• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 執行節點管理任務 AWS Systems Manager
下列主題說明如何使用 AWS Organizations 組織和單一的統一 AWS Systems Manager 主控台來完成常見節點任務 AWS 帳戶。
**Topics**
+ [檢閱節點洞察](review-node-insights.md)
+ [探索節點](view-aggregated-node-details.md)
+ [使用 Systems Manager 即時存取節點](systems-manager-just-in-time-node-access.md)
+ [診斷和修復](diagnose-and-remediate.md)
+ [調整 Systems Manager 設定](settings-overview.md)
# 檢閱節點洞察
您可以使用 Systems Manager 整合式主控台,深入了解組織或帳戶中受管節點和未受管 EC2 執行個體的整體狀態。
Systems Manager 可為您的受管節點和尚未由 Systems Manager 管理的 EC2 執行個體提供視覺化概觀。(受管節點是設定為在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中搭配 Systems Manager 使用的任何機器。如需有關支援機器類型的資訊,請參閱[混合多雲端環境中支援的機器類型](operating-systems-and-machine-types.md#supported-machine-types)。)
此概觀透過稱為*小工具*的個別報告方塊提供,具有互動式圓餅圖和其他圖形。
**開始之前**
若要檢閱節點洞察,必須先將組織或帳戶加入 Systems Manager 整合式主控台。如需詳細資訊,請參閱[設定 AWS Systems Manager](systems-manager-setting-up-console.md)。
加入後,開啟 [Systems Manager 主控台](https://console.aws.amazon.com/systems-manager/explorer),然後選擇**檢閱節點洞察**。
下列影像顯示一些個別的報告方塊,稱為*小組件*,可在**檢閱節點洞察**頁面中使用。
![\[Systems Manager 檢閱節點洞察頁面上顯示的節點資料\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/SYS2-Dashboard-Nodes.png)
顯示介面支援的小工具可提供下列資訊。
**節點摘要**
指出組織或帳戶中有多少個 EC2 執行個體目前不是受管節點,以及組織或帳戶機群中有多少個受管節點。
**什麼是受管執行個體?**
當您停止受管 EC2 執行個體時,它會在 Systems Manager 主控台中回報為「未受管」。這是預期行為,因為 SSM Agent 沒有與服務的作用中連線。
這與 將執行個體 AWS Config 定義為未受管的方式不同。如果執行個體目前停止, 會 AWS Config 報告執行個體上次SSM Agent在執行個體與 Systems Manager 服務之間進行「heartbeat」連線的狀態。
執行個體重新啟動時,會自動重新連線至 Systems Manager 服務,並在五分鐘內將其在整合式主控台中的狀態還原至「受管」。不需要手動介入,且執行個體的所有 Systems Manager 組態都會在停止/啟動週期期間保留。
不過,如果執行個體在啟動幾分鐘後仍未回報為「受管」,則執行個體可能無法正確設定為 Systems Manager 管理。在這種情況下,建議執行診斷,以確定執行個體保持未受管狀態的原因。如需詳細資訊,請參閱[在 Systems Manager 中診斷和修復未受管的 Amazon EC2 執行個體](remediating-unmanaged-instances.md)。
如果診斷掃描無法判斷問題,請參閱下列主題,以確認符合 SSM Agent、 AWS Identity and Access Management (IAM) 角色和 Systems Manager 先決條件的要求:
+ [SSM Agent 疑難排解](troubleshooting-ssm-agent.md)
+ [設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)
+ [疑難排解受管節點的可用性](fleet-manager-troubleshooting-managed-nodes.md)
**受管節點類型**
指出機群中有多少受管節點是 EC2 執行個體,以及有多少其他伺服器類型,包括您自己的內部部署 (內部部署伺服器)、 AWS IoT Greengrass 核心裝置 AWS IoT 和非AWS 邊緣裝置,以及虛擬機器 (VMs),包括其他雲端環境中VMs。將滑鼠暫留在**節點類型**圖形上,即可存取**探索節點**頁面中更多詳細資訊的連結。
如需混合多雲端環境 AWS 支援的詳細資訊,請參閱[AWS 混合多雲端解決方案](https://aws.amazon.com/hybrid-multicloud/)。
**SSM Agent 版本**
提供有關在機群中安裝 AWS Systems Manager 代理程式 (SSM Agent) 的資訊。 SSM Agent是在受管節點上執行的 Amazon 軟體。 SSM Agent 可讓 Systems Manager 更新、管理和設定這些資源。代理程式會在 中處理來自 Systems Manager 服務的請求 AWS 雲端,然後依照請求中的指定執行它們。
對於機群中的受管節點,此小工具會報告機群中從最新到最舊的 SSM Agent版本。將滑鼠暫留在 **SSM Agent 版本**圖形上,即可存取**探索節點**頁面中更多詳細資訊的連結。
如需 SSM Agent 的相關資訊,請參閱 [使用 SSM Agent](ssm-agent.md)。
**受管節點作業系統**
提供機群中受管節點上每個作業系統的百分比明細。將滑鼠暫留在**依照作業系統分組的受管節點**圖形上,即可存取**探索節點**頁面中更多詳細資訊的連結。
在顯示介面上使用拖放功能來移除和新增小工具,即可在**檢閱節點洞察**頁面上自訂小工具配置。
參照下列主題中的資訊,協助自己使用 Systems Manager 節點洞察小工具。
**Topics**
+ [在**檢閱節點洞察**頁面中新增或移除小工具](review-node-insights-add-and-remove-widgets.md)
+ [在**檢閱節點洞察**頁面中重新排列小工具](review-node-insights-rearrange-widgets.md)
# 在**檢閱節點洞察**頁面中新增或移除小工具
透過新增和移除小工具,即可在 Systems Manager **檢閱節點洞察**頁面中自訂配置。
**注意**
依預設,頁面會顯示所有可用的小工具。
**在**檢閱節點洞察**頁面中新增或移除小工具**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在左側導覽列中,選擇**檢閱節點洞察**。
1. 若要從顯示介面中移除小工具,請執行下列動作:
1. 選擇小工具的「更多選項」功能表 (![\[The More options menu\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/more-options-menu-widgets.png))。
1. 選擇 **Remove widget (移除 Widget)**。
1. 若要將小工具新增至顯示介面,請執行下列動作:
1. 選擇**新增小工具**。
1. 在**新增小工具**窗格中,按住小工具的拖曳控點 (![\[The drag handle\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) 將其新增至顯示介面。
1. 將小工具拖放到主窗格中。
# 在**檢閱節點洞察**頁面中重新排列小工具
您可以透過重新排列小工具,在**檢閱節點洞察**頁面中自訂配置。
**在**檢閱節點洞察**頁面中重新排列小工具**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**檢閱節點洞察**。
1. 若要自訂小工具配置,請選擇要移動的小工具。按住小工具的拖曳控點 (![\[The drag handle\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/drag-handle-dashboard.png)),將其拖曳到新位置。
1. 對您要重新定位的每個 Widget 重複此程序。
如果決定不要新的配置,請選擇**重設為預設配置**,將所有小組件移回原始位置。
# 探索節點
您可以使用 Systems Manager 中的**探索節點**頁面,根據您在篩選條件中指定的條件檢閱組織或帳戶中受管節點的詳細資訊。您也可以使用 Systems Manager 與 Amazon Q Developer (Amazon Q) (一種 AWS 生成式 AI 解決方案) 的整合,以文字提示進行搜尋。
**開始之前**
若要使用**探索節點**功能,您必須先將組織或帳戶加入 Systems Manager 整合式主控台。如需更多詳細資訊,請參閱 [為組織設定 Systems Manager 統一主控台](systems-manager-setting-up-organizations.md)。
在加入後,請開啟 [Systems Manager 主控台](https://console.aws.amazon.com/systems-manager/),並選擇**探索節點**。
**注意**
如果您已在與主區域不同的區域中建立適用於 Resource Explorer 的彙總工具索引,則 Systems Manager 會降級目前的索引。然後,Systems Manager 會將主區域中的本機索引提高為新的彙總工具索引。在此期間,系統僅會顯示主區域的節點。此程序最長需要 24 小時才能完成。
**Topics**
+ [使用主控台篩選條件探索節點](view-aggregated-node-details-console.md)
+ [在 Amazon Q 中使用文字提示探索節點](view-aggregated-node-details-Q.md)
+ [檢視個別節點詳細資訊並對節點採取動作](node-detail-actions.md)
+ [下載或匯出受管節點報告](explore-nodes-download-report.md)
+ [管理節點報告內容和外觀](explore-nodes-manage-report-display.md)
# 使用主控台篩選條件探索節點
在 Systems Manager 主控台中,您可以根據下方檢視對受管節點進行分組:
------
#### [ All nodes (No filter) ]
列出組織或帳戶中的所有受管節點。
![\[探索節點頁面中的受管節點清單\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/2-explore-nodes-managed-nodes.png)
------
#### [ Node types ]
提供個別檢視 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和其他機器類型的資料索引標籤,包括您自己的內部部署伺服器 (內部部署伺服器)、 AWS IoT Greengrass 核心裝置 AWS IoT 和非AWS 邊緣裝置,以及虛擬機器 (VMs),包括其他雲端環境中VMs。
![\[節點類型索引標籤上的受管節點清單\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/2-explore-nodes-node-types.png)
------
#### [ Operating systems ]
提供組織或帳戶中每個作業系統類型的索引標籤,例如 **Amazon Linux** 和 **Microsoft Windows Server 2022 Datacenter**。在每個索引標籤上,您可以僅選取 *Amazon Linux 2* 和 *Amazon Linux 2023* 等特定版本的作業系統,進一步篩選清單。
![\[作業系統索引標籤上的受管節點清單\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/2-explore-nodes-operating-system.png)
------
#### [ SSM Agent versions ]
為機群中受管節點上安裝的每個 SSM Agent 版本提供索引標籤。在每個索引標籤上,您可以僅選取 **Amazon Linux** 和 **Microsoft Windows Server 2022 Datacenter** 等特定作業系統,進一步篩選清單。
![\[代理程式索引標籤上的受管節點清單\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/2-explore-nodes-agent-versions.png)
------
此外,對於每個檢視,您可以選擇僅檢視節點狀態、 AWS 帳戶 ID、組織單位 ID 等特定屬性的節點,進一步精簡報告的節點清單。
您可以選擇在**探索節點**頁面顯示哪些可用的欄位來自訂報告顯示。您也可以下載 `CSV` 或 `JSON` 格式的報告,或以 `CSV` 格式將報告匯出至 Amazon S3。
**Topics**
+ [選擇受管節點摘要的篩選條件檢視](explore-nodes-filter-view.md)
# 選擇受管節點摘要的篩選條件檢視
您可以在 Systems Manager 中的**探索節點**頁面上,根據多種可用的篩選條件檢視來檢視機群的相關彙總資料。
**選擇受管節點摘要的篩選條件檢視**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**探索節點**。
1. 對於**篩選條件檢視**,選取其中一個篩選條件選項,並選擇性地進一步精簡報告:
+ **受管節點**:您可以在搜尋 (![\[The search icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/search-icon.png)) 方塊中選取屬性和分隔符號,例如 `Node type = Managed EC2 instances`。
+ **作業系統**:在**篩選作業系統版本**清單中,您可以選取作業系統版本號。在搜尋 (![\[The search icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/search-icon.png)) 方塊中,您可以選取屬性和分隔符號,例如 `Node type = Managed EC2 instances`。
+ **SSM Agent 版本**:在**篩選作業系統**清單中,您可以選取作業系統名稱。在搜尋 (![\[The search icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/search-icon.png)) 方塊中,您可以選取屬性和分隔符號,例如 `Node type = Managed EC2 instances`。
+ **節點類型**:在**篩選作業系統**清單中,您可以選取作業系統名稱。在搜尋 (![\[The search icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/search-icon.png)) 方塊中,您可以選取屬性和分隔符號,例如 `Node type = Managed EC2 instances`。
在選擇性篩選清單之後,您可以在**節點 ID** 欄位中選擇特定受管節點的 ID,以檢視該節點的相關詳細資訊。從該詳細檢視中,您可以對節點執行許多動作。
# 在 Amazon Q 中使用文字提示探索節點
藉助 Systems Manager 與 Amazon Q Developer 的整合,您可以使用文字提示檢視由生成式 AI 建立的受管節點相關資訊。
Amazon Q Developer 是採用生成式 AI 技術的對話式助理,可協助您了解、建置、擴展和操作 AWS 應用程式。為了加速您的建置 AWS,支援 Amazon Q 的模型會擴增高品質 AWS 內容,以產生更完整、可行且參考的答案。如需詳細資訊,請參閱《Amazon Q Developer 使用者指南》**中的 [What is Amazon Q Developer?](https://docs.aws.amazon.com/amazonq/latest/aws-builder-use-ug/what-is.html) 部分。
Systems Manager 和 Amazon Q 之間的整合可讓您快速掌握和控制跨多個 AWS 帳戶 和 區域的大型分散式環境。您可以使用自然語言查詢快速搜尋節點資料,然後識別問題並以更快的速度採取行動。
當您詢問有關受管節點或受管執行個體的自然語言問題時,Amazon Q 會使用 Systems Manager `ListNodes` 動作,並根據文字輸入建立篩選條件來擷取結果。
例如,假設您對 Amazon Q 提供下方提示:
**List my managed nodes running Red Hat Enterprise Linux 9.2**
Amazon Q 會判斷要包含在請求中的篩選條件,然後執行如下所示的查詢:
```
aws ssm list-nodes \
--filters Key=PlatformName,Values='Red Hat Enterprise Linux',Type=Equal Key=PlatformVersion,Values=9.2,Type=Equal
```
之後,Amazon Q 會產生帳戶中關於 Red Hat Enterprise Linux 執行個體的報告,列出執行個體的數量、ID 以及區域等資訊。
您可以檢視每個執行個體詳細資訊的 JSON 摘要,也可以開啟連結,在 Systems Manager **探索節點**頁面中檢視 EC2 執行個體或受管節點的完整清單。**探索節點**會顯示符合提示所包含篩選條件的結果。您可以在該處變更或精簡請求的篩選條件,如在[探索節點](view-aggregated-node-details.md)中所述。
**Topics**
+ [學習制定有效的提示向 Amazon Q 詢問有關機群的問題](view-aggregated-node-details-Q-prompts.md)
+ [使用 Amazon Q 探索受管節點](explore-managed-nodes-using-Q.md)
# 學習制定有效的提示向 Amazon Q 詢問有關機群的問題
您提供給 Amazon Q 品質越好的問題或提示,Amazon Q 提供的結果就越好。
**查詢提示的提示**
在向 Amazon Q 查詢有關機群的問題時,請記住下列提示:
1. 為了協助提高結果的準確性,請在提示中使用「受管節點」和「受管執行個體」等字詞,而不是只使用「節點」和「執行個體」。
1. 若要查詢組織中多個帳戶的結果**,如 中所設定 AWS Organizations,您必須登入指定主區域中的委派管理員帳戶。
1. 在委派管理員帳戶中,使用字詞來協助 Amazon Q 了解您詢問的是有關整個組織的節點和執行個體,具體使用「在我的組織中」或「在我的帳戶 123456789012 中」等字詞。
**Topics**
+ [Amazon Q 的範例問題](#sample-questions-Q)
+ [提示支援的作業系統名稱和版本](#supported-os-names-Q)
## Amazon Q 的範例問題
在下表中,我們提供數個範例問題,示範了您可以建立 Amazon Q 查詢來產生較佳結果的一些方式。
我們也提供 Amazon Q 會在執行 [ListNodes](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListNodes.html) 命令時套用的篩選條件範例,而這些篩選條件是根據提示內容產生的。
| 自然語言問題範例 | Amazon Q 套用的篩選條件 |
| --- | --- |
| Show me my Windows managed nodes. | PlatformType = Windows
|
| List my managed instances in account 123456789012. | AccountId = 123456789012
|
| Show me all managed nodes running Amazon Linux 2 across my organization. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| Show me all managed instances running Microsoft Windows Server 2019 Datacenter in my organization. | PlatformName = Microsoft Windows Server 2019 Datacenter
|
| Can you show me all managed nodes with SSM Agent version 3.3.1142.0? | AgentType = amazon-ssm-agent
AgentVersion = 3.3.1142.0
|
| List all Amazon Linux 2 managed instances in account 123456789012 that have SSM Agent version 3.3.1230.0. | PlatformName = Amazon Linux
PlatformVersion = 2
AccountId = 123456789012
AgentType = amazon-ssm-agent
AgentVersion = 3.3.1230.0
|
| What Microsoft Windows Server 2012 R2 Enterprise managed nodes are running in the eu-central-1 region across my entire organization? | PlatformName = Microsoft Windows Server 2012 R2 Enterprise
Region = eu-central-1
|
| Show me all managed instances running Red Hat Linux 7 in ou-d6ty-gxdma6vm. | PlatformName = RHEL Linux
PlatformVersion = 7
OrganizationalUnitId = ou-d6ty-gxdma6vm
|
| What Ubuntu managed instances are in account 123456789012? | PlatformName = Ubuntu
AccountId = 123456789012
|
| List my Linux managed instances. | PlatformType = Linux
|
| Find my macOS managed nodes. | PlatformType = macOS
|
| Show me all versions of Amazon Linux managed nodes in my org. | PlatformName = Amazon Linux
|
| List managed nodes running Amazon Linux 2. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| List the managed nodes with Ubuntu 16.04 in account 123456789012. | PlatformName = Ubuntu
