte, warum EC2-Instances nicht mit dem Systems-Manager-Service in der Cloud kommunizieren können.
**Um eine Diagnose und Problembehebung für nicht verwaltete EC2-Instances durchzuführen**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Diagnose und Behebung** aus.
1. Wählen Sie die Problemregisterkarte **Unverwaltete EC2-Instances** aus.
1. Wählen Sie im Abschnitt **Problemzusammenfassung** die Option **Neue Diagnose ausführen** aus.
–oder–
Wenn Sie zum ersten Mal nicht verwaltete EC2-Probleme diagnostizieren, wählen Sie im Abschnitt **Diagnose unverwalteter EC2-Instances** die Option **Ausführen** aus.
**Tipp**
Wählen Sie während der Ausführung der Diagnose **Fortschritt anzeigen** oder **Ausführungen anzeigen** aus, um den aktuellen Status der Ausführung zu überwachen. Weitere Informationen finden Sie unter [Ausführungsfortschritt und Verlauf von Behebungen in Systems Manager anzeigen](diagnose-and-remediate-execution-history.md).
1. Nachdem die Diagnose abgeschlossen ist, gehen Sie wie folgt vor:
+ Für alle Probleme, die im Abschnitt **Unbekannte Probleme** gemeldet wurden, klicken Sie auf den Link **Weitere Informationen**, um Informationen zur Lösung des Problems zu erhalten.
+ Bei Problemen, die im Abschnitt **Netzwerkkonfigurationsprobleme** gemeldet wurden, fahren Sie mit dem nächsten Schritt fort.
1. Wählen Sie in der Liste der Suchtypen in der Spalte **Empfehlungen** für ein bestimmtes Problem den Link aus, z. B. **2 Empfehlungen**.
1. Wählen Sie im sich öffnenden Bereich **Empfehlungen** aus den verfügbaren Abhilfemaßnahmen aus:
+ **Weitere Informationen** – Öffnen Sie ein Thema mit Informationen zur manuellen Lösung eines Problems.
+ **Runbook anzeigen** – Öffnen Sie einen Bereich mit Informationen zum Automation-Runbook, das Sie ausführen können, um das Problem mit Ihren EC2-Instances zu beheben, sowie Optionen zum Generieren einer *Vorschau* der Aktionen, die das Runbook ausführen würde. Fahren Sie mit dem nächsten Schritt fort.
1. Führen Sie im Bereich Runbooks Folgendes aus:
1. Eine **Beschreibung des Dokuments** finden Sie im Inhalt, der einen Überblick über die Maßnahmen bietet, die das Runbook zur Behebung Ihrer Probleme mit nicht verwalteten EC2-Instances ergreifen kann. Wählen Sie **Schritte anzeigen**, um eine Vorschau der einzelnen Aktionen anzuzeigen, die das Runbook ausführen würde.
1. Führen Sie für **Targets (Ziele)** Folgendes aus:
+ Wenn Sie Problembehebungen für eine Organisation verwalten, geben Sie unter **Konten** an, ob dieses Runbook auf alle Konten oder nur auf eine Untergruppe der von Ihnen ausgewählten Konten abzielt.
+ Geben Sie für **Regionen** an, ob dieses Runbook auf alle AWS-Regionen Mitglieder Ihres Kontos oder Ihrer Organisation oder nur auf eine Teilmenge der von Ihnen ausgewählten Regionen abzielt.
1. Lesen Sie sich die Informationen sorgfältig durch, um eine **Runbook-Vorschauversion** zu erhalten. In diesen Informationen wird erläutert, welchen Umfang und welche Auswirkungen es hätte, wenn Sie das Runbook ausführen würden.
**Anmerkung**
Die Entscheidung, das Runbook auszuführen, würde mit Gebühren verbunden sein. Lesen Sie die Vorschauinformationen sorgfältig durch, bevor Sie entscheiden, ob Sie fortfahren möchten.
Der Inhalt der **Runbook-Vorschau** enthält die folgenden Informationen:
+ In wie vielen Regionen würde der Runbook-Vorgang stattfinden.
+ (Nur Organizations) In wie vielen Organisationseinheiten (OUs) der Vorgang ausgeführt werden würde.
+ Die Arten von Aktionen, die ergriffen werden würden, und wie viele davon.
Zu den Aktionstypen gehören Folgende:
+ **Mutation**: Ein Runbook-Schritt würde Änderungen an den Zielen vornehmen, die Ressourcen erstellen, ändern oder löschen.
