SSM 代理自动安装 - AMS 加速用户指南
先决条件请求自动安装 SSM 代理SSM 代理自动安装的工作原理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SSM 代理自动安装

要让 AMS 管理您的亚马逊弹性计算云 (Amazon EC2) 实例,您必须在每个实例上安装 AWS Systems Manager SSM 代理。如果您的实例未安装 SSM 代理,则可以使用 AMS SSM 代理自动安装功能。

注意

  • 如果您的账户在 2024 年 3 月 6 日之后加入 AMS Accelerate,则此功能默认处于启用状态。要关闭此功能,请联系您的 CA 或 CSDM。

  • 要在 2024 年 3 月 6 日之前注册的账户中启用此功能,请联系您的 CA 或 CSDM。

  • 此功能仅适用于不在 Auto Scaling 组中且运行 AMS 支持的 Linux 操作系统的 EC2 实例。

使用 SSM 代理的先决条件

  • 确保与目标实例关联的实例配置文件具有以下策略之一(或许可名单中的等效权限):

    • Amazon SSMManaged EC2 InstanceDefaultPolicy

    • Amazon SSMManaged InstanceCore

  • 确保没有明确拒绝上述策略中 AWS Organizations 列出的权限的服务控制策略。

    有关更多信息,请参阅配置 Systems Manager 所需的实例权限

  • 要阻止出站流量,请确保在目标实例所在的 VPC 上启用以下接口终端节点(相应地替换 URL 中的 “区域”):

    • ssm.<region>.amazonaws.com

    • ssmmessages.<region>.amazonaws.com

    • ec2messages。 <region>.amazonaws.co

    有关更多信息,请参阅使用适用于 Systems Manager 的 VPC 终端节点来提高 EC2 实例的安全性

有关启用托管节点可用性或对其进行故障排除的一般提示,请参阅解决方案 2:验证是否已为实例指定了 IAM 实例配置文件(仅限EC2 实例)

注意

作为自动安装过程的一部分,AMS 会停止和启动每个实例。当实例停止时,存储在实例存储卷中的数据和存储在 RAM 上的数据都将丢失。有关更多信息,请参阅停止实例时会发生什么

请求在您的实例上自动安装 SSM 代理

如果您的账户已加入 AMS Accelerate 补丁插件,请为实例配置补丁维护窗口 (MW)。需要一个能正常运行的 SSM 代理才能完成修补过程。如果实例上缺少 SSM 代理,AMS 会尝试在补丁维护时段内自动安装该代理。

注意

作为自动安装过程的一部分,AMS 会停止和启动每个实例。当实例停止时,存储在实例存储卷中的数据和存储在 RAM 上的数据都将丢失。有关更多信息,请参阅停止实例时会发生什么

SSM 代理自动安装的工作原理

AMS 使用 EC2 用户数据在您的实例上运行安装脚本。要添加用户数据脚本并在您的实例上运行该脚本,AMS 必须停止并启动每个实例。

如果您的实例已有用户数据脚本,则 AMS 将在自动安装过程中完成以下步骤:

  1. 创建现有用户数据脚本的备份。

  2. 用 SSM 代理安装脚本替换现有的用户数据脚本。

  3. 重启实例以安装 SSM 代理。

  4. 停止实例并恢复原始脚本。

  5. 使用原始脚本重启实例。