PlatformVersion = 16.04
AccountId = 123456789012
|
| Find all managed nodes that have an SSM Agent version that is not 3.3.987.0. | AgentType = amazon-ssm-agent
AgentVersion != 3.3.987.0
|
| List all managed instances that are not running a Linux operating system. | PlatformType != Linux
|
## 提示支援的作業系統名稱和版本
當您向 Amazon Q 詢問帳戶中的受管節點時,提供如 Systems Manager 中標示的作業系統名稱會很有幫助。您也可以提供版本編號,進一步縮小結果範圍。例如,如下表所示,您可以要求具體關於 **macOS 14.5**、 **Microsoft Windows Server 2019 Datacenter** 和 **AlmaLinux 9.2 through 9.4** 等的結果。
這些清單並非詳盡無遺,僅作為範例提供。
**macOS**
| 平台名稱 | 版本編號 |
| --- | --- |
| macOS | 13.2、13.4、13.7、14.1、14.5、14.6.1、15.0 |
**Windows**
| 推出 | 版本編號 |
| --- | --- |
| Microsoft Windows Server 2012 R2 Datacenter | 6.3.9600 |
| Microsoft Windows Server 2012 R2 Standard | 6.3.9600 |
| Microsoft Windows Server 2012 Standard | 6.2.9200 |
| Microsoft Windows Server 2016 Datacenter | 無 |
| Microsoft Windows Server 2016 Standard | 10.0.14393 |
| Microsoft Windows Server 2019 Datacenter | 無 |
| Microsoft Windows Server 2019 Standard | 無 |
| Microsoft Windows Server 2022 Datacenter | 無 |
| Microsoft Windows Server 2022 Standard | 20348 年 10 月 0 日 |
**Linux**
| 平台名稱 | 版本編號 |
| --- | --- |
| AlmaLinux | 8.10、9.2、9.3、9.4 |
| Amazon Linux 2 | 2.0 及更新版本 |
| Amazon Linux 2023 | 2023.0.20230315.0 及更新版本 |
| Bottlerocket | 1.14.3、1.16.1、1.18.0、1.19.1、1.19.2、1.19.5、1.20.0、1.20.1、1.20.2、1.20.3、1.20.5、1.21.1、1.23.0、1.24.0、1.24.1、1.25.0、1.26.1、 |
| CentOS Stream | 9 |
| Debian GNU/Linux | 11-12 |
| Oracle Linux 伺服器 | 7.8、8.2、8.3、8.8、8.9、8.10、9.4 |
| Red Hat Enterprise Linux | 8.2、8.3、8.4、8.5、8.6、8.7、8.8、8.9、8.10、9.2、9.3、9.4 |
| Red Hat Enterprise Linux 伺服器 | 17.3、7.6、7.7、7.8、7.9 |
| Rocky Linux | 8.6、8.7、8.8、8.9、8.10、9.1、9.2、9.3、9.4 |
| Ubuntu Server | 16.04、18.04、20.04、22.04、24.04 |
# 使用 Amazon Q 探索受管節點
Systems Manager 與 Amazon Q Developer 的整合可讓您從 Amazon Q 介面可用的任何 AWS 管理主控台 位置詢問機群中受管節點的問題。
如需有關與 Amazon Q 互動的詳細資訊,請參閱《Amazon Q Developer 使用者指南》**中的 [Chatting with Amazon Q Developer about AWS](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/chat-with-q.html)。
**使用 Amazon Q 探索受管節點**
1. 從 中的任何位置 AWS 管理主控台,選擇 Amazon Q 圖示 (![\[The Amazon Q icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/q-icon-white.png))。
1. 在 Amazon Q 窗格底部的提示欄位中,詢問有關帳戶或組織中受管節點的問題。
**提示**
如需建立有效提示的秘訣,請檢閱 [學習制定有效的提示向 Amazon Q 詢問有關機群的問題](view-aggregated-node-details-Q-prompts.md) 中的資訊。
1. 檢查有關特定節點的資訊,或選擇**開啟 AWS Systems Manager 主控台**以繼續探索。
# 檢視個別節點詳細資訊並對節點採取動作
從 Systems Manager 中的**探索節點**頁面清單中,可以選取個別節點,以檢視機器的完整詳細資訊,或對節點執行各種動作。詳細資訊頁面中的**一般**頁面提供有關節點的完整資訊。
**檢視個別節點詳細資訊並對節點採取動作**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**探索節點**。
1. (選用) 請依照[選擇受管節點摘要的篩選條件檢視](explore-nodes-filter-view.md)中的步驟,精簡為組織或帳戶顯示的受管節點清單。
1. 在**節點 ID** 欄位中,選擇節點的連結 ID。
1. 若要檢視有關節點的更多詳細資訊,請在左側導覽的**屬性**清單中,選擇屬性以檢視有關下列項目的詳細資訊:
+ **標籤**:檢視套用至節點的標籤清單。您也可以新增或移除標籤。
+ **庫存**:選擇庫存類型,如 **AWS:Application** 或 **AWS:Network**,以檢視節點的庫存詳細資訊。
+ **關聯**:檢視有關套用至節點的所有 State Manager 關聯的詳細資訊,包括狀態和關聯 SSM 文件名稱等詳細資訊。
+ **修補程式**:檢視有關節點修補程式和修補程式狀態的摘要資訊。
+ **組態合規**:檢視節點的合規詳細資訊,如合規狀態和合規問題嚴重性。
如需有關索引標籤的詳細資訊,請參閱[什麼是整合式主控台?](systems-manager-unified-console.md)。
1. 若要對節點採取動作,請使用**節點動作**選單中的下列選項:
**注意**
這些動作僅適用於您目前工作所在 AWS 帳戶 和區域中的受管節點。針對您可能在其他帳戶或區域中存取的受管節點,您可以改為存取**屬性**清單。
+ **連線、啟動終端工作階段**:使用 [AWS Systems Manager Session Manager](session-manager.md) 連線至節點。
+ **工具**
+ **檢視檔案系統**:瀏覽節點目錄結構的內容。新增、重新命名和移除目錄。剪下或複製並貼上檔案。
+ **檢視效能計數器**:檢視有關節點的效能資訊,例如 CPU 使用率、網路流量和其他使用率類型。
+ **受管程序**:檢視有關節點上資源用量的資訊。在節點上啟動或停止程序。
+ **管理使用者和群組**:檢視、新增或刪除節點上的使用者帳戶和使用者群組。
+ **執行 Run Command**:使用 [AWS Systems Manager Run Command](run-command.md) 管理節點的組態。Run Command 使用 [Systems Manager 文件](documents.md)執行隨需變更,例如更新應用程式或執行 Linux Shell 指令碼和 Windows PowerShell 命令。
+ **修補程式節點**:使用 [AWS Systems Manager Patch Manager](patch-manager.md) 中的**立即修補**功能,從主控台對節點執行隨需修補操作。
**注意**
上述任務也可以從左側導覽的**工具**選單中啟動。
+ **節點設定**
+ **新增標籤**:將其他標籤鍵值對套用至節點。
+ **重設節點使用者密碼**:為節點上指定的使用者設定新密碼。
+ **修改 IAM 角色**:變更與節點相關聯的 IAM 角色。建立新的 IAM 角色以連接至節點。
# 下載或匯出受管節點報告
您可以使用 Systems Manager **探索節點**功能,在 Systems Manager 主控台中檢視 AWS 組織或帳戶的已篩選或未篩選受管節點清單。對於您想要離線檢視資料或在另一個應用程式中處理資料的情況,您可以將報告儲存為 `CSV` 或 `JSON` 檔案。
根據報告的大小,系統會提示您將報告下載到本機電腦,或將其匯出至 Amazon S3 儲存貯體。報告只會以 `CSV` 格式儲存至 S3 儲存貯體。
**下載或匯出受管節點報告**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**探索節點**。
1. (選用) 請依照[選擇受管節點摘要的篩選條件檢視](explore-nodes-filter-view.md)中的步驟,精簡為組織或帳戶顯示的受管節點清單。
1. 選擇**報告** (![\[The download report icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/download-arrow-icon.png))。
1. 如果顯示**下載報告**對話方塊,請執行下列動作:
1. 對於**檔案名稱**,輸入檔案的名稱。我們建議指定代表報告範圍的名稱,例如 `all-organization-nodes` 或 `ec2-instances-out-of-date-agent`。
1. 對於**包含的欄位**,指定要包含所有可用節點詳細資訊的欄位,還是只包含您為目前顯示選取的欄位。
**提示**
如需有關管理報告顯示中欄位的資訊,請參閱[管理節點報告內容和外觀](explore-nodes-manage-report-display.md)。
1. 對於**檔案格式**,根據檔案的用途選取 **CSV** 或 **JSON**。
1. 對於**試算表標題**,若要在 `CSV` 檔案中包含欄位標題列,請選取**包含欄位名稱的資料列**。
1. 選擇 **Download** (下載)。
報告會根據瀏覽器的設定儲存至預設下載位置。
1. 如果顯示**匯出至 Amazon S3** 對話方塊,請執行下列動作:
1. 在 **S3 URI** 欄位中,輸入匯出報告所在儲存貯體的 URI。
**提示**
若要在 Amazon S3 主控台中檢視儲存貯體的清單,請選擇**檢視**。若要從帳戶的儲存貯體清單中選取,選擇**瀏覽 S3**。
1. 對於**授權方法**,指定要用來提供將報告匯出至儲存貯體之許可的服務角色。
如果您選擇讓 Systems Manager 為您建立角色,則其會提供操作所需的全部必要許可和信任陳述式。
如果您想要使用或建立自己的角色,該角色必須包含必要的許可和信任陳述式。如需建立此角色的詳細資訊,請參閱[建立自訂服務角色以將診斷報告匯出到 S3](create-s3-export-role.md)。
1. 選擇**提交**。
# 建立自訂服務角色以將診斷報告匯出到 S3
在 Systems Manager 的**探索節點**頁面中檢視 AWS 組織或帳戶的已篩選或未篩選的受管節點清單時,可以將清單匯出為報告,以 `CSV` 檔案形式傳送至 Amazon S3 儲存貯體。
為此,您必須指定具有操作所需的必要許可和信任政策的服務角色。可以選擇讓 Systems Manager 在下載報告的過程中為您建立角色。也可以自行建立角色及其所需的政策。
**建立自訂服務角色以將診斷報告匯出到 S3**
1. 依照《IAM 使用者指南》**中的 [Creating policies using the JSON editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) 中的步驟。
+ 使用以下內容作為政策內容,並務必使用自己的資訊取代*預留位置值*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:ListNodes"
],
"Resource": "*"
}
]
}
```
------
+ 為政策命名,以協助您在下一個步驟中輕鬆識別該政策。
1. 依照《IAM 使用者指南》**中的 [Creating an IAM role using a custom trust policy (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) 中的步驟。
+ 對於步驟 4,輸入下列信任政策,並務必使用自己的資訊取代*預留位置值*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. 針對步驟 10,選擇**步驟 2:新增許可**,然後選取在上一步中建立的政策名稱。
建立角色之後,可以在依照[下載或匯出受管節點報告](explore-nodes-download-report.md)中的步驟操作時選取該角色。
# 管理節點報告內容和外觀
您可以使用 Systems Manager **探索節點**功能,在 Systems Manager 主控台中檢視 AWS 組織或帳戶的已篩選或未篩選受管節點清單。您可以從十幾個欄位中選擇要包含在節點清單中的欄位,例如**節點 ID**、**作業系統名稱**、**區域**等。您也可以重新排序清單和報告中的欄位,以及變更清單在主控台中的顯示方式。
**管理節點報告內容和外觀**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**探索節點**。
1. 在**節點**區域中選擇偏好設定齒輪圖示 (![\[The preferences gear icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/preferences-icon.png))。
1. 在**偏好設定**對話方塊中,執行下列動作:
1. 對於**頁面大小**,選擇每個主控台檢視顯示中包含的資料列數,即 **10**、**25** 或 **50**。
1. 對於**換行**,選取方塊以在可用的欄位寬度中顯示儲存格的所有內容。
1. 對於**條紋效果**,選取方塊來以透明和陰影背景資料列交替顯示。
1. 對於**選取可見內容**,請執行下列動作:
+ 開啟或關閉清單顯示和報告的個別欄位。
+ 若要變更欄位的順序,請按住欄位名稱的拖曳控點 (![\[The drag handle\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/drag-handle-dashboard.png)),然後在清單中向上或向下拖曳。
1. 選擇**確認**。
# 使用 Systems Manager 即時存取節點
Systems Manager 支援*即時*存取,藉此協助您提升節點的安全性。Just-in-time節點存取允許使用者請求暫時、有時間限制的節點存取,只有在真正需要存取時才能核准。這樣就不需要長期存取由 IAM 政策管理的節點。此外,Systems Manager 會將 RDP 工作階段的工作階段記錄提供給Windows Server節點,協助您符合合規要求、執行根本原因分析等。若要使用即時節點存取,必須設定 Systems Manager 整合式主控台。
透過即時節點存取,您可以建立精細的 IAM 政策,確保只有您允許的使用者才能向節點提交存取請求。然後,您可以建立*核准政策*,定義連線至節點所需的核准。對於即時節點存取,有*自動核准*政策和*手動核准*政策。自動核准政策定義使用者可以自動連線哪些節點。手動核准政策定義要存取您指定的節點而必須取得的手動核准數量和層級。此外,您還可以建立*拒絕存取*政策。拒絕存取政策明確防止自動核准對您指定節點的存取請求。拒絕存取政策適用於 AWS Organizations 組織中的所有帳戶。自動核准和手動核准政策僅適用於建立它們 AWS 區域 的 AWS 帳戶 和 。
當使用者嘗試連線至節點時,系統會提示他們輸入節點存取原因。然後系統會對核准政策進行評估。根據您的政策,使用者會自動連線至目標節點,或者 Systems Manager 會自動代表請求者建立手動核准請求。然後,套用至節點的手動核准政策中指定的核准者會收到存取請求通知,並且可以核准或拒絕該請求。核准者和請求者可以透過電子郵件接收通知,也可以在與 Slack 或 Microsoft Teams 整合的聊天應用程式中透過 Amazon Q Developer 接收通知。在指定的核准者提供所有必要的核准後,Systems Manager 才會授予對所請求節點的存取權。取得所有必要的核准後,使用者可以在核准政策中指定的存取時段期間,視需要對節點啟動任意數量的工作階段。Systems Manager 不會自動終止即時節點存取工作階段。最佳實務是為*工作階段持續時間上限*和*閒置工作階段逾時*工作階段偏好設定指定值。這些偏好設定可防止使用者在超出核准的存取時段之後仍保持與節點的連線。
建議您使用核准政策組合,來協助您保護具有更關鍵資料的節點,同時無需介入便能允許使用者連線至較不關鍵的節點。例如,您可以要求手動核准對資料庫節點的存取請求,自動核准對非持久性表示層節點的存取工作階段。
Systems Manager 支援與 IAM Identity Center 或 IAM 身分聯合的使用者即時存取節點。當聯合身分使用者提交存取請求時,他們會指定目標節點,以及說明需要連線至該節點的原因。Systems Manager 會將使用者的身分與貴組織的核准政策中定義的參數進行比較。如果符合自動核准政策條件,或核准者手動提供核准,請求者可以連線至目標節點。當使用者嘗試連線至核准的節點時,Systems Manager 會建立並使用暫時權杖來建立工作階段。
Systems Manager 服務會處理存取請求和工作階段建立中的身分驗證,因此您不必使用 IAM 政策來管理對節點的存取。透過使用即時節點存取,Systems Manager 可讓您的組織更接近零常設權限,因為您只需要允許使用者建立存取請求,而不是允許他們啟動對節點具有持久許可的工作階段。為了協助您符合合規要求,Systems Manager 會保留所有存取請求 1 年時間。針對即時節點存取,Systems Manager 也會為失敗的存取請求和為取得手動核准的存取請求狀態更新,發出 EventBridge 事件。如需詳細資訊,請參閱[使用 Amazon EventBridge 監控 Systems Manager](monitoring-eventbridge-events.md)。
**Topics**
+ [使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)
+ [啟動即時節點存取工作階段](systems-manager-just-in-time-node-access-start-session.md)
+ [管理即時存取請求](systems-manager-just-in-time-node-access-manage-requests.md)
+ [從 Session Manager 遷移至即時節點存取](systems-manager-just-in-time-node-access-moving-from-session-manager.md)
+ [使用 Systems Manager 停用即時存取](systems-manager-just-in-time-node-access-disable.md)
+ [即時節點存取常見問題](just-in-time-node-access-faq.md)
# 使用 Systems Manager just-in-time存取
使用 Systems Manager 設定即時節點存取需要多個步驟。首先,您需要選擇要設定即時節點存取的*目標*。目標由 AWS Organizations 組織單位 (OUs和 組成 AWS 區域。根據預設,系統會選取您在設定統一 Systems Manager 主控台時所選擇的相同目標,以進行just-in-time節點存取。您可以選擇為所有相同的目標或您在設定統一 Systems Manager 主控台時指定的目標子集設定just-in-time節點存取。不支援新增設定統一 Systems Manager 主控台時未選取的新目標。
然後,您需要建立*核准政策*,決定節點連線何時需要手動核准並自動得到核准。組織中的每個帳戶管理各自的核准政策。您也可以共用委派管理員帳戶的政策,以明確拒絕自動核准與特定節點的連線。
**注意**
設定即時節點存取不會影響您為 Session Manager 設定的現有 IAM 政策或偏好設定。您必須從 IAM 政策中移除 `StartSession` API 動作的許可,確保當使用者嘗試連線至節點時,只會使用即時節點存取。設定即時節點存取後,建議您利用使用者和節點子集測試核准政策,以驗證政策是否如需要般運作,然後再移除 Session Manager 的許可。
**身分驗證支援**
請注意下列有關即時節點存取所用身分驗證支援的詳細資訊:
+ 使用遠端桌面連線至 Windows Server 執行個體時,即時節點存取不支援單一登入身分驗證類型。
+ 僅支援 AWS Security Token Service (AWS STS) `AssumeRole`臨時安全登入資料。如需詳細資訊,請參閱*《IAM 使用者指南》*中的以下主題:
+
+ [IAM 中的臨時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [比較 AWS STS 登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)
+ [請求暫時性安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)
下列 IAM 政策概述了使用 Systems Manager 管理並允許使用者建立節點即時節點存取請求所需的許可。確認您擁有在 Systems Manager 中使用即時節點存取的所需許可後,您可以繼續設定程序。將每個*範例資源預留位置*取代為您自己的資訊。
## 用於啟用即時節點存取的 IAM 政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:CreateConfigurationManager",
"ssm-quicksetup:DeleteConfigurationManager",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:GetServiceSettings",
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:ListTagsForResource",
"ssm-quicksetup:TagResource",
"ssm-quicksetup:UntagResource",
"ssm-quicksetup:UpdateConfigurationDefinition",
"ssm-quicksetup:UpdateConfigurationManager",
