• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Windows Server 專用 EC2 執行個體使用 SSM Agent
AWS Systems Manager 根據預設,代理程式 (SSM Agent) 預先安裝在 提供的 Windows Server Amazon Machine Images(AMIs) 上 AWS。支援下列作業系統 (OS) 版本。
+ 2016 年 11 月或之後發布的 Windows Server 2012 R2 AMIs
+ Windows Server 2016、2019、2022 (Nano 版本除外) 和 2025
**有關對先前版本所提供之支援的說明**
2016 年 11 月*之前*發佈的 Windows Server AMIs 使用 EC2Config 服務來處理請求和設定執行個體。
除非您有特定理由需使用 EC2Config 服務或舊版 SSM Agent 來處理 Systems Manager 請求,否則建議對已為 Systems Manager 設定的在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的每個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或非 EC2 機器,下載並安裝最新版的 SSM Agent。
**讓 SSM Agent 保持最新**
當 Systems Manager 新增了新工具,或現有工具有更新時,會發行 SSM Agent 的更新版本。若未使用最新版本的 Agent,您的受管節點可能會無法使用 Systems Manager 中的各種工具及功能。因此,我們建議您讓機器的 SSM Agent 自動保持最新狀態。如需相關資訊,請參閱[自動化 SSM Agent 更新](ssm-agent-automatic-updates.md)。請訂閱 GitHub 上的 [SSM Agent 版本備註](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)頁面,以便接收有關 SSM Agent 更新的通知。
若要檢視不同版本的 SSM Agent 的詳細資訊,請參閱[版本備註](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)。
**Topics**
+ [
# 在 Windows Server EC2 執行個體上手動安裝和解除安裝 SSM Agent
](manually-install-ssm-agent-windows.md)
+ [
# 將 SSM Agent 設定為使用 Windows Server 執行個體的代理
](configure-proxy-ssm-agent-windows.md)
# 在 Windows Server EC2 執行個體上手動安裝和解除安裝 SSM Agent
AWS Systems Manager 在 Amazon Windows Server提供的下列 (SSM Agent) 上,預設會預先安裝代理程式 Amazon Machine Images(AMIs):
+ 2016 年 11 月或之後發布的 Windows Server 2012 R2 AMIs
+ Windows Server 2016、2019、2022 (Nano 版本除外) 和 2025
**重要**
強烈建議您避免使用已達生命週期結束 (EOL) 的作業系統版本。包括 在內的作業系統廠商 AWS 通常不會為已達到 EOL 的版本提供安全修補程式或其他更新。繼續使用 EOL 系統可大幅提高無法套用升級的風險,包括安全性修正和其他操作問題。 AWS 不會在已達到 EOL 的作業系統版本上測試 Systems Manager 功能。
## 在 Windows Server EC2 執行個體上安裝 SSM Agent
如有需要,您可以使用以下程序,在 Windows Server 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上手動下載並安裝最新版本的 SSM Agent。此程序中所提供的命令也可以透過使用者資料,以指令碼的形式傳遞至 Amazon EC2 執行個體。
SSM Agent 需要 Windows PowerShell 3.0 或更新版本,才能在 Windows Server 執行個體上執行特定 AWS Systems Manager 文件 (SSM 文件) (例如,舊版 `AWS-ApplyPatchBaseline` 文件)。確認您的 Windows Server 執行個體執行 Windows Management Framework 3.0 或更新版本。這個架構包含 Windows PowerShell。如需詳細資訊,請參閱 [Windows Management Framework 3.0](https://www.microsoft.com/en-us/download/details.aspx?id=34595&751be11f-ede8-5a0c-058c-2ee190a24fa6=True)。
**其他機器類型的安裝**
本主題中的此程序特別適用於在 Windows Server EC2 執行個體上安裝或重新安裝 SSM Agent。對於內部部署伺服器、虛擬機器或其他非 EC2 環境,請使用[在混合 Windows Server 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md) 中所述的 `ssm-setup-cli` 工具。
在非 EC2 系統上使用 EC2 安裝程序可能會導致安全漏洞。`ssm-setup-cli` 工具為非 EC2 機器提供額外的安全保護。
**在 Windows Server 的 EC2 執行個體上手動安裝 SSM Agent 的最新版本**
1. 使用遠端桌面或 Windows PowerShell 連線至您的執行個體。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的 [Connect to your instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。
1. 下載最新版本的 SSM Agent 到您的執行個體。您可以使用 PowerShell 命令或直接下載連結進行下載。
**注意**
此步驟中的 URLs 可讓您SSM Agent從*任何* AWS 區域下載。如果您想要從特定區域下載代理程式,請改為使用區域特定的 URL:
`https://amazon-ssm-region.s3.region.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe`
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**資料欄。
