• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 的受管節點 AWS Systems Manager
完成本節中的任務,以設定角色、使用者帳戶、許可和初始資源,以使用 AWS Systems Manager 工具。本節所述的任務通常由 AWS 帳戶 和系統管理員執行。完成這些步驟之後,組織中的使用者即可使用 Systems Manager 設定、管理及存取*受管節點*。受管節點是設定為在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中搭配 Systems Manager 使用的任何機器。
**注意**
如果您計劃在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中同時使用 Amazon EC2 執行個體*和*您自己的運算資源,請先依照 [使用 Systems Manager 管理 EC2 執行個體](systems-manager-setting-up-ec2.md) 中的步驟進行操作。該主題以完成 EC2 執行個體和非 EC2 機器之 Systems Manager 設定的最佳順序呈現步驟。
如果您已使用其他 AWS 服務,則已完成其中一些步驟。不過,其他步驟則是 Systems Manager 特有的。因此,建議檢閱這一整節來確保您已準備好使用 Systems Manager 的所有工具。
**Topics**
+ [使用 Systems Manager 管理 EC2 執行個體](systems-manager-setting-up-ec2.md)
+ [使用 Systems Manager 在混合多雲端環境中管理節點](systems-manager-hybrid-multicloud.md)
+ [使用 Systems Manager 管理邊緣裝置](systems-manager-setting-up-edge-devices.md)
+ [為 Systems Manager 建立 AWS Organizations 委派管理員](setting_up_delegated_admin.md)
+ [的一般設定 AWS Systems Manager](#setting_up_prerequisites)
# 使用 Systems Manager 管理 EC2 執行個體
完成本節中的任務,以設定和配置 AWS Systems Manager 的角色、許可和起始資源。本節所述的任務通常由 AWS 帳戶 和系統管理員執行。完成這些步驟之後,您組織中的使用者即可使用 Systems Manager 設定、管理和存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
**注意**
如果您計劃使用 Systems Manager 來管理及設定內部部署機器,請依照 [使用 Systems Manager 在混合多雲端環境中管理節點](systems-manager-hybrid-multicloud.md) 中的步驟設定。如果您計劃在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中同時使用 Amazon EC2 執行個體*和*非 EC2 機器,請先依照這裡的步驟進行操作。本節提供建議順序的步驟,來設定角色、使用者、許可和初始資源以用於您的 Systems Manager 操作。
如果您已經在使用其他 AWS 服務,您已完成其中一些步驟。不過,其他步驟則是 Systems Manager 特有的。因此,建議檢閱這一整節來確保您已準備好使用 Systems Manager 的所有工具。
**Topics**
+ [設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)
+ [使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](setup-create-vpc.md)
# 設定 Systems Manager 所需的執行個體許可
根據預設, AWS Systems Manager 沒有在您的執行個體上執行動作的許可。您可以使用 AWS Identity and Access Management (IAM) 角色在帳戶層級提供執行個體許可,或使用執行個體描述檔在執行個體層級提供執行個體許可。如果您的使用案例允許,建議您使用預設主機管理組態在帳戶層級授予存取權。
**注意**
您可以略過此步驟,允許 Systems Manager 在設定統一主控台時將必要的許可套用至執行個體。如需詳細資訊,請參閱[設定 AWS Systems Manager](systems-manager-setting-up-console.md)。
## EC2 執行個體許可的建議組態
預設主機管理組態允許 Systems Manager 自動管理 Amazon EC2 執行個體。開啟此設定後,在 中使用執行個體中繼資料服務第 2 版 (IMDSv2) 的所有執行個體, AWS 區域 以及安裝 SSM Agent 3.2.582.0 版或更新版本 AWS 帳戶 的執行個體,都會自動成為受管執行個體。預設主機管理組態不支援執行個體中繼資料服務第 1 版。如需有關轉換至 IMDSv2 的資訊,請參閱《Amazon EC2 使用者指南》**中的 [Transition to using Instance Metadata Service Version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html)。如需有關檢查執行個體上已安裝之 SSM Agent 版本的詳細資訊,請參閱[檢查 SSM Agent 版本編號](ssm-agent-get-version.md)。如需有關更新 SSM Agent 的資訊,請參閱[自動更新 SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console)。受管執行個體的優點包含:
+ 使用 Session Manager 安全地連線至執行個體。
+ 使用 Patch Manager 執行自動修補程式掃描。
+ 使用 Systems Manager 庫存檢視執行個體的詳細資訊。
+ 使用 Fleet Manager 追蹤和管理執行個體。
+ 自動將 SSM Agent 保持在最新狀態。
Fleet Manager、 庫存Patch Manager、 和 Session Manager是 中的工具 AWS Systems Manager。
預設主機管理組態可無需使用執行個體設定檔就實現執行個體管理,並確保 Systems Manager 擁有管理區域和帳戶中所有執行個體的許可。如果提供的許可不足以滿足使用案例,您也可以將政策新增至預設主機管理組態建立的預設 IAM 角色。如果您不需要預設 IAM 角色提供的所有功能的許可,則可以建立自己的自訂角色和政策。對為預設主機管理組態選擇的 IAM 角色所做的任何變更都會套用到該區域和帳戶中的所有受管 Amazon EC2 執行個體。如需有關預設主機管理組態所使用之政策的詳細資訊,請參閱 [AWS 受管政策:AmazonSSMManagedEC2InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)。如需有關預設主機管理組態的詳細資訊,請參閱 [使用預設主機管理組態來自動管理 EC2 執行個體](fleet-manager-default-host-management-configuration.md)。
**重要**
使用預設主機管理組態註冊的執行個體,會將註冊資訊儲存在本機 `/lib/amazon/ssm` 或 `C:\ProgramData\Amazon` 目錄中。移除這些目錄或其檔案可防止執行個體取得使用預設主機管理組態連線至 Systems Manager 的必要憑證。在這些情況下,您必須使用執行個體設定檔來提供執行個體所需的許可,或重新建立執行個體。
**注意**
此程序僅供管理員執行。允許個人設定或修改預設主機管理組態時,實作最低權限存取。您必須在 AWS 區域 想要自動管理 Amazon EC2 執行個體的每個 中開啟預設主機管理組態。
**開啟預設主機管理組態設定**
您可以從 Fleet Manager 主控台開啟預設主機管理組態。若要使用 AWS 管理主控台 或偏好的命令列工具順利完成此程序,您必須擁有 [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)、[ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html) 和 [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html) API 操作的許可。此外,您必須擁有 `AWSSystemsManagerDefaultEC2InstanceManagementRole` IAM 角色 `iam:PassRole` 許可的許可。政策範例如下。將每個*範例資源預留位置*取代為您自己的資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
在開始之前,如果執行個體設定檔已連接至 Amazon EC2 執行個體,請移除允許該 `ssm:UpdateInstanceInformation` 操作的所有許可。在使用預設主機管理組態許可之前,SSM Agent 會嘗試使用執行個體設定檔許可。如果您允許執行個體設定檔中的 `ssm:UpdateInstanceInformation` 操作,執行個體將不會使用預設主機管理組態許可。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Fleet Manager**。
1. 在**帳戶管理**下拉式清單中,選擇**設定預設主機管理組態**。
1. 開啟**開啟預設主機管理組態**。
1. 選擇用於為執行個體啟用各種 Systems Manager 工具的 IAM 角色。建議使用預設主機管理組態提供的預設角色。其中包括使用 Systems Manager 管理 Amazon EC2 執行個體所需的最小許可集。如果您偏好使用自訂角色,角色的信任政策必須允許 Systems Manager 作為受信任實體。
1. 選擇**設定**以完成設定。
開啟預設主機管理組態之後,執行個體可能需要 30 分鐘的時間才能使用您所選角色的憑證。您必須在想要實現 Amazon EC2 執行個體自動管理的每個區域中開啟預設主機管理組態。
## EC2 執行個體許可的替代組態
您可以使用 AWS Identity and Access Management (IAM) 執行個體設定檔,在個別執行個體層級授予存取權。執行個體設定檔是在啟動時將 IAM 角色資訊傳遞到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的容器。透過將定義所需許可的一個或多個 IAM 政策連接到新角色或您已建立的角色,可建立 Systems Manager 的執行個體設定檔。
**注意**
您可以使用 中的Quick Setup工具 AWS Systems Manager,快速在 中的所有執行個體上設定執行個體描述檔 AWS 帳戶。 Quick Setup也會建立 IAM 服務角色 (或*擔任*角色),這可讓 Systems Manager 代表您安全地為您的執行個體執行命令。透過使用 Quick Setup,您可以跳過此步驟 (步驟 3) 和步驟 4。如需詳細資訊,請參閱[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)。
請記下建立 IAM 執行個體設定檔的下列詳細資訊:
+ 如果您正在 Systems Manager [混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中設定非 EC2 機器,您不需要為它們建立執行個體設定檔。反之,將伺服器和虛擬機器設定為使用 IAM 服務角色。如需詳細資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
+ 如果您變更 IAM 執行個體設定檔,執行個體憑證重新整理可能需要花費一些時間。SSM Agent 在此狀況發生前都不會處理請求。若要加速重新整理程序,您可以重新啟動 SSM Agent 或重新啟動執行個體。
根據您是否將為執行個體設定檔建立新角色或將所需的許可新增到現有角色,來使用下列其中一個程序。
**為 Systems Manager 受管執行個體建立執行個體設定檔 (主控台)**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。
1. 在 **Use case** (使用案例) 下,隨即選擇 **EC2**,然後選擇 **Next** (下一步)。
1. 在 **Add permissions** (新增許可) 頁面上,執行以下作業:
+ 使用 **Search** (搜尋) 欄位,找出 **AmazonSSMManagedInstanceCore** 政策。選取其名稱旁的核取方塊,如下圖所示。
![\[核取方塊是在 AmazonSSMManagedInstanceCore 資料列中選取。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
即使您搜尋其他政策,主控台仍會保留您的選取項目。
+ 如果您在先前程序中已建立自訂 S3 儲存貯體政策,[(選用) 建立 S3 儲存貯體存取的自訂政策](#instance-profile-custom-s3-policy),請搜尋它並選取名稱旁的核取方塊。
+ 如果您計劃將執行個體加入由 管理的 Active Directory Directory Service,請搜尋 **AmazonSSMDirectoryServiceAccess**,然後選取其名稱旁的核取方塊。
+ 若您計劃使用 Eventbridge 或 CloudWatch Logs 來管理或監控您的執行個體,請搜尋 **CloudWatchAgentServerPolicy**,然後選取其名稱旁邊的核取方塊。
1. 選擇**下一步**。