+ **Nicht mutierend**: Ein Runbook-Schritt würde Daten über Ressourcen abrufen, aber keine Änderungen an ihnen vornehmen. Diese Kategorie umfasst im Allgemeinen `Describe*`, `List*`, `Get*` und ähnliche schreibgeschützte API-Aktionen.
+ **Unbestimmt**: Ein unbestimmter Schritt ruft Ausführungen auf, die von einem anderen Orchestrierungsdienst wie, oder Run Command ausgeführt werden. AWS Lambda AWS Step Functions AWS Systems Manager Ein unbestimmter Schritt kann auch eine Drittanbieter-API aufrufen. Systems Manager Automation kennt das Ergebnis der Orchestrierungsprozesse oder API-Ausführungen von Drittanbietern nicht, sodass die Ergebnisse der Schritte unbestimmt sind.
1. An dieser Stelle können Sie eine der folgenden Aktionen auswählen:
+ Beenden Sie das Runbook und führen Sie es nicht aus.
+ Wählen Sie **Ausführen**, um das Runbook mit den Optionen auszuführen, die Sie bereits ausgewählt haben.
Wenn Sie den Vorgang ausführen möchten, wählen Sie **Fortschritt anzeigen** oder **Ausführungen anzeigen**, um den aktuellen Status der Ausführung zu überwachen. Weitere Informationen finden Sie unter [Ausführungsfortschritt und Verlauf von Behebungen in Systems Manager anzeigen](diagnose-and-remediate-execution-history.md).
# Planung eines wiederkehrenden Scans für nicht verwaltete EC2-Instances
Sie können einen On-Demand-Scan für Amazon-EC2-Instances in Ihrem Konto oder Ihrer Organisation ausführen, die Systems Manager aufgrund verschiedener Konfigurationsprobleme nicht verwalten kann. Sie können diesen Scan auch so planen, dass er nach einem Zeitplan automatisch ausgeführt wird.
**Um einen wiederkehrenden Scan für nicht verwaltete EC2-Instances zu planen**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Diagnose und Behebung** aus.
1. Wählen Sie die Problemregisterkarte **Unverwaltete EC2-Instances** aus.
1. Aktivieren Sie im Abschnitt **Unverwaltete EC2-Instances diagnostizieren** die Option **Wiederkehrende Diagnose planen.**
1. Wählen Sie unter **Diagnosehäufigkeit** aus, ob die Diagnose einmal täglich oder einmal pro Woche ausgeführt werden soll.
1. (Optional) Geben Sie unter **Startzeit** eine Uhrzeit im 24-Stunden-Format ein, zu der die Diagnose beginnen soll. Geben Sie zum Beispiel für 8:15 Uhr abends **20:15** ein.
Die von Ihnen eingegebene Zeit bezieht sich auf Ihre aktuelle lokale Zeitzone.
Wenn Sie keine Uhrzeit angeben, wird der Diagnosescan sofort ausgeführt. Systems Manager plant außerdem, dass der Scan in der Zukunft zum aktuellen Zeitpunkt ausgeführt wird. Wenn Sie eine Uhrzeit angeben, wartet Systems Manager darauf, den Diagnosescan zum angegebenen Zeitpunkt auszuführen.
1. Wählen Sie **Ausführen**. Die Diagnose wird sofort ausgeführt, aber auch nach dem von Ihnen angegebenen Zeitplan.
# Arten von Runbook-Aktionen mit Auswirkungen auf die Behebung
Systems Manager kann Diagnosevorgänge ausführen, mit denen bestimmte Arten von fehlgeschlagenen Bereitstellungen und fehlerhaften Konfigurationen sowie bestimmte Arten von Konfigurationsproblemen erkannt werden, die Systems Manager daran hindern, EC2-Instances zu verwalten. Die Ergebnisse der Diagnose können Empfehlungen für Automation-Runbooks beinhalten, die Sie ausführen können, um ein Problem zu beheben. Weitere Informationen zu diesen Diagnosevorgängen finden Sie in den folgenden Themen:
+ [Diagnose und Behebung fehlgeschlagener Bereitstellungen](remediating-deployment-issues.md)
+ [Diagnose und Behebung von Konfigurationsabweichungen](remediating-configuration-drift.md)
+ [Diagnose und Behebung nicht verwalteter Amazon-EC2-Instances in Systems Manager](remediating-unmanaged-instances.md)
Wenn Systems Manager ein Problem identifiziert, das möglicherweise durch die Ausführung eines Automation-Runbooks auf den betroffenen Ressourcen behoben werden kann, erhalten Sie eine *Ausführungsvorschau*. Die Ausführungsvorschau enthält Informationen über die *Arten* von Änderungen, die die Runbook-Ausführung an Ihren Zielen vornehmen würde. Zu diesen Informationen gehört, wie viele der drei Arten von Änderungen in der Diagnose identifiziert wurden.
