本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AMS Advanced 中的自動化執行個體組態
<a name="auto-instance-config"></a>

AMS Advanced 自動化執行個體組態服務會每天執行，並自動掃描和更新受管 EC2 執行個體上的 SSM 和 CloudWatch 代理程式和組態檔案。更新會視需要套用，以：
+ SSM 和 CloudWatch 代理程式
+ CloudWatch 組態檔案

 這些更新可讓 AMS 存取您的 AMS 受管 EC2 執行個體，並設定您的執行個體以發出適當的[日誌](https://docs.aws.amazon.com/managedservices/latest/userguide/auto-config-logs-cw.html)和指標。

**Topics**
+ [自動化執行個體組態的先決條件](auto-config-pre-reqs.md)
+ [SSM Agent 自動安裝](ssm-agent-auto-install.md)
+ [自動化變更](auto-config-changes-made.md)

# 自動化執行個體組態的先決條件
<a name="auto-config-pre-reqs"></a>

對於使用變更管理部署執行個體的 AMS Advanced 客戶，必須符合下列先決條件：
+ SSM 代理程式已安裝，且處於受管狀態。
+ 執行個體會標記為受管執行個體。(`aws:cloudformation:stack-name`標籤具有以 `stack-`或 開頭的值`sc-`。)

如果您的執行個體尚未安裝 SSM 代理程式，您可以使用 AMS SSM 代理程式自動安裝功能進行安裝。如需詳細資訊，請參閱[SSM Agent 自動安裝](ssm-agent-auto-install.md)。

或者，您可以手動安裝 SSM 代理程式。如需詳細資訊，請參閱下列內容：
+ Linux：[在 Linux 的 EC2 執行個體上手動安裝 SSM 代理程式 - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html)
+ Windows：[在適用於 Windows Server 的 EC2 執行個體上手動安裝 SSM 代理程式 - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html)

如需 SSM 代理程式的詳細資訊，請參閱[使用 SSM 代理程式](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)的 AWS 文件。

# SSM Agent 自動安裝
<a name="ssm-agent-auto-install"></a>

若要讓 AMS 管理您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，您必須在每個執行個體上安裝 AWS Systems Manager SSM Agent。如果您的執行個體未安裝 SSM Agent，您可以使用 AMS SSM Agent 自動安裝功能。

**注意**  
此功能僅適用於不在 Auto Scaling 群組中且執行 AMS 支援的 Linux 作業系統的 EC2 執行個體。
AMS SSM 代理程式自動安裝功能預設為停用。若要啟用此功能，請聯絡您的 CA 或 CSDM。

## SSM Agent 使用的先決條件
<a name="ssm-agent-request-prerequisites"></a>
+ 確定與目標執行個體相關聯的執行個體描述檔具有下列其中一個政策 （或與其允許清單相同的許可）：
  + AmazonSSMManagedEC2InstanceDefaultPolicy
  + AmazonSSMManagedInstanceCore
+ 請確定 AWS Organizations 層級沒有明確拒絕前述政策中所列許可的服務控制政策。

  如需詳細資訊，請參閱[設定 Systems Manager 所需的執行個體許可](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)。
+ 若要封鎖傳出流量，請確定已在目標執行個體所在的 VPC 上啟用下列界面端點 （適當地取代 URL 中的「區域」)：
  + ssm.<region>.amazonaws.com
  + ssmmessages.<region>.amazonaws.com
  + ec2messages.<region>.amazonaws.com

  如需詳細資訊，請參閱[使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)。

如需啟用或停用受管節點可用性疑難排解的一般秘訣，請參閱[解決方案 2：確認已為執行個體指定 IAM 執行個體描述檔 （僅限 EC2 執行個體）](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2)。

**注意**  
AMS 會在自動安裝程序中停止和啟動每個執行個體。當執行個體停止時，存放在執行個體儲存體磁碟區中的資料和存放在 RAM 上的資料都會遺失。如需詳細資訊，請參閱[停止執行個體時會發生的情況](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)。