1. 在 **Role name (角色名稱)** 中,輸入新執行個體設定檔的名稱,如 **SSMInstanceProfile**。
**注意**
請記下角色名稱。當您建立您想要使用 Systems Manager 管理的新執行個體時,將選擇此角色。
1. (選用) 在 **Description** (說明),更新此執行個體設定檔的說明。
1. (選用) 對於 **Tags** (標籤),新增一個或多個標籤鍵值組來整理、追蹤或控制存取此角色的存取權,然後選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
**若要將 Systems Manager 的執行個體設定檔許可新增到現有角色 (主控台)**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles** (角色),然後選擇您想要針對 Systems Manager 操作與執行個體設定檔建立關聯的現有角色。
1. 在 **Permissions** 索引標籤上,依序選擇 **Add permissions, Attach policies** (新增許可、連接政策)。
1. 在 **Attach policy** (連接政策) 頁面上,執行下列動作:
+ 使用 **Search** (搜尋) 欄位,找出 **AmazonSSMManagedInstanceCore** 政策。選取其名稱旁的核取方塊。
+ 如果您已建立自訂的 S3 儲存貯體政策,請加以搜尋並選取名稱旁的核取方塊。如需為執行個體設定檔自訂 S3 儲存貯體政策的相關資訊,請參閱 [(選用) 建立 S3 儲存貯體存取的自訂政策](#instance-profile-custom-s3-policy)。
+ 如果您計劃將執行個體加入由 管理的 Active Directory Directory Service,請搜尋 **AmazonSSMDirectoryServiceAccess**,然後選取其名稱旁的核取方塊。
+ 若您計劃使用 Eventbridge 或 CloudWatch Logs 來管理或監控您的執行個體,請搜尋 **CloudWatchAgentServerPolicy**,然後選取其名稱旁邊的核取方塊。
1. 選擇**連接政策**。
如需有關如何更新角色以包含信任實體或進一步限制存取的詳細資訊,請參閱 *IAM 使用者指南*中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
## (選用) 建立 S3 儲存貯體存取的自訂政策
唯有在 Systems Manager 操作中使用 VPC 端點或自有 S3 儲存貯體時,才需要為 Amazon Simple Storage Service (Amazon S3) 存取建立自訂政策。您可以將此政策連接至由預設主機管理組態所建立的預設 IAM 角色,或是您在上一個程序中建立的執行個體設定檔。
如需有關您在下列政策中提供存取權的 AWS 受管 S3 儲存貯體的資訊,請參閱 [SSM Agent 與 AWS 受管 S3 儲存貯體的通訊](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)。
1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 中開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create policy (建立政策)**。
1. 選擇 **JSON** 標籤,並預設文字取代為下列內容:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::aws-ssm-us-east-2/*",
"arn:aws:s3:::aws-windows-downloads-us-east-2/*",
"arn:aws:s3:::amazon-ssm-us-east-2/*",
"arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
"arn:aws:s3:::us-east-2-birdwatcher-prod/*",
"arn:aws:s3:::aws-ssm-distributor-file-us-east-2/*",
"arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
"arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
**注意**
唯有在您使用 VPC 端點時,才需要第一個 `Statement` 元素。
唯有在 Systems Manager 操作中使用您建立的 S3 儲存貯體時,才需要第二個 `Statement` 元素。
唯有在您計劃在其他帳戶中支援跨帳戶存取 S3 儲存貯體時,才需要 `PutObjectAcl` 存取控制清單許可。
如果您的 S3 儲存貯體設定為使用加密,則需要 `GetEncryptionConfiguration` 元素。
如果您的 S3 儲存貯體設定為使用加密,則 S3 儲存貯體根 (例如 `arn:aws:s3:::amzn-s3-demo-bucket`) 必須列在**資源**區段中。您的使用者、群組或角色必須設定為可存取根儲存貯體。
1. 如果您在操作中使用 VPC 端點,請執行下列動作:
在第一個 `Statement` 元素中,將每個*區域*預留位置取代為將使用此政策的 AWS 區域 的識別符。例如,對於美國東部 (俄亥俄) 區域,使用 `us-east-2`。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**資料欄。
**重要**
我們建議您避免在這個政策中的特定區域使用萬用字元 (\$1)。例如,使用 `arn:aws:s3:::aws-ssm-us-east-2/*` 而不使用 `arn:aws:s3:::aws-ssm-*/*`。使用萬用字元可能允許存取您不想授與存取權的 S3 儲存貯體。如果您要將執行個體設定檔用於多個區域,建議您為每個區域重複第一個 `Statement` 元素。
-或-
如果您在操作中不是使用 VPC 端點,您可以刪除第一個 `Statement` 元素。
1. 如果您在 Systems Manager 操作中使用自有的 S3 儲存貯體,請執行下列動作:
在第二個 `Statement` 元素中,將 *amzn-s3-demo-bucket* 取代為帳戶中的 S3 儲存貯體名稱。您將使用此儲存貯體來進行 Systems Manager 操作。它將使用 `"arn:aws:s3:::my-bucket-name/*"` 作為資源,為儲存貯體中的物件提供許可。如需有關對儲存貯體或儲存貯體中的物件提供許可的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的 [Amazon Simple Storage Service (Amazon S3) 動作](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html)主題與 AWS 部落格文章 [IAM 政策和儲存貯體政策以及 ACL!天啊!(控制 S3 資源的存取權)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)。
**注意**
如果您使用多個儲存貯體,請為每個儲存貯體提供 ARN。請參閱下列範例,了解儲存貯體的許可。
```
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
```
-或-
如果您在 Systems Manager 操作中不是使用自有的 S3 儲存貯體,您可以刪除第二個 `Statement` 元素。
1. 選擇下**一步:標籤**。
1. (選用) 透過選擇 **Add tag** (新增標籤),然後輸入政策的首選標籤來新增標籤。
1. 選擇下**一步:檢閱**。
1. 對於 **Name** (名稱),輸入識別此政策的名稱,例如 **SSMInstanceProfileS3Policy**。
1. 選擇**建立政策**。
## 受管執行個體的其他政策考量
本節介紹一些政策,您可以將這些政策新增至由預設主機管理組態所建立的預設 IAM 角色,或新增至 AWS Systems Manager的執行個體設定檔。若要提供執行個體和 Systems Manager API 間通訊的許可,建議考慮您系統需求和安全需求的自訂政策。視您的操作計劃而定,您可能需要其他一或多個政策所呈現的許可。
**政策:`AmazonSSMDirectoryServiceAccess`**
唯有在您計劃將 Windows Server 的 Amazon EC2 執行個體加入 Microsoft AD 目錄時,才需要這項政策。
此 AWS 受管政策允許 AWS Directory Service 代表您SSM Agent存取 ,以請求由受管執行個體加入網域。如需詳細資訊,請參閱《*AWS Directory Service 管理指南*》中的[無縫加入 Windows EC2 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)。
**政策:`CloudWatchAgentServerPolicy`**
唯有在您計劃在執行個體上安裝並執行 CloudWatch 代理程式,以讀取執行個體上的指標和日誌資料,並將其寫入 Amazon CloudWatch 時,才需要這項政策。這些可協助您監控、分析和快速回應 AWS 資源的問題或變更。
唯有在您將使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等功能時,由預設主機管理組態建立的預設 IAM 角色或執行個體設定檔才需要此政策。(您也可以建立更嚴格的政策,例如,限制特定 CloudWatch Logs 日誌串流的寫入存取)。
使用 EventBridge 和 CloudWatch Logs 功能為選用。然後,如果您已決定使用,則建議在 Systems Manager 組態程序開始時進行設定。如需詳細資訊,請參閱《[Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)》和《[Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)》。
若要建立提供對 Systems Manager 其他工具存取權的 IAM 政策,請參閱下列資源:
+ [使用 IAM 政策限制對 Parameter Store 參數的存取](sysman-paramstore-access.md)
+ [設定自動化](automation-setup.md)
+ [步驟 2:為 Session Manager 確認或新增執行個體許可](session-manager-getting-started-instance-profile.md)
## 將 Systems Manager 執行個體設定檔連接至執行個體 (主控台)
下列程序說明如何使用 Amazon EC2 主控台,將 IAM 執行個體設定檔連接至 Amazon EC2 執行個體。
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/):// 開啟 Amazon EC2 主控台。
1. 在導覽窗格的 **Instances (執行個體)** 下方,選擇 **Instances (執行個體)**。
1. 導覽並從清單選擇您的 EC2 執行個體。
1. 在 **Actions** (動作) 選單中,選擇 **Security** (安全性),然後選擇 **Modify IAM role** (修改 IAM 角色)。
1. 針對 **IAM role (IAM 角色)**,選取您使用[EC2 執行個體許可的替代組態](#instance-profile-add-permissions)中程序所建立的執行個體設定檔。
1. 選擇 **Update **IAM role**** (更新 IAM 角色)。
如需有關將 IAM 角色連接至執行個體的詳細資訊,請根據您所選的作業系統類型,選擇下列其中一項:
+ 《Amazon EC2 使用者指南》**中的 [Attach an IAM role to an instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)
+ 《Amazon EC2 使用者指南》**中的 [Attach an IAM role to an instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)
繼續進行[使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](setup-create-vpc.md)。
# 使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性
您可以將 AWS Systems Manager 設定為使用 Amazon Virtual Private Cloud (Amazon VPC) 中的介面 VPC 端點,以改善受管節點 (包括[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中non-EC2 機器) 的安全狀態。透過使用介面 VPC 端點 (介面端點),您可以連線至採用 技術的 服務 AWS PrivateLink。 AWS PrivateLink 是一種技術,可讓您使用私有 IP 地址私下存取 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager APIs。
AWS PrivateLink 會將受管執行個體、Systems Manager 和 Amazon EC2 之間的所有網路流量限制在 Amazon 網路。這意味著受管執行個體無法存取網際網路。如果您使用 AWS PrivateLink,則不需要網際網路閘道、NAT 裝置或虛擬私有閘道。
您不需要設定 AWS PrivateLink,但建議使用。如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱 [AWS PrivateLink 和 VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)。