Diese Änderungstypen lauten wie folgt:
+ `Mutating`: Ein Runbook-Schritt würde Änderungen an den Zielen vornehmen, die Ressourcen erstellen, ändern oder löschen.
+ `Non-Mutating`: Ein Runbook-Schritt würde Daten über Ressourcen abrufen, aber keine Änderungen an ihnen vornehmen. Diese Kategorie umfasst im Allgemeinen `Describe*`, `List*`, `Get*` und ähnliche schreibgeschützte API-Aktionen.
+ `Undetermined`: Ein unbestimmter Schritt ruft Ausführungen auf, die von einem anderen Orchestrierungsdienst wie AWS Lambda, oder AWS Step FunctionsRun Command, einem Tool in ausgeführt werden. AWS Systems Manager Ein unbestimmter Schritt kann auch eine Drittanbieter-API aufrufen oder eine Python oder PowerShell ein Skript ausführen. Systems Manager Automation kann nicht erkennen, was das Ergebnis der Orchestrierungsprozesse oder API-Ausführungen von Drittanbietern sein würde, und kann sie daher nicht auswerten. Die Ergebnisse dieser Schritte müssten manuell überprüft werden, um ihre Auswirkungen zu ermitteln.
In der folgenden Tabelle finden Sie Informationen zur Art der Auswirkungen der unterstützten Automation-Aktionen.
## Arten der Auswirkungen der unterstützten Behebungsmaßnahmen
In der Tabelle sind die Arten der Auswirkungen (mutierend, nicht mutierend und unbestimmt) verschiedener Aktionen aufgeführt, die in ein Behebungs-Runbook aufgenommen werden können.
| Aktion¹ | Art der Auswirkung |
| --- | --- |
| aws:approve | Nicht Mutation |
| als: assertAwsResource Eigentum | Nicht Mutation |
| aws:branch | Nicht Mutation |
| aws: changeInstanceState | Mutation |
| aws:copyImage | Mutation |
| aws:createImage | Mutation |
| aws:createStack | Mutation |
| aws:createTags | Mutation |
| aws:deleteImage | Mutation |
| aws:deleteStack | Mutation |
| aws:executeAutomation | Unbestimmt |
| war: executeAwsApi | Unbestimmt |
| aws:executeScript | Unbestimmt |
| war: executeStateMachine | Unbestimmt |
| war: invokeLambdaFunction | Unbestimmt |
| aws:invokeWebhook | Unbestimmt |
| aws:loop | Variiert. Hängt von den Aktionen in der Schleife ab. |
| aws:pause | Nicht Mutation |
| aws:runCommand | Unbestimmt |
| aws:runInstances | Mutation |
| aws:sleep | Nicht Mutation |
| aws:updateVariable | Mutation |
| war: waitForAws ResourceProperty | Nicht Mutation |
¹Weitere Informationen zu Automation-Aktionen finden Sie unter [Systems Manager Automation Aktionen-Referenz](automation-actions.md).
# Ausführungsfortschritt und Verlauf von Behebungen in Systems Manager anzeigen
Sie können eine Liste aller laufenden und abgeschlossenen Behebungsvorgänge anzeigen, die mit der Funktion **Diagnose und Behebung in Systems Manager** durchgeführt wurden.
Die Daten in der Liste mit dem Ausführungsverlauf enthalten die folgenden Informationstypen:
+ Die Art der Ausführung, `Diagnosis` oder `Remediation`.
+ Der Ausführungsstatus, z. B. `Success` oder `Failed`.
+ Die Zeiten, zu denen die Ausführung begonnen und beendet wurde.
**So können Sie den Ausführungsfortschritt und den Verlauf der Behebungen einsehen**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Diagnose und Behebung** aus.
1. Wählen Sie **Ausführungen anzeigen** aus.
**Tipp**
Während einer Ausführung können Sie auch **Fortschritt anzeigen** wählen, um die Seite **Ausführungsverlauf** zu öffnen.
1. (Optional) Geben Sie in das Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) einen Ausdruck ein, um die Ausführungsliste einzugrenzen, z. B. **EC2** oder **VPC**.
1. (Optional) Um zusätzliche Details zu einer Ausführung anzuzeigen, wählen Sie in der Spalte **Ausführungsname** einen Vorgangsnamen aus, z. B. **AWS- DiagnoseUnmanaged EC2 NetworkIssues**.
