• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 设置 AWS Systems Manager
以下主题介绍了如何为 AWS Organizations 组织和单个 AWS 账户设置统一 AWS Systems Manager 控制台。
**Topics**
+ [设置 Systems Manager 控制台访问](systems-manager-setting-up-console-access.md)
+ [为组织设置 Systems Manager 统一控制台](systems-manager-setting-up-organizations.md)
+ [为单个账户和区域设置 Systems Manager 统一控制台](systems-manager-setting-up-single-account-region.md)
+ [禁用 Systems Manager 统一控制台](systems-manager-disable-integrated-console.md)
# 设置 Systems Manager 控制台访问
要 AWS Systems Manager在中使用 AWS 管理控制台,您必须配置正确的权限。
有关如何创建 AWS Identity and Access Management 策略并将其附加到 IAM 身份的更多信息,请参阅《*IAM 用户指南*》中的[创建 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)
## Systems Manager 载入策略
您可以创建一个如以下示例所示的 IAM 策略,并将该策略附加到您的 IAM 身份。此策略授予对载入到 Systems Manager 并对其进行配置的完全访问权限。
**权限详细信息**
该策略包含以下权限。
+ `ssm-quicksetup`:允许主体访问所有 AWS Systems Manager 快速设置功能 操作。
+ `ssm`:允许主体访问 Systems Manager Automation 和资源探索器。
+ `organizations`:允许主体读取 AWS Organizations 中组织的结构,并在委派管理员以组织身份载入 Systems Manager 时管理委派管理员。
+ `cloudformation`:允许主体管理其Quick Setup堆栈。
+ `iam`:允许主体管理 Systems Manager 载入所需的 IAM 角色和策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupActions",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "SsmReadOnly",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:ListDocuments",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks"
],
"Resource": "*"
},
{
"Sid": "SsmDocument",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
"arn:aws:ssm:*:*:document/AWS-EnableExplorer"
]
},
{
"Sid": "SsmEnableExplorer",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:*:*:document/AWS-EnableExplorer",
"arn:aws:ssm:*:*:automation-execution/*"
]
},
{
"Sid": "SsmExplorerRds",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "OrgsAdministration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"member.org.stacksets.cloudformation.amazonaws.com",
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CfnReadOnly",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:ListStackSets",
"cloudformation:DescribeOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "OrgCfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ActivateOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "CfnStackActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStackEvents",
"cloudformation:GetTemplate",
"cloudformation:RollbackStack",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*"
]
},
{
"Sid": "CfnStackSetActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackInstances",
"cloudformation:CreateStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:DeleteStackSet",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStackSet"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Sid": "ValidationReadonlyActions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "IamRolesPoliciesMgmt",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"ArnEquals": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AWSSystemsManagerEnableExplorerExecutionPolicy",