**注意**
使用 VPC 端點的替代方案是在您的受管執行個體上啟用對外網際網路存取。在此情況下,受管執行個體也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:
`ssm.region.amazonaws.com`
`ssmmessages.region.amazonaws.com`
`ec2messages.region.amazonaws.com`
SSM Agent 會啟動到雲端中 Systems Manager 服務的所有連線。因此,您不需要將防火牆設定為允許 Systems Manager 將流量傳入到您的執行個體。
如需呼叫這些端點的詳細資訊,請參閱[參考:ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。
如果您在*僅*支援 IPv6 的環境中使用 Systems Manager,您還必須允許傳出流量到下列端點:
`ssm.region.api.aws`
`ssmmessages.region.api.aws`
`ec2messages.region.api.aws`
如需雙堆疊服務端點的詳細資訊,請參閱《 *AWS 一般參考指南*》中的[雙堆疊端點](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints)。
您還必須確保可從節點存取修補程式操作儲存貯體,如用於[修補操作的參考:Amazon S3 儲存貯](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-operations-s3-buckets.html)體中所述。
**Amazon VPC 簡介**
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在 內您自己的邏輯隔離區域中定義虛擬網路 AWS 雲端,稱為*虛擬私有雲端 (VPC)*。您可以在您的 VPC 中啟動 AWS 資源 (例如執行個體)。VPC 近似於您在自有資料中心內運作的傳統網路,卻能提供 AWS可擴展性基礎設施的效益。您可以設定您的 VPC;您可以選取其 IP 地址範圍、建立子網,以及設定路由表、網路閘道與安全設定。您可以將 VPC 中的執行個體連線至網際網路。您可以將 VPC 連接到自己的公司資料中心,讓資料中心 AWS 雲端 成為延伸。為了保護各個子網路的資源,您可使用多個安全性層級,包括安全群組及網路存取控制清單。如需詳細資訊,請參閱 [Amazon VPC 使用者指南](https://docs.aws.amazon.com/vpc/latest/userguide/)。
**Topics**
+ [VPC 端點的限制與局限](#vpc-requirements-and-limitations)
+ [若要建立 Systems Manager 的 VPC 端點](#create-vpc-endpoints)
+ [建立介面 VPC 端點政策](#create-vpc-interface-endpoint-policies)
## VPC 端點的限制與局限
在您設定 Systems Manager 的 VPC 端點之前,請注意以下的約束與限制。
**VPC 對等連線**
您可以透過*區域內*和*區域間* VPC 對等連線來存取 VPC 界面端點。如需 VPC 介面端點 VPC 對等互連連線請求的詳細資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的 [VPC 對等互連連線 (配額)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering)。
VPC 閘道端點連線不能延伸出 VPC。VPC 中 VPC 對等互連另一側的資源無法使用閘道端點與閘道端點服務中的資源通訊。如需 VPC 閘道端點 VPC 對等互連連線請求的詳細資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的 [VPC 端點 (配額)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-endpoints)。
**傳入連線**
連接到 VPC 端點的安全群組必須允許從受管執行個體的私有子網路透過 443 通訊埠傳入的連線。如果不允許傳入的連線,則受管執行個體無法連線到 SSM 和 EC2 端點。
**DNS 解析**
如果您使用自訂 DNS 伺服器,則必須為 VPC 的 Amazon DNS 伺服器的 `amazonaws.com` 網域查詢新增條件式轉寄站。
**S3 儲存貯體**
VPC 端點政策必須允許對至少 [SSM Agent 與 AWS 受管 S3 儲存貯體的通訊](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) 中所列 Amazon S3 儲存貯體的存取權。
**注意**
如果您使用內部部署防火牆並計劃使用 Patch Manager,則該防火牆也必須允許存取適當的修補基準端點。
**Amazon CloudWatch Logs**
如果您不允許執行個體存取網際網路,請為 CloudWatch Logs 建立 VPC 端點,以使用將日誌傳送至 CloudWatch Logs 的功能。如需有關建立 CloudWatch Logs 端點的詳細資訊,請參閱《*Amazon CloudWatch Logs 使用者指南*》中的[建立 CloudWatch Logs 的 VPC 端點](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs)。
**混合多雲端環境中的 DNS**
如需有關設定 DNS 以在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中使用 AWS PrivateLink 端點的資訊,請參閱《*Amazon VPC 使用者指南*》中的[介面端點的私有 DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-private-dns)。如果您想要使用自己的 DNS,可以使用 Route 53 Resolver。如需詳細資訊,請參閱《*Amazon Route 53 開發人員指南*》中的[在 VPC 和網路之間解析 DNS 查詢](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。
## 若要建立 Systems Manager 的 VPC 端點
使用下列資訊來建立 的 VPC 介面端點 AWS Systems Manager。本主題連結至《*Amazon VPC 使用者指南*》中的程序。
**注意**
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**資料欄。
請遵循[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)中的步驟來建立下列介面端點:
+ **`com.amazonaws.region.ssm`** – Systems Manager 服務的端點。
+ **`com.amazonaws.region.ec2messages`** – Systems Manager 使用此端點,從 SSM Agent 到 Systems Manager 服務進行呼叫。從 SSM Agent 3.3.40.0 版開始,Systems Manager 會在可用時開始使用 `ssmmessages:*` 端點 (Amazon Message Gateway Service),而不是 `ec2messages:*` 端點 (Amazon Message Delivery Service)。
+ **`com.amazonaws.region.ec2`** – 如果您使用 Systems Manager 來建立具備 VSS 功能的快照,則必須確定您擁有至 EC2 服務的端點。如果沒有定義 EC2 端點,則用來列舉所連接 Amazon EBS 磁碟區的呼叫會失敗,進而導致 Amazon Systems Manager 命令失敗。
+ **`com.amazonaws.region.s3`**:Systems Manager 會使用此端點更新 SSM Agent。如果您可以選擇擷取在儲存貯體中存放的指令碼或其他檔案,或將輸出日誌上傳到儲存貯體,則 Systems Manager 也會使用此端點。如果與執行個體關聯的安全群組限制傳出流量,您必須新增規則,以允許 Amazon Simple Storage Service (Amazon S3) 的字首清單的流量。如需詳細資訊,請參閱 *AWS PrivateLink 指南*中的[修改安全群組](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-security)。
+ **`com.amazonaws.region.ssmmessages`**:SSM Agent 要與 Systems Manager 服務通訊、進行Run Command,以及使用 Session Manager 透過安全資料管道連線至執行個體時,都需要此端點。如需詳細資訊,請參閱[AWS Systems Manager Session Manager](session-manager.md)及[參考:ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。
+ (選用) **`com.amazonaws.region.kms`** – 如果您想要對 Session Manager或 Parameter Store 參數使用 AWS Key Management Service (AWS KMS) 加密,請建立此端點。
+ (選用) **`com.amazonaws.region.logs`**:如果想使用適用於 Session Manager、Run Command 或 SSM Agent 日誌的 Amazon CloudWatch Logs (CloudWatch Logs),則請建立此端點。
如需SSM Agent必須能夠存取的 AWS 受管 S3 儲存貯體相關資訊,請參閱 [SSM Agent 與 AWS 受管 S3 儲存貯體的通訊](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)。如果您在 Systems Manager 操作中使用虛擬私有雲端 (VPC) 端點,則必須在適用於 Systems Manager 的 EC2 執行個體設定檔中提供明確許可,或在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 受管節點服務角色中提供明確許可。
## 建立介面 VPC 端點政策
您可以為 VPC 介面端點建立政策,您可以在 AWS Systems Manager 其中指定:
+ 可執行動作的委託人
+ 可執行的動作
+ 可對其執行動作的資源
如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
# 使用 Systems Manager 在混合多雲端環境中管理節點
您可以使用 AWS Systems Manager 來管理 Amazon Elastic Compute Cloud (EC2) 執行個體和多種non-EC2 機器類型。本節說明帳戶和系統管理員會執行的設定任務,以使用 Systems Manager 管理*[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)*環境中的非 EC2 機器。完成這些步驟後,管理員授予許可的使用者 AWS 帳戶 可以使用 Systems Manager 來設定和管理其組織的non-EC2 機器。
任何已設定為搭配 Systems Manager 使用的機器都稱為*受管節點*。
**注意**
您可以使用用於其他非 EC2 機器的混合啟用步驟,將邊緣裝置登錄為受管節點。這些類型的邊緣裝置包括 AWS IoT 裝置和裝置以外的 AWS IoT 裝置。使用本節所述程序來設定這些類型的邊緣裝置。
Systems Manager 也支援使用 AWS IoT Greengrass Core 軟體的邊緣裝置。 AWS IoT Greengrass 核心裝置的設定程序和需求與邊緣裝置以外的 AWS IoT 和 AWS 邊緣裝置不同。如需註冊 AWS IoT Greengrass 裝置以搭配 Systems Manager 使用的資訊,請參閱 [使用 Systems Manager 管理邊緣裝置](systems-manager-setting-up-edge-devices.md)。
Systems Manager 混合多雲端環境不支援非 EC2 macOS 機器。
如果您計劃使用 Systems Manager 來管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,或在混合多雲端環境中同時使用 Amazon EC2 執行個體和非 EC2 機器,請先遵照 [使用 Systems Manager 管理 EC2 執行個體](systems-manager-setting-up-ec2.md) 中的步驟操作。
設定 Systems Manager 的混合多雲端環境後,您可執行以下操作:
+ 建立一致且安全的方式,使用相同的工具或指令碼,從相同的位置遠端管理您的混合多雲端環境中的工作負載。
+ 使用 AWS Identity and Access Management (IAM) 集中控制可在機器上執行的動作。
+ 透過檢視 AWS CloudTrail中記錄的 API 活動,集中稽核在機器中執行的操作。
如需使用 CloudTrail 監控 Systems Manager 動作的相關資訊,請參閱[使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。
+ 透過設定 Amazon EventBridge 和 Amazon Simple Notification Service (Amazon SNS) 以傳送有關服務執行成功的通知,進而集中管理監控。