Im Detailbereich können Sie Informationen zu allen Schritten, die während des Vorgangs versucht wurden, sowie zu allen Eingaben und Ausgaben für die Ausführung überprüfen.
# Systems-Manager-Einstellungen anpassen
Die Optionen auf den **Einstellungsseiten** aktivieren und konfigurieren Funktionen in der vereinheitlichten Systems-Manager-Konsole. Die angezeigten Optionen hängen von dem Konto ab, mit dem Sie angemeldet sind, und davon, ob Sie Systems Manager bereits eingerichtet haben oder nicht.
**Anmerkung**
Die Optionen auf der Seite **Einstellungen** haben keinen Einfluss auf die Systems-Manager-Tools (früher Funktionen genannt).
## Kontoeinrichtungseinstellungen
Wenn Systems Manager aktiviert ist und Sie mit einem Konto angemeldet sind, das kein Mitglied von Organizations ist, oder wenn der delegierte Administrator Ihr Organisationskonto nicht zu Systems Manager hinzugefügt hat, wird auf der **Kontoeinrichtungsseite** die Option **Systems Manager deaktivieren** angezeigt. Die Deaktivierung von Systems Manager bedeutet, dass Systems Manager nicht das vereinheitlichte Konsolenerlebnis anzeigt. Alle Systems-Manager-Tools funktionieren weiterhin.
## Organisationseinstellungen
Auf der Registerkarte **Organisationseinstellungen** wird im **Bereich Heimatregion** die Region angezeigt, die bei der Einrichtung als Heimatregion AWS-Region ausgewählt wurde. In Umgebungen mit mehreren Konten und Regionen, in denen verwendet wird AWS Organizations, aggregiert Systems Manager automatisch Knotendaten aus allen Konten und Regionen in der Heimatregion. Wenn Sie Daten auf diese Weise aggregieren, können Sie Knotendaten über Konten und Regionen hinweg an einem einzigen Ort anzeigen.
**Anmerkung**
Wenn Sie die Heimatregion ändern möchten, müssen Sie Systems Manager deaktivieren und erneut aktivieren. Um Systems Manager zu deaktivieren, wählen Sie **Deaktivieren**.
Im Bereich **Organisationseinrichtung** werden die AWS Organisationseinheiten angezeigt, die bei der Einrichtung AWS-Regionen ausgewählt wurden. Um zu ändern, welche Organisationseinheiten und Regionen Knotendaten in Systems Manager anzeigen, wählen Sie **Bearbeiten**. Weitere Informationen zum Festlegen von Systems Manager für Organizations finden Sie unter [Einrichten von AWS Systems Manager](systems-manager-setting-up-console.md).
## Funktionskonfigurationen
Im Abschnitt **Featurekonfigurationen** können Sie wichtige Systems-Manager-Funktionen aktivieren und konfigurieren, die das Knotenmanagement in Ihrem Unternehmen verbessern. Diese Features sorgen zusammen für eine automatisierte Verwaltung, Compliance-Überwachung und Wartung Ihrer verwalteten Knoten.
Sie können diese Features bei der Erstinstallation von Systems Manager konfigurieren oder sie später auf der Seite „Einstellungen“ ändern. Jedes Feature kann je nach den Anforderungen Ihres Unternehmens unabhängig aktiviert oder deaktiviert werden.
### Standardkonfiguration für die Hostverwaltung
Die Standard-Host-Management-Konfiguration (DHMC) konfiguriert Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Ihrer Organisation automatisch für die Verwaltung durch Systems Manager. Wenn diese Option aktiviert ist, stellt DHMC sicher, dass neue und bestehende EC2-Instances über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen und Konfigurationen verfügen, um mit Systems Manager Manager-Diensten zu kommunizieren.
DHCM bietet die folgenden Vorteile:
+ **Automatische IAM-Rollenzuweisung** – Stellt sicher, dass EC2-Instances über die erforderlichen IAM-Rollen und -Richtlinien verfügen, um als verwaltete Knoten zu funktionieren
+ **Behebung von Abweichungen** – Korrigiert automatisch Konfigurationsabweichungen, wenn Instances ihren Status als verwalteter Knoten verlieren
+ **Vereinfachtes Onboarding** – Reduziert die Anzahl manueller Konfigurationsschritte für neue Instances
+ **Konsistente Konfiguration** – Behält einheitliche Einstellungen in Ihrer EC2-Flotte bei
#### Konfiguration der Häufigkeit von Abweichungskorrekturen
Die Abweichungskorrektur erkennt und korrigiert automatisch, wenn EC2-Instances ihre verwaltete Knotenkonfiguration verlieren. Sie können konfigurieren, wie oft Systems Manager nach Konfigurationsabweichungen sucht und diese behebt.