"arn:aws:iam::aws:policy/AWSQuickSetupSSMDeploymentRolePolicy"
]
}
}
},
{
"Sid": "CfnStackSetsSLR",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin",
"arn:aws:iam::*:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM",
"arn:aws:iam::*:role/aws-service-role/accountdiscovery.ssm.amazonaws.com/AWSServiceRoleForAmazonSSM_AccountDiscovery",
"arn:aws:iam::*:role/aws-service-role/ssm-quicksetup.amazonaws.com/AWSServiceRoleForSSMQuickSetup",
"arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
------
## AWS Systems Manager 控制台操作员策略
您可以创建一个如以下示例所示的 IAM 策略,并将该策略附加到您的 IAM 身份。此策略授予操作 Systems Manager 的完全访问权限,并允许 Systems Manager 运行自动化文档来进行诊断和修复。
**权限详细信息**
该策略包含以下权限。
+ `ssm`:允许主体访问所有 Systems Manager API。
+ `ssm-quicksetup`:允许主体管理其Quick Setup配置。
+ `ec2`:允许 Systems Manager 确定您启用的 AWS 区域和 Amazon EC2 实例状态。
+ `cloudformation`:允许主体读取其Quick Setup堆栈。
+ `organizations`:允许主体读取 AWS Organizations 中组织的结构,并在委派管理员以组织身份载入 Systems Manager 时管理委派管理员。
+ `s3`:允许主体列出并获取 Amazon S3 存储桶中的对象以进行诊断,该存储桶是在 Systems Manager 载入过程中创建的。
+ `iam:PassRole`:允许主体在运行自动化来诊断和修复非托管节点时将要代入的角色传递给 Systems Manager。
+ `iam:GetRole`:允许主体在 Systems Manager 中工作时获取Quick Setup角色的特定角色信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*",
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "AllowEC2DescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Sid": "CfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:ListStackSets",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts"
],
"Resource": "*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowReadS3BucketFromOrganization",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Sid": "AllowReadS3BucketFromSingleAccount",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Sid": "IamReadOnly",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
}
]
}
```
------
## AWS Systems Manager 控制台操作员只读策略
您可以创建一个如以下示例所示的 IAM 策略,并将该策略附加到您的 IAM 身份。此策略授予使用 Systems Manager 的只读访问权限。
+ `ssm`:允许主体访问 Systems Manager 只读 API。
+ `ssm-quicksetup`:允许主体读取其Quick Setup配置。
+ `cloudformation`:允许主体读取其Quick Setup堆栈。
+ `iam:GetRole`:允许主体在使用 Systems Manager 时获取Quick Setup角色的特定角色信息。
+ `ec2:DescribeRegions`:允许 Systems Manager 确定已启用的 AWS 区域。
+ `organizations`:允许主体在以组织身份载入 Systems Manager 时读取 AWS Organizations 中组织的结构。
+ `s3`:允许主体列出并获取在 Systems Manager 载入过程中创建的 Amazon S3 存储桶中的对象。
**权限详细信息**
该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm-quicksetup:List*",
"ssm-quicksetup:Get*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"iam:GetRole",
"ec2:DescribeRegions",
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# 为组织设置 Systems Manager 统一控制台
只需单击几下即可从 AWS 管理控制台完成 Systems Manager 统一控制台体验的设置过程。要为 AWS Organizations 组织设置 Systems Manager,您必须有权访问您的组织的管理账户以及您的组织中的另一个账户以用作委派管理员。仅当启用或禁用 Systems Manager 时才需要访问管理账户。要管理您的节点,您将使用委派管理员账户。
## 先决条件
在管理整个组织的节点时,Systems Manager 会使用各种从属服务来设置和增强统一控制台的功能。因此,Systems Manager 必须启用可信访问并为以下服务注册委派管理员账户:
+ AWS CloudFormation:将 Systems Manager 所需的资源部署到您的账户。
+ AWS 资源探索器:搜索和筛选您账户中的 EC2 实例。
+ AWS Systems Manager Explorer:监控您的账户中为 Systems Manager 部署的资源的运行状况并排查其故障。