如需使用 EventBridge 監控 Systems Manager 事件的相關資訊,請參閱[使用 Amazon EventBridge 監控 Systems Manager](monitoring-eventbridge-events.md)。
**關於受管節點**
完成如本節所述為 Systems Manager 設定non-EC2 機器後,混合啟用的機器會列在 中 AWS 管理主控台 ,並描述為*受管節點*。在主控台中,混合模式受管節點的 ID 字首為 "mi-",有別於 Amazon EC2 執行個體。Amazon EC2 執行個體 ID 使用字首「i-」。
受管理節點是指針對 Systems Manager 設定的任何機器。以前,受管節點都稱為受管執行個體。術語*執行個體*現在僅指 EC2 執行個體。在此術語變更之前,命令命名為 [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)。
如需詳細資訊,請參閱[使用受管節點](fleet-manager-managed-nodes.md)。
**重要**
強烈建議您避免使用已達生命週期結束 (EOL) 的作業系統版本。包括 在內的作業系統廠商 AWS 通常不會為已達到 EOL 的版本提供安全修補程式或其他更新。繼續使用 EOL 系統可大幅提高無法套用升級的風險,包括安全性修正和其他操作問題。 AWS 不會在已達到 EOL 的作業系統版本上測試 Systems Manager 功能。
**關於執行個體方案**
Systems Manager 為混合多雲端環境中的非 EC2 受管節點提供 standard-instances 方案和 advanced-instances 方案。standard-instances 方案可讓您在每個 AWS 區域的每個 AWS 帳戶 中最多登錄 1,000 部啟用混合模式的機器。如果您需要在單一帳戶和區域中登錄 1,000 部以上的非 EC2 機器,則請使用 advanced-instances 方案。進階執行個體也可讓您使用 連線到non-EC2 機器 AWS Systems Manager Session Manager。 Session Manager提供受管節點的互動式 shell 存取。
如需詳細資訊,請參閱[設定執行個體方案](fleet-manager-configure-instance-tiers.md)。
**Topics**
+ [在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)
+ [建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)
+ [在混合 Linux 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-linux.md)
+ [在混合 Windows Server 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md)
# 在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色
[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中Non-EC2 (Amazon Elastic Compute Cloud) 機器需要 AWS Identity and Access Management (IAM) 服務角色才能與服務通訊 AWS Systems Manager 。該角色將 AWS Security Token Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信任授予給 Systems Manager 服務。您只需要為每個 AWS 帳戶建立一次適用於混合多雲端環境的服務角色。不過,如果混合多雲端環境中的機器需要不同的許可,則您可以選擇為不同的混合式啟用建立多個服務角色。
下列處理程序說明如何使用 Systems Manager 主控台或您慣用的命令列工具來建立所需的服務角色。
## 使用 AWS 管理主控台 為 Systems Manager 混合啟用建立 IAM 服務角色
按照下列程序為混合式啟用建立服務角色。此處理程序針對 Systems Manager 核心功能使用 `AmazonSSMManagedInstanceCore` 政策。視您的使用案例而定,您可能需要將其他政策新增至服務角色,讓內部部署機器能夠存取其他 Systems Manager 工具或 AWS 服務。例如,如果無法存取所需的 AWS 受管 Amazon Simple Storage Service (Amazon S3) 儲存貯體,Patch Manager修補操作會失敗。
**建立 服務角色 (主控台)**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Select trusted entity** (選擇信任的實體),請執行以下選項:
1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。
1. 針對**其他的使用案例 AWS 服務**,選擇 **Systems Manager**。
1. 選擇 **Systems Manager**。
下圖反白顯示了 Systems Manager 選項的位置。
![\[Systems Manager 是使用案例的選項之一。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. 選擇**下一步**。
1. 在 **Add permissions** (新增許可) 頁面上,執行以下作業:
+ 使用 **Search** (搜尋) 欄位,找出 **AmazonSSMManagedInstanceCore** 政策。選取其名稱旁的核取方塊,如下圖所示。
![\[核取方塊是在 AmazonSSMManagedInstanceCore 資料列中選取。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**注意**
即使您搜尋其他政策,主控台仍會保留您的選取項目。
+ 如果您在程序 [(選用) 建立 S3 儲存貯體存取的自訂政策](setup-instance-permissions.md#instance-profile-custom-s3-policy) 中已建立自訂 S3 儲存貯體政策,請搜尋它並選取名稱旁的核取方塊。
+ 如果您計劃將non-EC2 機器加入由 管理的 Active Directory Directory Service,請搜尋 **AmazonSSMDirectoryServiceAccess**,然後選取其名稱旁的核取方塊。
+ 若您計劃使用 Eventbridge 或 CloudWatch Logs 來管理或監控您的受管節點,請搜尋 **CloudWatchAgentServerPolicy**,然後選取其名稱旁邊的核取方塊。
1. 選擇**下一步**。
1. 針對**角色名稱**,為您的新 IAM 角色輸入名稱 (例如 **SSMServerRole**)。
**注意**
請記下角色名稱。當您註冊您想要使用 Systems Manager 管理的新機器時,將選擇此角色。
1. (選用) 對於**描述**,更新此 IAM 服務角色的描述。
1. (選用) 針對 **Tags** (標籤),新增一個或多個標籤鍵值組來組織、追蹤或控制對此角色的存取。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
## 使用 AWS CLI 為 Systems Manager 混合啟用建立 IAM 服務角色
按照下列程序為混合式啟用建立服務角色。此處理程序針對 Systems Manager 核心功能使用 `AmazonSSMManagedInstanceCore` 政策。視您的使用案例而定,您可能需要將其他政策新增至服務角色,讓[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 機器能夠存取其他工具或 AWS 服務。
**S3 儲存貯體政策要求**
在下列任一案例中,您必須先為 Amazon Simple Storage Service (Amazon S3) 儲存貯體建立自訂 IAM 許可政策,才能完成此程序:
+ **案例 1**:您使用 VPC 端點將 VPC 私下連線至支援的 AWS 服務 和採用 技術的 VPC 端點服務 AWS PrivateLink。
+ **案例 2** – 您計劃在 Systems Manager 操作過程中使用您建立的 Amazon S3 儲存貯體,例如將 Run Command 命令或 Session Manager 工作階段的輸出存放到 S3 儲存貯體。在繼續進行之前,請先遵循[為執行個體設定檔建立一個自訂 S3 儲存貯體政策](setup-instance-permissions.md#instance-profile-custom-s3-policy)中的步驟。該主題中的 S3 儲存貯體政策相關資訊也適用於您的服務角色。
------
#### [ AWS CLI ]
**建立適用於混合多雲端環境的 IAM 服務角色 (AWS CLI)**
1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請安裝並設定 。
如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。請務必在您建立混合啟用的 ARN AWS 區域 中指定 AWS 帳戶 和 。使用您的資訊取代帳戶 ID 和區域的*預留位置的值*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:111122223333:*"
}
}
}
]
}
```
------
1. 開啟 AWS CLI,並在您建立 JSON 檔案的目錄中執行 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) 命令來建立服務角色。此範例會建立名稱為 `SSMServiceRole` 的角色。如果您想要的話,可以選擇其他名稱。
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
```
------
1. 如下執行 [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) 命令,以允許您剛建立的服務角色建立工作階段字符。工作階段字符可讓受管節點具有使用 Systems Manager 執行命令的許可。
**注意**
您在混合多雲端環境中為受管節點的服務描述檔新增的政策,與用於為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立執行個體設定檔的政策相同。如需有關下列命令中所用 AWS 政策的詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許受管節點使用 AWS Systems Manager 服務核心功能。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
------
如果您已為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令,以允許 AWS Systems Manager 代理程式 (SSM Agent) 存取您在政策中指定的儲存貯體。使用您的 AWS 帳戶 ID 和儲存貯體名稱取代 *account-id* 和 *amzn-s3-demo-bucket*。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
```
------
(選用) 執行下列命令,SSM Agent以允許 Directory Service 代表您存取 ,讓受管節點加入網域的請求。只有在您將節點加入 Microsoft AD 目錄時,服務角色才需要此政策。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
------
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的受管節點上執行。此命令可讓您讀取節點的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務設定檔才需要此政策。
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
#### [ Tools for PowerShell ]
**建立適用於混合多雲端環境的 IAM 服務角色 (AWS Tools for Windows PowerShell)**
1. 如果您尚未安裝並設定 AWS Tools for PowerShell (Tools for Windows PowerShell)。
如需相關資訊,請參閱[安裝 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。請務必在您建立混合啟用的 ARN AWS 區域 中指定 AWS 帳戶 和 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. 在管理模式下開啟 PowerShell,並在您建立 JSON 檔案的目錄中如下所示執行 [New-IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html),以建立服務角色。此範例會建立名稱為 `SSMServiceRole` 的角色。如果您想要的話,可以選擇其他名稱。
```
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
1. 如下使用 [Register-IAMRolePolicy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html),以允許您建立的服務角色建立工作階段字符。工作階段字符可讓受管節點具有使用 Systems Manager 執行命令的許可。
