Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation
Der Einrichtungsvorgang für die einheitliche Systems-Manager-Konsolenerfahrung ist von AWS Management Console aus mit nur wenigen Klicks abgeschlossen. Um Systems Manager für eine AWS Organizations-Organisation einzurichten, benötigen Sie Zugriff auf das Verwaltungskonto Ihrer Organisation und ein anderes Konto in Ihrer Organisation, das Sie als delegierter Administrator verwenden können. Der Zugriff auf das Verwaltungskonto ist nur erforderlich, um Systems Manager zu aktivieren oder zu deaktivieren. Um Ihre Knoten zu verwalten, verwenden Sie das delegierte Administratorkonto.
Voraussetzungen
Bei der Verwaltung von Knoten in einem Unternehmen verwendet Systems Manager verschiedene abhängige Services, um die Funktionalität der vereinheitlichten Konsole einzurichten und zu erweitern. Daher muss Systems Manager vertrauenswürdigen Zugriff aktivieren und ein delegiertes Administratorkonto für die folgenden Services registrieren:
-
AWS CloudFormation – Stellt die für Systems Manager erforderlichen Ressourcen für Ihre Konten bereit.
-
AWS Resource Explorer – Suchen und Filtern von EC2-Instances in Ihren Konten.
-
AWS Systems Manager Explorer – Überwachung und Problembehebung des Zustands der Ressourcen, die für Systems Manager in Ihren Konten bereitgestellt werden.
-
AWS Systems Manager Quick Setup – Stellt für Ihre Konten die für Systems Manager erforderlichen Quick Setup-Konfigurationen bereit.
Bevor beginnen, stellen Sie sicher, dass Sie das Kontingent an delegierten Administratoren für keinen dieser abhängigen Services bereits überschritten haben. Andernfalls können Sie die delegierten Administratorkonten, die zur Aktivierung von Systems Manager erforderlich sind, nicht registrieren. Wenn Sie Systems Manager für eine Organisation aktivieren, ist jedes Konto in Ihrer Organisation enthalten. Derzeit gibt es keine Möglichkeit, Konten vom Einrichtungsprozess auszuschließen. Wenn Sie Systems Manager aktivieren, können Sie auswählen, welche AWS-Regionen Sie einbeziehen möchten. Es können nur Regionen ausgewählt werden, in denen die vereinheitlichte Systems Manager-Konsole unterstützt wird. Weitere Informationen zu den Regionen, in denen das Konsolenerlebnis verfügbar ist, finden Sie unter Unterstützte AWS-Regionen.
Einheitliche Konsolenressourcen
Der Einrichtungsprozess für die vereinheitlichte Systems Manager-Konsole erledigt viele der erforderlichen Aufgaben für Sie. Abhängig von den Features, die Sie konfigurieren möchten, gehören dazu die Aktivierung der Standard-Host-Management-Konfiguration, um Ihren Knoten die erforderlichen IAM-Berechtigungen bereitzustellen, und vieles mehr. Im Folgenden finden Sie eine detaillierte Liste der Ressourcen, die von Systems Manager für die einheitliche Konsole erstellt wurden. Abhängig von den Features, die Sie konfigurieren möchten, werden einige Ressourcen möglicherweise nicht erstellt.
AWS Resource Explorer-verwaltete Ansichten
-
AWSManagedViewForSSM: Ermöglicht Systems Manager den Zugriff auf Ressourceninformationen, die vom Ressourcen-Explorer für Ihre Organisation indexiert wurden. Diese verwalteten Ansichten können nur von Systems Manager aktualisiert oder gelöscht werden. Das heißt, wenn Sie die verwalteten Ansichten löschen oder Ressourcen-Explorer deaktivieren möchten, müssen Sie die vereinheitliche Konsole deaktivieren. Weitere Informationen zum Deaktivieren der vereinheitlichten Konsole finden Sie unter Deaktivieren der einheitlichen Systems-Manager-Konsole. Weitere Informationen zu verwalteten Ansichten finden Sie unter AWS Managed Views im Benutzerhandbuch zum Ressourcen-Explorer.Anmerkung
Wenn Sie einen Aggregatorindex für Resource Explorer in einer anderen Region als Ihrer Heimatregion erstellt haben, stuft Systems Manager den aktuellen Index herab. Anschließend bewirbt Systems Manager den lokalen Index in Ihrer Heimatregion als neuen Aggregatorindex. Während dieser Zeit werden nur Knoten für Ihre Heimatregion angezeigt. Dieser Vorgang kann bis zu 24 Stunden dauern.