**PowerShell**
依序執行下列三個 PowerShell 命令。這些命令允許您直接下載 SSM Agent,而不用調整 Internet Explorer (IE) 增強安全性設定,並可接著安裝代理程式及移除安裝檔案。
```
[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$progressPreference = 'silentlyContinue'
Invoke-WebRequest `
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe `
-OutFile $env:USERPROFILE\Desktop\SSMAgent_latest.exe
```
```
[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$progressPreference = 'silentlyContinue'
Invoke-WebRequest `
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_386/AmazonSSMAgentSetup.exe `
-OutFile $env:USERPROFILE\Desktop\SSMAgent_latest.exe
```
```
Start-Process `
-FilePath $env:USERPROFILE\Desktop\SSMAgent_latest.exe `
-ArgumentList "/S" `
-Wait
```
```
rm -Force $env:USERPROFILE\Desktop\SSMAgent_latest.exe
```
**直接下載**
使用下列連結,下載 SSM Agent 的最新版本至執行個體。如果需要,請使用 AWS 區域特定 URL 更新此 URL。
[https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows\$1amd64/AmazonSSMAgentSetup.exe](https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe)
執行下載的 `AmazonSSMAgentSetup.exe` 檔案來安裝 SSM Agent。
1. 在 PowerShell 中傳送以下命令來啟動或重新啟動 SSM Agent:
```
Restart-Service AmazonSSMAgent
```
**注意**
若要從 Windows Server 執行個體解除安裝 SSM Agent,請開啟**控制面板**、**程式**。選擇 **Uninstall a program** (解除安裝程式) 選項。開啟 **Amazon SSM Agent** 的內容 (按一下滑鼠右鍵) 選單,然後選擇**解除安裝**。
# 將 SSM Agent 設定為使用 Windows Server 執行個體的代理
本主題中的資訊適用於在 2016 年 11 月或之後建立的*未*使用 Nano 安裝選項的 Windows Server 執行個體。如果您打算使用 Session Manager,請注意不支援 HTTPS 代理伺服器。
**開始之前**
將 SSM Agent 設定為使用代理之前,請注意下列重要資訊。
在下列程序中,您需執行命令來將 SSM Agent 設定為使用代理。該命令包含具有 IP 位址的 `no_proxy` 設定。其中的 IP 位址是 Systems Manager 的執行個體中繼資料服務 (IMDS) 端點。如果未指定 `no_proxy`,則對 Systems Manager 的呼叫會從代理服務取得身分 (如果啟用了 IMDSv1 備用),或對 Systems Manager 的呼叫失敗 (如果強制執行 IMDSv2)。
+ 針對 IPv4,請指定 `no_proxy=169.254.169.254`。
+ 針對 IPv6,請指定 `no_proxy=[fd00:ec2::254]`。執行個體中繼資料服務的 IPv6 地址與 IMDSv2 命令相容。IPv6 位址只能在建置於 [AWS Nitro 系統](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html)的執行個體上進行存取。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的 [How Instance Metadata Service Version 2 works](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-v2-how-it-works.html)。
**若要設定 SSM Agent 以使用代理**
1. 使用遠端桌面或 Windows PowerShell 連接到您要設定為使用代理的執行個體。
1. 在 PowerShell 中執行下列命令區塊。使用與您的代理有關的資訊取代*主機名稱*和*連接埠*。
```
$serviceKey = "HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent"
$keyInfo = (Get-Item -Path $serviceKey).GetValue("Environment")
$proxyVariables = @("http_proxy=hostname:port", "https_proxy=hostname:port", "no_proxy=IP address for instance metadata services (IMDS)")
if ($keyInfo -eq $null) {
New-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables -PropertyType MultiString -Force
} else {
Set-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables
}
Restart-Service AmazonSSMAgent
```
執行上述命令之後,您可以檢閱 SSM Agent 記錄檔以確認已套用 Proxy 設定。記錄檔中的項目看起來如下所示。如需 SSM Agent 日誌的詳細資訊,請參閱[檢視 SSM Agent 日誌](ssm-agent-logs.md)。
```
2020-02-24 15:31:54 INFO Getting IE proxy configuration for current user: The operation completed successfully.