+ AWS Systems Manager Quick Setup:将 Systems Manager 所需的Quick Setup配置部署到您的账户。
在开始之前,请确保您尚未超过任何这些从属服务的委派管理员配额。否则,您将不能注册启用 Systems Manager 所需的委派管理员账户。当您为某组织启用 Systems Manager 时,您组织中的每个账户都将被包括在内。目前,尚没有关于将账户排除在设置过程之外的规定。启用 Systems Manager 时,您可以选择要包含的 AWS 区域。仅可选择当前支持 Systems Manager 统一控制台的区域。要了解有关控制台体验可用的区域的更多信息,请参阅[支持的 AWS 区域](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html#regions)。
## 统一控制台资源
Systems Manager 统一控制台的设置过程会为您完成许多先决条件任务。根据您选择配置的功能,这包括启用默认主机管理配置,为您的节点提供所需 IAM 权限等。以下是 Systems Manager 统一控制台创建的资源的详细列表。根据您选择配置的功能,某些资源可能无法创建。
AWS 资源探索器 托管视图
+ `AWSManagedViewForSSM` – 使 Systems Manager 能够访问由 Resource Explorer 为贵组织编制索引的资源信息。这些托管视图只能由 Systems Manager 更新或删除。这意味着,如果要删除托管视图或关闭 Resource Explorer,则必须禁用统一控制台。有关禁用统一控制台的更多信息,请参阅[禁用 Systems Manager 统一控制台](systems-manager-disable-integrated-console.md)。有关托管视图的更多信息,请参阅 *Resource Explorer User Guide* 中的 [AWS Managed Views](https://docs.aws.amazon.com/resource-explorer/latest/userguide/aws-managed-views.html)。
**注意**
如果您在不同于主区域的区域中为资源探索器创建了聚合器索引,则 Systems Manager 会降级当前索引。然后,Systems Manager 会将您的主区域中的本地索引升级为新的聚合器索引。在此期间,仅显示您的主区域的节点。此过程最多可能需要 24 小时才能完成。
IAM 角色
+ `RoleForOnboardingAutomation`:允许 Systems Manager 在设置过程中管理资源。有关策略的更多信息,请参阅 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)。
+ `RoleForLifecycleManagement`:允许 Lambda 管理设置过程创建的资源的生命周期。有关策略的更多信息,请参阅 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)。
+ `RoleForAutomation`:Systems Manager Automation 执行运行手册要承担的服务角色。有关更多信息,请参阅 [使用控制台为 Automation 创建服务角色](automation-setup-iam.md)。
+ `AWSSSMDiagnosisAdminRole`:用于启动使用诊断运行手册的自动化的管理员角色。有关这些策略的更多信息,请参阅 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)。
+ `AWSSSMDiagnosisExecutionRole`:诊断运行手册的自动化执行角色。有关策略的更多信息,请参阅 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) 和 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)。
+ `AWSSSMRemediationAdminRole`:用于启动使用修复运行手册的自动化的管理员角色。有关这些策略的更多信息,请参阅 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)。
+ `AWSSSMRemediationExecutionRole`:修复运行手册的自动化执行角色。有关策略的更多信息,请参阅 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) 和 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)。
+ `ManagedInstanceCrossAccountManagementRole`:允许 Systems Manager 跨账户收集托管式节点的信息。
State Manager 关联
+ `EnableDHMCAssociation`:每天运行一次,确保启用默认主机管理配置。
+ `SystemAssociationForEnablingExplorer`:每天运行一次,确保已启用 Explorer。Explorer 用于同步来自托管式节点的数据。
+ `EnableAREXAssociation`:每天运行一次,确保已启用 AWS 资源探索器。资源探索器用于确定组织中的哪些 Amazon EC2 实例未由 Systems Manager 管理。
+ `SSMAgentUpdateAssociation`:每 14 天运行一次,确保托管式节点上安装了 SSM Agent 的最新可用版本。
+ `SystemAssociationForInventoryCollection`:每 12 小时运行一次,从托管式节点收集清单数据。
S3 存储桶
+ `DiagnosisBucket`:存储从诊断运行手册执行中收集的数据。
Lambda 函数
+ `SSMLifecycleOperatorLambda`:允许主体访问所有 AWS Systems Manager 快速设置功能 操作。
+ `SSMLifecycleResource`:自定义资源,可帮助管理设置过程创建的资源的生命周期。
此外,在设置过程完成后,您可以选择**诊断并修复**节点任务,以自动将修复应用于未报告为由 Systems Manager 管理的节点。这可能包括识别诸如 Systems Manager 端点的网络连接问题等问题。有关更多信息,请参阅 [诊断并修复](diagnose-and-remediate.md)。
## 设置统一控制台
**为组织设置 Systems Manager**
1. 登录您组织的管理账户。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 输入您要注册为委派管理员的账户的 ID。