IAM roles
-
RoleForOnboardingAutomation– Ermöglicht Systems Manager, Ressourcen während des Einrichtungsvorgangs zu verwalten. Weitere Informationen zu der Richtlinie finden Sie unter AWSQuickSetupSSMManageResourcesExecutionPolicy. -
RoleForLifecycleManagement– Ermöglicht Lambda, den Lebenszyklus von Ressourcen zu verwalten, die durch den Einrichtungsprozess erstellt wurden. Weitere Informationen zu der Richtlinie finden Sie unter AWSQuickSetupSSMLifecycleManagementExecutionPolicy. -
RoleForAutomation– Eine Servicerolle, die Systems Manager Automation zur Ausführung von Runbooks übernehmen soll. Weitere Informationen finden Sie unter Erstellen Sie die Servicerollen für Automation mithilfe der Konsole. -
AWSSSMDiagnosisAdminRole– Eine Administratorrolle, die zum Starten von Automatisierungen verwendet wird, die Diagnose-Runbooks verwenden. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy und AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy. -
AWSSSMDiagnosisExecutionRole– Eine Automatisierungsausführungsrolle für das Diagnose-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy und AWS-SSM-Automation-DiagnosisBucketPolicy. -
AWSSSMRemediationAdminRole– Eine Administratorrolle, die zum Starten von Automatisierungen verwendet wird, die Reparatur-Runbooks verwenden. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-RemediationAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy und AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy. -
AWSSSMRemediationExecutionRole– Eine Automatisierungsausführungsrolle für das Remediation-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-RemediationAutomation-ExecutionRolePolicy und AWS-SSM-Automation-DiagnosisBucketPolicy. -
ManagedInstanceCrossAccountManagementRole– Ermöglicht Systems Manager, Informationen über verwaltete Knoten kontenübergreifend zu sammeln.
State Manager-Zuordnungen
-
EnableDHMCAssociation– Wird täglich ausgeführt und stellt sicher, dass die Standard-Host-Verwaltungskonfiguration aktiviert ist. -
SystemAssociationForEnablingExplorer– Wird täglich ausgeführt und stellt sicher, dass Explorer aktiviert ist. Explorer wird verwendet, um Daten aus Ihren verwalteten Knoten zu synchronisieren. -
EnableAREXAssociation– Wird täglich ausgeführt und stellt sicher, dass AWS Resource Explorer aktiviert ist. Resource Explorer wird verwendet, um zu ermitteln, welche Amazon-EC2-Instances in Ihrer Organisation nicht durch Systems Manager verwaltet werden. -
SSMAgentUpdateAssociation– Wird alle 14 Tage ausgeführt und stellt sicher, dass die neueste verfügbare Version von SSM Agent in Ihren verwalteten Knoten installiert ist. -
SystemAssociationForInventoryCollection– Wird alle 12 Stunden ausgeführt und sammelt Bestandsdaten von Ihren verwalteten Knoten.
S3-Buckets
-
DiagnosisBucket– Speichert Daten, die bei der Ausführung des Diagnose-Runbooks gesammelt wurden.
Lambda-Funktionen
-
SSMLifecycleOperatorLambda– Ermöglicht Prinzipalen Zugriff auf alle AWS Systems Manager Quick Setup-Aktionen. -
SSMLifecycleResource– Benutzerdefinierte Ressource zur Verwaltung des Lebenszyklus von Ressourcen, die während des Einrichtungsprozesses erstellt wurden.
Darüber hinaus können Sie nach Abschluss des Einrichtungsvorgangs die Knotenaufgabe diagnostizieren und korrigieren auswählen, um automatisch Korrekturen auf Knoten anzuwenden, die nicht als von Systems Manager verwaltet gemeldet werden. Dies kann die Identifizierung von Problemen wie Netzwerkverbindungsproblemen zu den Systems-Manager-Endpunkten und mehr beinhalten. Weitere Informationen finden Sie unter Diagnose und Abhilfemaßnahmen.
Einrichten der vereinheitlichten Konsole
So richten Sie Systems Manager für eine Organisation ein
-
Anmeldung das Verwaltungskonto für Ihre Organisation.
Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/
. -
Geben Sie die ID des Kontos ein, das Sie als delegierter Administrator registrieren möchten.
-
Nachdem das delegierte Administratorkonto erfolgreich registriert wurde, melden Sie sich bei dem delegierten Administratorkonto an, das Sie gerade registriert haben, und kehren Sie zur Systems-Manager-Konsole zurück, um die Einrichtung von Systems Manager abzuschließen.
-
Wählen Sie Systems Manager aktivieren aus.
-
Im Abschnitt Heimatregion bestimmen Sie eine Region, in der Systems Manager Ihre Knotendaten aggregieren soll. Standardmäßig wählt Systems Manager die Region aus, die Sie gerade verwenden. Um eine andere Heimatregion auszuwählen, ändern Sie die Konsole in die Region, die Sie verwenden möchten, bevor Sie Systems Manager einrichten. Knotendaten werden über Konten und Regionen Ihrer Organisation hinweg repliziert und in der Heimatregion gespeichert. Die von Ihnen gewählte Region kann nach der Einrichtung von Systems Manager nicht mehr geändert werden. Um eine andere Region als Heimatregion für Ihre Organisation zu verwenden, müssen Sie die einheitliche Konsole deaktivieren und den Einrichtungsvorgang erneut abschließen. Wenn Ihre Organisation IAM Identity Center verwendet, müssen Sie dieselbe Region, in der Sie IAM Identity Center eingerichtet haben, als Ihre Heimatregion auswählen.