## 請求在您的執行個體上自動安裝 SSM Agent
<a name="ssm-agent-request-install"></a>

如果您的帳戶已加入 AMS Accelerate Patch Add-On，請為執行個體設定修補程式維護時段 (MW)。需要有效的 SSM 代理程式才能完成修補程序。如果執行個體上缺少 SSM 代理程式，則 AMS 會嘗試在修補程式維護時段期間自動安裝它。

**注意**  
AMS 會在自動安裝程序中停止和啟動每個執行個體。當執行個體停止時，存放在執行個體儲存體磁碟區中的資料和存放在 RAM 上的資料都會遺失。如需詳細資訊，請參閱[停止執行個體時會發生的情況](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)。

## SSM Agent 自動安裝的運作方式
<a name="ssm-agent-auto-install-process"></a>

AMS 使用 EC2 使用者資料在您的執行個體上執行安裝指令碼。若要新增使用者資料指令碼並在執行個體上執行，AMS 必須停止並啟動每個執行個體。

如果您的執行個體已有現有的使用者資料指令碼，則 AMS 會在自動安裝程序期間完成下列步驟：

1. 建立現有使用者資料指令碼的備份。

1. 以 SSM Agent 安裝指令碼取代現有的使用者資料指令碼。

1. 重新啟動執行個體以安裝 SSM Agent。

1. 停止執行個體並還原原始指令碼。

1. 使用原始指令碼重新啟動執行個體。

# 自動化變更
<a name="auto-config-changes-made"></a>

AMS Advanced 自動化執行個體組態服務會視需要變更 EC2 執行個體。

**Topics**
+ [在 Linux 執行個體上自動更新程式碼](auto-config-instance-code.md)
+ [在 Linux 執行個體上自動更新 PBIS](auto-config-pbis.md)
+ [自動更新 SSM 和 CloudWatch 代理程式的最低版本](auto-config-changes-agents.md)
+ [CloudWatch 組態檔案、更新詳細資訊](auto-config-files.md)
+ [自動設定的日誌](auto-config-logs-cw.md)

# 在 Linux 執行個體上自動更新程式碼
<a name="auto-config-instance-code"></a>

AMS 會自動更新 Linux 執行個體上的執行個體程式碼。這有助於改善 AMS 元件和環境的操作穩定性和安全性。

**常見問答集：**

Linux 上的執行個體上程式碼 (OIC) 包含哪些內容？  
OIC 包含 ams-toolkit 套件，以及一些組態檔案和 Cron 任務。AMS 需要這些檔案和套件才能整合 (Active Directory、CloudFormation 和其他相依性）。我們將這些檔案預先封裝至 AMS 提供的 AMIs，或在工作負載擷取期間安裝到您的執行個體。

AMS 何時會更新 OIC？  
當我們發行具有錯誤修正或其他改進的新版本時，AMS 會更新 OIC。檢查 OIC 版本和更新的工作流程會每天執行。

# 在 Linux 執行個體上自動更新 PBIS
<a name="auto-config-pbis"></a>

AMS 使用 Power Broker Identity Service (PBIS) 模組將 Linux 執行個體加入 AMS 受管 Active Directory。

AMS 會自動更新 Linux 執行個體上的 PBIS。

**常見問答集：**

AMS 何時會更新 PBIS？  
AMS 會在重新啟動時開啟 PBIS 更新。如果有可用的新 PBIS 版本，則 AMS 會在下次執行個體重新啟動時嘗試安裝新版本。

PBIS 更新可以關閉嗎？  
您可以在執行個體或帳戶層級關閉 PBIS 更新：  
+ **帳戶層級：**在 SSM 參數存放區中建立參數：名稱：`/ams/skip-pbis-update`、值：`true`（任何案例）。
執行個體描述檔必須具有讀取 SSM 參數的許可。如果缺少 旗標，則預設行為是執行更新。
+ **執行個體層級：**
  + 標籤型：將下列標籤新增至執行個體：金鑰：`skip_pbis_update`、值： `true` （任何案例）。
  + Config 檔案：將下列旗標新增至 `/opt/aws/ams/etc/ams.conf.d/state.ini` 檔案： `skip_pbis_update = true.`