**注意**
您在混合多雲端環境中為受管節點的服務描述檔新增的政策,與用於為 EC2 執行個體建立執行個體設定檔的政策相同。如需下列命令中使用的 AWS 政策詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許受管節點使用 AWS Systems Manager 服務核心功能。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
若您為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令以允許 SSM Agent 存取您在政策中指定的儲存貯體。將 *account-id* 和 *my-bucket-policy-name* 取代為您的 AWS 帳戶 ID 和儲存貯體名稱。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
```
(選用) 執行下列命令,SSM Agent以允許 Directory Service 代表您存取 ,讓受管節點加入網域的請求。只有在您將節點加入 Microsoft AD 目錄時,服務角色才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的受管節點上執行。此命令可讓您讀取節點的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務設定檔才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
繼續進行[建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)。
# 建立混合啟用,以向 Systems Manager 註冊節點
若要在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中將 Amazon Elastic Compute Cloud (EC2) 執行個體以外的機器設定為的受管節點,您可以建立並套用*混合啟用*。成功完成啟用之後,您會在主控台頁面頂部的*立即*收到啟用代碼和啟用 ID。當您在混合多雲端環境non-EC2 機器 AWS Systems Manager SSM Agent上安裝 時,您可以指定此程式碼和 ID 組合。代碼和 ID 可讓您從受管節點中安全地存取 Systems Manager 服務。
**重要**
Systems Manager 會立即將啟用代碼和 ID 傳回主控台或命令視窗,視您如何建立啟用而定。複製此資訊,並將其存放在安全的地方。如果您離開主控台或關閉命令視窗,您可能會遺失此資訊。如果您遺失此資訊,您必須建立新的啟用。
**關於啟用過期**
*啟用過期*是一個時段,您可以在這個時段中向 Systems Manager 註冊內部部署機器。過期的啟用不會對您先前向 Systems Manager 註冊的伺服器或虛擬機器產生任何影響。若啟用過期,您便無法使用該特定啟用向 Systems Manager 註冊更多伺服器或虛擬機器。您只能建立新的環境。
您之前註冊的每個內部部署伺服器和虛擬機器仍會註冊為 Systems Manager 受管節點,直到您明確將其取消註冊為止。您可以透過下列方式,取消註冊非 EC2 受管節點:
+ 在 Systems Manager 主控台的 Fleet Manager 中使用**受管節點**索引標籤
+ 使用 AWS CLI 命令 [https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)
+ 使用 API 動作 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)。
如需詳細資訊,請參閱下列主題
+ [取消註冊並重新註冊受管節點 (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister)
+ [取消註冊並重新註冊受管節點 (Windows Server)](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister)
**關於受管節點**
受管節點是針對 設定的任何機器 AWS Systems Manager。 AWS Systems Manager 支援 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、邊緣裝置和內部部署伺服器或 VMs,包括其他雲端環境中VMs。以前,受管節點都稱為受管執行個體。術語*執行個體*現在僅指 EC2 執行個體。在此術語變更之前,命令命名為 [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)。
**關於啟用標籤**
如果您使用 AWS Command Line Interface (AWS CLI) 或 建立啟用 AWS Tools for Windows PowerShell,則可以指定標籤。標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。以下是在美國東部 (俄亥俄) 區域,在包含選用標籤的本機 Linux 機器上執行 AWS CLI 的範例命令。
```
aws ssm create-activation \
--default-instance-name MyWebServers \
--description "Activation for Finance department webservers" \
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
--registration-limit 10 \
--region us-east-2 \
--tags "Key=Department,Value=Finance"
```
若您在建立啟用時指定標籤,那些標籤便會在您啟用它們時自動指派給您的受管節點。
您無法將標籤新增到現有的啟用,或是從現有的啟用刪除標籤。若您不希望使用啟用將標籤自動指派給您的現場部署伺服器和 VM,您可以稍後再為他們新增標籤。具體而言,您可以在內部部署伺服器和虛擬機器首次連線到 Systems Manager 後,為它們新增標籤。在它們連線後,便會被指派受管節點 ID,並在 Systems Manager 主控台中列出,其 ID 也會加上 "mi-" 字首。
**注意**
若您使用 Systems Manager 主控台建立啟用,則無法為其指派標籤。您必須使用 AWS CLI 或 Tools for Windows PowerShell 來建立它。
如果您不想再使用 Systems Manager 來管理內部部署伺服器或虛擬機器 (VM),您可以將其取消註冊。如需相關資訊,請參閱[取消註冊混合多雲端環境中的受管節點](fleet-manager-deregister-hybrid-nodes.md)。
**Topics**
+ [使用 AWS 管理主控台 建立啟用,以向 Systems Manager 註冊受管節點](#create-managed-node-activation-console)
+ [使用命令列建立啟用,以向 Systems Manager 註冊受管節點](#create-managed-node-activation-command-line)
## 使用 AWS 管理主控台 建立啟用,以向 Systems Manager 註冊受管節點
**建立受管節點啟用**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Hybrid Activations** (混合啟用)。
1. 選擇**建立啟用**。
-或-
如果您在目前 中第一次存取**混合啟用** AWS 區域,請選擇**建立啟用**。
1. (選用) 在 **Activation description** (啟用描述),輸入此啟用的描述。如果您計劃啟用大量伺服器和虛擬機器,則建議您輸入描述。
1. 針對**執行個體限制**,指定您要 AWS 在此啟用過程中向 註冊的節點總數。預設值為 1 個執行個體。
1. 對於 ** IAM 角色**,請選擇服務角色選項,讓您的伺服器和 VMs 在雲端 AWS Systems Manager 中與 通訊:
+ **選項 1**:選擇 **Use the default role created by the system** (使用系統建立的預設角色) 來使用 AWS提供的角色及受管理政策。
+ **選項 2**:選擇 **Select an existing custom IAM role that has the required permissions** (選取具有所需許可的現有自訂 IAM 角色),以使用您先前建立的選用自訂角色。此角色必須擁有可指定 `"Service": "ssm.amazonaws.com"` 的信任關係政策。如果您的 IAM 角色未在信任關係政策中指定此準則,您會收到下列錯誤:
```
An error occurred (ValidationException) when calling the CreateActivation
operation: Not existing role: arn:aws:iam:::role/SSMRole
```
如需建立此角色的詳細資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
1. 在 **Activation expiry date** (啟用過期日),指定啟用的過期日期。過期日期必須為未來的日期,不能超過 30 天。預設值為 24 小時。
**注意**
如果想要在過期日期之後註冊其他的受管節點,您必須建立新的啟用。該過期日期不會影響已經註冊與正在執行的節點。
1. (選用)對於 **Default instance name** (預設執行個體) 欄位,針對此啟用的所有相關受管節點指定要顯示的識別名稱值。
1. 選擇**建立啟用**。Systems Manager 會立即將啟用代碼和 ID 傳回主控台。
## 使用命令列建立啟用,以向 Systems Manager 註冊受管節點
下列程序說明如何使用 AWS Command Line Interface (AWS CLI) (在 Linux 或 上Windows Server) 或 AWS Tools for PowerShell 來建立受管節點啟用。
**建立啟用**
1. AWS Tools for PowerShell如果您尚未安裝和設定 AWS CLI 或 。
如需相關資訊,請參閱[安裝或更新 AWS CLI的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)和[安裝 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 執行以下命令來建立啟用。
**注意**
在下列命令中,用您自己的資訊取代*區域*。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
您為 *iam-role* 參數指定的角色必須擁有可指定 `"Service": "ssm.amazonaws.com"` 的信任關係政策。如果您的 AWS Identity and Access Management (IAM) 角色未在信任關係政策中指定此原則,您會收到下列錯誤:
```
An error occurred (ValidationException) when calling the CreateActivation
operation: Not existing role: arn:aws:iam:::role/SSMRole
```
如需建立此角色的詳細資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
對於 `--expiration-date`,以時間戳記格式提供日期,例如 `"2021-07-07T00:00:00"`,適用於啟用代碼到期時。您可以在 30 天前指定日期。如果您未提供過期日期,啟用代碼將在 24 小時內過期。
------
#### [ Linux & macOS ]
```
aws ssm create-activation \
--default-instance-name name \
--iam-role iam-service-role-name \
--registration-limit number-of-managed-instances \
--region region \
--expiration-date "timestamp" \\
--tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
```
------
#### [ Windows ]
```
aws ssm create-activation ^
--default-instance-name name ^
--iam-role iam-service-role-name ^
--registration-limit number-of-managed-instances ^
--region region ^
--expiration-date "timestamp" ^
--tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
```
------
#### [ PowerShell ]
```
New-SSMActivation -DefaultInstanceName name `
-IamRole iam-service-role-name `
-RegistrationLimit number-of-managed-instances `
–Region region `
-ExpirationDate "timestamp" `
-Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}
```
------
請見此處範例。
------
#### [ Linux & macOS ]
```
aws ssm create-activation \
--default-instance-name MyWebServers \