-
Wählen Sie im Abschnitt Regionen die Regionen aus, in denen Sie Systems Manager aktivieren möchten.
-
Wählen Sie im Abschnitt Feature-Konfigurationen die Optionen aus, die Sie für Ihre Konfiguration aktivieren möchten.
- Aktivieren der Standardkonfiguration für die Host-Verwaltung (Default Host Management Configuration, DHMC)
-
Ermöglicht Systems Manager, DHMC zu konfigurieren. Mit diesem Feature kann Systems Manager eine IAM-Rolle verwenden, um sicherzustellen, dass alle Amazon-EC2-Instances im Konto und in der Region über die erforderlichen Berechtigungen verfügen, um von Systems Manager verwaltet zu werden. Sie können auch die Häufigkeit der Korrektur von Abweichungen angeben. Eine Konfigurationsabweichung tritt immer dann auf, wenn ein Benutzer Änderungen an einem Service oder einem Feature vornimmt, die mit der in Ihrer Konfiguration getroffenen Auswahl in Konflikt stehen. Systems Manager sucht nach Konfigurationsabweichungen und versucht, diese auf der Grundlage der von Ihnen angegebenen Häufigkeit zu beheben. Sie müssen einen Wert zwischen 1 und 31 Tagen angeben. Wenn Sie DHMC bereits in einer Region konfiguriert haben, ändert Systems Manager die zuvor ausgewählte IAM-Rolle nicht. Weitere Informationen zu DHMC finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.
DHMC ermöglicht die Verwaltung von EC2-Instances, ohne dass Sie manuell ein AWS Identity and Access Management (IAM)-Instance-Profil erstellen müssen. Wir empfehlen, diese Option zu wählen, um sicherzustellen, dass Ihre EC2-Instances über die erforderlichen Berechtigungen verfügen, um von Systems Manager verwaltet zu werden.
- Aktivieren der Erfassung von Inventarmetadaten
-
Ermöglicht Systems Manager, die Erfassung der folgenden Arten von Metadaten von Ihren Knoten zu konfigurieren:
-
AWS-Komponenten – EC2-Treiber, Agenten, Versionen und mehr.
-
Anwendungen – Anwendungsnamen, Publisher, Versionen und mehr.
-
Knoten-Details – Systemname, Name des Betriebssystems (OS), OS-Version, letzter Boot-Vorgang, DNS, Domain, Arbeitsgruppe, OS-Architektur und mehr.
-
Netzwerkkonfiguration – IP-Adresse, MAC-Adresse, DNS-Gateway, Subnetzmaske und mehr.
-
Services – Name, Anzeigename, Status, abhängige Services, Servicetyp, Starttyp und mehr (nur Windows Server-Knoten).
-
Windows-Rollen – Name, Anzeigename, Pfad, Featuretyp, Installationsstatus und mehr (nur Windows Server-Knoten).
-
Windows-Updates – Hotfix-ID, installiert von, Installationsdatum und mehr (nur Windows Server-Knoten).
Geben Sie die Häufigkeit an, mit der das Inventar erfasst wird. Sie müssen einen Wert zwischen 1 und 744 Stunden angeben. Weitere Informationen zu Inventory, ein Tool in AWS Systems Manager, finden Sie unter AWS Systems Manager-Bestand.
-
- Aktivieren automatischer Systems Manager (SSM)-Agent-Updates
-
Ermöglicht dem Systems Manager, in der von Ihnen angegebenen Häufigkeit nach einer neuen Version des Agenten zu suchen. Der Wert für die Häufigkeit muss zwischen 1 und 31 Tagen liegen. Wenn es eine neue Version gibt, aktualisiert Systems Manager den Agenten auf Ihrem verwalteten Knoten automatisch auf die neueste veröffentlichte Version. Systems Manager installiert den Agenten nicht auf Instances, auf denen er noch nicht vorhanden ist. Informationen darüber, welche AMIs SSM Agent vorinstalliert haben, finden Sie unter Finden Sie AMIs mit dem vorinstallierten SSM Agent.
Wir empfehlen Ihnen, diese Option zu wählen, um sicherzustellen, dass Ihre Knoten immer die aktuellste Version von SSM Agent ausführen. Weitere Informationen zu SSM Agent, einschließlich Informationen zur manuellen Installation des Agenten, finden Sie unter Arbeiten mit SSM Agent.
-
Wählen Sie Absenden aus.
Je nach Größe Ihres Unternehmens kann es sehr lange dauern, bis die einheitliche Konsolenoberfläche von Systems Manager eingerichtet ist.
