本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMS Accelerate 中的自动实例配置
<a name="acc-inst-auto-config"></a>

AMS Accelerate 提供自动实例配置服务。该服务可确保实例发出正确的日志和指标，以便 AMS 正确管理该实例。自动实例配置有自己的先决条件和入门步骤，本节后面将对此进行介绍。

**Topics**
+ [

# 自动实例配置在 Accelerate 中的工作原理
](inst-auto-config-how-works.md)
+ [

# SSM 代理自动安装
](ssm-agent-auto-install.md)
+ [

# 自动更改实例配置
](inst-auto-config-changes-made.md)

# 自动实例配置在 Accelerate 中的工作原理
<a name="inst-auto-config-how-works"></a>

自动实例配置使 AMS Accelerate 能够每天对您通过添加特定代理和标签指定的实例执行某些配置。

# 加速中自动配置实例的先决条件
<a name="inst-auto-config-pre-reqs"></a>

必须满足这些条件才能让 AMS Accelerate 对托管实例执行前面描述的自动操作。

**SSM 代理已安装**

AMS Accelerate 自动实例配置需要安装 AWS Systems Manager SSM 代理。

有关使用 AMS SSM Agent 自动安装功能的信息，请参阅[SSM 代理自动安装](ssm-agent-auto-install.md)。

有关手动安装 SSM 代理的信息，请参阅以下内容：
+ Linux：在[适用于 Linux 的亚马逊 EC2 实例上手动安装 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html)- AWS Systems Manager
+ Windows：在适用于 [Windows 服务器的亚马逊 EC2 实例上手动安装 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html)- AWS Systems Manager

**SSM 代理处于托管状态**

AMS 加速自动实例配置需要可运行的 SSM 代理。必须安装 SSM 代理，并且 Amazon EC2 实例必须处于托管状态。有关更多信息，请参阅 AWS 文档 “[使用 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)”。

# 自动设置实例配置
<a name="inst-auto-config-setup"></a>

假设已满足先决条件，则添加特定的 Amazon EC2 实例标签会自动启动 AMS Accelerate 自动实例配置。使用以下方法之一来添加此标签：

1. （强烈推荐）使用 AMS 加速资源标记器

   要为您的账户配置标签逻辑，请参阅[标记的工作原理](acc-tag-intro.md#acc-tag-how-works)。标记完成后，将自动处理标签和自动实例配置。

1. 手动添加标签

   手动将以下标签添加到 Amazon EC2 实例：

   **密钥：**ams: rt: ams-managed，值：tr** ue。**

**注意**  
将 ams**: rt: ams-managed 标签应用于实例后，实例配置服务会尝试应用所需的 AMS** 配置。每当实例启动以及进行 AMS 每日配置检查时，该服务都会断言 AMS 所需的配置。

# SSM 代理自动安装
<a name="ssm-agent-auto-install"></a>

要让 AMS 管理您的亚马逊弹性计算云 (Amazon EC2) 实例，您必须在每个实例上安装 AWS Systems Manager SSM 代理。如果您的实例未安装 SSM 代理，则可以使用 AMS SSM 代理自动安装功能。

**注意**  
如果您的账户在 2024 年 3 月 6 日之后加入 AMS Accelerate，则此功能默认处于启用状态。要关闭此功能，请联系您的 CA 或 CSDM。
要在 2024 年 3 月 6 日之前注册的账户中启用此功能，请联系您的 CA 或 CSDM。
此功能仅适用于不在 Auto Scaling 组中且运行 AMS 支持的 Linux 操作系统的 EC2 实例。

## 使用 SSM 代理的先决条件
<a name="ssm-agent-request-prerequisites"></a>
+ 确保与目标实例关联的实例配置文件具有以下策略之一（或许可名单中的等效权限）：
  + Amazon SSMManaged EC2 InstanceDefaultPolicy
  + Amazon SSMManaged InstanceCore
+ 确保没有明确拒绝上述策略中 AWS Organizations 列出的权限的服务控制策略。

  有关更多信息，请参阅[配置 Systems Manager 所需的实例权限](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)。
+ 要阻止出站流量，请确保在目标实例所在的 VPC 上启用以下接口终端节点（相应地替换 URL 中的 “区域”）：
  + ssm.<region>.amazonaws.com
  + ssmmessages.<region>.amazonaws.com
  + ec2messages。 <region>.amazonaws.co

  有关更多信息，请参阅[使用适用于 Systems Manager 的 VPC 终端节点来提高 EC2 实例的安全性](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)。

有关启用托管节点可用性或对其进行故障排除的一般提示，请参阅[解决方案 2：验证是否已为实例指定了 IAM 实例配置文件（仅限EC2 实例）](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2)。

**注意**  
作为自动安装过程的一部分，AMS 会停止和启动每个实例。当实例停止时，存储在实例存储卷中的数据和存储在 RAM 上的数据都将丢失。有关更多信息，请参阅[停止实例时会发生什么](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)。

## 请求在您的实例上自动安装 SSM 代理
<a name="ssm-agent-request-install"></a>

如果您的账户已加入 AMS Accelerate 补丁插件，请为实例配置补丁维护窗口 (MW)。需要一个能正常运行的 SSM 代理才能完成修补过程。如果实例上缺少 SSM 代理，AMS 会尝试在补丁维护时段内自动安装该代理。

**注意**  
作为自动安装过程的一部分，AMS 会停止和启动每个实例。当实例停止时，存储在实例存储卷中的数据和存储在 RAM 上的数据都将丢失。有关更多信息，请参阅[停止实例时会发生什么](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)。