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
--registration-limit 10 \
--region us-east-2 \
--expiration-date "2021-07-07T00:00:00" \
--tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
```
------
#### [ Windows ]
```
aws ssm create-activation ^
--default-instance-name MyWebServers ^
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
--registration-limit 10 ^
--region us-east-2 ^
--expiration-date "2021-07-07T00:00:00" ^
--tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
```
------
#### [ PowerShell ]
```
New-SSMActivation -DefaultInstanceName MyWebServers `
-IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
-RegistrationLimit 10 `
–Region us-east-2 `
-ExpirationDate "2021-07-07T00:00:00" `
-Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}
```
------
若成功建立啟用,系統會立即傳回啟用代碼和 ID。
# 在混合 Linux 節點上安裝 SSM Agent
本主題說明如何在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中non-EC2 (Amazon Elastic Compute Cloud) Linux 機器上安裝 AWS Systems Manager SSM Agent 。如需有關在 EC2 Linux 執行個體上安裝 SSM Agent 的資訊,請參閱[在 Linux EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-linux.md)。
開始之前,請找出在混合啟用程序期間產生的啟用代碼和啟用 ID,如[建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)中所述。您需在下列程序中指定代碼和 ID。
**在混合多雲端環境中的非 EC2 機器上安裝 SSM Agent**
1. 登入混合多雲端環境中的伺服器或虛擬機器。
1. 如果您使用 HTTP 或 HTTPS 代理伺服器,則必須在目前的 Shell 工作階段中設定 `http_proxy` 或 `https_proxy` 環境變數。如果您不使用代理伺服器,則可以略過此步驟。
對於 HTTP 代理伺服器,請在命令列輸入下列命令:
```
export http_proxy=http://hostname:port
export https_proxy=http://hostname:port
```
對於 HTTPS 代理伺服器,請在命令列輸入下列命令:
```
export http_proxy=http://hostname:port
export https_proxy=https://hostname:port
```
1. 複製以下其中一個命令區塊並貼到 SSH。將預留位置值取代為混合啟用程序期間產生的啟用碼和啟用 ID,並將 取代為 AWS 區域 您要SSM Agent從中下載的識別符,然後按 `Enter`。
**重要**
請注意以下重要詳細資訊:
對非 EC2 安裝使用 `ssm-setup-cli`,可最大限度地提高 Systems Manager 安裝和組態的安全性。
如果您是根使用者,則不需要 `sudo`。
`ssm-setup-cli` 從與您的混合啟用建立位置 AWS 區域 相同的 下載。
`ssm-setup-cli` 支援用於確定代理程式下載來源的 `manifest-url` 選項。除非您的組織需要,否則請勿為此選項指定值。
註冊執行個體時,請僅使用為 `ssm-setup-cli` 提供的下載連結。`ssm-setup-cli` 不應單獨存放以供日後使用。
您可以使用[此處](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_linux.sh)提供的指令碼來驗證 `ssm-setup-cli` 的簽章。
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
此外,`ssm-setup-cli` 還包括下列選項:
+ `version`:有效值為 `latest` 和 `stable`。
+ `downgrade`:允許 SSM Agent 降級至較早的版本。指定 `true` 以安裝較早版本的代理程式。
+ `skip-signature-validation`:在下載和安裝代理程式期間略過簽章驗證。
## Amazon Linux 2、RHEL 7.x 和 Oracle Linux
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## RHEL 8.x
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## Debian Server
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## Ubuntu Server
+ **使用 .deb 套件**
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
+ **使用 Snap 套件**
您不需要指定 URL 以供下載,因為 `snap` 命令會自動從 [Snap 應用程式商店](https://snapcraft.io/amazon-ssm-agent)下載代理程式,網址為 [https://snapcraft.io](https://snapcraft.io)。
在 Ubuntu Server 20.04、18.04 和 16.04 LTS 上,SSM Agent 安裝程式檔案 (包括 Agent 二進位檔案和組態檔案) 存放在以下目錄中:`/snap/amazon-ssm-agent/current/`。如果您變更此目錄中的任何組態檔案,則必須將這些檔案從 `/snap` 目錄複製到 `/etc/amazon/ssm/` 目錄。日誌和程式庫檔案未變更 (`/var/lib/amazon/ssm`、`/var/log/amazon/ssm`)。
```
sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
```
**重要**
Snap 商店中的*候選*頻道包含最新版本的 SSM Agent,而不是穩定的頻道。如果您想追蹤候選頻道上的 SSM Agent 版本資訊,請在 Ubuntu Server 18.04 和 16.04 LTS 64 位元受管節點上執行下列命令。
```
sudo snap switch --channel=candidate amazon-ssm-agent
```
該命令會下載並安裝 SSM Agent 到混合多雲端環境中的啟用混合模式機器上。該命令會停止 SSM Agent,然後使用 Systems Manager 服務來註冊此機器。此機器現在是受管節點。為 Systems Manager 設定的 Amazon EC2 執行個體也是受管節點。不過,在 Systems Manager 主控台中,啟用混合模式節點的字首為 "mi-",有別於 Amazon EC2 執行個體。
繼續進行[在混合 Windows Server 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md)。
## 設定私有金鑰自動輪換
若要強化您的安全狀態,您可以設定 AWS Systems Manager Agent (SSM Agent) 自動輪換混合多雲端環境的私有金鑰。您可以使用 SSM Agent 3.0.1031.0 版或更新版本來存取此功能。使用下列程序開啟此功能。
**設定 SSM Agent 以輪換混合多雲端環境的私有金鑰**
1. 在 Linux 機器中導覽至 `/etc/amazon/ssm/`,或在 Windows 機器中導覽至 `C:\Program Files\Amazon\SSM`。
1. 將 `amazon-ssm-agent.json.template` 的內容複製到名為 `amazon-ssm-agent.json` 的新檔案。將 `amazon-ssm-agent.json` 儲存在 `amazon-ssm-agent.json.template` 所在的相同目錄中。
1. 查找 `Profile`、`KeyAutoRotateDays`。輸入您想要的自動私有金鑰輪換之間的天數。
1. 重新啟動 SSM Agent。
每次變更組態時,請重新啟動 SSM Agent。
您可以使用相同的程序來自訂 SSM Agent 的其他功能。如需可用組態屬性及其預設值的最新清單,請參閱[組態屬性定義](https://github.com/aws/amazon-ssm-agent#config-property-definitions)。
## 取消註冊並重新註冊受管節點 (Linux)
您可以從 AWS CLI 或 Tools for Windows PowerShell 呼叫 [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html) API 操作,取消註冊混合啟用的受管節點。以下是範例 CLI 命令:
`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`
若要移除代理程式的剩餘註冊資訊,請移除 `amazon-ssm-agent.json` 檔案中的 `IdentityConsumptionOrder` 索引鍵。接著,根據您的執行個體類型,執行下列其中一個命令。
在使用 Snap 套件安裝 SSM Agent 的 Ubuntu Server 節點上:
```
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear
```
在所有其他 Linux 安裝上:
```
amazon-ssm-agent -register -clear
```
**注意**
只要您尚未達到指定啟用代碼和 ID 的執行個體限制,您就可以使用相同的啟用代碼和 ID,重新註冊內部部署伺服器、邊緣裝置或 VM。您可以使用 AWS CLI呼叫 [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API,來驗證啟用代碼和 ID 的執行個體限制。執行命令後,驗證 `RegistrationCount` 的值是否不超過 `RegistrationLimit`。如果超過,您必須使用其他啟用代碼和 ID。
**在非 EC2 Linux 機器上重新註冊受管節點**
1. 連線至您的機器。
1. 執行下列命令。務必使用您在建立受管節點啟用時產生的啟用代碼和啟用 ID 以及您想要從中下載 SSM Agent 的區域識別碼,取代預留位置的值。
```
echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region
```
## 診斷並解決在 EC2 Linux 機器上安裝 SSM Agent 的問題
使用以下資訊,解決在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的啟用混合模式 Linux 機器上安裝 SSM Agent 的問題。
### 您會收到 DeliveryTimedOut 錯誤
**問題**:將機器設定為個別的 AWS 帳戶 受管節點時 AWS 帳戶,您會在執行要在目標機器SSM Agent上安裝的命令`DeliveryTimedOut`後收到 。
**解決方案**:`DeliveryTimedOut` 是此情況的預期回應代碼。在目標節點上安裝 SSM Agent 的命令會變更來源節點的節點 ID。因為節點 ID 已變更,所以來源節點無法回覆在執行時命令已失敗、已完成或已逾時的目標節點。
### 無法載入節點關聯
**問題**:執行安裝命令之後,您會在 SSM Agent 錯誤日誌中看到下列錯誤:
`Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match`
如果機器 ID 在重新開機後未持續存在,則會看到此錯誤。
**解決方案**:若要解決此問題,請執行下列命令。此命令會強制機器 ID 在重新開機後持續存在。
```
umount /etc/machine-id
systemd-machine-id-setup
```
# 在混合 Windows Server 節點上安裝 SSM Agent
本主題說明如何在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的Windows Server機器上安裝 AWS Systems Manager SSM Agent 。如需在 EC2 執行個體上針對 Windows Server 安裝 SSM Agent,請參閱 [在 Windows Server EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-windows.md)。
開始之前,請找出在混合啟用程序期間產生的啟用代碼和啟用 ID,如[建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)中所述。您需在下列程序中指定代碼和 ID。
**在混合多雲端環境中的非 EC2 Windows Server 機器上安裝 SSM Agent**
1. 登入混合多雲端環境中的伺服器或虛擬機器。