**注意**  
標籤的優先順序高於 SSM 參數。您可以透過 參數關閉帳戶層級的 PBIS 更新，但透過新增標籤 (`Key:skip_pbis_update`) 將其用於單一 （或多個） 執行個體`Value: false`。

若要設定任何描述的選項，請遵循 AMS 環境中的標準變更管理程序。

# 自動更新 SSM 和 CloudWatch 代理程式的最低版本
<a name="auto-config-changes-agents"></a>

AMS Advanced *最低版本* (SSM 或 CloudWatch 代理程式的版本） 是經過 AMS 服務團隊測試並針對您的作業系統預先核准的版本。我們會嘗試保持主動性並執行最新穩定且相容的版本，因此版本編號會隨著時間而變更。您可以透過向 AMS 提出服務請求來尋找目前的最低版本。
+ **SSM 代理程式管理**

   Amazon SSM Agent 負責在執行個體上執行遠端命令。執行個體組態自動化可確保 SSM Agent 正在執行最低版本。
+ **Cloudwatch 代理程式管理**

  Amazon CloudWatch Agent 負責發出作業系統日誌和指標。自動化執行個體組態會執行下列動作：
  + 如有需要， 會停用舊版 CloudWatch Log 代理程式，並將組態遷移至新的統一 CloudWatch 代理程式 
  + 如果您的執行個體正在執行舊版 CloudWatch Log Agent，自動化執行個體組態會停用舊版 CloudWatch Log Agent 服務，並將其組態遷移至統一的 CloudWatch 代理程式。
  + 自訂 CloudWatch 組態以發出適當的日誌和指標。

  受影響的檔案和目錄：
  + Windows
    + %ProgramData%\$1Amazon\$1AmazonCloudWatchAgent\$1
    + %ProgramData%\$1Amazon\$1AmazonCloudWatchAgent\$1Configs\$1
  + Linux
    + /opt/aws/amazon-cloudwatch-agent/etc/
    + /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/
    + /opt/aws/ams/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json

# CloudWatch 組態檔案、更新詳細資訊
<a name="auto-config-files"></a>

 我們從下列 CloudWatch 目錄讀取您的自訂 CloudWatch 組態 （僅限 JSON) （請參閱[建議的目錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Agent-Configuration-File-Details.html))，並將其與標準 AMS CloudWatch 組態合併： CloudWatch 
+ CloudWatch 檔案
  + 在執行個體上：
    + Windows
      + %ProgramData%\$1Amazon\$1AmazonCloudWatchAgent\$1Configs\$1
      + %ProgramFiles%\$1WindowsPowerShell\$1Modules\$1AWSManagedServices.Logging.Utilities\$1Files\$1Config.json
    + Linux
      + /opt/aws/ams/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json
  + 在 Amazon S3 上：
    + Windows：
      + https：//ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/windows-cloudwatch-config.json
    + Linux︰
      + https：//ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/linux-cloudwatch-config.json

# 自動設定的日誌
<a name="auto-config-logs-cw"></a>

我們會設定您的執行個體以寫入下列日誌。
+ Windows：
  + AmazonSSMAgentLog
  + AmazonCloudWatchAgentLog
  + AmazonSSMErrorLog
  + AmazonCloudFormationLog
  + ApplicationEventLog
  + EC2ConfigServiceEventLog
  + MicrosoftWindowsAppLockerEXEAndDLLEventLog
  + MicrosoftWindowsAppLockerMSIAndScriptEventLog
  + MicrosoftWindowsGroupPolicyOperationalEventLog
  + SecurityEventLog
  + SystemEventLog
+ Linux︰
  + /var/log/amazon/ssm/amazon-ssm-agent.log
  + /var/log/amazon/ssm/errors.log
  + /var/log/audit/audit.log
  + /var/log/cloud-init-output.log
  + /var/log/cloud-init.log
  + /var/log/cron
  + /var/log/dpkg.log
  + /var/log/maillog
  + /var/log/messages
  + /var/log/secure
  + /var/log/spooler
  + /var/log/syslog
  + /var/log/yum.log
  + /var/log/zypper.log