"ssm-quicksetup:UpdateServiceSettings"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Sid": "StackSetOperations",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-JITNA*:*"
]
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "SSMAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/AWS-EnableExplorer",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Sid": "SSMAssociationPermissions",
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:association/*"
},
{
"Sid": "SSMResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "ListResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:ListResourceDataSync"
],
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Sid": "CreateStackSetsServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-JustInTimeAccessDenyAccessOrgPolicy"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "IdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## 用於設定即時節點存取的 IAM 政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/SSM-JustInTimeAccessTokenRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"justintimeaccess.ssm.amazonaws.com"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerPreferencesOperation",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "Session"
}
}
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:TerminateSession"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:UpdateConnectionRecordingPreferences",
"ssm-guiconnect:GetConnectionRecordingPreferences",
"ssm-guiconnect:DeleteConnectionRecordingPreferences"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingKmsOperation",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"StringLike": {
"kms:ViaService": "ssm-guiconnect.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowFleetManagerOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
},
{
"Sid": "SNSTopicManagement",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:SSM-JITNA*"
]
},
{
"Sid": "SNSListTopics",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "EventBridgeRuleManagement",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:us-east-1::rule/SSM-JITNA*"
]
},
{
"Sid": "ChatbotSlackManagement",
"Effect": "Allow",
"Action": [
"chatbot:CreateSlackChannelConfiguration",
"chatbot:UpdateSlackChannelConfiguration",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:DescribeSlackWorkspaces",
"chatbot:DeleteSlackChannelConfiguration",
"chatbot:RedeemSlackOauthCode",
"chatbot:DeleteSlackWorkspaceAuthorization",
"chatbot:GetSlackOauthParameters"
],
"Resource": "*"
},
{
"Sid": "ChatbotTeamsManagement",
"Effect": "Allow",
"Action": [
"chatbot:ListMicrosoftTeamsChannelConfigurations",
"chatbot:CreateMicrosoftTeamsChannelConfiguration",
"chatbot:UpdateMicrosoftTeamsChannelConfiguration",
"chatbot:ListMicrosoftTeamsConfiguredTeams",
"chatbot:DeleteMicrosoftTeamsChannelConfiguration",
"chatbot:RedeemMicrosoftTeamsOauthCode",
"chatbot:DeleteMicrosoftTeamsConfiguredTeam",
"chatbot:GetMicrosoftTeamsOauthParameters",
"chatbot:TagResource"
],
"Resource": "*"
},
{
"Sid": "SSMEmailSettings",
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:GetServiceSetting"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/email-role-mapping",
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/enabled-email-notifications"
]
},
{
"Sid": "AllowViewingJitnaCloudWatchMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/SSM/JustInTimeAccess"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "ManualPolicy",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"ssm:GetServiceSetting",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SessionPreference",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AllowIamListForKMS",
"Effect": "Allow",
"Action": [
"iam:ListUsers"
],
"Resource": "arn:aws:iam::111122223333:user/*"
},
{
"Sid": "KMSPermission",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:ListAliases",
"kms:CreateAlias"
],
"Resource": "*"
},
{
"Sid": "KMSCreateKey",
"Effect": "Allow",
"Action": [
"kms:CreateKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"SystemsManagerJustInTimeNodeAccessManaged"
]
}
}
},
{
"Sid": "AllowIamRoleForChatbotAction",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"chatbot.amazonaws.com"
]
}
}
},
{
"Sid": "AllowIamServiceRoleForChat",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/management.chatbot.amazonaws.com/AWSServiceRoleForAWSChatbot"
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:111122223333:log-group::log-stream:"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"identitystore:DescribeGroup",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
## 用於存取請求核准者的 IAM 政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessRequestDescriptions",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowGetSpecificAccessRequest",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:opsitem/*"
},
{
"Sid": "AllowApprovalRejectionSignal",
"Effect": "Allow",
"Action": [
"ssm:SendAutomationSignal"
],
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## 用於即時節點存取使用者的 IAM 政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowJITNAOperations",
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken"
],
"Resource": "*"
},
{
"Sid": "AllowOpsItemCreationAndRetrieval",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "AllowListAccessRequests",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents",
"ssm:DescribeSessions"
],
"Resource": "*"
},
{
"Sid": "RequestManualApprovals",
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "ManualApprovalPolicy"
}
}
},
{
"Sid": "StartManualApprovalsAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*"
},
{
"Sid": "CancelAccessRequestManualApproval",
"Effect": "Allow",
"Action": "ssm:StopAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "DescribeEC2Instances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "AllowListSSMManagedNodesAndTags",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "AllowRDPOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:ListConnections",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesReadOnly",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "ExploreNodes",
"Effect": "Allow",
"Action": [
"ssm:ListNodesSummary",
"ssm:ListNodes",
"ssm:DescribeInstanceProperties"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**注意**
若要限制對建立、更新或刪除核准政策的 API 操作的存取,針對 `AutoApprovalPolicy` 和 `ManualApprovalPolicy ` 文件類型,請使用 `ssm:DocumentType` 條件索引鍵。`StartAccessRequest` 和 `GetAccessToken` API 操作不支援下列全域內容索引鍵:
`aws:SourceVpc`
`aws:SourceVpce`
`aws:VpcSourceIp`
`aws:UserAgent`
`aws:MultiFactorAuthPresent`
如需有關 Systems Manager 條件內容索引鍵的詳細資訊,請參閱 *Service Authorization Reference* 中的 [Condition keys for AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)。
下列程序說明如何完成即時節點存取的第一個設定步驟。
**設定即時節點存取**
1. 登入組織的 Systems Manager 委派管理員帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選取**即時節點存取**。
1. 選取**啟用新版本**。
1. 選擇您要啟用即時節點存取的區域。依預設,系統會選取您在設定 Systems Manager 整合式主控台時所選擇的相同區域,用於即時節點存取。不支援選擇在設定 Systems Manager 整合式主控台時未選取的新區域。
1. 選取**啟用即時節點存取**。
啟用此功能後 30 天內使用即時節點存取無需付費。在 30 天的試用期之後,使用即時節點存取需要付費。如需詳細資訊,請參閱 [AWS Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。
# 為您的節點建立核准政策
核准政策定義使用者存取節點所需的核准。由於即時節點存取不需要透過 IAM 政策對節點提供長期許可,因此您必須建立核准政策,以允許對節點的存取權。如果節點沒有套用任何核准政策,使用者就無法請求存取該節點。
在即時節點存取中,有三種政策類型。這三種政策類型分別為*自動核准*、*拒絕存取*和*手動核准*。
**即時節點存取政策類型**
+ 自動核准政策定義使用者可以自動連線哪些節點。
+ 手動核准政策定義要存取您指定的節點而必須取得的手動核准數量和層級。
+ 拒絕存取政策明確防止自動核准對您指定節點的存取請求。
拒絕存取政策適用於 AWS Organizations 組織中的所有帳戶。例如,您可以明確拒絕自動核准 `Intern` 群組對 `Production` 鍵標記之節點的存取。自動核准和手動核准政策僅適用於建立它們 AWS 區域 的 AWS 帳戶 和 。組織中的每個成員帳戶負責管理自己的核准政策。核准政策的評估順序如下:
1. 拒絕存取
1. 自動核准
1. 手動
每個組織只能有一個拒絕存取政策,每個帳戶和區域只能有一個自動核准政策,但在一個帳戶中可以有數個手動核准政策。評估手動核准政策時,即時節點存取一律優先節點上套用的更具體的政策。手動核准政策的評估順序如下:
1. 標籤特定目標
1. 所有節點目標
例如,您有一個以 `Demo` 鍵標記的節點。在同一帳戶中,您有一個以所有節點為目標的手動核准政策,該政策需要一個層級的一個核准。您還有一個針對以 `Demo` 鍵標記的節點的手動核准政策,該政策需要兩個層級的兩個核准。Systems Manager 會將以 `Demo` 標籤為目標的政策套用至該節點,因為它比以所有節點為目標的政策更為具體。這可讓您為帳戶中的所有節點建立一般政策,確保使用者可以提交存取請求,同時讓您能夠視需要建立更精細的政策。
根據您的組織,可能有多個標籤套用至您的節點。在此案例中,如果多個手動核准政策套用至一個節點,存取請求會失敗。例如,節點同時標記了 `Production` 和 `Database` 鍵。在同一帳戶中,如果您有一個手動核准政策套用至以 `Production` 鍵標記的節點,以及另一個手動核准政策套用至以 `Database` 鍵標記的節點。這會導致以兩個鍵標記的節點發生衝突,造成存取請求失敗。Systems Manager 會將使用者重新導向至失敗的請求。在失敗請求中,使用者可以檢視有關衝突政策和標籤的詳細資訊,以便在他們進行必要的調整 (如果他們擁有所需許可)。如果他們沒有所需許可,他們可以通知組織中具有修改政策所需許可的同事。導致存取請求失敗的政策衝突會發出 EventBridge 事件,以便您靈活地建置自己的回應工作流程。此外,Systems Manager 會將政策衝突導致存取請求失敗的通知透過電子郵件傳送給您指定的收件人。如需有關設定政策衝突電子郵件通知的詳細資訊,請參閱[設定即時存取請求的通知](systems-manager-just-in-time-node-access-notifications.md)。
在*拒絕存取*政策中,您可以使用 Cedar 政策語言來定義使用者明確無法自動連線到組織中哪些節點。此政策是從組織的委派管理員帳戶建立和共用。拒絕存取政策會取代所有自動核准政策。每個組織只能有一個拒絕存取政策。
在*自動核准*政策中,您可以使用 Cedar 政策語言來定義哪些使用者可以自動連線到指定的節點,而無需手動核准。自動核准的存取請求的存取持續時間為 1 小時。此值無法變更。每個帳戶和區域只能有一個自動核准政策。
在*手動*核准政策中,您可以指定存取持續時間、需要多少層級的核准、每個層級所需的核准者數目,以及他們可以核准即時存取請求的節點。手動核准政策的存取持續時間必須介於 1 到 336 小時之間。如果您指定多個層級的核准,則存取請求的核准程序一次處理一個層級。這表示您必須先提供某個層級所需的所有核准,核准程序才會繼續到下一層級。如果您在手動核准政策中指定多個標籤,系統會將其評估為 `or` 陳述式而非 `and` 陳述式。例如,如果您建立包含標籤 `Application`、`Web` 和 `Test` 的手動核准政策,該政策會套用至任何以其中一個鍵標記的節點。該政策不只是適用於以全部三個鍵標記的節點。
建議您使用手動核准政策與自動核准政策的組合,來協助您保護具有更關鍵資料的節點,同時無需介入便能允許使用者連線至較不關鍵的節點。例如,您可以要求手動核准對資料庫節點的存取請求,自動核准對非持久性表示層節點的存取工作階段。
下列程序說明如何建立即時節點存取的核准政策。
**Topics**
+ [建立即時節點存取的手動核准政策](systems-manager-just-in-time-node-access-create-manual-policies.md)
+ [自動核准和拒絕存取政策的陳述式結構和內建運算子](auto-approval-deny-access-policy-statement-structure.md)
+ [建立just-in-time節點存取的自動核准政策](systems-manager-just-in-time-node-access-create-auto-approval-policies.md)
+ [建立拒絕存取政策以just-in-time存取節點](systems-manager-just-in-time-node-access-create-deny-access-policies.md)
+ [使用 Amazon Q 建立即時節點存取的核准政策](systems-manager-just-in-time-node-access-create-approval-policies-q-ide-cli.md)
# 建立即時節點存取的手動核准政策
下列程序說明如何建立手動核准政策。Systems Manager 可讓您為每個 AWS 帳戶 和 建立最多 50 個手動核准政策 AWS 區域。
**建立手動核准政策**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選取**管理節點存取**。
1. 在**建立手動核准政策**步驟的**政策詳細資訊**區段中,輸入核准政策的名稱和描述。
1. 輸入**存取持續時間**的值。這是核准存取請求後,使用者對節點啟動的工作階段持續時間上限。該值必須介於 1 到 336 小時之間。
1. 在**節點目標**區段中,輸入與您希望政策套用的節點相關聯的標籤鍵值對。如果政策中指定的標籤都未與節點相關聯,則該政策不會套用至節點。
1. 在**存取請求核准者**區段中,輸入您要讓其核准對政策中節點目標的存取請求的使用者或群組。存取請求核准者可以是 IAM Identity Center 使用者和群組或 IAM 角色。每個層級最多可以指定 5 個核准者,以及最多指定 5 個核准者層級。
1. 選取**建立手動核准政策**。
# 自動核准和拒絕存取政策的陳述式結構和內建運算子
下表顯示自動核准與拒絕存取政策的結構。
| 元件 | 語法 |
| --- | --- |
| 效用 | `permit \| forbid` |
| scope | `(principal, action, resource)` |
| 條件子句 | when {
principal or resource has attribute name
}; |
## 政策元件
自動核准或拒絕存取政策包含下列元件:
+ **效果** – `permit` (允許) 或 `forbid` (拒絕) 存取。
+ **範圍** – 套用效果的主體、動作和資源。您可以不識別特定主體、動作或資源,讓 Cedar 中的範圍保持未定義的狀態。在此情況下,政策適用於所有可能的主體、動作和資源。對於即時節點存取,`action` 一律為 `AWS::SSM::Action::"getTokenForInstanceAccess"`。
+ **條件子句** – 套用效果的內容。
## 說明
您可以在政策中包含註解。註解定義為以 `//` 開頭和以換行符號字元結尾的行。
以下範例顯示政策中的註解。
```
// Allows users in the Engineering group from the Platform org to automatically connect to nodes tagged with Engineering and Production keys.