1. 如果您使用 HTTP 或 HTTPS 代理伺服器,則必須在目前的 Shell 工作階段中設定 `http_proxy` 或 `https_proxy` 環境變數。如果您不使用代理伺服器,則可以略過此步驟。
對於 HTTP 代理伺服器,請設定此變數:
```
http_proxy=http://hostname:port
https_proxy=http://hostname:port
```
對於 HTTPS 代理伺服器,請設定此變數:
```
http_proxy=http://hostname:port
https_proxy=https://hostname:port
```
對於 PowerShell,設定 WinINet 代理設定:
```
[System.Net.WebRequest]::DefaultWebProxy
$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)
[System.Net.WebRequest]::DefaultWebProxy = $WebProxy
```
**注意**
PowerShell 操作需要 WinINet 代理組態。如需詳細資訊,請參閱[SSM Agent 代理設定和 Systems Manager 服務](configure-proxy-ssm-agent-windows.md#ssm-agent-proxy-services)。
1. 以高階 (管理) 模式開啟 Windows PowerShell。
1. 複製以下命令區塊並貼到 Windows PowerShell。將每個*範例資源預留位置*取代為您自己的資訊。例如,當您建立混合啟用時產生的啟用碼和啟用 ID,以及 AWS 區域 您要SSM Agent從中下載的識別符。
**重要**
請注意以下重要詳細資訊:
對非 EC2 安裝使用 `ssm-setup-cli`,可最大限度地提高 Systems Manager 安裝和組態的安全性。
`ssm-setup-cli` 支援用於確定代理程式下載來源的 `manifest-url` 選項。除非您的組織需要,否則請勿為此選項指定值。
您可以使用[此處](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_windows.ps1)提供的指令碼來驗證 `ssm-setup-cli` 的簽章。
註冊執行個體時,請僅使用為 `ssm-setup-cli` 提供的下載連結。`ssm-setup-cli` 不應單獨存放以供日後使用。
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
此外,`ssm-setup-cli` 還包括下列選項:
+ `version`:有效值為 `latest` 和 `stable`。
+ `downgrade`:將代理程式還原為較早版本。
+ `skip-signature-validation`:在下載和安裝代理程式期間略過簽章驗證。
------
#### [ 64-bit ]
```
[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
```
------
1. 按 `Enter` 鍵。
**注意**
如果命令失敗,請確認您正在執行最新版本的 AWS Tools for PowerShell。
命令會執行下列動作:
+ 將 SSM Agent 下載並安裝到機器上。
+ 向 Systems Manager 服務註冊機器。
+ 傳回類似如下的請求回應:
```
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 07/07/2018 8:07 PM ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
Status : Running
Name : AmazonSSMAgent
DisplayName : Amazon SSM Agent
```
此機器現在是*受管節點*。這些受管節點現在會使用字首 "mi-" 進行標識。您可以使用 AWS CLI 命令 Fleet Manager或使用 API 命令 [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html),在 的**受管節點**頁面上檢視受管節點[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html)。
## 設定私有金鑰自動輪換
若要強化您的安全狀態,您可以設定 AWS Systems Manager Agent (SSM Agent) 自動輪換混合多雲端環境的私有金鑰。您可以使用 SSM Agent 3.0.1031.0 版或更新版本來存取此功能。使用下列程序開啟此功能。
**設定 SSM Agent 以輪換混合多雲端環境的私有金鑰**
1. 在 Linux 機器中導覽至 `/etc/amazon/ssm/`,或在 Windows Server 機器中導覽至 `C:\Program Files\Amazon\SSM`。
1. 將 `amazon-ssm-agent.json.template` 的內容複製到名為 `amazon-ssm-agent.json` 的新檔案。將 `amazon-ssm-agent.json` 儲存在 `amazon-ssm-agent.json.template` 所在的相同目錄中。
1. 查找 `Profile`、`KeyAutoRotateDays`。輸入您想要的自動私有金鑰輪換之間的天數。
1. 重新啟動 SSM Agent。
每次變更組態時,請重新啟動 SSM Agent。
您可以使用相同的程序來自訂 SSM Agent 的其他功能。如需可用組態屬性及其預設值的最新清單,請參閱[組態屬性定義](https://github.com/aws/amazon-ssm-agent#config-property-definitions)。
## 取消註冊並重新註冊受管節點 (Windows Server)
您可以從 AWS CLI 或 Tools for Windows PowerShell 呼叫 [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html) API 操作來取消註冊受管節點。以下是範例 CLI 命令:
`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`
若要移除代理程式的剩餘註冊資訊,請移除 `amazon-ssm-agent.json` 檔案中的 `IdentityConsumptionOrder` 索引鍵。然後執行以下命令:
`amazon-ssm-agent -register -clear`
**注意**
只要您尚未達到指定啟用代碼和 ID 的執行個體限制,您就可以使用相同的啟用代碼和 ID,重新註冊內部部署伺服器、邊緣裝置或 VM。您可以使用 AWS CLI呼叫 [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API,來驗證啟用代碼和 ID 的執行個體限制。執行命令後,驗證 `RegistrationCount` 的值是否不超過 `RegistrationLimit`。如果超過,您必須使用其他啟用代碼和 ID。
**若要在 Windows Server 混合機器中重新註冊受管節點**
1. 連線至您的機器。
1. 執行下列命令。務必使用您在建立混合啟用時產生的啟用代碼和啟用 ID 以及您想要從中下載 SSM Agent 的區域識別碼,取代預留位置的值。
```
$dir = $env:TEMP + "\ssm"
cd $dir
Start-Process ./ssm-setup-cli.exe -ArgumentList @(
"-register",
"-activation-code=$code",
"-activation-id=$id",
"-region=$region"
) -Wait -NoNewWindow
```
# 使用 Systems Manager 管理邊緣裝置
本節說明帳戶和系統管理員為了啟用 AWS IoT Greengrass 核心裝置的組態和管理而執行的設定任務。完成這些任務後,管理員授予許可的使用者 AWS 帳戶 可以使用 AWS Systems Manager 來設定和管理其組織 AWS IoT Greengrass 的核心裝置。
**注意**
SSM Agent macOS和 Windows 10 AWS IoT Greengrass 不支援 的 。您無法使用 Systems Manager 的各種工具來管理和設定使用這些作業系統的邊緣裝置。
Systems Manager 也支援未設定為 AWS IoT Greengrass 核心裝置的邊緣裝置。若要使用 Systems Manager 管理 AWS IoT 核心裝置和非AWS 邊緣裝置,您必須使用混合啟用來設定它們。如需詳細資訊,請參閱[使用 Systems Manager 在混合多雲端環境中管理節點](systems-manager-hybrid-multicloud.md)。
使用 Session Manager 和 Microsoft 應用程式修補您的邊緣裝置,您必須啟用進階執行個體層。如需詳細資訊,請參閱[開啟 advanced-instances 方案](fleet-manager-enable-advanced-instances-tier.md)。
**開始之前**
確認邊緣裝置符合下列需求。
+ 您的邊緣裝置必須符合要求,才能設定為 AWS IoT Greengrass 核心裝置。如需詳細資訊,請參閱《 *AWS IoT Greengrass Version 2 開發人員指南*》中的[設定 AWS IoT Greengrass 核心裝置](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html)。
+ 您的邊緣裝置必須與 AWS Systems Manager 代理程式 () 相容SSM Agent。如需詳細資訊,請參閱[Systems Manager 支援的作業系統](operating-systems-and-machine-types.md#prereqs-operating-systems)。
+ 邊緣裝置必須能與雲端的 Systems Manager 服務進行通訊。Systems Manager 不支援中斷連線的邊緣裝置。
**關於設定邊緣裝置**
設定 Systems Manager AWS IoT Greengrass 的裝置包含下列程序。
**注意**
如需有關SSM Agent從邊緣裝置解除安裝 的資訊,請參閱[《 開發人員指南》中的解除安裝 AWS Systems Manager 代理](https://docs.aws.amazon.com/greengrass/v2/developerguide/uninstall-systems-manager-agent.html)程式。 *AWS IoT Greengrass Version 2 *
## 為邊緣裝置建立 IAM 服務角色
AWS IoT Greengrass 核心裝置需要 AWS Identity and Access Management (IAM) 服務角色才能與 通訊 AWS Systems Manager。角色會將[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)信任授予 Systems Manager 服務 AWS Security Token Service (AWS STS)。您只需要為每個 AWS 帳戶建立一次服務角色。當您設定和部署SSM Agent元件至 AWS IoT Greengrass 裝置時,您會為 `RegistrationRole` 參數指定此角色。如果您在針對[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境設定非 EC2 節點時已建立此角色,則可以略過此步驟。
**注意**
必須在 IAM 中為將在邊緣裝置上使用 Systems Manager 的公司或組織使用者授予呼叫 Systems Manager API 的許可。
**S3 儲存貯體政策要求**
在下列任一案例中,您必須先為 Amazon Simple Storage Service (Amazon S3) 儲存貯體建立自訂 IAM 許可政策,才能完成此程序:
+ **案例 1**:您使用 VPC 端點將 VPC 私下連線至支援的 AWS 服務 和採用 技術的 VPC 端點服務 AWS PrivateLink。
+ **案例 2**:您計劃在 Systems Manager 操作過程中使用您建立的 S3 儲存貯體,例如將 Run Command 命令或 Session Manager 工作階段的輸出儲存到 S3 儲存貯體。在繼續進行之前,請先遵循[為執行個體設定檔建立一個自訂 S3 儲存貯體政策](setup-instance-permissions.md#instance-profile-custom-s3-policy)中的步驟。該主題中的 S3 儲存貯體政策相關資訊也適用於您的服務角色。
**注意**
如果您的裝置受到防火牆保護,且您計劃使用 Patch Manager,則防火牆必須允許存取修補基準端點 `arn:aws:s3:::patch-baseline-snapshot-region/*`。
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
------
#### [ AWS CLI ]
**為 AWS IoT Greengrass 環境建立 IAM 服務角色 (AWS CLI)**
1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請安裝並設定 。
如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。
**注意**
記下名稱。您將在部署SSM Agent到 AWS IoT Greengrass 核心裝置時指定它。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
```
------