1. 委派管理员账户注册成功后,登录您刚刚注册的委派管理员账户,然后返回 Systems Manager 控制台完成设置 Systems Manager。
1. 选择**启用 Systems Manager**。
1. 在**主区域**部分,确定您希望 Systems Manager 聚合您的节点数据的区域。默认情况下,Systems Manager 会选择您当前正在使用的区域。要选择其他主区域,请在设置 Systems Manager 之前将控制台更改为您想要使用的区域。节点数据将在您组织的各个账户和区域之间复制并存储在主区域中。设置 Systems Manager 后,您选择的区域无法更改。要使用其他区域作为您组织的主区域,您必须禁用统一控制台并再次完成设置过程。如果您的组织使用 IAM Identity Center,则必须选择与您设置 IAM Identity Center 的相同区域作为您的主区域。
1. 在**区域**部分中,选择您想要启用 Systems Manager 的区域。
1. 在**功能配置**部分中,选择要为配置启用的选项:
**启用默认主机管理配置(DHMC)**
允许 Systems Manager 配置 DHMC。此功能允许 Systems Manager 使用 IAM 角色,以确保账户和区域中的所有 Amazon EC2 实例都具有由 Systems Manager 管理所需的权限。您也可以指定偏差修复的频率。当用户对与通过配置进行的选择冲突的服务或功能进行任何更改时,会发生配置偏差。Systems Manager 会检查配置偏差,并尝试根据您指定的频率进行修复。您可以指定 1 到 31 天之间的值。如果您已经在某个区域配置了 DHMC,则 Systems Manager 不会更改您之前选择的 IAM 角色。有关 DHMC 的更多信息,请参阅[使用默认主机管理配置自动管理 EC2 实例](fleet-manager-default-host-management-configuration.md)。
DHMC 使您不必手动创建 AWS Identity and Access Management(IAM)实例配置文件即可管理 Amazon EC2 实例。建议您选择此选项,以确保您的 EC2 实例具有由 Systems Manager 管理所必需的权限。
**启用清单元数据收集**
让 Systems Manager 能够配置从节点的以下类型的元数据收集:
+ **AWS 组件** - EC2 驱动程序、代理和版本等。
+ **应用程序** - 应用程序名称、发布者和版本等。
+ **节点详细信息** - 系统名称、操作系统(OS)名称、操作系统版本、上次启动时间、DNS、域、工作组和操作系统架构等。
+ **网络配置** - IP 地址、MAC 地址、DNS、网关和子网掩码等。
+ **服务** - 名称、显示名称、状态、相关服务、服务类型和启动类型等(仅限 Windows Server 节点)。
+ **Windows 角色** - 名称、显示名称、路径、功能类型和安装状态等(仅限 Windows Server 节点)。
+ **Windows 更新** - 补丁 ID、安装者和安装日期等(仅限 Windows Server 节点)。
指定清单元数据的收集频率。您可以指定 1 到 744 之间的值。有关 Inventory(AWS Systems Manager 中的一项工具)的更多信息,请参阅 [AWS Systems Manager 清单](systems-manager-inventory.md)。
**启用 Systems Manager(SSM)Agent 自动更新**
让 Systems Manager 能够按您指定的频率检查是否存在新版本的代理。频率值必须在 1 到 31 天之间。如果存在新版本,Systems Manager 会自动将托管式节点上的代理更新为发布的最新版本。Systems Manager 不会在尚未安装代理的实例上安装代理。有关哪些 AMIs 预装了 SSM Agent 的信息,请参阅 [查找预装了 SSM Agent 的 AMIs](ami-preinstalled-agent.md)。
建议您选择此选项,以确保您的节点始终运行最新版本的 SSM Agent。有关 SSM Agent 的更多信息(包括有关如何手动安装该代理的信息),请参阅 [使用 SSM Agent](ssm-agent.md)。
1. 选择**提交**。
根据您组织的规模,设置 Systems Manager 统一控制台体验可能需要较长的时间。
# 为单个账户和区域设置 Systems Manager 统一控制台
要为单个 AWS 账户和 AWS 区域设置 Systems Manager 统一控制台体验,您无需使用 Organizations 或注册委派管理员账户。Systems Manager 控制台体验的设置过程会为您完成许多先决条件任务。根据您选择配置的功能,这包括启用默认主机管理配置,为您的节点提供所需 IAM 权限等。以下是 Systems Manager 统一控制台创建的资源的详细列表。
## 统一控制台资源
根据您选择配置的功能,某些资源可能无法创建。
IAM 角色
+ `RoleForOnboardingAutomation`:允许 Systems Manager 在设置过程中管理资源。有关策略的更多信息,请参阅 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)。
+ `RoleForLifecycleManagement`:允许 Lambda 管理设置过程创建的资源的生命周期。有关策略的更多信息,请参阅 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)。
+ `RoleForAutomation`:Systems Manager Automation 执行运行手册要承担的服务角色。有关更多信息,请参阅 [使用控制台为 Automation 创建服务角色](automation-setup-iam.md)。
+ `AWSSSMDiagnosisAdminRole`:诊断运行手册的自动化执行角色。有关这些策略的更多信息,请参阅 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)。
+ `AWSSSMRemediationAdminRole`:修复运行手册的自动化执行角色。有关这些策略的更多信息,请参阅 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)。
+ `ManagedInstanceCrossAccountManagementRole`:允许 Systems Manager 跨账户收集托管式节点的信息。
State Manager 关联
+ `EnableDHMCAssociation`:每天运行一次,确保启用默认主机管理配置。