**Konfigurieren Sie die Standardkonfiguration für die Host-Verwaltung wie folgt:**
1. Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Suchen Sie im Abschnitt **Featurekonfigurationen** nach **Standard-Host-Management-Konfiguration**.
1. Um DHMC zu aktivieren, aktivieren Sie den Schalter.
1. Wählen Sie unter **Häufigkeit der Abweichungskorrektur** aus, wie oft Systems Manager nach Konfigurationsabweichungen suchen und diese korrigieren soll:
+ **Täglich** – Abweichungen werden einmal täglich überprüft und behoben
+ **Wöchentlich** – Abweichungen werden einmal pro Woche überprüft und behoben
+ **Monatlich** – Abweichungen werden einmal pro Monat überprüft und behoben
1. Wählen Sie **Speichern**.
**Anmerkung**
Wenn Sie DHMC aktivieren, erstellt Systems Manager die erforderlichen IAM-Rollen und -Richtlinien in Ihrem Konto. Diese Rollen ermöglichen es EC2-Instances, mit Systems-Manager-Services zu kommunizieren. Weitere Informationen über die von DHMC erstellten IAM-Rollen finden Sie unter [Verwalten von EC2-Instances mit Systems Manager](systems-manager-setting-up-ec2.md).
### Erfassung von Inventarmetadaten
Bei der Erfassung von Inventarmetadaten werden automatisch detaillierte Informationen über Ihre verwalteten Knoten gesammelt, einschließlich installierter Anwendungen, Netzwerkkonfigurationen, Systemupdates und anderer Systemmetadaten. Diese Informationen helfen Ihnen dabei, die Compliance zu gewährleisten, Sicherheitsanalysen durchzuführen und die Zusammensetzung Ihrer Infrastruktur zu verstehen.
Die Bestandserfassung bietet die folgenden Vorteile:
+ **Compliance-Überwachung** – Verfolgen Sie installierte Software und Konfigurationen für die Erstellung von Compliance-Berichten
+ **Sicherheitsanalyse** – Identifizieren Sie veraltete Software und potenzielle Sicherheitslücken
+ **Asset Management** — Führen Sie ein up-to-date Inventar Ihrer Infrastruktur
+ **Abfragefunktionen** – Verwenden Sie erfasste Daten mit Amazon Q Developer für Abfragen in natürlicher Sprache
#### Arten der erfassten Inventardaten
Wenn die Erfassung von Inventarmetadaten aktiviert ist, erfasst Systems Manager die folgenden Arten von Informationen von Ihren verwalteten Knoten:
+ **Anwendungen** – Installierte Softwarepakete und Anwendungen
+ **Netzwerkkonfigurationen** – Netzwerkschnittstellen, IP-Adressen und Netzwerkeinstellungen
+ **Systemupdates** – Installierte Patches und verfügbare Updates
+ **Systemeigenschaften** – Hardwarespezifikationen, Betriebssystemdetails und Systemkonfigurationen
+ **Services** – Laufende Services und ihre Konfigurationen
#### Konfigurieren der Häufigkeit der Bestandserfassung
Sie können konfigurieren, wie häufig Systems Manager Inventar-Metadaten aus Ihren verwalteten Knoten erfasst. Eine häufigere Erfassung bietet mehr up-to-date Informationen, kann jedoch die Nutzung der AWS Dienste erhöhen.
**Konfigurieren Sie die Erfassung von Inventar-Metadaten wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Suchen Sie im Abschnitt **Feature-Konfigurationen** nach **Erfassung von Inventarmetadaten**.
1. Um die Inventarerfassung zu aktivieren, aktivieren Sie den Schalter.
1. Wählen Sie unter **Erfassungshäufigkeit** aus, wie oft Systems Manager Inventardaten erfassen soll:
+ **Täglich** – Inventardaten werden einmal täglich erfasst
+ **Wöchentlich** – Inventardaten werden einmal pro Woche erfasst
+ **Monatlich** – Inventardaten werden einmal pro Monat erfasst
1. Wählen Sie **Speichern**.
**Wichtig**
Für die Inventarerfassung müssen verwaltete Knoten über die erforderlichen Berechtigungen zum Erfassen von Systeminformationen verfügen. Stellen Sie sicher, dass Ihre verwalteten Knoten über die entsprechenden IAM-Rollen und -Richtlinien verfügen. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter [AWS Systems Manager-Bestand](systems-manager-inventory.md).