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
```
## 多個子句
您可以使用 `&&` 運算子,在政策陳述式中使用多個條件子句。
```
// Allow access if node has tag where the tag key is Environment
// & tag value is Development
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Development"
};
```
## 保留字元
下列範例顯示如何在內容屬性使用 `:` (分號) (這是政策語言中的保留字元) 時寫入政策。
```
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
}
```
如需額外的範例,請參閱[政策陳述式範例](#policy-statement-examples)。
## 即時節點存取結構描述
以下是即時節點存取的 Cedar 結構描述。
```
namespace AWS::EC2 {
entity Instance tags String;
}
namespace AWS::IdentityStore {
entity Group;
entity User in [Group] {
employeeNumber?: String,
costCenter?: String,
organization?: String,
division?: String,
};
}
namespace AWS::IAM {
entity Role;
type AuthorizationContext = {
principalTags: PrincipalTags,
};
entity PrincipalTags tags String;
}
namespace AWS::SSM {
entity ManagedInstance tags String;
action "getTokenForInstanceAccess" appliesTo {
principal: [AWS::IdentityStore::User],
resource: [AWS::EC2::Instance, AWS::SSM::ManagedInstance],
context: {
"iam": AWS::IAM::AuthorizationContext
}
};
}
```
## 內建運算子
使用各種條件建立自動核准或拒絕存取政策的內容時,您可以使用 `&&` 運算子新增其他條件。您也可以使用許多其他內建運算子,為您的政策條件新增額外的表述能力。下表包含所有內建運算子,以供參考。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/auto-approval-deny-access-policy-statement-structure.html)
## 政策陳述式範例
以下是政策陳述式範例。
```
// Users assuming IAM roles with a principal tag of "Elevated" can automatically access nodes tagged with the "Environment" key when the value equals "prod"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify IAM role principal tag
context.iam.principalTags.getTag("AccessLevel") == "Elevated" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "prod"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "prod"
};
```
```
// Identity Center users in the "Contractor" division can automatically access nodes tagged with the "Environment" key when the value equals "dev"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify that the user is part of the "Contractor" division
principal.division == "Contractor" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "dev"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "dev"
};
```
```
// Identity Center users in a specified group can automatically access nodes tagged with the "Environment" key when the value equals "Production"
permit(principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::getTokenForInstanceAccess,
resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Production"
};
```
# 建立just-in-time節點存取的自動核准政策
自動核准政策使用 Cedar 政策語言來定義哪些使用者可以在沒有手動核准的情況下,自動連線至指定節點。自動核准政策包含多個指定 `principal` 和 `resource` 的 `permit` 陳述式。每個陳述式都包含一個定義自動核准條件的 `when` 子句。
自動核准政策範例如下所示:
```
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};
```
下列程序說明如何為即時節點存取建立自動核准政策。自動核准的存取請求的存取持續時間為 1 小時。此值無法變更。每個 AWS 帳戶 和 只能有一個自動核准政策 AWS 區域。如需有關如何建構政策陳述式的詳細資訊,請參閱[自動核准和拒絕存取政策的陳述式結構和內建運算子](auto-approval-deny-access-policy-statement-structure.md)。
**建立自動核准政策**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選取**管理節點存取**。
1. 在**核准政策**索引標籤中,選取**建立自動核准政策**。
1. 在**政策陳述式**區段中輸入自動核准政策的政策陳述式。您可以使用提供的**範例陳述式**來協助您建立政策。
1. 選取**建立自動核准政策**。
# 建立拒絕存取政策以just-in-time存取節點
拒絕存取政策使用 Cedar 政策語言來定義使用者在沒有手動核准的情況下無法自動連線哪些節點。拒絕存取政策包含多個指定 `principal` 和 `resource` 的 `forbid` 陳述式。每個陳述式都包含一個定義明確拒絕自動核准之條件的 `when` 子句。
拒絕存取政策範例如下所示:
```
forbid (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```
下列程序說明如何為即時節點存取建立拒絕存取政策。如需有關如何建構政策陳述式的詳細資訊,請參閱[自動核准和拒絕存取政策的陳述式結構和內建運算子](auto-approval-deny-access-policy-statement-structure.md)。
**注意**
記下以下資訊。
您可以在登入 AWS 管理帳戶或委派管理員帳戶後建立拒絕存取政策。您的 AWS Organizations 組織只能有一個拒絕存取政策。
Just-in-time節點存取使用 AWS Resource Access Manager (AWS RAM) 與組織中的成員帳戶共用拒絕存取政策。如果您想要與組織中的成員帳戶共用拒絕存取政策,則必須在組織的管理帳戶中啟用資源共用。如需詳細資訊,請參閱*《AWS RAM 使用者指南》*中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
**建立拒絕存取政策**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選取**管理節點存取**。
1. 在**核准政策**索引標籤中,選取**建立拒絕存取政策**。
1. 在**政策陳述式**區段中輸入拒絕存取政策的政策陳述式。您可以使用提供的**範例陳述**式來協助您建立政策。
1. 選取**建立拒絕存取政策**。
# 使用 Amazon Q 建立即時節點存取的核准政策
在命令列中使用 Amazon Q Developer,可在軟體開發的各個層面提供指導和支援。對於即時節點存取,Amazon Q 可產生和更新政策的程式碼、分析政策陳述式等,協助您建立核准政策。以下資訊說明如何使用適用於命令列的 Amazon Q 來建立核准政策。
## 識別您的使用案例
建立核准政策的第一步是清楚定義您的使用案例。例如,在您的組織中,您可能想要自動核准對具有 `Environment:Testing` 標籤之節點的存取請求。您可能也想要明確拒絕自動核准以 `TEMP` 開頭的員工 ID 對具有 `Environment:Production` 標籤之節點的存取請求。對於具有 `Tier:Database` 標籤的節點,您可能想要設定兩個層級的手動核准。
在任何特定案例中,您可能會偏好某個政策或條件。因此,建議您明確定義政策行為,以便決定哪些陳述式最適合您的使用案例,同時還要明確定義偏好設定。
## 設定開發環境
在要開發核准政策的位置安裝適用於命令列的 Amazon Q。如需有關安裝適用於命令列的 Amazon Q 的資訊,請參閱 *Amazon Q Developer User Guide* 中的 [Installing Amazon Q for command line](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html)。
我們也建議您為 AWS 文件安裝 MCP 伺服器。此 MCP 伺服器會將適用於命令列的 Amazon Q 連線至最新的文件資源。如需有關將 MCP 與適用於命令列的 Amazon Q 搭配使用的資訊,請參閱 *Amazon Q Developer User Guide* 中的 [Using MCP with Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-mcp.html)。
如需 AWS 文件 MCP 伺服器的詳細資訊,請參閱 [AWS 文件 MCP 伺服器](https://awslabs.github.io/mcp/servers/aws-documentation-mcp-server/)。
如果您尚未安裝和設定 AWS CLI。有關資訊,請參閱 [Installing or updating the latest version of the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
## 開發核准政策內容
識別使用案例並設定環境後,即可準備開發政策適用的內容。您的使用案例和偏好設定將主要決定您使用的核准政策和陳述式類型。
如果您不確定如何使用特定政策,或需要有關政策結構描述的詳細資訊,請參閱[為您的節點建立核准政策](systems-manager-just-in-time-node-access-approval-policies.md)和後續主題。這些主題詳細說明如何評估政策,並提供有效的範例陳述式。
下列程序說明如何使用適用於命令列的 Amazon Q 建立核准政策。
**注意**
Amazon Q Developer 使用生成式 AI。您可能需要驗證回應內容。請參閱[AWS 負責任的 AI 政策](https://aws.amazon.com/ai/responsible-ai/policy/)。
**使用適用於命令列的 Amazon Q 建立核准政策**
1. 開啟終端並使用 Amazon Q 啟動工作階段。
```
$ q chat
```
1. 輸入提示並描述您要建立的政策陳述式類型。例如,如果使用先前的核准政策案例,您可以輸入下列提示:
```
Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.
```
1. 輸入此範例提示會產生下列輸出:
```
Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
Here's the Cedar policy statement:
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Testing"
};
This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators
The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.
