調整 Systems Manager 設定 - AWS Systems Manager
帳戶設定組織設定功能組態診斷和修復設定

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

調整 Systems Manager 設定

設定頁面上的選項會在 Systems Manager 統一主控台中啟用和設定功能。顯示的選項取決於您登入的帳戶,以及您是否已經完成 Systems Manager 的設定。

注意

設定頁面上的選項不會影響 Systems Manager 工具 (先前稱為功能)。

帳戶設定

如果已啟用 Systems Manager,且您登入的帳戶不是 Organizations 的成員,或委派管理員尚未將 Organizations 帳戶新增至 Systems Manager,則帳戶設定頁面會顯示停用 Systems Manager 的選項。停用 Systems Manager 表示 Systems Manager 不會顯示整合式主控台。所有 Systems Manager 工具仍可運作。

組織設定

組織設定索引標籤上,主區域區段會在設定期間顯示 AWS 區域 選擇為主區域的 。在使用 的多帳戶和多區域環境中 AWS Organizations,Systems Manager 會自動將所有帳戶和區域的節點資料彙總至主要區域。以這種方式彙總資料,可讓您在單一位置跨帳戶和區域檢視節點資料。

注意

若想變更主區域,則必須停用 Systems Manager,然後再次將其啟用。若要停用 Systems Manager,請選擇停用

組織設定區段會顯示 AWS 組織單位,並在設定期間 AWS 區域 選擇。若要變更哪些組織單位和區域會在 Systems Manager 中顯示節點資料,請選擇編輯。如需有關為組織設定 Systems Manager 的詳細資訊,請參閱設定 AWS Systems Manager

功能組態

功能組態區段可讓您啟用和設定關鍵 Systems Manager 功能,以增強整個組織的節點管理。這些功能可互相搭配使用,為您的受管節點提供自動化管理、合規監控和維護。

您可以在初始 Systems Manager 設定期間設定這些功能,也可以稍後透過「設定」頁面進行修改。您可以根據貴組織的需求,單獨啟用或停用每個功能。

預設主機管理組態

預設主機管理組態 (DHMC) 會自動將組織中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體設定為由 Systems Manager 管理。啟用時,DHMC 會確保新的和現有的 EC2 執行個體具有與 Systems Manager 服務通訊所需的 AWS Identity and Access Management (IAM) 許可和組態。

DHMC 具有以下優點:

  • 自動指派 IAM 角色 – 確保 EC2 執行個體具有必要的 IAM 角色和政策,以作為受管節點運作

  • 漂移修復 – 當執行個體失去其受管節點狀態時,自動更正組態漂移

  • 簡化加入 – 減少加入新執行個體的手動組態步驟

  • 一致的組態 – 維持整個 EC2 機群的統一設定

設定漂移修復頻率

當 EC2 執行個體遺失其受管節點組態時,漂移修復會自動偵測並更正組態。您可以設定 Systems Manager 檢查和修復組態漂移的頻率。

設定預設主機管理組態

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇設定

  3. 功能組態區段中,找到預設主機管理組態

  4. 若要啟用 DHMC,請開啟切換開關。

  5. 對於漂移修復頻率,選擇您希望 Systems Manager 檢查和修復組態漂移的頻率:

    • 每日 – 每天檢查並修復一次漂移

    • 每週 – 每週檢查並修復一次漂移

    • 每月 – 每月檢查並修復一次漂移

  6. 選擇儲存

注意

啟用 DHMC 後,Systems Manager 會在您的帳戶中建立必要的 IAM 角色和政策。這些角色允許 EC2 執行個體與 Systems Manager 服務通訊。如需有關 DHMC 建立的 IAM 角色的詳細資訊,請參閱使用 Systems Manager 管理 EC2 執行個體

庫存中繼資料收集

庫存中繼資料收集功能會自動收集有關受管節點的詳細資訊,包括已安裝的應用程式、網路組態、系統更新和其他系統中繼資料。這些資訊可協助您維持合規性、執行安全分析,以及了解基礎設施組成。

庫存中繼資料收集功能具有以下優點:

  • 合規監控 – 追蹤已安裝的軟體和組態以進行合規報告

  • 安全分析 – 識別過期的軟體和潛在的安全漏洞

  • 資產管理 – 維護基礎設施最新庫存

  • 查詢功能 – 將收集的資料與 Amazon Q Developer 搭配使用以進行自然語言查詢

收集的庫存中繼資料類型

啟用庫存中繼資料收集後,Systems Manager 會從受管節點收集下列類型的資訊:

  • 應用程式 – 已安裝的軟體套件和應用程式

  • 網路組態 – 網路介面、IP 位址和網路設定

  • 系統更新 – 已安裝的修補程式和可用更新

  • 系統屬性 – 硬體規格、作業系統詳細資訊和系統組態

  • 服務 – 執行服務及其組態

設定庫存中繼資料收集頻率

您可以設定 Systems Manager 從受管節點收集庫存中繼資料的頻率。較頻繁的收集可提供up-to-date資訊,但可能會增加 AWS 服務用量。

設定庫存中繼資料收集

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇設定

  3. 功能組態區段中,找到庫存中繼資料收集

  4. 若要啟用庫存中繼資料收集,請開啟切換開關。

  5. 對於收集頻率,選擇您希望 Systems Manager 收集庫存資料的頻率:

    • 每日 – 每天收集一次庫存資料

    • 每週 – 每週收集一次庫存資料

    • 每月 – 每月收集一次庫存資料

  6. 選擇儲存

重要

庫存中繼資料收集需要受管節點具備必要的許可,以收集系統資訊。確保您的受管節點具有適當的 IAM 角色和政策。如需所需許可的相關資訊,請參閱AWS Systems Manager庫存

SSM Agent 更新

自動 SSM Agent 更新可確保您的受管節點執行的是最新版本的 SSM Agent。保持使用最新版 Agent,可讓您存取最新的功能、安全性改善和錯誤修正。

SSM Agent 自動更新具有以下優點:

  • 最新功能 – 存取 Systems Manager 新功能和改進功能

  • 安全性更新 – 自動安裝安全修補程式和修正

  • 改善可靠性 – 錯誤修正和穩定性改善

  • 減少維護 – 無需手動更新 Agent

設定 Agent 自動更新

您可以設定 Systems Manager 在受管節點上檢查並安裝 SSM Agent 更新的頻率。定期更新有助於確保最佳效能和安全性。

設定 SSM Agent 更新

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇設定

  3. 功能組態區段中,找到 SSM Agent 更新

  4. 若要啟用自動更新,請開啟切換開關。

  5. 對於更新頻率,選擇您希望 Systems Manager 檢查並安裝 Agent 更新的頻率:

    • 每日 – 每天檢查一次更新

    • 每週 – 每週檢查一次更新

    • 每月 – 每月檢查一次更新

  6. 選擇儲存

診斷和修復設定

診斷和修復設定會判斷 Systems Manager 是否自動掃描節點,確保節點可以與 Systems Manager 通訊。如果已啟用,則此功能會根據您定義的排程自動執行。該功能會識別哪些節點無法連線至 Systems Manager 及其原因。此外,此功能提供建議的執行手冊,可修復聯網問題和其他會防止將節點設為受管節點的問題。

安排定期診斷掃描

Systems Manager 可以診斷並協助您修復多種類型的部署失敗和漂移組態。Systems Manager 也可以識別帳戶或組織中 Systems Manager 無法視為受管節點的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。EC2 執行個體診斷程序可以識別與虛擬私有雲端 (VPC)、網域名稱服務 (DNS) 設定或 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組的錯誤組態相關的問題。

若要僅識別無法連線至 Systems Manager 的節點,排程定期診斷功能可讓您將定期診斷掃描自動化。這些掃描有助於識別哪些節點無法連線至 Systems Manager 及其原因。按照下列程序啟用和設定節點的定期診斷掃描。

安排定期診斷掃描

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選擇設定,然後選擇診斷和修復索引標籤。

  3. 開啟排程定期診斷選項。

  4. 掃描期間欄位中選擇掃描的執行頻率。

  5. (選用) 在開始時間欄位中,為要開始的診斷輸入 24 小時格式的時間。例如,若是晚上 8:15,則輸入 20:15

    輸入的時間適用於目前的當地時區。

    如果未指定時間,診斷掃描會立即執行。Systems Manager 也可在目前時間排程要在未來執行的掃描。如果指定時間,Systems Manager 會等待在指定時間執行診斷掃描。

  6. 選擇儲存

  7. 掃描完成後,請在左側導覽中選擇診斷和修復來檢視詳細資訊。

如需有關診斷和修復功能的詳細資訊,請參閱診斷和修復

更新 S3 儲存貯體加密

當您加入 Systems Manager 時,快速設定會在委派的管理員帳戶中建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體以進行 AWS Organizations 設定。對於單一帳戶設定,系統會將此儲存貯體存放在要設定的帳戶中。此儲存貯體會用於存放診斷掃描期間產生的中繼資料。

如需有關設定 Systems Manager 整合式主控台的詳細資訊,請參閱設定 AWS Systems Manager

根據預設,儲存貯體中的資料會使用為您 AWS 擁有和管理的 a AWS Key Management Service (AWS KMS) 金鑰進行加密。

您可以選擇使用不同的 AWS KMS 金鑰進行儲存貯體加密。或者,您可以使用客戶受管金鑰 AWS KMS keys (CMK) 搭配 (SSE-KMS) 使用伺服器端加密。如需相關資訊,請參閱使用 Systems Manager 的 Amazon S3 儲存貯體和儲存貯體政策

使用不同的 AWS KMS 金鑰進行 S3 儲存貯體加密

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選擇設定,然後選擇診斷和修復索引標籤。

  3. 更新 S3 儲存貯體加密區域中選擇編輯

  4. 選取自訂加密設定 (進階) 核取方塊。

  5. 針對選擇 AWS KMS 金鑰,選擇或輸入金鑰的 Amazon Resource Name (ARN)。

    提示

    若要建立新的金鑰,請選擇建立 AWS KMS 金鑰

  6. 選擇儲存