+ `SystemAssociationForEnablingExplorer`:每天运行一次,确保已启用 Explorer。Explorer 用于同步来自托管式节点的数据。
+ `EnableAREXAssociation`:每天运行一次,确保已启用 AWS 资源探索器。资源探索器用于确定组织中的哪些 Amazon EC2 实例未由 Systems Manager 管理。
+ `SSMAgentUpdateAssociation`:每 14 天运行一次,确保托管式节点上安装了 SSM Agent 的最新可用版本。
+ `SystemAssociationForInventoryCollection`:每 12 小时运行一次,从托管式节点收集清单数据。
S3 存储桶
+ `DiagnosisBucket`:存储从诊断运行手册执行中收集的数据。
Lambda 函数
+ `SSMLifecycleOperatorLambda`:允许主体访问所有 AWS Systems Manager 快速设置功能 操作。
+ `SSMLifecycleResource`:自定义资源,可帮助管理设置过程创建的资源的生命周期。
此外,在设置过程完成后,您可以选择**诊断并修复**节点任务,以自动将修复应用于未报告为由 Systems Manager 管理的节点。这可能包括识别诸如 Systems Manager 端点的网络连接问题等问题。
## 设置统一控制台
**为单个账户和区域设置 Systems Manager**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 选择**启用 Systems Manager**。
1. 在**功能配置**部分中,选择要为配置启用的选项:
**启用默认主机管理配置(DHMC)**
允许 Systems Manager 配置 DHMC。此功能允许 Systems Manager 使用 IAM 角色,以确保账户和区域中的所有 Amazon EC2 实例都具有由 Systems Manager 管理所需的权限。您也可以指定偏差修复的频率。当用户对与通过配置进行的选择冲突的服务或功能进行任何更改时,会发生配置偏差。Systems Manager 会检查配置偏差,并尝试根据您指定的频率进行修复。您可以指定 1 到 31 天之间的值。如果您已经在某个区域配置了 DHMC,则 Systems Manager 不会更改您之前选择的 IAM 角色。有关 DHMC 的更多信息,请参阅[使用默认主机管理配置自动管理 EC2 实例](fleet-manager-default-host-management-configuration.md)。
DHMC 使您不必手动创建 AWS Identity and Access Management(IAM)实例配置文件即可管理 Amazon EC2 实例。建议您选择此选项,以确保您的 EC2 实例具有由 Systems Manager 管理所必需的权限。
**启用清单元数据收集**
让 Systems Manager 能够配置从节点的以下类型的元数据收集:
+ **AWS 组件** - EC2 驱动程序、代理和版本等。
+ **应用程序** - 应用程序名称、发布者和版本等。
+ **节点详细信息** - 系统名称、操作系统(OS)名称、操作系统版本、上次启动时间、DNS、域、工作组和操作系统架构等。
+ **网络配置** - IP 地址、MAC 地址、DNS、网关和子网掩码等。
+ **服务** - 名称、显示名称、状态、相关服务、服务类型和启动类型等(仅限 Windows Server 节点)。
+ **Windows 角色** - 名称、显示名称、路径、功能类型和安装状态等(仅限 Windows Server 节点)。
+ **Windows 更新** - 补丁 ID、安装者和安装日期等(仅限 Windows Server 节点)。
指定清单元数据的收集频率。您可以指定 1 到 744 之间的值。有关 Inventory(AWS Systems Manager 中的一项工具)的更多信息,请参阅 [AWS Systems Manager 清单](systems-manager-inventory.md)。
**启用 Systems Manager(SSM)Agent 自动更新**
让 Systems Manager 能够按您指定的频率检查是否存在新版本的代理。频率值必须在 1 到 31 天之间。如果存在新版本,Systems Manager 会自动将托管式节点上的代理更新为发布的最新版本。Systems Manager 不会在尚未安装代理的实例上安装代理。有关哪些 AMIs 预装了 SSM Agent 的信息,请参阅 [查找预装了 SSM Agent 的 AMIs](ami-preinstalled-agent.md)。
建议您选择此选项,以确保您的节点始终运行最新版本的 SSM Agent。有关 SSM Agent 的更多信息(包括有关如何手动安装该代理的信息),请参阅 [使用 SSM Agent](ssm-agent.md)。
1. 选择**提交**。
# 禁用 Systems Manager 统一控制台
要为某组织禁用 Systems Manager 统一控制台,您需要访问您注册为 Systems Manager 委派管理员的账户。在登录您的组织的委派管理员账户后,您可以在统一控制台的**设置**部分中禁用组织的设置。当为您的组织禁用统一控制台设置时,Systems Manager 会删除在设置过程中创建的资源,包括 Resource Explorer 托管视图。为您的组织禁用设置不会撤消受信任的访问权限或取消注册从属服务的委派管理员账户。以下过程介绍了如何禁用统一控制台的设置。
**禁用 Systems Manager 统一控制台的设置**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中选择**设置**。
1. 选择**禁用**。您必须确认您想要为您的组织禁用该设置。此操作将删除为统一控制台创建的资源,并且无法撤消。
如果您无法访问 Systems Manager 的委派管理员账户并且想要禁用统一控制台的设置,则也可以从组织的管理账户执行此操作。使用 AWS CLI 或 SDK,调用 `DeleteConfigurationManager` API 操作并传递您账户中组织设置的 `ManagerArn` 值。用于设置统一控制台的管理器 ARN 格式如下:
`arn:aws:ssm-quicksetup:account-id:configuration-manager/configuration-manager-id`.
**注意**
如果不知道 *configuration-manager-id* 的值,请调用 `ListConfigurationManagers` API 操作并使用 `AWSQuickSetupType-SSM` 类型筛选结果。