Gestione automatica delle istanze EC2 con la configurazione di gestione host predefinita - AWS Systems Manager
PrerequisitiAttivazione dell'impostazione di Configurazione di gestione host predefinitaDisattivazione dell'impostazione di Configurazione di gestione host predefinitaEsempi di policy con privilegi minimi per la funzionalità Configurazione di gestione host predefinita

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione automatica delle istanze EC2 con la configurazione di gestione host predefinita

L'impostazione Default Host Management Configuration consente di AWS Systems Manager gestire automaticamente le istanze Amazon EC2 come istanze gestite. Un'istanza gestita è un'istanza EC2 configurata per l'uso con Systems Manager.

I vantaggi della gestione delle istanze con Systems Manager includono:

  • Connettersi in modo sicuro alle istanze EC2 utilizzando Session Manager.

  • Esegui le scansioni automatiche delle patch utilizzando Patch Manager.

  • Visualizzare informazioni dettagliate sulle istanze utilizzando Inventario di Systems Manager Inventory.

  • Tieni traccia delle istanze e gestiscile utilizzando Fleet Manager.

  • Mantenere SSM Agent aggiornato automaticamente.

Fleet Manager, Inventory, Patch Manager e Session Manager sono strumenti di Systems Manager.

Utilizzando Default Host Management Configuration, puoi gestire le istanze EC2 senza dover creare manualmente un profilo di istanza AWS Identity and Access Management (IAM). Invece, Default Host Management Configuration crea e applica un ruolo IAM predefinito per garantire che Systems Manager disponga delle autorizzazioni per gestire tutte le istanze nel Account AWS e in Regione AWS cui è attivato.

Se le autorizzazioni fornite non sono sufficienti per il tuo caso d'uso, è possibile anche aggiungere policy al ruolo IAM predefinito creato dalla configurazione di gestione host predefinita. In alternativa, se non hai bisogno di autorizzazioni per tutte le funzionalità fornite dal ruolo IAM predefinito, è possibile creare ruoli e policy personalizzati. Qualsiasi modifica apportata al ruolo IAM scelto per la configurazione di gestione host predefinita si applica a tutte le istanze Amazon EC2 gestite nella Regione e nell'account.

Per ulteriori informazioni sulla policy utilizzata dalla configurazione di gestione host predefinita, consulta la pagina AWS politica gestita: Amazon SSMManaged EC2 InstanceDefaultPolicy.

Implementazione dell'accesso con privilegi minimi

La procedura in questo argomento deve essere eseguita solo dagli amministratori. Pertanto, si consiglia di implementare l'accesso con privilegi minimi per impedire agli utenti non amministrativi di configurare o modificare la funzionalità Configurazione di gestione host predefinita. Per visualizzare esempi di policy che limitano l'accesso alla funzionalità Configurazione di gestione host predefinita, consulta Esempi di policy con privilegi minimi per la funzionalità Configurazione di gestione host predefinita più avanti in questo argomento.

Importante

Le informazioni di registrazione delle istanze registrate utilizzando la configurazione di gestione host predefinita sono archiviate localmente nelle directory var/lib/amazon/ssm o C:\ProgramData\Amazon. La rimozione di tali directory o dei relativi file impedirà all'istanza di acquisire le credenziali necessarie per connettersi a Systems Manager utilizzando la configurazione di gestione host predefinita. In questi casi, è necessario utilizzare un profilo dell'istanza IAM per fornire le autorizzazioni richieste all'istanza o ricreare l'istanza.

Prerequisiti

Per utilizzare Default Host Management Configuration nel Regione AWS luogo in Account AWS cui si attiva l'impostazione, è necessario soddisfare i seguenti requisiti.

  • Un'istanza da gestire deve utilizzare Instance Metadata Service Version 2 (IMDSv2).

    La configurazione di gestione host predefinita non supporta Instance Metadata Service versione 1. Per informazioni sulla transizione a IMDSv2, consulta Transition to using Instance Metadata Service Version 2 nella Amazon EC2 User Guide

  • Per poter essere gestito, SSM Agent versione 3.2.582.0 o successiva deve essere installato sull'istanza.

    Per informazioni sulla verifica della versione di SSM Agent installata sull'istanza, consulta Verifica del numero di versione di SSM Agent.

    Per informazioni sull'aggiornamento di SSM Agent, consulta Aggiornamento automatico di SSM Agent.

  • In qualità di amministratore che esegue le attività descritte in questo argomento, devi disporre delle autorizzazioni per le operazioni e GetServiceSettingAPI ResetServiceSetting. UpdateServiceSetting Inoltre, è necessario disporre delle autorizzazioni per l'autorizzazione iam:PassRole del ruolo IAM AWSSystemsManagerDefaultEC2InstanceManagementRole. Quello seguente è un esempio di policy che concede queste autorizzazioni. Sostituisci ogni example resource placeholder con le tue informazioni.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  • Se un profilo dell'istanza IAM è già collegato a un'istanza EC2 da gestire utilizzando Systems Manager, devi rimuoverne tutte le autorizzazioni che consentono l'operazione ssm:UpdateInstanceInformation. SSM Agent tenta di utilizzare le autorizzazioni del profilo dell'istanza prima di utilizzare le autorizzazioni della configurazione di gestione host predefinita. Se consenti l'operazione ssm:UpdateInstanceInformation nel profilo dell'istanza IAM, l'istanza non utilizzerà le autorizzazioni della configurazione di gestione host predefinita.