2020-02-24 15:31:54 INFO Getting WinHTTP proxy default configuration: The operation completed successfully.
2020-02-24 15:31:54 INFO Proxy environment variables:
2020-02-24 15:31:54 INFO http_proxy: hostname:port
2020-02-24 15:31:54 INFO https_proxy: hostname:port
2020-02-24 15:31:54 INFO no_proxy: IP address for instance metadata services (IMDS)
2020-02-24 15:31:54 INFO Starting Agent: amazon-ssm-agent - v2.3.871.0
2020-02-24 15:31:54 INFO OS: windows, Arch: amd64
```
**若要重設 SSM Agent 代理組態**
1. 使用遠端桌面或 Windows PowerShell 連接到您要設定的執行個體。
1. 如果您使用遠端桌面連接,請將 PowerShell 啟動為系統管理員。
1. 在 PowerShell 中執行下列命令區塊。
```
Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent -Name Environment
Restart-Service AmazonSSMAgent
```
## SSM Agent 代理設定優先順序
在 Windows Server 執行個體上設定 SSM Agent的代理設定時,請務必瞭解在 SSM Agent 啟動時,系統會評估這些設定並套用至代理程式組態。您為 Windows Server 執行個體設定的代理設定會決定其他設定是否可能取代您所要的設定。代理程式會使用其找到的第一個代理設定。
**重要**
SSM Agent 使用 HTTPS 協定進行通訊。因此,您必須使用以下其中一個設定選項配置 `HTTPS proxy` 參數。
依以下順序評估 SSM Agent 代理設定。
1. `AmazonSSMAgent` 登錄檔設定 (`HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent`)
1. `System` 環境變數 (`http_proxy`、`https_proxy`、`no_proxy`)
1. `LocalSystem` 使用者帳戶環境變數 (`http_proxy`、`https_proxy`、`no_proxy`)
1. 瀏覽器設定 (`HTTP`、`secure`、`exceptions`)
1. `WinHTTP` 代理設定 (`http=`、`https=`、`bypass-list=`)
## SSM Agent 代理設定和 Systems Manager 服務
如果您將 SSM Agent 設定為使用代理,並使用在Windows Server執行個體上執行期間使用 PowerShell 或 Windows Update Run Command 用戶端 AWS Systems Manager 的工具Patch Manager,請設定其他代理設定。否則,操作可能會失敗,因為 PowerShell 和 Windows Update 用戶端使用的代理設定不會繼承自 SSM Agent 代理組態。
對於 Run Command,在您的 Windows Server 執行個體上設定 `WinINet` 代理設定。根據每個工作階段提供 `[System.Net.WebRequest]` 命令。若要將這些組態套用至在 Run Command 中執行的後續網路命令,這些命令在相同的 `aws:runPowershellScript` 外掛程式輸入中必須優先於其他 PowerShell 命令。
下列 PowerShell 命令會傳回目前的 `WinINet` 代理設定,並將您的代理設定套用到 `WinINet`。
```
[System.Net.WebRequest]::DefaultWebProxy
$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)
[System.Net.WebRequest]::DefaultWebProxy = $WebProxy
```
對於 Patch Manager,設定全系統範圍的代理設定,讓 Windows Update 用戶端可以掃描和下載更新。我們建議您使用 Run Command 來執行下列命令,因為這些命令會在系統管理員帳戶上執行,且設定會套用到全系統。下列 `netsh` 命令會傳回目前的代理設定,並將您的代理設定套用到本機系統。
```
netsh winhttp show proxy
netsh winhttp set proxy proxy-server="hostname:port" bypass-list="169.254.169.254"
```
如需有關使用 Run Command 的詳細資訊,請參閱 [AWS Systems Manager Run Command](run-command.md)。