### SSM Agent-Aktualisierungen
Automatische SSM Agent-Updates stellen sicher, dass auf Ihren verwalteten Knoten die neueste Version von SSM Agent ausgeführt wird. Wenn Sie den Agenten behalten, erhalten Sie up-to-date Zugriff auf die neuesten Funktionen, Sicherheitsverbesserungen und Bugfixes.
Automatische SSM Agent-Aktualisierungen bieten die folgenden Vorteile:
+ **Aktuelle Features** – Zugriff auf neue Systems-Manager-Funktionen und Verbesserungen
+ **Sicherheitsupdates** – Automatische Installation von Sicherheitspatches und Fixes
+ **Verbesserte Zuverlässigkeit** – Bugfixes und Stabilitätsverbesserungen
+ **Geringerer Wartungsaufwand** – Manuelle Agenten-Updates sind nicht mehr erforderlich
#### Konfigurieren von automatischen Agenten-Updates
Sie können konfigurieren, wie oft Systems Manager nach SSM Agent-Updates sucht und diese auf Ihren verwalteten Knoten installiert. Regelmäßige Updates sorgen für optimale Leistung und Sicherheit.
**Konfigurieren Sie SSM Agent-Updates wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Suchen Sie im Abschnitt **Feature-Konfigurationen** nach **SSM Agent-Updates**.
1. Um automatische Updates zu aktivieren, aktivieren Sie den Schalter.
1. Wählen Sie unter **Aktualisierungshäufigkeit** aus, wie oft Systems Manager nach Agenten-Updates suchen und diese installieren soll:
+ **Täglich** – Einmal pro Tag wird nach Updates gesucht
+ **Wöchentlich** – Einmal pro Woche wird nach Updates gesucht
+ **Monatlich** – Einmal pro Monat wird nach Updates gesucht
1. Wählen Sie **Speichern**.
## Einstellungen diagnostizieren und korrigieren
Die Einstellungen für **Diagnose und Korrektur bestimmen**, ob Systems Manager Ihre Knoten automatisch scannt, um sicherzustellen, dass sie mit Systems Manager kommunizieren können. Wenn diese Option aktiviert ist, wird die Funktion automatisch nach einem von Ihnen definierten Zeitplan ausgeführt. Die Funktion identifiziert, welche Knoten keine Verbindung zu Systems Manager herstellen können und warum. Dieses Feature bietet auch empfohlene Runbooks zur Behebung von Netzwerkproblemen und anderen Problemen, die verhindern, dass Knoten als verwaltete Knoten konfiguriert werden.
### Planen eines wiederkehrenden Diagnosescans
Systems Manager kann verschiedene Arten von Bereitstellungsfehlern sowie fehlerhafte Konfigurationen diagnostizieren und Ihnen helfen, diese zu beheben. Systems Manager kann auch Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Ihrem Konto oder Ihrer Organisation identifizieren, die Systems Manager nicht als *verwalteten Knoten* behandeln kann. Der EC2-Instance-Diagnoseprozess kann Probleme im Zusammenhang mit Fehlkonfigurationen für eine Virtual Private Cloud (VPC), in einer Domain Name Service (DNS)-Einstellung oder in einer Amazon Elastic Compute Cloud (Amazon EC2)-Sicherheitsgruppe identifizieren.
Um die Identifizierung von Knoten zu vereinfachen, die keine Verbindung zu Systems Manager herstellen können, können Sie mit dem Feature **Wiederkehrende Diagnose planen** einen wiederkehrenden Diagnosescan automatisieren. Mithilfe der Scans kann festgestellt werden, welche Knoten keine Verbindung zu Systems Manager herstellen können und warum. Gehen Sie wie folgt vor, um einen wiederkehrenden Diagnosescan Ihrer Knoten zu aktivieren und zu konfigurieren.
**So planen Sie einen wiederkehrenden Diagnosescan**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** und dann die Registerkarte **Diagnose und Behebung** aus.
1. Aktivieren Sie die Option **Wiederkehrende Diagnose planen**.
1. Wählen Sie unter **Scanzeitraum** aus, wie oft der Scan ausgeführt werden soll.
1. (Optional) Geben Sie unter **Startzeit** eine Uhrzeit im 24-Stunden-Format ein, zu der die Diagnose beginnen soll. Geben Sie zum Beispiel für 8:15 Uhr abends **20:15** ein.