## SSM 代理自动安装的工作原理
<a name="ssm-agent-auto-install-process"></a>

AMS 使用 EC2 用户数据在您的实例上运行安装脚本。要添加用户数据脚本并在您的实例上运行该脚本，AMS 必须停止并启动每个实例。

如果您的实例已有用户数据脚本，则 AMS 将在自动安装过程中完成以下步骤：

1. 创建现有用户数据脚本的备份。

1. 用 SSM 代理安装脚本替换现有的用户数据脚本。

1. 重启实例以安装 SSM 代理。

1. 停止实例并恢复原始脚本。

1. 使用原始脚本重启实例。

# 自动更改实例配置
<a name="inst-auto-config-changes-made"></a>

AMS Accelerate 实例配置自动化会在您的账户中进行以下更改：

1. IAM 权限

   添加授予实例使用由 AMS Accelerate 安装的代理的权限所需的 IAM 托管策略。

1. 座席

   1. Amazon CloudWatch 代理负责发布操作系统日志和指标。实例配置自动化可确保 CloudWatch 代理已安装并运行 AMS Accelerate 最低版本。

   1.  AWS Systems Manager SSM 代理负责在实例上运行远程命令。实例配置自动化可确保 SSM 代理运行 AMS Accelerate 最低版本。

1. CloudWatch 配置

   1. 为了确保发出所需的指标和日志，AMS Accelerate 对配置进行了自定义。 CloudWatch 有关更多信息，请参阅[CloudWatch 配置变更详情](inst-auto-config-details-cw.md)一节。

自动实例配置会更改或添加您的 IAM 实例配置文件和 CloudWatch 配置。

# IAM 权限变更详情
<a name="inst-auto-config-details-iam"></a>

每个托管实例必须有一个包含以下托管策略的 AWS Identity and Access Management 角色：
+ arn: aws: iam:: aws: Policy/Amazon SSMManaged InstanceCore
+ arn: aws: iam:: aws: policy/ CloudWatchAgentServerPolicy
+ arn: aws: iam:: aws: policy/ AMSInstance ProfileBasePolicy

 前两个是 AWS托管策略。AMS 管理的策略是：

**AMSInstanceProfileBasePolicy**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

 如果您的实例已经附加了 IAM 角色，但缺少这些策略中的任何一个，那么 AMS 会将缺少的策略添加到您的 IAM 角色中。如果您的实例没有 IAM 角色，则 AMS 会附加该 **AMSOSConfigurationCustomerInstanceProfile**IAM 角色。**AMSOSConfigurationCustomerInstanceProfile**IAM 角色具有 AMS Accelerate 所需的所有策略。

**注意**  
如果达到 10 的默认实例配置文件限制，则 AMS 会将限制增加到 20，以便可以附加所需的实例配置文件。

# CloudWatch 配置变更详情
<a name="inst-auto-config-details-cw"></a>

有关 CloudWatch 配置的更多详细信息。
+ CloudWatch 实例上的配置文件位置：
  + Windows：%ProgramData%\$1 Amazon\$1AmazonCloudWatchAgent\$1 amazon-cloudwatch-agent .json
  + Linux：/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/ams-加速配置.json
+ CloudWatch 配置文件在 Amazon S3 中的位置：
  + Windows：https://ams-configuration-artifacts-*REGION\$1NAME* .s3。 *REGION\$1NAME*.amazonaws。 com/configurations/cloudwatch/latest/windows-cloudwatch-config.j
  + Linux：https://ams-configuration-artifacts-*REGION\$1NAME* .s3。 *REGION\$1NAME*.amazonaws。 com/configurations/cloudwatch/latest/linux-cloudwatch-config.j
+ 收集的指标：
  + Windows:
    + AWS Systems Manager SSM 代理 (CPU\$1Usage)
    + CloudWatch 代理（CPU\$1Usage）
    + 所有磁盘的磁盘空间利用率（可用空间百分比）
    + 内存（已使用已提交字节的百分比）
  + Linux：
    + AWS Systems Manager SSM 代理 (CPU\$1Usage)
    + CloudWatch 代理（CPU\$1Usage）
    + CPU（cpu\$1usage\$1idle、cpu\$1usage\$1iowait、cpu\$1usage\$1usage\$1user、cpu\$1usage\$1system）
    + 磁盘（已用百分比、inodes\$1used、inodes\$1total）
    + Diskio（io\$1time、write\$1bytes、read\$1bytes、写入、读取）
    + 内存（mem\$1used\$1percent）
    + 交换（交换使用百分比）
+ 收集的日志：
  + Windows:
    + Amazon SSMAgent 日志
    + AmazonCloudWatchAgentLog
    + Amazon SSMError 日志
    + AmazonCloudFormationLog
    + ApplicationEventLog
    + EC2ConfigServiceEventLog
    + MicrosoftWindowsAppLockerEXEAndDLLEvent日志
    + MicrosoftWindowsAppLockerMSIAndScriptEventLog
    + MicrosoftWindowsGroupPolicyOperationalEventLog
    + SecurityEventLog
    + SystemEventLog
  + Linux：
    + /var/log/amazon/ssm/amazon-ssm-agent.log
    + /var/log/amazon/ssm/errors.log
    + /var/log/audit/audit.log
    + /var/log/cloud-init-output.log
    + /var/log/cloud-init.log
    + /var/log/cron
    + /var/log/dpkg.log
    + /var/log/maillog
    + /var/log/messages
    + /var/log/secure
    + /var/log/spooler
    + /var/log/syslog
    + /var/log/yum.log
    + /var/log/zypper.log