```
1. 將政策陳述式貼到新的 Cedar 檔案中,以驗證語法。您也可以使用 [Cedar 演練場](https://www.cedarpolicy.com/en/playground)驗證陳述式。
1. 驗證陳述式之後,儲存 Cedar 檔案。
1. 從終端機執行下列 AWS CLI 命令,以使用您的政策內容建立 SSM 文件。在生產環境中使用核准政策之前,請使用 AWS 帳戶 和 中的身分和節點子集來測試核准政策 AWS 區域。
**注意**
對於自動核准政策,文件名稱必須為 `SSM-JustInTimeAccessAutoApprovalPolicy`。每個 AWS 帳戶 和 只能有一個自動核准政策 AWS 區域。對於拒絕存取政策,文件名稱必須是 `SSM-JustInTimeAccessDenyAccessOrgPolicy`。每個 AWS Organizations 組織只能有一個拒絕存取政策,且必須在 Systems Manager 的委派管理員帳戶中建立政策。手動核准政策的命名限制與其他 SSM 文件相同。如需詳細資訊,請參閱 [CreateDocument](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateDocument.html#systemsmanager-CreateDocument-request-Name)。
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/policyContent.cedar \
--name "SSM-JustInTimeAccessAutoApprovalPolicy" \
--document-type "AutoApproval"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\policyContent.cedar ^
--name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
--document-type "AutoApproval"
```
------
#### [ PowerShell ]
```
$cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
-Content $cedar `
-Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
-DocumentType "AutoApproval"
```
------
# 更新即時節點存取工作階段偏好設定
透過just-in-time節點存取,您可以在 AWS 區域 組織中的每個 和 中指定一般工作階段 AWS 帳戶 和記錄偏好設定。或者,您可以使用 CloudFormation StackSets 在多個帳戶和區域中建立工作階段偏好設定文件,以協助您擁有一致的工作階段偏好設定。如需有關工作階段偏好設定文件結構描述的資訊,請參閱[工作階段文件結構描述](session-manager-schema.md)。
為了記錄,建議搭配 Amazon CloudWatch Logs 使用串流選項。此功能可以讓您將持續的工作階段資料日誌串流傳送到 Amazon CloudWatch Logs。串流工作階段資料時會包含基本詳細資料,例如使用者在工作階段中執行的命令、執行命令的使用者 ID,以及工作階段資料串流至 CloudWatch Logs 時的時間戳記。串流工作階段資料時,日誌會採用 JSON 格式,以協助您與現有的日誌解決方案進行整合。
Systems Manager 不會自動終止即時節點存取工作階段。最佳實務是為*工作階段持續時間上限*和*閒置工作階段逾時*設定指定值。使用這些設定可協助您防止使用者在超出存取請求核准的時段外仍然保持與節點的連線。下列程序說明如何更新即時節點存取的工作階段偏好設定。
**重要**
您必須使用標籤 AWS KMS 金鑰 和標籤值 ,在just-in-time節點存取中標記用於Session Manager加密`SystemsManagerJustInTimeNodeAccessManaged`和 RDP 記錄的金鑰`true`。
如需有關標記 KMS 金鑰的資訊,請參閱 *AWS Key Management Service Developer Guide* 中的 [Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html)。
**更新工作階段偏好設定**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**即時節點存取**索引標籤。
1. 在**工作階段偏好設定**區段中,選取**編輯**。
1. 視需要更新您的一般偏好設定和記錄偏好設定,然後選取**儲存**。
# 設定即時存取請求的通知
您可以將 Systems Manager 設定為在使用者建立即時節點存取請求時,向核准者和申請者傳送電子郵件通知,或是在聊天用戶端傳送通知。通知包含請求者提供的存取請求的原因、 AWS 帳戶 AWS 區域、請求的狀態,以及目標節點的 ID。目前,Systems Manager 透過與聊天應用程式中的 Amazon Q Developer 整合來支援 Slack 和 Microsoft Teams 用戶端。透過聊天用戶端使用通知時,存取請求核准者可以直接與存取請求互動。如此,核准者無需登入主控台,即可對存取請求採取動作。
**開始之前**
設定即時節點存取通知的聊天用戶端之前,請注意下列要求:
+ 如果您使用 IAM 角色來管理帳戶中的使用者身分,則必須手動將要向其傳送通知的核准者或申請者的電子郵件地址與相關聯的角色建立關聯。否則,無法透過電子郵件通知預期的收件人。
下列程序說明如何設定即時節點存取請求的通知。
**為即時節點存取設定聊天用戶端通知**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**即時節點存取**索引標籤。
1. 在**聊天**區段中,選取**設定新用戶端**。
1. 在**選取用戶端類型**下拉式清單中,選擇您要設定的聊天用戶端類型,然後選取**下一步**。
1. 系統會提示您允許聊天應用程式中的 Amazon Q Developer 存取您的聊天用戶端。選取**允許**。
1. 在**設定管道**區段中,輸入聊天用戶端管道的資訊,然後選取您要接收的通知類型。
1. 如果您設定的是 Slack 通知,請邀請 "@Amazon Q" 加入正在設定通知的每個 Slack 管道。
1. 選取**設定管道**。
**注意**
若要允許直接在 Slack 管道中核准/拒絕存取請求,請確定使用 Slack 管道設定的 IAM 角色具有 `ssm:SendAutomationSignal` 許可,且具有包含 Chatbot 的信任政策:
```
{
"Effect": "Allow",
"Principal": {
"Service": "chatbot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
```
**為即時節點存取設定電子郵件通知**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**即時節點存取**索引標籤。
1. 在**電子郵件**區段中,選取**編輯**。
1. 選取**新增電子郵件**,選擇您要手動將電子郵件地址與其關聯的 **IAM 角色**。
1. 在**電子郵件地址**欄位中,輸入電子郵件地址。每當有需要您指定之 IAM 角色核准的存取請求建立時,與該角色關聯的電子郵件地址都會收到通知。
1. 選取**新增電子郵件地址**。
# 錄製 RDP 連線
即時節點存取包括錄製對 Windows Server 節點進行的 RDP 連線。錄製 RDP 連線需要 S3 儲存貯體和 AWS Key Management Service (AWS KMS) 客戶自管金鑰。在記錄資料產生並存放在 Systems Manager 資源時, AWS KMS key 會用來暫時加密記錄資料。客戶自管金鑰必須是具有加密和解密金鑰使用功能的對稱金鑰。您可以為組織使用多區域金鑰,或者在已啟用即時節點存取的每個區域中建立客戶自管金鑰。
如果您已在儲存錄製的 S3 儲存貯體上啟用 KMS 加密,則必須為 `ssm-guiconnect` 服務主體提供用於儲存貯體加密的客戶自管金鑰的存取權限。此客戶自管金鑰可以是不同於您在錄製設定中指定的金鑰,其中必須包含建立連線所需的 `kms:CreateGrant` 許可。
## 設定 RDP 錄製的 S3 儲存貯體加密
您的連線錄製會存放在您在啟用 RDP 錄製時指定的 S3 儲存貯體中。
如果您使用 KMS 金鑰作為 S3 儲存貯體 (SSE-KMS) 的預設加密機制,則必須允許 `ssm-guiconnect` 服務主體存取金鑰上的 `kms:GenerateDataKey` 動作。建議在搭配使用 SSE-KMS 加密和 S3 儲存貯體時,使用客戶自管金鑰。這是因為您可以更新客戶自管金鑰的相關金鑰政策。您無法更新 的金鑰政策 AWS 受管金鑰。
**重要**
您必須使用標籤 AWS KMS 金鑰 和標籤值 ,在just-in-time節點存取中標記用於Session Manager加密`SystemsManagerJustInTimeNodeAccessManaged`和 RDP 記錄的金鑰`true`。
如需有關標記 KMS 金鑰的資訊,請參閱 *AWS Key Management Service Developer Guide* 中的 [Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html)。
使用下列客戶自管金鑰政策,可允許 `ssm-guiconnect` 服務存取 S3 儲存的 KMS 金鑰。如需有關更新客戶自管金鑰的資訊,請參閱 *AWS Key Management Service Developer Guide* 中的 [Change a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
使用您自己的資訊取代每個*範例資源預留位置*:
+ *account-id* 代表啟動連線的 AWS 帳戶 ID。
+ *region* 代表 S3 AWS 區域 儲存貯體所在的 。(如果儲存貯體會收到來自多個區域的錄製,您可以使用 `*`。範例:`s3.*.amazonaws.com`。)
**注意**
如果帳戶屬於 AWS Organizations中的組織,您可以在政策中使用 `aws:SourceOrgID`,而不是 `aws:SourceAccount`。
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## 設定錄製 RDP 連線的 IAM 許可
除了即時節點存取所需的 IAM 許可之外,還必須根據要執行的任務,授予您要使用的使用者或角色下列許可。
**設定連線錄製的許可**
若要設定 RDP 連線錄製,需要下列許可:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**啟動連線的許可**
若要使用 RDP 連線進行即時節點存取,需要下列許可:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**開始之前**
若要存放連線錄製,您必須先建立 S3 儲存貯體,並新增下列儲存貯體政策。將每個*範例資源預留位置*取代為您自己的資訊。
(如需有關新增儲存貯體政策的資訊,請參閱 *Amazon Simple Storage Service User Guide* 中的 [Adding a bucket policy by using the Amazon S3 console](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## 啟用和設定 RDP 連線錄製
下列程序說明如何啟用和設定 RDP 連線錄製。
**啟用和設定 RDP 連線錄製**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**即時節點存取**索引標籤。
1. 在 **RDP 錄製**區段中,選取**啟用 RDP 錄製**。
1. 選擇您要向其上傳工作階段錄製的 S3 儲存貯體。
1. 選擇您要使用的客戶自管金鑰,用於暫時加密在 Systems Manager 資源上產生和存放的錄製資料。(此客戶自管金鑰可以與您用來加密儲存貯體的客戶自管金鑰不同。)
1. 選取**儲存**。
## RDP 連線錄製狀態值
RPD 連線錄製的有效狀態值包括下列項目:
+ `Recording` – 連線正在進行錄製
+ `Processing` – 連線終止後正在處理影片。
+ `Finished` – 成功的終止狀態:連線錄製影片已成功處理並上傳至指定的儲存貯體。
+ `Failed` – 失敗的終止狀態。未成功錄製連線。
+ `ProcessingError` – 影片處理期間發生一或多個中繼失敗/錯誤。可能的原因包括服務相依性失敗,或由於指定用於儲存錄製的 S3 儲存貯體上存在設定錯誤而缺少許可。錄製處於此狀態時,服務會繼續嘗試處理。
**注意**
`ProcessingError` 可能是連線建立後,`ssm-guiconnect` 服務主體沒有許可將物件上傳至 S3 儲存貯體的結果。另一個可能原因是用於 S3 儲存貯體加密的 KMS 金鑰缺少 KMS 許可。
# 修改目標
設定即時節點存取時,您可以選擇要設定即時節點存取的*目標*。目標由 AWS Organizations 組織單位 (OUs和 組成 AWS 區域。根據預設,系統會選取您在設定統一 Systems Manager 主控台時所選擇的相同目標,以進行just-in-time節點存取。您可以選擇為所有相同的目標或您在設定統一 Systems Manager 主控台時指定的目標子集設定just-in-time節點存取。不支援新增設定統一 Systems Manager 主控台時未選取的新目標。設定即時節點存取後,可以變更您選取的目標。
下列程序說明如何修改即時節點存取的目標。
**修改目標**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**即時節點存取**索引標籤。
1. 在**目標**區段中,選取**編輯**。
1. 選取您要使用即時節點存取的**組織單位**和**區域**。
1. 選取**儲存**。
# 變更身分提供者
依預設,即時節點存取會使用 IAM 作為身分提供者。啟用即時節點存取後,使用整合式主控台的組織客戶可以修改此設定,以使用 IAM Identity Center。即時節點存取僅針對單一帳戶和區域設定時,不支援 IAM Identity Center 作為身分提供者。
下列程序說明如何修改即時節點存取的身分提供者。
**修改身分提供者**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**即時節點存取**索引標籤。
1. 在**使用者身分**區段中,選取**編輯**。
1. 選擇 **AWS IAM Identity Center**。
1. 選取 **Save** (儲存)。
# 啟動即時節點存取工作階段
啟用和設定即時節點存取,並設定工作階段和通知偏好設定後,使用者就可以啟動即時節點存取工作階段。您可以在 Systems Manager 主控台中,或使用 Session Manager 外掛程式在 AWS Command Line Interface 中,啟動即時節點存取工作階段。可以對同一帳戶和區域中的節點啟動即時節點存取工作階段。下列程序說明如何啟動即時節點存取工作階段。
**注意**
如果您的使用者先前使用 Session Manager 連線至節點,您必須從其 IAM 政策中移除 Session Manager 許可 (例如 `ssm:StartSession`),這樣使用者才能啟動即時節點存取工作階段。否則,當連線至節點時,他們會繼續使用 Session Manager。
**使用主控台啟動即時節點存取工作階段**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選取**探索節點**。
1. 選取要連線的節點。
1. 在**動作**下拉式清單中,選取**連線**。
如果貴組織的核准政策不允許您自動連線至節點,系統會提示您提交存取請求。您需要填寫完請求資訊並提交存取請求,在收到所有必要的核准後,您可以啟動對節點的工作階段。
**使用 just-in-time節點存取的工作階段 AWS CLI**
1. 執行下列命令來啟動存取請求工作流程,請務必使用您的資訊取代*預留位置的值*。
```
aws ssm start-access-request \
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE
--reason "Troubleshooting networking performance issue"
```
視組織的核准政策而定,您會自動連線至節點,或系統會啟動手動核准程序。對於需要手動核准的請求,請注意回應中傳回的存取請求 ID。
1. 等待提供所有必要的核准。
1. 提供所有必要的核准之後,請執行下列命令,以取得包含暫時憑證的存取權杖。使用您的資訊取代*預留位置的值*。
```
aws ssm get-access-token \
--access-request-id oi-12345abcdef
```
請注意回應中傳回的存取權杖。
1. 執行下列命令以在 中使用臨時登入資料 AWS CLI,請務必使用您自己的資訊取代*預留位置值*。
```
export AWS_SESSION_TOKEN=AQoDYXdzEJr...
