AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為組織設定 Systems Manager 統一主控台
只需按幾下滑鼠,即可從 AWS 管理主控台 完成 Systems Manager 統一主控台體驗的設定程序。若要為 AWS Organizations 組織設定 Systems Manager,您必須擁有組織管理帳戶的存取權以及組織中另一個帳戶的存取權,才能以委派管理員的身分使用。只有在啟用或停用 Systems Manager 時,才需要管理帳戶的存取權。若要管理節點,您應使用委派管理員帳戶。
先決條件
管理整個組織的節點時,Systems Manager 會使用各種相依服務來設定和增強統一主控台的功能。因此,Systems Manager 必須啟用受信任的存取,以及註冊下列服務的委派管理員帳戶:
-
AWS CloudFormation:將 Systems Manager 所需的資源部署至帳戶。
-
AWS 資源總管:搜尋和篩選帳戶中的 EC2 執行個體。
-
AWS Systems Manager Explorer:監控帳戶中為 Systems Manager 部署的資源的運作狀態以及進行故障診斷。
-
AWS Systems Manager Quick Setup:將 Systems Manager 所需的 Quick Setup 組態部署至帳戶。
開始之前,請確定自己尚未超過任何這些相依服務的委派管理員配額。否則,您無法註冊在啟用 Systems Manager 時所需的委派管理員帳戶。在為組織啟用 Systems Manager 時,組織中的每個帳戶都包含在內。目前沒有將帳戶從設定程序排除的佈建。啟用 Systems Manager 時,您可以選擇要包含的 AWS 區域。只能選取目前支援 Systems Manager 整合式主控台的區域。若要進一步了解推出主控台體驗的區域,請參閱支援的 AWS 區域。
統一主控台資源
Systems Manager 整合式主控台的設定程序會為您完成許多先決條件任務。根據您選擇設定的功能,先決條件任務包括啟用預設主機管理組態,為您的節點提供必要的 IAM 許可等等。以下是 Systems Manager 為統一主控台建立的資源的詳細清單。根據您選擇設定的功能,可能不會建立某些資源。
AWS 資源總管 受管的檢視
-
AWSManagedViewForSSM– 允許 Systems Manager 存取由資源總管為您的組織編製索引的資源資訊。這些受管檢視只能由 Systems Manager 更新或刪除。這表示如果您要刪除受管檢視或關閉資源總管,您必須停用整合式主控台。如需有關停用整合式主控台的詳細資訊,請參閱停用 Systems Manager 統一主控台。如需有關受管檢視的詳細資訊,請參閱 Resource Explorer User Guide 中的 AWS Managed Views。注意
如果您已在與主區域不同的區域中建立適用於 Resource Explorer 的彙總工具索引,則 Systems Manager 會降級目前的索引。然後,Systems Manager 會將主區域中的本機索引提高為新的彙總工具索引。在此期間,系統僅會顯示主區域的節點。此程序最長需要 24 小時才能完成。
IAM 角色
-
RoleForOnboardingAutomation:允許 Systems Manager 在設定程序期間管理資源。如需有關政策的詳細資訊,請參閱 AWSQuickSetupSSMManageResourcesExecutionPolicy。 -
RoleForLifecycleManagement:允許 Lambda 管理設定程序所建立的資源生命週期。如需有關政策的詳細資訊,請參閱 AWSQuickSetupSSMLifecycleManagementExecutionPolicy。 -
RoleForAutomation:Systems Manager Automation 在執行執行手冊時所擔任的服務角色。如需更多詳細資訊,請參閱 使用主控台建立用於自動化的服務角色。 -
AWSSSMDiagnosisAdminRole:管理角色,用來啟動可使用診斷執行手冊的自動化。如需有關政策的詳細資訊,請參閱 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy、AWS-SSM-Automation-DiagnosisBucketPolicy 和 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy。 -
AWSSSMDiagnosisExecutionRole:診斷執行手冊的自動化執行角色。如需有關政策的詳細資訊,請參閱 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 和 AWS-SSM-Automation-DiagnosisBucketPolicy。 -
AWSSSMRemediationAdminRole:管理角色,用來啟動可使用修復執行手冊的自動化。如需有關政策的詳細資訊,請參閱 AWS-SSM-RemediationAutomation-AdministrationRolePolicy、AWS-SSM-Automation-DiagnosisBucketPolicy 和 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy。 -
AWSSSMRemediationExecutionRole:修復執行手冊的自動化執行角色。如需有關政策的詳細資訊,請參閱 AWS-SSM-RemediationAutomation-ExecutionRolePolicy 和 AWS-SSM-Automation-DiagnosisBucketPolicy。 -
ManagedInstanceCrossAccountManagementRole:允許 Systems Manager 跨帳戶收集受管節點資訊。
State Manager 關聯
-