Attivazione dell'impostazione di Configurazione di gestione host predefinita

È possibile attivare la configurazione predefinita della gestione dell'host dalla Fleet Manager console o utilizzando AWS Command Line Interface o AWS Tools for Windows PowerShell.

È necessario attivare l’impostazione di Configurazione di gestione host predefinita in ciascuna Regione nella quale si desidera che gestisca le istanze Amazon EC2.

Dopo aver attivato la Configurazione di gestione host predefinita, le istanze potrebbero impiegare fino a 30 minuti per utilizzare le credenziali del ruolo scelto nel Passaggio 5 della seguente procedura.

Per attivare la funzionalità Configurazione di gestione host predefinita (console)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegli Fleet Manager.

  3. Scegli Gestione account, Configura la Configurazione di gestione host predefinita.

  4. Attiva Abilita la configurazione di gestione host predefinita.

  5. Scegli il ruolo AWS Identity and Access Management (IAM) utilizzato per abilitare gli strumenti Systems Manager per le tue istanze. Ti consigliamo di utilizzare il ruolo predefinito fornito dalla configurazione di gestione host predefinita. Contiene il set minimo di autorizzazioni necessario per gestire le istanze Amazon EC2 utilizzando Systems Manager. Se preferisci utilizzare un ruolo personalizzato, la policy di attendibilità del ruolo deve riconoscere Systems Manager come un'entità attendibile.

  6. Scegli Configura per completare la configurazione.

Per attivare la funzionalità Configurazione di gestione host predefinita (riga di comando)

  1. Crea un file JSON sul tuo computer locale contenente la seguente policy di attendibilità.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
                "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
        }
    ]
}

  2. Apri AWS CLI o Tools for Windows PowerShell ed esegui uno dei seguenti comandi, a seconda del tipo di sistema operativo del computer locale, per creare un ruolo di servizio nel tuo account. Sostituisci ogni example resource placeholder con le tue informazioni.

    Linux & macOS
    aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
    Windows
    aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
    PowerShell
    New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"

  3. Esegui il comando seguente per collegare la policy gestita AmazonSSMManagedEC2InstanceDefaultPolicy al ruolo appena creato. Sostituisci ogni example resource placeholder con le tue informazioni.

    Linux & macOS
    aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"

  4. Apri AWS CLI o Tools for Windows PowerShell ed esegui il comando seguente. Sostituisci ogni example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"

    Se il comando va a buon fine, non viene generato output.

  5. Esegui il comando seguente per visualizzare le impostazioni correnti del servizio per la configurazione predefinita della gestione host nella versione corrente Account AWS e Regione AWS.

    Linux & macOS
    aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

    Il comando restituisce informazioni simili alle seguenti.

    {
    "ServiceSetting": {
        "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
        "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
        "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
        "LastModifiedUser": "System",
        "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
        "Status": "Custom"
    }
}

Disattivazione dell'impostazione di Configurazione di gestione host predefinita

È possibile disattivare la configurazione predefinita della gestione dell'host dalla Fleet Manager console o utilizzando AWS Command Line Interface o AWS Tools for Windows PowerShell.

Devi disattivare l’impostazione di Configurazione di gestione host predefinita in ciascuna Regione nella quale si desidera impedire che gestisca le istanze Amazon EC2. La disattivazione in una Regione non comporta la disattivazione in tutte le Regioni.

Se disattivi la funzionalità Configurazione di gestione host predefinita e non hai collegato un profilo dell'istanza alle istanze Amazon EC2 che consenta l'accesso a Systems Manager, queste non saranno più gestite da Systems Manager.

Per disattivare la funzionalità Configurazione di gestione host predefinita (console)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegli Fleet Manager.

  3. Scegli Gestione account, Configurazione di gestione host predefinita.

  4. Disattiva Abilita configurazione di gestione host predefinita.

  5. Scegli Configura per disabilitare la configurazione di gestione host predefinita.

Per disattivare la funzionalità Configurazione di gestione host predefinita (riga di comando)

  • Apri AWS CLI o Tools for Windows PowerShell ed esegui il seguente comando. Sostituisci ogni example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

Esempi di policy con privilegi minimi per la funzionalità Configurazione di gestione host predefinita

Le seguenti policy di esempio mostrano come impedire ai membri dell'organizzazione di apportare modifiche all'impostazione della funzionalità Configurazione di gestione host predefinita nell'account.

Politica di controllo del servizio per AWS Organizations

La seguente politica illustra come impedire ai membri non amministrativi dell'utente di aggiornare l'impostazione predefinita della configurazione di gestione dell'host. AWS Organizations Sostituisci ogni example resource placeholder con le tue informazioni.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        }
    ]
}

Policy per i principali IAM

La seguente policy dimostra come impedire a gruppi, ruoli o utenti IAM dell'utente di aggiornare l'impostazione AWS Organizations della configurazione di gestione host predefinita. Sostituisci ogni example resource placeholder con le tue informazioni.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}