```
1. 執行下列命令來啟動對節點的工作階段,請務必使用您的資訊取代*預留位置的值*。
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
# 管理即時存取請求
為了提高整個組織中的資料可見性,Systems Manager 會將存取請求複寫到組織的委派管理員帳戶。為了協助您符合合規要求,Systems Manager 會保留所有存取請求 1 年時間。下列主題說明如何管理即時節點存取請求。此資訊適用於存取請求核准者。開始之前,建議您檢閱 IAM 政策,並確保您擁有管理即時節點存取所需的許可。如需詳細資訊,請參閱[使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)。
**Topics**
+ [核准和拒絕即時節點存取請求](systems-manager-just-in-time-node-access-approve-deny-requests.md)
# 核准和拒絕即時節點存取請求
存取請求核准者可以在 Systems Manager 整合式主控台或使用您偏好的命令列工具,核准或拒絕即時節點存取請求。此資訊適用於存取請求核准者。如果您沒有核准或拒絕存取請求所需的許可,請聯絡您的管理員。下列程序說明如何核准或拒絕即時節點存取請求。
**使用主控台核准或拒絕即時節點存取請求**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選取**管理節點存取**。
1. 選取**存取請求**索引標籤。
1. 選取**針對我的請求**切換開關。
1. 選取您要核准或拒絕之存取請求旁的核取方塊。
1. 選取**核准**或**拒絕**。
核准存取請求之後,您可以隨時選取**撤銷**來撤銷核准。
**使用命令列核准或拒絕即時節點存取請求**
1. 請注意通知中的存取請求 ID。例如 *oi-12345abcdef*。
1. 執行下列命令可傳回有關存取請求核准工作流程的詳細資訊,請務必使用您的資訊取代*預留位置的值*。
```
aws ssm get-ops-item \
--ops-item-id oi-12345abcdef
```
請注意 `OperationalData` 中 `/aws/accessrequest` 欄位的 `automationExecutionId` 值。例如 *9231944f-61c6-40be-8bce-8ee2bEXAMPLE*。
1. 執行下列命令可核准或拒絕存取請求。使用 `Approve` 訊號類型來核准請求,使用 `Deny` 拒絕請求。請務必使用您的資訊取代*預留位置的值*。
```
aws ssm send-automation-signal \
--automation-execution-id 9231944f-61c6-40be-8bce-8ee2bEXAMPLE \
--signal-type "Approve"
```
# 從 Session Manager 遷移至即時節點存取
啟用即時節點存取後,Systems Manager 不會對 Session Manager 的現有資源進行任何變更。這可確保現有環境不會中斷,使用者可以在您建立和驗證核准政策後繼續啟動工作階段。準備好測試核准政策後,您必須修改現有的 IAM 政策,以完成到即時節點存取的轉換。這包括新增即時節點存取身分所需的許可,以及移除 Session Manager 的 `StartSession` API 操作的許可。建議您使用 AWS 帳戶 和 中的身分和節點子集來測試核准政策 AWS 區域。
如需有關即時節點存取所需許可的詳細資訊,請參閱[使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)。
如需有關修改和識別 IAM 許可的詳細資訊,請參閱 *IAM User Guide* 中的 [Adding and removing IAM identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
以下內容說明從 Session Manager 遷移到即時節點存取的詳細方法。
從 Session Manager 遷移至即時節點存取需要仔細的規劃和測試,以確保順利轉換,而不會中斷您的營運。下列各節說明如何完成此程序。
## 先決條件
開始之前,請確保您已完成下列任務:
+ 設定 Systems Manager 整合式主控台。
+ 已確認您擁有修改帳戶中 IAM 政策的許可。
+ 已識別目前授予 Session Manager 許可的所有 IAM 政策和角色。
+ 已記錄您目前的 Session Manager 組態,包括工作階段偏好設定和記錄設定。
## 評估
完成下列任務,評估您目前的環境並概述所需的核准行為:
1. **清查您的節點** – 識別使用者目前透過 Session Manager 存取的所有節點。
1. **識別使用者存取模式** – 記錄哪些使用者或角色需要存取哪些節點,以及在何種情況下存取。
1. **映射核准工作流程** – 決定誰應該核准不同類型節點的存取請求。
1. **檢閱標記策略** – 確保您的節點都已正確標記,以支援您計劃的核准政策。
1. **稽核現有的 IAM 政策** – 識別包含 Session Manager 許可的所有政策。
## 規劃
### 分階段策略
從 Session Manager 遷移至即時節點存取時,建議使用如下的分階段方法:
1. **階段 1:設定與組態** – 啟用即時節點存取,而不修改現有的 Session Manager 許可。
1. **階段 2:政策開發** – 建立和測試節點的核准政策。
1. **階段 3:試行遷移** – 將一小群非關鍵節點和使用者或角色從 Session Manager 修改為即時節點存取。
1. **階段 4:完全遷移** – 逐漸遷移所有剩餘的節點和使用者或角色。
### 時間表考量
規劃從 Session Manager 遷移至即時節點存取的時間表時,請考慮下列因素:
+ 給予使用者訓練和適應新核准工作流程的時間。
+ 在營運活動較少的期間排程遷移。
+ 包含疑難排解和調整的緩衝時間。
+ 規劃一段平行操作期間,在此期間,兩個系統都可用。
## 實作步驟
### 階段 1:設定與組態
1. 在 Systems Manager 主控台中啟用即時節點存取。如需詳細步驟,請參閱[使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)。
1. 設定即時節點存取的工作階段偏好設定,以符合您目前的 Session Manager 設定。如需詳細資訊,請參閱[更新即時節點存取工作階段偏好設定](systems-manager-just-in-time-node-access-session-preferences.md)。
1. 設定存取請求的通知偏好設定。如需詳細資訊,請參閱[設定即時存取請求的通知](systems-manager-just-in-time-node-access-notifications.md)。
1. 如果您的 Windows Server 節點使用 RDP 連線,請設定 RDP 錄製。如需詳細資訊,請參閱[錄製 RDP 連線](systems-manager-just-in-time-node-access-rdp-recording.md)。
### 階段 2:政策開發
1. 為即時節點存取管理員和使用者建立 IAM 政策。
1. 根據您的安全要求和使用案例開發核准政策。
1. 在非生產環境中測試您的政策,確保它們如預期般運作。
### 階段 3:試行遷移
1. 選取一小群使用者和非關鍵節點用於試行遷移。
1. 為試行遷移使用者建立包含即時節點存取許可的 IAM 政策。
1. 從試行遷移使用者的 IAM 政策中移除 Session Manager 許可 (`ssm:StartSession`)。
1. 為試行遷移使用者提供新存取請求工作流程的訓練。
1. 監控試行遷移是否有問題並收集意見回饋。
1. 根據試行遷移結果調整政策和程序。
**試行遷移使用者的 IAM 政策修改範例**
具有 Session Manager 許可的原始政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
修改後的即時節點存取政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
### 階段 4:完全遷移
制定排程,分批遷移剩餘的使用者和節點。
## 測試方法
在整個遷移過程中,執行下列測試:
+ **政策驗證** – 驗證核准政策是否正確套用至預期的節點和使用者。
+ **存取請求工作流程** – 針對自動核准和手動核准案例,測試從存取請求到工作階段建立的完整工作流程。
+ **通知** – 確認核准者是否透過設定的管道 (電子郵件、Slack、Microsoft Teams) 收到通知。
+ **記錄和監控** – 確認工作階段日誌和存取請求是否已正確擷取和儲存。
## 成功遷移的最佳實務
+ **儘早且經常地溝通** – 告知使用者有關遷移的時間表和即時節點存取的優勢。
+ **從非關鍵系統開始遷移** – 從開發或測試環境開始遷移,然後再遷移生產環境。
+ **記錄一切** – 維護核准政策、IAM 政策變更和組態設定的詳細記錄。
+ **監控和調整** – 持續監控存取請求和核准工作流程,並視需要調整政策。
+ **建立控管** – 建立程序,用於定期檢閱核准政策並在環境變更時更新核准政策。
# 使用 Systems Manager 停用即時存取
下列程序說明如何停用即時節點存取。停用即時節點存取後,貴組織中的使用者可能無法連線至節點,除非您已實作其他連線方法。
**停用即時節點存取**
1. 登入組織的 Systems Manager 委派管理員帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 在**即時節點存取**索引標籤中,選取**停用**。
# 即時節點存取常見問題
## 如何從 Session Manager 移至即時節點存取?
設定整合式主控台並啟用即時節點存取後,您必須修改現有的 IAM 政策,以完成移至即節點存取的程序。這包括新增即時節點存取所需的許可,以及移除 Session Manager 的 `StartSession` API 操作的許可。如需有關即時節點存取的 IAM 政策的詳細資訊,請參閱[使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)。
## 我是否必須設定整合式主控台才能使用即時節點存取?
是的,設定整合式主控台是使用即時節點存取的先決條件。不過,在您設定整合式主控台並啟用即時節點存取後,有數種方法可以連線至節點。例如,您可以從 Amazon EC2 主控台和 AWS CLI啟動即時節點存取工作階段。如需有關設定整合式主控台的詳細資訊,請參閱[為組織設定 Systems Manager 統一主控台](systems-manager-setting-up-organizations.md)。
## 即時節點存取是否有相關的成本?
Systems Manager 提供 30 天的免費試用即時存取節點。試用結束之後,即時節點存取會產生成本。如需詳細資訊,請參閱[AWS Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。
## 即時節點存取核准政策的優先順序是什麼?
核准政策的評估順序如下:
1. 拒絕存取
1. 自動核准
1. 手動
## 如何評估手動核准政策?
即時節點存取一律對節點採用更具體的政策。手動核准政策的評估順序如下:
1. 標籤特定目標
1. 所有節點目標
## 如果沒有適用於節點的核准政策,會發生什麼情況?
若要使用即時節點存取連線至節點,核准政策必須套用至節點。如果節點沒有套用任何核准政策,使用者就無法請求存取該節點。
## 多個核准政策是否可以將一個標籤設為目標?
在您的核准政策中,只能將一個標籤設為目標一次。
## 如果多個手動核准政策因標籤重疊而套用至一個節點,會發生什麼情況?
如果多個手動核准政策套用至一個節點,這會導致衝突,而且使用者無法請求存取該節點。建立手動核准政策時,請謹記這點,因為視您的案例而定,某些執行個體可能會有多個標籤。
## 我是否可以使用即時節點存取,請求存取跨帳戶和區域的節點,並啟動節點工作階段?
即時節點存取支援請求存取與請求者相同帳戶和區域中的節點,並啟動節點工作階段。
## 我是否可以使用即時節點存取,請求存取以混合啟用註冊的節點,並啟動節點工作階段?
可以,即時節點存取支援請求存取以混合啟用註冊的節點,並啟動節點工作階段。節點必須在與請求者相同的帳戶和區域中註冊。
# 診斷和修復
可以使用 Systems Manager 整合式主控台,在單一診斷操作中發現整個機群的問題。如果是多個組織,則可以接著使用單一自動化操作,嘗試修復所有或僅選取的目標。如果是一個組織,身為委派帳戶管理員,您可以選取所有帳戶和區域中的目標。如果您使用的是單一帳戶,則可以一次選取單一區域中的目標。
Systems Manager 可以診斷並協助您修復多種類型的部署失敗和漂移組態。Systems Manager 也可以識別帳戶或組織中 Systems Manager 無法視為*受管節點*的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。EC2 執行個體診斷程序可以識別與虛擬私有雲端 (VPC)、網域名稱服務 (DNS) 設定或 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組的錯誤組態相關的問題。
**注意**
Systems Manager 支援[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中作為*受管節點*的 EC2 執行個體和其他機器類型。若要成為受管節點,必須在機器上安裝 AWS Systems Manager Agent (SSM Agent),且 Systems Manager 必須具有在機器上執行動作的許可。
對於 EC2 執行個體,可以使用 AWS Identity and Access Management (IAM) 角色在帳戶層級提供此許可,或使用執行個體設定檔在執行個體層級提供此許可。如需更多詳細資訊,請參閱 [設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
對於非 EC2 機器,此許可是使用 IAM 服務角色提供。如需更多詳細資訊,請參閱 [在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
**開始之前**
若要使用**診斷和修復**功能來偵測未受管 EC2 執行個體,必須先將組織或帳戶加入 Systems Manager 整合式主控台。在此流程中,必須選擇選項以建立這些操作所需的 IAM 角色和受管政策。如需更多詳細資訊,請參閱 [為組織設定 Systems Manager 統一主控台](systems-manager-setting-up-organizations.md)。
使用以下主題來協助您識別和修正某些常見類型的失敗部署、漂移組態和未受管 EC2 執行個體。
**Topics**
+ [診斷和修復失敗部署](remediating-deployment-issues.md)
+ [診斷和修復漂移組態](remediating-configuration-drift.md)
+ [在 Systems Manager 中診斷和修復未受管的 Amazon EC2 執行個體](remediating-unmanaged-instances.md)
+ [執行手冊動作的修復影響類型](remediation-impact-type.md)
+ [檢視 Systems Manager 中修復的執行進度和歷史記錄](diagnose-and-remediate-execution-history.md)
# 診斷和修復失敗部署
Systems Manager 可以診斷失敗部署,協助修復下列類型的失敗部署:
+ 組織成員帳戶的核心設定
+ 委派管理員帳戶的核心設定
+ 您帳戶的核心設定
按照下列程序嘗試修復這些類型的問題。
**診斷和修復失敗部署**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**診斷和修復**。
1. 選擇**部署問題**索引標籤。
1. 在**失敗部署**區段中,檢閱失敗部署的調查結果清單。
1. 在**設定步驟**欄位中,選擇調查結果的名稱,檢閱有關問題的其他詳細資訊。例如:**組織成員帳戶的核心設定**。
1. 在該失敗部署的詳細資訊頁面中,您可以檢視帳戶清單,以及每個帳戶中有多少區域出現過部署失敗。
1. 選取帳戶 ID 來檢視該帳戶中失敗原因的相關資訊。
1. 在**失敗區域**區域中,檢查針對**狀態原因**提供的資訊。這些資訊可以指出失敗部署的原因,可能會提供對需要進行的組態變更的深入分析。
1. 如果想要重試部署而不進行組態變更,請選擇**重新部署**。
# 診斷和修復漂移組態
Systems Manager 可以診斷漂移組態,協助修復下列類型的漂移組態:
+ 組織成員帳戶的核心設定
+ 委派管理員帳戶的核心設定
+ 您帳戶的核心設定
按照下列程序嘗試修復這些類型的漂移組態。
**診斷和修復漂移組態**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**診斷和修復**。
1. 選擇**部署問題**索引標籤。
1. 在**漂移部署**區段中,檢閱失敗部署的調查結果清單。
-或-
若要執行新的診斷,請選擇**偵測漂移**。
1. 在**設定步驟**欄位中,選擇調查結果的名稱,檢閱有關問題的其他詳細資訊。例如:**組織成員帳戶的核心設定**。
1. 在該失敗部署的詳細資訊頁面中,您可以檢視帳戶清單,以及每個帳戶中有多少區域出現過組態漂移。
1. 選取帳戶 ID 來檢視該帳戶中組態漂移原因的相關資訊。
1. 在**漂移資源**區域中,**資源**欄位會報告出現過漂移的資源名稱。**漂移類型**欄位會報告資源是否已遭修改或刪除。
1. 若要重新部署預期的組態,則選擇**重新部署**。
# 在 Systems Manager 中診斷和修復未受管的 Amazon EC2 執行個體
為了協助自己使用 Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,您可以使用 Systems Manager 整合式主控台來執行下列操作:
1. 執行手動或排定的診斷程序,確定帳戶或組織中的哪些 EC2 執行個體目前未由 Systems Manager 管理。
1. 確定會導致 Systems Manager 無法接管執行個體管理的網路問題或其他問題。
1. 執行自動化執行來自動修復問題,或存取資訊來協助自己手動解決問題。
使用下列主題中的資訊,協助您診斷和修復會導致 Systems Manager 無法管理 EC2 執行個體的問題。
## Systems Manager 如何計算「未受管 EC2 執行個體問題」清單受影響的節點數
在**未受管 EC2 執行個體問題**索引標籤上報告為未受管的節點數量,代表診斷掃描時具有下列任何狀態值的執行個體總數:
+ `Running`
+ `Stopped`
+ `Stopping`
此數量在**問題摘要**區域中報告為**受影響的節點數**。在下列影像中,目前不受 Systems Manager 管理的受影響節點數量為 `40`。
![\[「問題摘要」區域,其中顯示診斷和修復頁面上有 40 個受影響的節點\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/2-unmanaged-EC2-instance-count.png)