1. 開啟 AWS CLI,並在您建立 JSON 檔案的目錄中執行 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) 命令來建立服務角色。將每個*範例資源預留位置*取代為您自己的資訊。
**Linux 與 macOS**
```
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
```
**Windows**
```
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
```
1. 如下執行 [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) 命令,以允許您剛建立的服務角色建立工作階段字符。工作階段字符可讓邊緣裝置具有使用 Systems Manager 執行命令的許可。
**注意**
您為邊緣裝置的服務設定檔新增的政策,與用於為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立執行個體設定檔的政策相同。如需有關下列命令中所用 IAM 政策的詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許邊緣裝置使用 AWS Systems Manager 服務核心功能。
**Linux 與 macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
如果您已為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令,以允許 AWS Systems Manager 代理程式 (SSM Agent) 存取您在政策中指定的儲存貯體。將 *account-ID* 和 *my-bucket-policy-name* 取代為您的 AWS 帳戶 ID 和儲存貯體名稱。
**Linux 與 macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name
```
(選用) 執行下列命令以允許 SSM Agent 代表您存取 Directory Service ,以請求從邊緣設置加入網域。只有在您將邊緣裝置加入 Microsoft AD 目錄時,服務角色才需要此政策。
**Linux 與 macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的邊緣裝置上執行。此命令可讓您讀取裝置的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務角色才需要此政策。
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
#### [ Tools for PowerShell ]
**為 AWS IoT Greengrass 環境建立 IAM 服務角色 (AWS Tools for Windows PowerShell)**
1. 如果您尚未安裝並設定 AWS Tools for PowerShell (Tools for Windows PowerShell)。
如需相關資訊,請參閱[安裝 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。
**注意**
記下名稱。您將在部署SSM Agent到 AWS IoT Greengrass 核心裝置時指定它。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
```
------
1. 在管理模式下開啟 PowerShell,並在您建立 JSON 檔案的目錄中如下所示執行 [New-IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html),以建立服務角色。
```
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
1. 如下使用 [Register-IAMRolePolicy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html),以允許您建立的服務角色建立工作階段字符。工作階段字符可讓邊緣裝置具有使用 Systems Manager 執行命令的許可。
**注意**
您在 AWS IoT Greengrass 環境中為邊緣裝置之服務角色新增的政策,與用於為 EC2 執行個體建立執行個體設定檔的政策相同。如需下列命令中使用的 AWS 政策詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許邊緣裝置使用 AWS Systems Manager 服務核心功能。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
若您為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令以允許 SSM Agent 存取您在政策中指定的儲存貯體。將 *account-ID* 和 *my-bucket-policy-name* 取代為您的 AWS 帳戶 ID 和儲存貯體名稱。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
(選用) 執行下列命令以允許 SSM Agent 代表您存取 Directory Service ,以請求從邊緣設置加入網域。只有在您將邊緣裝置加入 Microsoft AD 目錄時,服務角色才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的邊緣裝置上執行。此命令可讓您讀取裝置的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務角色才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
## 設定 的邊緣裝置 AWS IoT Greengrass
將您的邊緣裝置設定為 AWS IoT Greengrass 核心裝置。設定程序涉及驗證支援的作業系統和系統需求,以及在您的裝置上安裝和設定 AWS IoT Greengrass 核心軟體。如需詳細資訊,請參閱《*AWS IoT Greengrass Version 2 開發人員指南*》中的[設定 AWS IoT Greengrass 核心裝置](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html)。
## 更新 AWS IoT Greengrass 權杖交換角色,並在SSM Agent您的邊緣裝置上安裝
設定和設定 Systems Manager AWS IoT Greengrass 核心裝置的最終步驟需要您更新 AWS IoT Greengrass AWS Identity and Access Management (IAM) 裝置服務角色,也稱為*字符交換角色*,並將 AWS Systems Manager 代理程式 (SSM Agent) 部署至 AWS IoT Greengrass 您的裝置。如需有關這些程序的詳細資訊,請參閱《AWS IoT Greengrass Version 2 開發人員指南》**中的[安裝 AWS Systems Manager Agent](https://docs.aws.amazon.com/greengrass/v2/developerguide/install-systems-manager-agent.html) 一節。
部署SSM Agent至裝置後, AWS IoT Greengrass 會自動向 Systems Manager 註冊您的裝置。不需要額外註冊。您可以開始使用 Systems Manager 工具來存取、管理和設定 AWS IoT Greengrass 您的裝置。
**注意**
邊緣裝置必須能與雲端的 Systems Manager 服務進行通訊。Systems Manager 不支援中斷連線的邊緣裝置。
# 為 Systems Manager 建立 AWS Organizations 委派管理員
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
當您在 中設定組織時 AWS Organizations,您可以指派管理帳戶來執行所有 的所有管理任務 AWS 服務。管理帳戶使用者只能為 Systems Manager 指派*委派的管理員帳戶*,以執行 Change Manager、 Explorer和 的管理任務OpsCenter。 AWS Organizations 是一種帳戶管理服務,可用來建立組織並指派 AWS 帳戶 以集中管理這些帳戶。如需 的詳細資訊 AWS Organizations,請參閱*AWS Organizations 《 使用者指南*[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)》中的 。
Change ManagerExplorer、 和 OpsCenter中的工具與 合作 AWS Systems Manager, AWS Organizations 在組織的所有成員帳戶上執行任務。您只能為 Systems Manager 的所有工具指派一個委派管理員。委派管理員帳戶必須是指派給組織的成員。
**Topics**
+ [將委派管理員與 Change Manager 搭配使用](#setting_up_delegated_administrator_change_manager)
+ [將委派管理員與 Explorer 搭配使用](#setting_up_delegated_administrator_explorer)
+ [將委派管理員與 OpsCenter 搭配使用](#setting_up_delegated_administrator_opscenter)
+ [將委派管理員與 Quick Setup 搭配使用](#setting_up_delegated_administrator_quick_setup)
## 將委派管理員與 Change Manager 搭配使用
Change Manager 是一個企業變更管理架構,用於請求、核准、實作和報告應用程式組態和基礎設施的操作變更。
如果您在整個組織中使用 Change Manager,請指派受委派管理員帳戶來管理所有成員帳戶的變更範本、核准和報告。藉助Quick Setup,您可以設定 Change Manager 與組織搭配使用,以及選取委派管理員帳戶。如果您使用 Change Manager搭配單一 AWS 帳戶,則不需要委派的管理員帳戶。
依預設,Change Manager 會在受委派管理員帳戶中顯示所有變更相關任務。如需在為組織設定 Change Manager 時設定受委派管理員的指示,請參閱 [設定適用於組織的 Change Manager (管理帳戶)](change-manager-organization-setup.md)。
**重要**
如果您在整個組織中使用 Change Manager,我們建議始終從委派管理員帳戶進行變更。雖然您可以從組織中的其他帳戶進行變更,但這些變更將不會在受委派管理員帳戶中報告,也不可在其中檢視。
## 將委派管理員與 Explorer 搭配使用
Explorer 是可自訂的操作儀表板,可報告跨 的操作資料 (OpsData) 的彙總檢視 AWS 帳戶 AWS 區域。
您可以設定 Systems Manager 的委派管理員帳戶,透過使用資源Explorer資料同步來彙總來自多個區域和帳戶的資料 AWS Organizations。委派管理員可以使用 、 AWS Command Line Interface (AWS CLI) 或 來搜尋 AWS 管理主控台、篩選和彙總Explorer資料 AWS Tools for Windows PowerShell。
當您將受委派管理員帳戶用於 Explorer 時,您會限制可建立或刪除與個別 AWS 帳戶的多帳戶和區域資源資料同步的管理員數目。
您可以使用 同步 AWS 帳戶 組織中所有 的操作資料Explorer。如需如何從 Explorer 指派受委派管理員的資訊,請參閱 [設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
## 將委派管理員與 OpsCenter 搭配使用
OpsCenter 提供中央位置,讓營運工程師和 IT 專業人員可以管理與 AWS 資源相關的操作工作項目 (OpsItems)。如果您想要使用 OpsCenter 跨帳戶集中管理 OpsItems,則必須在 AWS Organizations中設定組織。
為 OpsCenter 使用 Quick Setup 時,您可以指派受委派管理員帳戶,並設定 OpsCenter 以集中管理 OpsItems。如需詳細資訊,請參閱[(選用) 使用 Quick Setup 設定 OpsCenter 以跨帳戶管理 OpsItems](OpsCenter-quick-setup-cross-account.md)。
## 將委派管理員與 Quick Setup 搭配使用
Quick Setup 是 Systems Manager 中的工具,可透過建議最佳實務協助您快速設定常用的 AWS 服務和功能。您可以為 設定委派管理員帳戶Quick Setup,以協助您使用 跨帳戶和區域部署和管理組態 AWS Organizations。Quick Setup 的委派管理員可以建立、更新、檢視和刪除組織中的組態管理員資源。在整合式主控台體驗設定程序中,Systems Manager 會為 Quick Setup 註冊委派管理員。如需詳細資訊,請參閱[為組織設定 Systems Manager 統一主控台](systems-manager-setting-up-organizations.md)。
## 的一般設定 AWS Systems Manager
如果您尚未這麼做,請註冊 AWS 帳戶 並建立管理使用者。
### 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
### 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。