SSM Agent 自動安裝 - AMS 進階使用者指南
先決條件請求自動安裝 SSM AgentSSM Agent 自動安裝的運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SSM Agent 自動安裝

若要讓 AMS 管理您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,您必須在每個執行個體上安裝 AWS Systems Manager SSM Agent。如果您的執行個體未安裝 SSM Agent,您可以使用 AMS SSM Agent 自動安裝功能。

注意

  • 此功能僅適用於不在 Auto Scaling 群組中且執行 AMS 支援的 Linux 作業系統的 EC2 執行個體。

  • AMS SSM 代理程式自動安裝功能預設為停用。若要啟用此功能,請聯絡您的 CA 或 CSDM。

SSM Agent 使用的先決條件

  • 確定與目標執行個體相關聯的執行個體描述檔具有下列其中一個政策 (或與其允許清單相同的許可):

    • AmazonSSMManagedEC2InstanceDefaultPolicy

    • AmazonSSMManagedInstanceCore

  • 請確定 AWS Organizations 層級沒有明確拒絕前述政策中所列許可的服務控制政策。

    如需詳細資訊,請參閱設定 Systems Manager 所需的執行個體許可

  • 若要封鎖傳出流量,請確定已在目標執行個體所在的 VPC 上啟用下列界面端點 (適當地取代 URL 中的「區域」):

    • ssm.<region>.amazonaws.com

    • ssmmessages.<region>.amazonaws.com

    • ec2messages.<region>.amazonaws.com

    如需詳細資訊,請參閱使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性

如需啟用或停用受管節點可用性疑難排解的一般秘訣,請參閱解決方案 2:確認已為執行個體指定 IAM 執行個體描述檔 (僅限 EC2 執行個體)

注意

AMS 會在自動安裝程序中停止和啟動每個執行個體。當執行個體停止時,存放在執行個體儲存體磁碟區中的資料和存放在 RAM 上的資料都會遺失。如需詳細資訊,請參閱停止執行個體時會發生的情況

請求在您的執行個體上自動安裝 SSM Agent

如果您的帳戶已加入 AMS Accelerate Patch Add-On,請為執行個體設定修補程式維護時段 (MW)。需要有效的 SSM 代理程式才能完成修補程序。如果執行個體上缺少 SSM 代理程式,則 AMS 會嘗試在修補程式維護時段期間自動安裝它。

注意

AMS 會在自動安裝程序中停止和啟動每個執行個體。當執行個體停止時,存放在執行個體儲存體磁碟區中的資料和存放在 RAM 上的資料都會遺失。如需詳細資訊,請參閱停止執行個體時會發生的情況

SSM Agent 自動安裝的運作方式

AMS 使用 EC2 使用者資料在您的執行個體上執行安裝指令碼。若要新增使用者資料指令碼並在執行個體上執行,AMS 必須停止並啟動每個執行個體。

如果您的執行個體已有現有的使用者資料指令碼,則 AMS 會在自動安裝程序期間完成下列步驟:

  1. 建立現有使用者資料指令碼的備份。

  2. 以 SSM Agent 安裝指令碼取代現有的使用者資料指令碼。

  3. 重新啟動執行個體以安裝 SSM Agent。

  4. 停止執行個體並還原原始指令碼。

  5. 使用原始指令碼重新啟動執行個體。