EnableDHMCAssociation:每天執行一次,確保預設主機管理組態已啟用。 -
SystemAssociationForEnablingExplorer:每天執行一次,確保 Explorer 已啟用。Explorer 會用於同步受管節點中的資料。 -
EnableAREXAssociation:每天執行一次,確保 AWS 資源總管 已啟用。Resource Explorer 會用於判斷組織中的哪些 Amazon EC2 執行個體不是由 Systems Manager 管理。 -
SSMAgentUpdateAssociation:每 14 天執行一次,確保最新的 SSM Agent 可用版本已安裝在受管節點。 -
SystemAssociationForInventoryCollection:每 12 小時執行一次,從受管節點收集庫存資料。
S3 儲存貯體
-
DiagnosisBucket:存放從診斷執行手冊執行所收集的資料。
Lambda 函數
-
SSMLifecycleOperatorLambda:允許主體存取所有 AWS Systems Manager 快速設定 動作。 -
SSMLifecycleResource:自訂資源,協助管理設定程序所建立的資源的生命週期。
此外,在設定程序完成後,您可以選取診斷和修復節點任務,自動將修正套用至節點 (這些節點未報告為由 Systems Manager 管理)。這可能包括識別問題,例如 Systems Manager 端點的網路連線問題。如需更多詳細資訊,請參閱 診斷和修復。
設定整合式主控台
設定組織的 Systems Manager
-
登入組織的管理帳戶。
開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的主控台。https://console.aws.amazon.com/systems-manager/
-
輸入要註冊為委派管理員的帳戶的 ID。
-
委派管理員帳戶成功註冊後,請登入剛剛註冊的委派管理員帳戶,再返回 Systems Manager 主控台完成 Systems Manager 的設定。
-
選取啟用 Systems Manager。
-
在主區域區段中,您可以決定希望 Systems Manager 彙總節點資料的區域。根據預設,Systems Manager 會選取您目前使用的區域。若要選擇不同的主區域,請在設定 Systems Manager 之前,將主控台變更為您要使用的區域。節點資料會複寫到組織的帳戶和區域,並存放在主區域中。設定 Systems Manager 後,就無法變更所選擇的區域。若要使用不同的區域作為組織的主區域,您必須停用統一主控台,再次完成設定程序。如果組織使用的是 IAM Identity Center,則必須選取您將 IAM Identity Center 設為主區域的同一個區域。
-
在區域區段中,選取要啟用 Systems Manager 的區域。
-
在功能組態區段中,選擇要為組態啟用的選項:
- 啟用預設的主機管理組態 (DHMC)
-
允許 Systems Manager 設定 DHMC。此功能允許 Systems Manager 使用 IAM 角色來確保帳戶和區域中的所有 Amazon EC2 執行個體,都具有 Systems Manager 管理所需的權限。您也可以指定漂移修補的頻率。每當使用者對服務或功能進行任何與您組態所做的選擇相衝突的變更時,就會發生組態偏移。Systems Manager 會檢查組態偏移,並嘗試根據您指定的頻率進行修補。您必須指定介於 1 和 31 天之間的值。如果您已在區域中設定 DHMC,Systems Manager 不會變更您之前選取的 IAM 角色。如需有關 DHMC 的詳細資訊,請參閱使用預設主機管理組態來自動管理 EC2 執行個體。
DHMC 可讓您對 Amazon EC2 執行個體進行管理,而無需手動建立 AWS Identity and Access Management (IAM) 執行個體設定檔。我們建議您選擇此選項,以確保您的 EC2 執行個體具有 Systems Manager 管理所需的權限。
- 啟用庫存中繼資料集合
-
可讓 Systems Manager 從節點設定下列中繼資料類型的集合:
-
AWS 元件:EC2 驅動程式、代理程式、版本等。
-
應用程式 – 應用程式名稱、發佈者、版本等。
-
節點詳細資訊 – 系統名稱、作業系統 (OS) 名稱、作業系統版本、上次啟動時間、DNS、網域、工作團隊、作業系統架構等。
-
網路組態:IP 位址、MAC 位址、DNS、閘道、子網路遮罩等。
-
服務 – 名稱、顯示名稱、狀態、相依服務、服務類型、啟動類型等 (僅限 Windows Server 節點)。
-
Windows 角色 – 名稱、顯示名稱、路徑、功能類型、安裝狀態等 (僅限 Windows Server 受管節點)。
-
Windows 更新:Hotfix ID、安裝人員、安裝日期等 (僅限 Windows Server 節點)。
指定收集庫存的頻率。您必須指定介於 1 至 744 小時之間的值。如需有關庫存 (AWS Systems Manager 中的工具) 的詳細資訊,請參閱 AWS Systems Manager庫存。
-
- 啟用自動 Systems Manager (SSM) 代理程式更新
-
允許 Systems Manager 以您指定的頻率檢查新版本的代理程式。頻率的值必須介於 1 和 31 天之間。如果有新版本,Systems Manager 會自動將受管節點上的代理程式更新為最新發行的版本。Systems Manager 不會在尚未存在的執行個體上安裝代理程式。如需有關哪些 AMIs 已預先安裝 SSM Agent 的資訊,請參閱 尋找預先安裝了 SSM Agent的 AMIs。
建議您選擇此選項,以確保節點始終執行最新版本的 SSM Agent。如需 SSM Agent 的詳細資訊,包括如何手動安裝代理程式的資訊。請參閱 使用 SSM Agent。
-
選擇提交。
如果組織規模較大,設定 Systems Manager 統一主控台體驗可能需要較長的時間。