Die von Ihnen eingegebene Zeit bezieht sich auf Ihre aktuelle lokale Zeitzone.
Wenn Sie keine Uhrzeit angeben, wird der Diagnosescan sofort ausgeführt. Systems Manager plant außerdem, dass der Scan in der Zukunft zum aktuellen Zeitpunkt ausgeführt wird. Wenn Sie eine Uhrzeit angeben, wartet Systems Manager darauf, den Diagnosescan zum angegebenen Zeitpunkt auszuführen.
1. Wählen Sie **Speichern**.
1. Wenn der Scan abgeschlossen ist, können Sie sich die Details anzeigen lassen, indem Sie im linken Navigationsbereich die Option **Diagnose und Behebung** auswählen.
Weitere Informationen zur **Diagnose- und Problembehebungsfunktion** finden Sie unter [Diagnose und Abhilfemaßnahmen](diagnose-and-remediate.md).
### S3-Bucket-Verschlüsselung aktualisieren
Wenn Sie Systems Manager einbinden, erstellt Quick Setup einen Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto für AWS Organizations Setups. Bei der Einrichtung eines Einzelkontos wird der Bucket in dem Konto gespeichert, das gerade eingerichtet wird. Dieser Bucket wird verwendet, um die Metadaten zu speichern, die bei Diagnosescans generiert wurden.
Weitere Informationen zur Einrichtung der vereinheitlichten Systems-Manager-Konsole finden Sie unter [Einrichten von AWS Systems Manager](systems-manager-setting-up-console.md).
Standardmäßig werden Ihre Daten im Bucket mit einem AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt, der Ihnen AWS gehört und für Sie verwaltet.
Sie können wählen, ob Sie einen anderen AWS KMS Schlüssel für Ihre Bucket-Verschlüsselung verwenden möchten. Als weitere Alternative können Sie die serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines vom Kunden verwalteten Schlüssels (CMK) verwenden. Weitere Informationen finden Sie unter [Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager](systems-manager-diagnosis-metadata-bucket.md).
**Um einen anderen AWS KMS Schlüssel für die S3-Bucket-Verschlüsselung zu verwenden**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** und dann die Registerkarte **Diagnose und Behebung** aus.
1. Wählen Sie im Bereich **S3-Bucket-Verschlüsselung aktualisieren** die Option **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen **Verschlüsselungseinstellungen anpassen (erweitert)**.
1. **Wählen Sie unter AWS KMS Schlüssel** auswählen den Amazon-Ressourcennamen (ARN) des Schlüssels aus oder geben Sie ihn ein.
**Tipp**
Um einen neuen Schlüssel zu erstellen, wählen Sie ** AWS KMS -Schlüssel erstellen**.
1. Wählen Sie **Speichern**.
# Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager
Quick SetupErstellt während des [Onboarding-Prozesses](systems-manager-setting-up-console.md) für AWS Systems Manager einen Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto für Organisationseinrichtungen. Bei der Einrichtung eines Einzelkontos wird der Bucket in dem Konto gespeichert, das gerade eingerichtet wird.
Sie können Systems Manager verwenden, um Diagnosevorgänge für Ihre Flotte durchzuführen, um Fälle von fehlgeschlagenen Bereitstellungen und fehlerhaften Konfigurationen zu identifizieren. Systems Manager kann auch Fälle erkennen, in denen Konfigurationsprobleme Systems Manager daran hindern, EC2-Instances in Ihrem Konto oder Ihrer Organisation zu verwalten. Die Ergebnisse dieser Diagnosevorgänge werden in diesem Amazon-S3-Bucket gespeichert, der sowohl durch eine Verschlüsselungsmethode als auch durch eine S3-Bucket-Richtlinie geschützt ist. Informationen zu den Diagnosevorgängen, die Daten in diesen Bucket ausgeben, finden Sie unter [Diagnose und Abhilfemaßnahmen](diagnose-and-remediate.md).
**Ändern der Bucket-Verschlüsselungsmethode**
Standardmäßig verwendet der S3-Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Sie können stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines vom Kunden verwalteten Schlüssels (CMK) als Alternative zu verwalteten Amazon S3 S3-Schlüsseln verwenden, wie unter erklärt. [Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen](remediate-s3-bucket-encryption.md)
**Inhalte der Bucketrichtlinien**
Die Bucket-Richtlinie verhindert, dass sich Mitgliedskonten in einer Organisation gegenseitig entdecken. Lese- und Schreibberechtigungen für den Bucket sind nur für die Diagnose- und Behebungsrollen zulässig, die für Systems Manager erstellt wurden. Die Inhalte dieser vom System generierten Richtlinien finden Sie unter [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md).