與**檢閱節點洞察**頁面上未受管 EC2 執行個體的報告不同,此 EC2 執行個體計數並非動態。這代表在上次報告的診斷掃描期間獲得的調查結果,顯示為**掃描時間**值。因此,我們建議針對未受管 EC2 執行個體定期執行診斷掃描,讓受影響節點的此報告數量保持在最新狀態。
如需有關**檢閱節點洞察**頁面上未受管執行個體計數的資訊,請參閱[檢閱節點洞察](review-node-insights.md)主題中的[什麼是未受管執行個體?](review-node-insights.md#unmanaged-instance-definition)。
**Topics**
+ [Systems Manager 如何計算「未受管 EC2 執行個體問題」清單受影響的節點數](#unmanaged-instance-scan-count)
+ [可診斷的未受管 EC2 執行個體問題的類別](diagnosing-ec2-category-types.md)
+ [為未受管 EC2 執行個體執行診斷和選用修復](running-diagnosis-execution-ec2.md)
+ [排程未受管 EC2 執行個體的定期掃描](schedule-recurring-ec2-diagnosis.md)
# 可診斷的未受管 EC2 執行個體問題的類別
本主題列出了 EC2 管理問題的主要類別,以及 Systems Manager 可協助您診斷和修復的每個類別的特定問題。請注意,對於某些問題,Systems Manager 可以發現問題,但不提供自動修復。在這些情況下,Systems Manager 主控台會將您引導至相關資訊,以協助您手動解決問題。
診斷程序會根據每個 EC2 執行個體群組所屬的虛擬私有雲端 (VPC),一次檢查每組 EC2 執行個體。
**Topics**
+ [問題類別:安全群組組態和 HTTPS 通訊](#unmanaged-ec2-issue-security-groups)
+ [問題類別:DNS 或 DNS 主機名稱組態](#unmanaged-ec2-issue-dns-configuration)
+ [問題類別:VPC 端點組態](#unmanaged-ec2-issue-vpc-endpoint-configuration)
+ [問題類別:網路 ACL 組態](#unmanaged-ec2-issue-nacl-configuration)
## 問題類別:安全群組組態和 HTTPS 通訊
診斷操作可能發現 SSM Agent 無法透過 HTTPS 與 Systems Manager 服務通訊。在這些情況下,可以選擇執行 Automation 執行手冊,嘗試更新連接至執行個體的安全群組。
**注意**
Systems Manager 有時可能無法自動修復這些問題,但您可以手動編輯受影響的安全群組。
**支援的問題類型**
+ **執行個體安全群組**:連接埠 443 上不允許傳出流量
+ **`ssm` VPC 端點的安全群組**:連接埠 443 上不允許傳入流量
+ **`ssmmessages` VPC 端點的安全群組**:連接埠 443 上不允許傳入流量
+ **`ec2messages` VPC 端點的安全群組**:連接埠 443 上不允許傳入流量
如需詳細資訊,請參閱 [SSM Agent 疑難排解](troubleshooting-ssm-agent.md) 主題中的 [驗證端點安全群組的相關輸入規則](troubleshooting-ssm-agent.md#agent-ts-ingress-egress-rules)。
## 問題類別:DNS 或 DNS 主機名稱組態
診斷操作可能會發現未正確設定 VPC 的網域名稱系統 (DNS) 或 DNS 主機名稱。在這些情況下,可以選擇執行 Automation 執行手冊,嘗試啟用受影響 VPC 的 `enableDnsSupport` 和 `enableDnsHostnames` 屬性。
**支援的問題類型**
+ VPC 中停用了 DNS 支援。
+ VPC 中停用了 DNS 主機名稱。
如需詳細資訊,請參閱 [SSM Agent 疑難排解](troubleshooting-ssm-agent.md) 主題中的 [驗證 VPC DNS 相關屬性](troubleshooting-ssm-agent.md#agent-ts-dns-attributes)。
## 問題類別:VPC 端點組態
診斷操作可能會發現未正確設定 VPC 的 VPC 端點。
如果 SSM Agent 所需的 VPC 端點不存在,Systems Manager 會嘗試執行 Automation 執行手冊來建立 VPC 端點,並將它們與各個相關區域可用區域 (AZ) 中的一個子網路進行關聯。如果存在所需的 VPC 端點,但端點未與問題所在的子網路關聯,則執行手冊會將 VPC 端點與受影響的子網路進行關聯。
**注意**
Systems Manager 不支援修復所有設定錯誤的 VPC 端點問題。在這些情況下,Systems Manager 會為您提供手動修復指示,而非執行 Automation 執行手冊。
**支援的問題類型**
+ 找不到 PrivateLink 的 `ssm.region.amazonaws.com` 端點。
+ 找不到 PrivateLink 的 `ssmmessages.region.amazonaws.com` 端點。
+ 找不到 PrivateLink 的 `ec2messages.region.amazonaws.com` 端點。
**可診斷的問題類型**
Systems Manager 可以診斷下列問題類型,但目前沒有可用於修復這些問題的執行手冊。您可以針對這些問題手動編輯組態。
+ 執行個體的子網路未連接至 `ssm.region.amazonaws.com` 端點。
+ 執行個體的子網路未連接至 `ssmmessages.region.amazonaws.com` 端點。
+ 執行個體的子網路未連接至 `ec2messages.region.amazonaws.com` 端點。
如需詳細資訊,請參閱 [SSM Agent 疑難排解](troubleshooting-ssm-agent.md) 主題中的 [驗證 VPC 組態](troubleshooting-ssm-agent.md#agent-ts-vpc-configuration)。
## 問題類別:網路 ACL 組態
診斷操作可能會發現網路存取控制清單 (NACLs) 未針對 VPC 正確設定,因而封鎖 Systems Manager 通訊所需的流量。NACLs 是無狀態的,因此傳出和傳入規則都必須允許 Systems Manager 流量。
Systems Manager 可以識別 NACL 組態問題,並提供手動修復的指引。
**支援的問題類型**
+ **執行個體子網路 NACL**:連接埠 443 上不允許傳出流量至 Systems Manager 端點
+ **執行個體子網路 NACL**:不允許暫時性連接埠 (1024-65535) 上的傳入流量作為 Systems Manager 回應
**可診斷的問題類型**
Systems Manager 可以診斷下列 NACL 組態問題,但需要手動修復:
+ 執行個體的子網路 NACL 會封鎖傳出 HTTPS (連接埠 443) 流量到 Systems Manager 端點
+ Systems Manager 回應所需的執行個體子網路 NACL 會封鎖傳入暫時性連接埠流量 ((1024-65535)
如需詳細資訊,請參閱[針對 VPC 的 SSM Agent 和自訂網路 ACL 進行故障診斷](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)。 [ ACLs ](https://docs.aws.amazon.com/vpc/latest/userguide/custom-network-acl.html#nacl-ephemeral-ports)
# 為未受管 EC2 執行個體執行診斷和選用修復
按照下列程序診斷網路相關問題和 VPC 相關問題,這些問題可能導致 Systems Manager 無法管理 EC2 執行個體。
該診斷操作可以偵測下列類型的問題,並將其分組:
+ **網路組態問題**:可能導致 EC2 執行個體無法與雲端中的 Systems Manager 服務通訊的網路問題類型。這些問題或許可以使用修復操作。如需有關網路組態問題的詳細資訊,請參閱[可診斷的未受管 EC2 執行個體問題的類別](diagnosing-ec2-category-types.md)。
+ **無法辨識的問題**:案例調查結果清單,其中列明無法透過診斷操作來判斷 EC2 執行個體為何無法與雲端中的 Systems Manager 服務通訊。
**為未受管 EC2 執行個體執行診斷和修復**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**診斷和修復**。
1. 選擇**未受管 EC2 執行個體問題**索引標籤。
1. 在**問題摘要**區段中,選擇**執行新診斷**。
-或-
如果這是第一次診斷未受管 EC2 問題,請在**診斷未受管 EC2 執行個體**區段中選擇**執行**。
**提示**
在診斷正在執行時,選擇**檢視進度**或**檢視執行**來監控執行的目前狀態。如需詳細資訊,請參閱[檢視 Systems Manager 中修復的執行進度和歷史記錄](diagnose-and-remediate-execution-history.md)。
1. 診斷完成後,請執行下列動作:
+ 對於**無法辨識的問題**區段中報告的任何問題,請選擇**進一步了解**連結取得解決問題的相關資訊。
+ 對於**網路組態問題**區段中報告的問題,請繼續下一個步驟。
1. 在調查結果類型清單的**建議**欄位中,針對特定問題選擇連結,例如 **2 條建議**。
1. 在開啟的**建議**窗格中,從可用的緩解措施中進行選擇:
+ **進一步了解**:打開一個主題,其中包含如何手動解決問題的相關資訊。
+ **檢視執行手冊**:打開一個窗格,其中包含有關可執行以解決 EC2 執行個體問題的 Automation 執行手冊的資訊,以及產生執行手冊將採取之動作*預覽*的選項。繼續下一個步驟。
1. 在執行手冊窗格中,執行下列動作:
1. 對於**文件描述**,請檢閱內容,其中概述了執行手冊可以採取哪些動作來修復未受管 EC2 執行個體問題。選擇**檢視步驟**,預覽執行手冊會採取的個別動作。
1. 對於 **Targets (目標)**,執行下列動作:
+ 如果正在管理組織的修復,請在**帳戶**欄位中指定此執行手冊是針對所有帳戶,還是只針對所選帳戶子集。
+ 對於**區域**,指定此 Runbook 是否以 AWS 區域 您的帳戶或組織中的所有 為目標,還是僅以您選擇的區域子集為目標。
1. 對於執行手冊**預覽**,請仔細檢閱資訊。這些資訊會說明,如果選擇執行執行手冊,範圍和影響會如何。
**注意**
選擇執行執行手冊會產生費用。請仔細檢閱預覽資訊,再決定是否繼續。
**執行手冊預覽**內容提供下列資訊:
+ 執行手冊操作將在多少個區域中發生。
+ (僅限組織) 操作將在多少個組織單位 (OU) 中執行。
+ 要採取的動作類型,以及每種動作的數量。
動作類型如下:
+ **變更**:執行手冊步驟會透過建立、修改或刪除資源的動作來變更目標。
+ **不變更**:執行手冊步驟會擷取有關資源的資料,但不會變更資料。此類別通常包含 `Describe*`、`List*`、`Get*` 和類似的唯讀 API 動作。
+ **未確定**:未確定的步驟會叫用由另一個協同運作服務執行的執行 AWS Lambda,例如 AWS Step Functions或 AWS Systems Manager Run Command。未確定的步驟也可能會呼叫第三方 API。Systems Manager Automation 不知道協同運作程序或第三方 API 執行的結果,因此步驟的結果未確定。
1. 此時可以執行以下其中一個動作:
+ 停止且不要執行執行手冊。
+ 選擇**執行**,使用已選取的選項執行執行手冊。
如果選擇執行該操作,請選擇**檢視進度**或**檢視執行**來監控執行的目前狀態。如需詳細資訊,請參閱[檢視 Systems Manager 中修復的執行進度和歷史記錄](diagnose-and-remediate-execution-history.md)。
# 排程未受管 EC2 執行個體的定期掃描
在帳戶或組織中,可以針對 Systems Manager 因各種組態問題而無法管理的 Amazon EC2 執行個體執行隨需掃描。此掃描也可排程為定期自動執行。
**排程未受管 EC2 執行個體的定期掃描**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**診斷和修復**。
1. 選擇**未受管 EC2 執行個體問題**索引標籤。
1. 在**診斷未受管 EC2 執行個體**區段中,開啟**排程定期診斷**。
1. 在**診斷頻率**欄位中,選取是每天還是每週執行一次診斷。
1. (選用) 在**開始時間**欄位中,為要開始的診斷輸入 24 小時格式的時間。例如,若是晚上 8:15,則輸入 **20:15**。
輸入的時間適用於目前的當地時區。
如果未指定時間,診斷掃描會立即執行。Systems Manager 也可在目前時間排程要在未來執行的掃描。如果指定時間,Systems Manager 會等待在指定時間執行診斷掃描。
1. 選擇 **Execute (執行)**。診斷會立即執行,但也會依指定的排程執行。
# 執行手冊動作的修復影響類型
Systems Manager 可以執行診斷操作,來探索某些類型的失敗部署和漂移組態,以及會導致 Systems Manager 無法管理 EC2 執行個體的某些類型的組態問題。診斷結果可能包括對 Automation 執行手冊的建議,您可以執行這些建議來嘗試修復問題。如需有關這些診斷操作的詳細資訊,請參閱下列主題:
+ [診斷和修復失敗部署](remediating-deployment-issues.md)
+ [診斷和修復漂移組態](remediating-configuration-drift.md)
+ [在 Systems Manager 中診斷和修復未受管的 Amazon EC2 執行個體](remediating-unmanaged-instances.md)
如果 Systems Manager 發現可透過在受影響的資源上執行 Automation 執行手冊來修正的問題,即會為您提供*執行預覽*。執行預覽提供執行手冊執行會對目標所做的變更*類型*的相關資訊。此資訊包含診斷發現的三種變更類型中每種變更的數量。
這些變更類型所示如下:
+ `Mutating`:執行手冊步驟會透過建立、修改或刪除資源的動作來變更目標。
+ `Non-Mutating`:執行手冊步驟會擷取有關資源的資料,但不會變更資料。此類別通常包含 `Describe*`、`List*`、`Get*` 和類似的唯讀 API 動作。
+ `Undetermined`:未決定的步驟會叫用由另一個協同運作服務執行的執行 AWS Lambda AWS Step Functions,例如 或 Run Command中的工具 AWS Systems Manager。未確定的步驟也可能呼叫第三方 API 或執行 Python 或 PowerShell 指令碼。Systems Manager Automation 無法偵測協同運作程序或第三方 API 執行的結果,因此無法進行評估。必須手動檢閱這些步驟的結果,才能判斷其影響。
如需有關支援的自動化動作影響類型的資訊,請參閱下列資料表。
## 支援的修復動作的影響類型
該資料表顯示了修復執行手冊中可以包含的各種動作的影響類型:變更、不變更和未確定。
| 動作¹ | 影響類型 |
| --- | --- |
| aws:approve | 不變更 |
| aws:assertAwsResourceProperty | 不變更 |
| aws:branch | 不變更 |
| aws:changeInstanceState | 變動 |
| aws:copyImage | 變動 |
| aws:createImage | 變動 |
| aws:createStack | 變動 |
| aws:createTags | 變動 |
| aws:deleteImage | 變動 |
| aws:deleteStack | 變動 |
| aws:executeAutomation | Undetermined (未決定) |
| aws:executeAwsApi | Undetermined (未決定) |
| aws:executeScript | Undetermined (未決定) |
| aws:executeStateMachine | Undetermined (未決定) |
| aws:invokeLambdaFunction | Undetermined (未決定) |
| aws:invokeWebhook | Undetermined (未決定) |
| aws:loop | 各有不同。取決於迴圈中的動作。 |
| aws:pause | 不變更 |
| aws:runCommand | Undetermined (未決定) |
| aws:runInstances | 變動 |
| aws:sleep | 不變更 |
| aws:updateVariable | 變動 |
| aws:waitForAwsResourceProperty | 不變更 |
¹ 如需有關自動化動作的詳細資訊,請參閱 [Systems Manager Automation 動作參考](automation-actions.md)。
# 檢視 Systems Manager 中修復的執行進度和歷史記錄
您可以檢視使用 Systems Manager 中的**診斷和修復**功能進行的所有進行中和已完成修復操作的清單。
執行歷史記錄清單中的資料會報告下列類型的資訊:
+ 執行的類型:`Diagnosis` 或 `Remediation`。
+ 執行狀態,例如 `Success` 或 `Failed`。
+ 執行開始和結束的時間。
**檢視修復的執行進度和歷史記錄**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**診斷和修復**。
1. 選擇**檢視執行**。
**提示**
執行正在執行中時,也可以選擇**檢視進度**來開啟**執行歷史記錄**頁面。
1. (選用) 在搜尋 (![\[The search icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/search-icon.png)) 方塊中,輸入片語以協助縮小執行清單範圍,例如 **EC2** 或 **VPC**。
1. (選用) 若要檢視執行的其他詳細資訊,請在**執行名稱**欄位中選擇操作名稱,例如 **AWS-DiagnoseUnmanagedEC2NetworkIssues**。
在詳細資訊窗格中,可以檢視有關操作期間嘗試的所有步驟的資訊,以及執行的所有輸入和輸出的資訊。
