調整 Systems Manager 設定 - AWS Systems Manager
帳戶設定組織設定功能組態診斷和修復設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

調整 Systems Manager 設定

設定頁面上的選項會在 Systems Manager 統一主控台中啟用和設定功能。顯示的選項取決於您登入的帳戶,以及您是否已經完成 Systems Manager 的設定。

注意

設定頁面上的選項不會影響 Systems Manager 工具 (先前稱為功能)。

帳戶設定

如果已啟用 Systems Manager,且您登入的帳戶不是 Organizations 的成員,或委派管理員尚未將 Organizations 帳戶新增至 Systems Manager,則帳戶設定頁面會顯示停用 Systems Manager 的選項。停用 Systems Manager 表示 Systems Manager 不會顯示統一主控台。所有 Systems Manager 工具仍可運作。

組織設定

組織設定索引標籤上,主要區域區段會顯示 AWS 區域 選擇為設定期間主要區域的 。在使用 的多帳戶和多區域環境中 AWS Organizations,Systems Manager 會自動將所有帳戶和區域的節點資料彙總至主要區域。以這種方式彙總資料,可讓您在單一位置跨帳戶和區域檢視節點資料。

注意

若想變更主區域,則必須停用 Systems Manager,然後再次將其啟用。若要停用 Systems Manager,請選擇停用

組織設定區段會顯示組織單位, AWS 並在設定期間 AWS 區域 選擇。若要變更哪些組織單位和區域會在 Systems Manager 中顯示節點資料,請選擇編輯。如需有關為組織設定 Systems Manager 的詳細資訊,請參閱設定 AWS Systems Manager

功能組態

功能組態區段可讓您啟用和設定關鍵 Systems Manager 功能,以增強整個組織的節點管理。這些功能可共同運作,為您的受管節點提供自動化管理、合規監控和維護。

您可以在初始 Systems Manager 設定期間設定這些功能,或稍後透過設定頁面進行修改。您可以根據您組織的需求,獨立啟用或停用每個功能。

預設主機管理組態

預設主機管理組態 (DHMC) 會自動將組織中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體設定為由 Systems Manager 管理。啟用時,DHMC 會確保新的和現有的 EC2 執行個體具有與 Systems Manager 服務通訊所需的 AWS Identity and Access Management (IAM) 許可和組態。

DHMC 提供下列優點:

  • 自動 IAM 角色指派 - 確保 EC2 執行個體具有必要的 IAM 角色和政策,以做為受管節點運作

  • 偏離修復 - 當執行個體失去其受管節點狀態時,自動更正組態偏離

  • 簡化加入 - 減少新執行個體的手動組態步驟

  • 一致的組態 - 維持 EC2 機群的統一設定

設定偏離修復頻率

當 EC2 執行個體遺失其受管節點組態時,漂移修復會自動偵測和更正。您可以設定 Systems Manager 檢查和修復組態偏離的頻率。

設定預設主機管理組態

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇設定

  3. 功能組態區段中,找到預設主機管理組態

  4. 若要啟用 DHMC,請開啟切換開關。

  5. 針對偏離修復頻率,選擇您希望 Systems Manager 檢查和修復組態偏離的頻率:

    • 每日 - 每天檢查並修復漂移一次

    • 每週 - 每週檢查並修復漂移一次

    • 每月 - 每月檢查並修復漂移一次

  6. 選擇儲存

注意

當您啟用 DHMC 時,Systems Manager 會在您的帳戶中建立必要的 IAM 角色和政策。這些角色允許 EC2 執行個體與 Systems Manager 服務通訊。如需 DHMC 建立之 IAM 角色的詳細資訊,請參閱 使用 Systems Manager 管理 EC2 執行個體

庫存中繼資料收集

清查中繼資料收集會自動收集受管節點的詳細資訊,包括已安裝的應用程式、網路組態、系統更新和其他系統中繼資料。此資訊可協助您維持合規性、執行安全分析,以及了解您的基礎設施組成。

庫存集合提供下列優點:

  • 合規監控 - 追蹤已安裝的軟體和組態以進行合規報告

  • 安全分析 - 識別過期的軟體和潛在的安全漏洞

  • 資產管理 - 維護基礎設施up-to-date庫存

  • 查詢功能 - 將收集的資料與 Amazon Q Developer 搭配使用以進行自然語言查詢

收集的庫存資料類型

啟用清查中繼資料收集時,Systems Manager 會從受管節點收集下列類型的資訊:

  • 應用程式 - 已安裝的軟體套件和應用程式

  • 網路組態 - 網路介面、IP 地址和網路設定

  • 系統更新 - 已安裝的修補程式和可用的更新

  • 系統屬性 - 硬體規格、作業系統詳細資訊和系統組態

  • 服務 - 執行服務及其組態

設定庫存收集頻率

您可以設定 Systems Manager 從受管節點收集庫存中繼資料的頻率。較頻繁的集合提供up-to-date資訊,但可能會增加 AWS 服務用量。

設定庫存中繼資料收集

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇設定

  3. 功能組態區段中,尋找庫存中繼資料集合

  4. 若要啟用庫存收集,請開啟切換開關。

  5. 針對收集頻率,選擇您希望 Systems Manager 收集庫存資料的頻率:

    • 每日 - 每天收集一次庫存資料

    • 每週 - 每週收集一次庫存資料

    • 每月 - 每月收集一次庫存資料

  6. 選擇儲存

重要

庫存收集需要受管節點具備必要的許可,才能收集系統資訊。確保您的受管節點具有適當的 IAM 角色和政策。如需所需許可的相關資訊,請參閱AWS Systems Manager庫存

SSM Agent 更新

自動SSM Agent更新可確保您的受管節點執行的是最新版本的 SSM Agent。讓代理程式保持在up-to-date,可讓您存取最新的功能、安全性改善和錯誤修正。

SSM Agent 自動更新提供下列優點:

  • 最新功能 - 存取新的 Systems Manager 功能和改進

  • 安全性更新 - 自動安裝安全性修補程式和修正

  • 改善可靠性 - 錯誤修正和穩定性改善

  • 減少維護 - 無需手動更新代理程式

設定自動代理程式更新

您可以設定 Systems Manager 在受管節點上檢查和安裝SSM Agent更新的頻率。定期更新有助於確保最佳效能和安全性。

設定SSM Agent更新

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇設定

  3. 功能組態區段中,尋找SSM Agent更新

  4. 若要啟用自動更新,請開啟切換開關。

  5. 針對更新頻率,選擇您希望 Systems Manager 檢查並安裝代理程式更新的頻率:

    • 每日 - 每天檢查更新一次

    • 每週 - 每週檢查更新一次

    • 每月 - 每月檢查更新一次

  6. 選擇儲存

診斷和修復設定

診斷和修復設定會判斷 Systems Manager 是否自動掃描節點,確保節點可以與 Systems Manager 通訊。如果已啟用,則此功能會根據您定義的排程自動執行。該功能會識別哪些節點無法連線至 Systems Manager 及其原因。此外,此功能提供建議的執行手冊,可修復聯網問題和其他會防止將節點設為受管節點的問題。

安排定期診斷掃描

Systems Manager 可以診斷並協助您修復多種類型的部署失敗和漂移組態。Systems Manager 也可以識別帳戶或組織中 Systems Manager 無法視為受管節點的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。EC2 執行個體診斷程序可以識別與虛擬私有雲端 (VPC)、網域名稱服務 (DNS) 設定或 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組的錯誤組態相關的問題。

若要僅識別無法連線至 Systems Manager 的節點,排程定期診斷功能可讓您將定期診斷掃描自動化。這些掃描有助於識別哪些節點無法連線至 Systems Manager 及其原因。按照下列程序啟用和設定節點的定期診斷掃描。

安排定期診斷掃描

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選擇設定,然後選擇診斷和修復索引標籤。

  3. 開啟排程定期診斷選項。

  4. 掃描期間欄位中選擇掃描的執行頻率。

  5. (選用) 在開始時間欄位中,為要開始的診斷輸入 24 小時格式的時間。例如,若是晚上 8:15,則輸入 20:15

    輸入的時間適用於目前的當地時區。

    如果未指定時間,診斷掃描會立即執行。Systems Manager 也可在目前時間排程要在未來執行的掃描。如果指定時間,Systems Manager 會等待在指定時間執行診斷掃描。

  6. 選擇儲存

  7. 掃描完成後,請在左側導覽中選擇診斷和修復來檢視詳細資訊。

如需有關診斷和修復功能的詳細資訊,請參閱診斷和修復

更新 S3 儲存貯體加密

當您加入 Systems Manager 時,快速設定會在委派的管理員帳戶中建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體以進行 AWS Organizations 設定。對於單一帳戶設定,系統會將此儲存貯體存放在要設定的帳戶中。此儲存貯體會用於存放診斷掃描期間產生的中繼資料。

如需設定統一 Systems Manager 主控台的詳細資訊,請參閱 設定 AWS Systems Manager

根據預設,您儲存貯體中的資料會使用為您 AWS 擁有和管理的 AWS Key Management Service (AWS KMS) 金鑰進行加密。

您可以選擇使用不同的 AWS KMS 金鑰進行儲存貯體加密。或者,您可以使用客戶受管金鑰 AWS KMS keys (CMK) 搭配 (SSE-KMS) 使用伺服器端加密。如需相關資訊,請參閱使用 Systems Manager 的 Amazon S3 儲存貯體和儲存貯體政策

使用不同的 AWS KMS 金鑰進行 S3 儲存貯體加密

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選擇設定,然後選擇診斷和修復索引標籤。

  3. 更新 S3 儲存貯體加密區域中選擇編輯

  4. 選取自訂加密設定 (進階) 核取方塊。

  5. 針對選擇 AWS KMS 金鑰,選擇或輸入金鑰的 Amazon Resource Name (ARN)。

    提示

    若要建立新的金鑰,請選擇建立 AWS KMS 金鑰

  6. 選擇儲存