**Warnung**
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
**Topics**
+ [Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen](remediate-s3-bucket-encryption.md)
+ [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md)
# Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen
Quick Setup erstellt während des Onboarding-Prozesses für die vereinheitlichte Systems-Manager-Konsole einen Amazon Simple Storage Service (Amazon S3)-Bucket im delegierten Administratorkonto. In diesem Bucket werden die während der Ausführung des Reparatur-Runbooks generierten Diagnoseausgabedaten gespeichert. Standardmäßig verwendet der Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Den Inhalt dieser Richtlinien finden Sie unter [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md).
Sie können jedoch stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) verwenden, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) als Alternative zu einem verwenden. AWS KMS key
Führen Sie die folgenden Aufgaben aus, um Systems Manager für die Verwendung Ihres CMK zu konfigurieren.
## Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzu
AWS Systems Manager verwendet Ihr CMK nur, wenn es mit dem folgenden Schlüssel-Wert-Paar gekennzeichnet ist:
+ Schlüssel: `SystemsManagerManaged`
+ Wert: `true`
Gehen Sie wie folgt vor, um Zugriff auf die Verschlüsselung des S3-Buckets mit Ihrem CMK zu gewähren.
**Hinzufügen eines Tags zu Ihrem vorhandenen CMK**
1. [Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Klicken Sie in linken Navigationsleiste auf **Vom Kunden verwaltete Schlüssel**.
1. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.
1. Wählen Sie die Registerkarte **Tags** und dann **Bearbeiten** aus.
1. Wählen Sie **Add tag**.
1. Gehen Sie wie folgt vor:
1. Geben Sie für **Tag-Schlüssel** **SystemsManagerManaged** ein.
1. Geben Sie für **Tag-Wert** **true** ein.
1. Wählen Sie **Speichern** aus.
## Aufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändern
Gehen Sie wie folgt vor, um die [KMS-Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Ihres CMK zu aktualisieren, sodass AWS Systems Manager Rollen den S3-Bucket in Ihrem Namen verschlüsseln können.
**Um eine bestehende CMK-Schlüsselrichtlinie zu ändern**
1. [Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Klicken Sie in linken Navigationsleiste auf **Vom Kunden verwaltete Schlüssel**.
1. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.
1. Wählen Sie im Tab **Schlüsselrichtlinie** die Option **Bearbeiten** aus.
1. Fügen Sie dem `Statement` Feld die folgende JSON-Anweisung hinzu und ersetzen Sie sie durch Ihre eigenen Informationen. *placeholder values*
Stellen Sie sicher, dass Sie alle AWS-Konto IDs Daten, die in Ihrer Organisation integriert sind, zu dem AWS Systems Manager `Principal` Feld hinzufügen.
Um den richtigen Bucket-Namen in der Amazon-S3-Konsole zu finden, suchen Sie im delegierten Administratorkonto den Bucket im Format `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Tipp**
Alternativ können Sie die CMK-Schlüsselrichtlinie mithilfe des Bedingungsschlüssels [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) aktualisieren, um AWS Systems Manager Zugriff auf Ihr CMK zu gewähren.
## Aufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an
Gehen Sie nach Abschluss der beiden vorherigen Aufgaben wie folgt vor, um die S3-Bucket-Verschlüsselung zu ändern. Durch diese Änderung wird sichergestellt, dass der zugehörige Quick Setup-Konfigurationsprozess Berechtigungen für Systems Manager hinzufügen kann, Ihr CMK zu akzeptieren.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie auf der Registerkarte **Diagnose und Behebung** im Abschnitt **S3-Bucket-Verschlüsselung aktualisieren** die Option **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen **Verschlüsselungseinstellungen anpassen (erweitert)**.
1. Wählen Sie im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) die ID eines vorhandenen Schlüssels aus, oder fügen Sie den ARN eines vorhandenen Schlüssels ein.
1. Wählen Sie **Speichern**.
# S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole
Dieses Thema umfasst die Amazon-S3-Bucket-Richtlinien, die von Systems Manager erstellt wurden, wenn Sie eine Organisation oder ein einzelnes Konto in die vereinheitlichte Systems-Manager-Konsole einbinden.
**Warnung**
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
## Amazon-S3-Bucket-Richtlinie für eine Organisation
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn eine Organisation in Systems Manager integriert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Amazon-S3-Bucket-Richtlinie für ein einzelnes Konto
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn ein einzelnes Konto in Systems Manager integriert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------