# 調整 Systems Manager 設定
**設定**頁面上的選項會在 Systems Manager 統一主控台中啟用和設定功能。顯示的選項取決於您登入的帳戶,以及您是否已經完成 Systems Manager 的設定。
**注意**
**設定**頁面上的選項不會影響 Systems Manager 工具 (先前稱為功能)。
## 帳戶設定
如果已啟用 Systems Manager,且您登入的帳戶不是 Organizations 的成員,或委派管理員尚未將 Organizations 帳戶新增至 Systems Manager,則**帳戶設定**頁面會顯示**停用 Systems Manager** 的選項。停用 Systems Manager 表示 Systems Manager 不會顯示整合式主控台。所有 Systems Manager 工具仍可運作。
## 組織設定
在**組織設定**索引標籤上,**主區域**區段會顯示 AWS 區域 選擇為設定期間主區域的 。在使用 的多帳戶和多區域環境中 AWS Organizations,Systems Manager 會自動將所有帳戶和區域的節點資料彙總至主要區域。以這種方式彙總資料,可讓您在單一位置跨帳戶和區域檢視節點資料。
**注意**
若想變更主區域,則必須停用 Systems Manager,然後再次將其啟用。若要停用 Systems Manager,請選擇**停用**。
**組織設定**區段會顯示 AWS 組織單位,並在設定期間 AWS 區域 選擇。若要變更哪些組織單位和區域會在 Systems Manager 中顯示節點資料,請選擇**編輯**。如需有關為組織設定 Systems Manager 的詳細資訊,請參閱[設定 AWS Systems Manager](systems-manager-setting-up-console.md)。
## 功能組態
**功能組態**區段可讓您啟用和設定關鍵 Systems Manager 功能,以增強整個組織的節點管理。這些功能可互相搭配使用,為您的受管節點提供自動化管理、合規監控和維護。
您可以在初始 Systems Manager 設定期間設定這些功能,也可以稍後透過「設定」頁面進行修改。您可以根據貴組織的需求,單獨啟用或停用每個功能。
### 預設主機管理組態
預設主機管理組態 (DHMC) 會自動將組織中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體設定為由 Systems Manager 管理。啟用時,DHMC 會確保新的和現有的 EC2 執行個體具有與 Systems Manager 服務通訊所需的 AWS Identity and Access Management (IAM) 許可和組態。
DHMC 具有以下優點:
+ **自動指派 IAM 角色** – 確保 EC2 執行個體具有必要的 IAM 角色和政策,以作為受管節點運作
+ **漂移修復** – 當執行個體失去其受管節點狀態時,自動更正組態漂移
+ **簡化加入** – 減少加入新執行個體的手動組態步驟
+ **一致的組態** – 維持整個 EC2 機群的統一設定
#### 設定漂移修復頻率
當 EC2 執行個體遺失其受管節點組態時,漂移修復會自動偵測並更正組態。您可以設定 Systems Manager 檢查和修復組態漂移的頻率。
**設定預設主機管理組態**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**功能組態**區段中,找到**預設主機管理組態**。
1. 若要啟用 DHMC,請開啟切換開關。
1. 對於**漂移修復頻率**,選擇您希望 Systems Manager 檢查和修復組態漂移的頻率:
+ **每日** – 每天檢查並修復一次漂移
+ **每週** – 每週檢查並修復一次漂移
+ **每月** – 每月檢查並修復一次漂移
1. 選擇**儲存**。
**注意**
啟用 DHMC 後,Systems Manager 會在您的帳戶中建立必要的 IAM 角色和政策。這些角色允許 EC2 執行個體與 Systems Manager 服務通訊。如需有關 DHMC 建立的 IAM 角色的詳細資訊,請參閱[使用 Systems Manager 管理 EC2 執行個體](systems-manager-setting-up-ec2.md)。
### 庫存中繼資料收集
庫存中繼資料收集功能會自動收集有關受管節點的詳細資訊,包括已安裝的應用程式、網路組態、系統更新和其他系統中繼資料。這些資訊可協助您維持合規性、執行安全分析,以及了解基礎設施組成。
庫存中繼資料收集功能具有以下優點:
+ **合規監控** – 追蹤已安裝的軟體和組態以進行合規報告
+ **安全分析** – 識別過期的軟體和潛在的安全漏洞
+ **資產管理** – 維護基礎設施最新庫存
+ **查詢功能** – 將收集的資料與 Amazon Q Developer 搭配使用以進行自然語言查詢
#### 收集的庫存中繼資料類型
啟用庫存中繼資料收集後,Systems Manager 會從受管節點收集下列類型的資訊:
+ **應用程式** – 已安裝的軟體套件和應用程式
+ **網路組態** – 網路介面、IP 位址和網路設定
+ **系統更新** – 已安裝的修補程式和可用更新
+ **系統屬性** – 硬體規格、作業系統詳細資訊和系統組態
+ **服務** – 執行服務及其組態
#### 設定庫存中繼資料收集頻率
您可以設定 Systems Manager 從受管節點收集庫存中繼資料的頻率。較頻繁的集合提供up-to-date資訊,但可能會增加 AWS 服務用量。
**設定庫存中繼資料收集**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**功能組態**區段中,找到**庫存中繼資料收集**。
1. 若要啟用庫存中繼資料收集,請開啟切換開關。
1. 對於**收集頻率**,選擇您希望 Systems Manager 收集庫存資料的頻率:
+ **每日** – 每天收集一次庫存資料
+ **每週** – 每週收集一次庫存資料
+ **每月** – 每月收集一次庫存資料
1. 選擇**儲存**。
**重要**
庫存中繼資料收集需要受管節點具備必要的許可,以收集系統資訊。確保您的受管節點具有適當的 IAM 角色和政策。如需所需許可的相關資訊,請參閱[AWS Systems Manager庫存](systems-manager-inventory.md)。
### SSM Agent 更新
自動 SSM Agent 更新可確保您的受管節點執行的是最新版本的 SSM Agent。保持使用最新版 Agent,可讓您存取最新的功能、安全性改善和錯誤修正。
SSM Agent 自動更新具有以下優點:
+ **最新功能** – 存取 Systems Manager 新功能和改進功能
+ **安全性更新** – 自動安裝安全修補程式和修正
+ **改善可靠性** – 錯誤修正和穩定性改善
+ **減少維護** – 無需手動更新 Agent
#### 設定 Agent 自動更新
您可以設定 Systems Manager 在受管節點上檢查並安裝 SSM Agent 更新的頻率。定期更新有助於確保最佳效能和安全性。
**設定 SSM Agent 更新**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**功能組態**區段中,找到 **SSM Agent 更新**。
1. 若要啟用自動更新,請開啟切換開關。
1. 對於**更新頻率**,選擇您希望 Systems Manager 檢查並安裝 Agent 更新的頻率:
+ **每日** – 每天檢查一次更新
+ **每週** – 每週檢查一次更新
+ **每月** – 每月檢查一次更新
1. 選擇**儲存**。
## 診斷和修復設定
**診斷和修復**設定會判斷 Systems Manager 是否自動掃描節點,確保節點可以與 Systems Manager 通訊。如果已啟用,則此功能會根據您定義的排程自動執行。該功能會識別哪些節點無法連線至 Systems Manager 及其原因。此外,此功能提供建議的執行手冊,可修復聯網問題和其他會防止將節點設為受管節點的問題。
### 安排定期診斷掃描
Systems Manager 可以診斷並協助您修復多種類型的部署失敗和漂移組態。Systems Manager 也可以識別帳戶或組織中 Systems Manager 無法視為*受管節點*的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。EC2 執行個體診斷程序可以識別與虛擬私有雲端 (VPC)、網域名稱服務 (DNS) 設定或 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組的錯誤組態相關的問題。
若要僅識別無法連線至 Systems Manager 的節點,**排程定期診斷**功能可讓您將定期診斷掃描自動化。這些掃描有助於識別哪些節點無法連線至 Systems Manager 及其原因。按照下列程序啟用和設定節點的定期診斷掃描。
**安排定期診斷掃描**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選擇**設定**,然後選擇**診斷和修復**索引標籤。
1. 開啟**排程定期診斷**選項。
1. 在**掃描期間**欄位中選擇掃描的執行頻率。
1. (選用) 在**開始時間**欄位中,為要開始的診斷輸入 24 小時格式的時間。例如,若是晚上 8:15,則輸入 **20:15**。
輸入的時間適用於目前的當地時區。
如果未指定時間,診斷掃描會立即執行。Systems Manager 也可在目前時間排程要在未來執行的掃描。如果指定時間,Systems Manager 會等待在指定時間執行診斷掃描。
1. 選擇**儲存**。
1. 掃描完成後,請在左側導覽中選擇**診斷和修復**來檢視詳細資訊。
如需有關**診斷和修復**功能的詳細資訊,請參閱[診斷和修復](diagnose-and-remediate.md)。
### 更新 S3 儲存貯體加密
當您加入 Systems Manager 時,快速設定會在委派的管理員帳戶中建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體以進行 AWS Organizations 設定。對於單一帳戶設定,系統會將此儲存貯體存放在要設定的帳戶中。此儲存貯體會用於存放診斷掃描期間產生的中繼資料。
如需有關設定 Systems Manager 整合式主控台的詳細資訊,請參閱[設定 AWS Systems Manager](systems-manager-setting-up-console.md)。
根據預設,您儲存貯體中的資料會使用為您 AWS 擁有和管理的 a AWS Key Management Service (AWS KMS) 金鑰進行加密。
您可以選擇使用不同的 AWS KMS 金鑰進行儲存貯體加密。或者,您可以使用客戶受管金鑰 AWS KMS keys (CMK) 搭配 (SSE-KMS) 使用伺服器端加密。如需相關資訊,請參閱[使用 Systems Manager 的 Amazon S3 儲存貯體和儲存貯體政策](systems-manager-diagnosis-metadata-bucket.md)。
**使用不同的 AWS KMS 金鑰進行 S3 儲存貯體加密**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選擇**設定**,然後選擇**診斷和修復**索引標籤。
1. 在**更新 S3 儲存貯體加密**區域中選擇**編輯**。
1. 選取**自訂加密設定 (進階)** 核取方塊。
1. 針對**選擇 AWS KMS 金鑰**,選擇或輸入金鑰的 Amazon Resource Name (ARN)。
**提示**
若要建立新的金鑰,請選擇**建立 AWS KMS 金鑰**。
1. 選擇**儲存**。
# 使用 Systems Manager 的 Amazon S3 儲存貯體和儲存貯體政策
在 的[加入程序中](systems-manager-setting-up-console.md) AWS Systems Manager, 會在委派管理員帳戶中Quick Setup建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以進行組織設定。對於單一帳戶設定,系統會將此儲存貯體存放在要設定的帳戶中。
您可以使用 Systems Manager 在機群上執行診斷操作,識別失敗部署和漂移組態的案例。Systems Manager 也可以偵測以下情況:因組態問題,導致 Systems Manager 無法管理帳戶或組織中的 EC2 執行個體。這些診斷操作的結果會存放在此 Amazon S3 儲存貯體中,同時受到加密方法和 S3 儲存貯體政策的保護。如需有關將資料輸出到此儲存貯體的診斷操作的資訊,請參閱[診斷和修復](diagnose-and-remediate.md)。
**變更儲存貯體加密方法**
依預設,S3 儲存貯體會將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 搭配使用。
您可以改為使用伺服器端加密搭配 AWS KMS keys (SSE-KMS),使用客戶受管金鑰 (CMK) 做為 Amazon S3 受管金鑰的替代方案,如 中所述[變更為 AWS KMS 客戶受管金鑰以加密 S3 資源](remediate-s3-bucket-encryption.md)。
**儲存貯體政策的內容**
此儲存貯體政策可防止組織中的成員帳戶彼此探索。只有為 Systems Manager 建立的診斷和修復角色,才擁有對儲存貯體的讀取和寫入許可。這些系統產生的政策內容會顯示在 [Systems Manager 整合式主控台的 S3 儲存貯體政策](remediate-s3-bucket-policies.md) 中。
**警告**
修改預設儲存貯體政策,可能會允許組織中的成員帳戶彼此探索,或讀取其他帳戶中執行個體的診斷輸出。如果選擇修改此政策,建議要謹慎。
**Topics**
+ [變更為 AWS KMS 客戶受管金鑰以加密 S3 資源](remediate-s3-bucket-encryption.md)
+ [Systems Manager 整合式主控台的 S3 儲存貯體政策](remediate-s3-bucket-policies.md)
# 變更為 AWS KMS 客戶受管金鑰以加密 S3 資源
在 Systems Manager 整合式主控台的加入程序期間,Quick Setup 會在委派管理員帳戶中建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此儲存貯體用於存放修復執行手冊執行期間產生的診斷輸出資料。依預設,此儲存貯體將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 搭配使用。
您可以在[Systems Manager 整合式主控台的 S3 儲存貯體政策](remediate-s3-bucket-policies.md)中檢閱這些政策的內容。
不過,您可以改為使用伺服器端加密搭配 AWS KMS keys (SSE-KMS),使用客戶受管金鑰 (CMK) 做為 的替代方案 AWS KMS key。
要設定 Systems Manager 來使用 CMK,請完成下列任務。
## 任務 1:將標籤新增至現有 CMK
AWS Systems Manager 只有在 CMK 加上下列鍵值對的標籤時, 才會使用您的 CMK:
+ 索引鍵:`SystemsManagerManaged`
+ 值:`true`
按照下列程序提供使用 CMK 加密 S3 儲存貯體的存取權。
**將標籤新增至現有 CMK**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 在左側導覽列中,選擇**客戶自管金鑰**。
1. 選取要搭配使用 AWS KMS key 的 AWS Systems Manager。
1. 選擇**標籤**索引標籤,然後選擇**編輯**。
1. 選擇 **Add tag (新增標籤)**。
1. 請執行下列操作:
1. 對於 **Tag key** (標籤索引鍵),輸入 **SystemsManagerManaged**。
1. 在**標籤值**欄位中輸入 **true**。
1. 選擇**儲存**。
## 任務 2:修改現有 CMK 金鑰政策
使用下列程序來更新 CMK 的 [KMS 金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html),以允許 AWS Systems Manager 角色代表您加密 S3 儲存貯體。
**修改現有 CMK 金鑰政策**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 在左側導覽列中,選擇**客戶自管金鑰**。
1. 選取要搭配使用 AWS KMS key 的 AWS Systems Manager。
1. 在**金鑰政策**標籤中,選擇**編輯**。
1. 將下列 JSON 陳述式新增至 `Statement` 欄位,再使用自己的資訊取代*預留位置值*。
請確定您在 AWS Systems Manager `Principal` 欄位中將組織中加入的所有 AWS 帳戶 IDs 新增至 。
若要在 Amazon S3 主控台中找到正確的儲存貯體名稱,請在委派管理員帳戶中找到如下格式的儲存貯體:`do-not-delete-ssm-operational-account-id-home-region-disambiguator`。
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**提示**
或者,您可以使用 [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 條件金鑰來更新 CMK 金鑰政策,以授予 CMK 的 AWS Systems Manager 存取權。
## 任務 3:在 Systems Manager 設定中指定 CMK
完成前兩個任務後,按照下列程序變更 S3 儲存貯體加密。此變更可確保相關聯的 Quick Setup 組態程序可以新增許可,讓 Systems Manager 接受 CMK。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**診斷和修復**索引標籤上,從**更新 S3 儲存貯體加密**區段中選擇**編輯**。
1. 選取**自訂加密設定 (進階)** 核取方塊。
1. 在搜尋 (![\[The search icon\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/search-icon.png)) 方塊中,選擇現有金鑰的 ID,或貼上現有金鑰的 ARN。
1. 選擇**儲存**。
# Systems Manager 整合式主控台的 S3 儲存貯體政策
本主題包含您將組織或單一帳戶加入 Systems Manager 整合式主控台時 Systems Manager 建立的 Amazon S3 儲存貯體政策。
**警告**
修改預設儲存貯體政策,可能會允許組織中的成員帳戶彼此探索,或讀取其他帳戶中執行個體的診斷輸出。如果選擇修改此政策,建議要謹慎。
## 適用於組織的 Amazon S3 儲存貯體政策
將組織加入 Systems Manager 時,系統會使用下列預設儲存貯體政策建立診斷儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## 適用於單一帳戶的 Amazon S3 儲存貯體政策
將單一帳戶加入 Systems Manager 時,系統會使用下列預設儲存貯體政策建立診斷儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------