Automatische Verwaltung von EC2 Instances mit der Standardkonfiguration für die Host-Verwaltung - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatische Verwaltung von EC2 Instances mit der Standardkonfiguration für die Host-Verwaltung

Die Einstellung der Standardkonfiguration für die Host-Verwaltung ermöglicht AWS Systems Manager die automatische Verwaltung Ihrer EC2 Amazon-Instances als verwaltete Instances. Eine verwaltete Instance ist eine EC2 Instance, die für die Verwendung mit Systems Manager konfiguriert ist.

Die Verwaltung Ihrer Instances mit Systems Manager bietet unter anderem folgende Vorteile:

  • Stellen Sie eine sichere Connect zu Ihren EC2 Instances her mit Session Manager.

  • Führen Sie automatisierte Patch-Scans durch Patch Manager.

  • Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.

  • Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.

  • Behalten Sie SSM Agent automatisch auf dem neuesten Stand.

Fleet Manager, Inventar, Patch Manager, und Session Manager sind Funktionen von Systems Manager.

Die Standardkonfiguration für die Host-Verwaltung ermöglicht die Verwaltung von EC2 Instances, ohne dass Sie manuell ein AWS Identity and Access Management (IAM) Instance-Profil erstellen müssen. Stattdessen erstellt die Standardkonfiguration für die Host-Verwaltung eine IAM Standardrolle und wendet sie an, um sicherzustellen, dass Systems Manager die Berechtigung hat, alle Instances in der AWS-Konto und dem zu verwalten, in AWS-Region denen es aktiviert ist.

Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie auch Richtlinien zur Standardrolle hinzufügen, die von der IAM Standardkonfiguration für die Host-Verwaltung erstellt wird. Wenn Sie keine Berechtigungen für alle Funktionen benötigen, die von der IAM Standardrolle bereitgestellt werden, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM Rolle, die Sie für die Standardkonfiguration für die Host-Verwaltung auswählen, gelten für alle verwalteten EC2 Amazon-Instances in der Region und im Konto.

Weitere Informationen zu der Richtlinie, die von der Standardkonfiguration für die Host-Verwaltung verwendet wird, finden Sie unter AWS verwaltete Richtlinie: A mazonSSMManaged EC2InstanceDefaultPolicy.

Implementieren des Zugriffs mit geringsten Berechtigungen

Die in diesem Thema beschriebenen Verfahren sollten nur von Administratoren durchgeführt werden. Daher empfehlen wir, Zugriff mit den geringsten Berechtigungen zu implementieren, um zu verhindern, dass nichtadministrative Benutzer die Standardkonfiguration für die Host-Verwaltung konfigurieren oder ändern. Beispielrichtlinien, die den Zugriff auf die Standardkonfiguration für die Host-Verwaltung einschränken, finden Sie unter Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung weiter unten in diesem Thema.

Wichtig

Registrierungsinformationen für Instances, die mit der Standard-Host-Management-Konfiguration registriert wurden, werden lokal in den C:\ProgramData\Amazon Verzeichnissen var/lib/amazon/ssm oder gespeichert. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein IAM Instance-Profil verwenden, um Ihrer Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.

Voraussetzungen

Um die Standardkonfiguration für die Host-Verwaltung in der AWS-Region und AWS-Konto dem verwenden zu können, in der Sie die Einstellung aktivieren, müssen die folgenden Anforderungen erfüllt sein.

  • Eine zu verwaltende Instance muss Instance Metadata Service Version 2 (IMDSv2) verwenden.

    Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zum Umstieg auf IMDSv2 Version 2 finden Sie unter Umstieg auf die Verwendung der Instance-Metadaten-Service-Version 2 im EC2Amazon-Benutzerhandbuch

  • SSM Agent Version 3.2.582.0 oder höher muss auf der zu verwaltenden Instance installiert sein.

    Informationen zum Überprüfen der Version von SSM Agent auf Ihrer Instance installiert, finden Sie unterÜberprüfen der SSM Agent-Versionsnummer.

    Informationen zur Aktualisierung finden Sie SSM Agent, finden Sie unter Automatische Aktualisierung von SSM Agent.

  • Sie als Administrator, der die Aufgaben in diesem Thema ausführt, benötigen Berechtigungen für die UpdateServiceSettingAPIOperationen GetServiceSettingResetServiceSetting, und. Darüber hinaus müssen Sie über Berechtigungen für die iam:PassRole Berechtigung für die AWSSystemsManagerDefaultEC2InstanceManagementRole IAM Rolle verfügen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die diese Berechtigungen vorsieht. Ersetze jeden example resource placeholder mit Ihren eigenen Informationen.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting", "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } } } ] }
  • Wenn ein IAM Instance-Profil bereits mit einer EC2 Instance verknüpft ist, die mit Systems Manager verwaltet werden soll, müssen Sie alle Berechtigungen entfernen, die die ssm:UpdateInstanceInformation Operation zulassen. SSM Agent versucht, die Instance-Profilberechtigungen zu verwenden, bevor Sie die Berechtigungen der Standardkonfiguration für die Host-Verwaltung verwenden. Wenn Sie den ssm:UpdateInstanceInformation Vorgang in Ihrem eigenen IAM Instance-Profil zulassen, wird die Instance die Berechtigungen der Standardkonfiguration für die Host-Verwaltung nicht verwenden.

Die Einstellung der Standardkonfiguration für die Host-Verwaltung aktivieren

Sie können die Standardkonfiguration für die Host-Verwaltung von Fleet Manager Konsole oder mithilfe von AWS Command Line Interface oder AWS Tools for Windows PowerShell.

Sie müssen die Standardkonfiguration für die Host-Verwaltung in jeder Region aktivieren, in der Sie Ihre EC2 Amazon-Instances mit dieser Einstellung verwalten möchten.

Nach dem Aktivieren der Standardkonfiguration für die Host-Verwaltung kann es bis zu 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der Rolle verwenden, die Sie in Schritt 5 des folgenden Verfahrens auswählen.

So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager.

  3. Wählen Sie im Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung konfigurieren.

  4. Aktivieren Sie Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie die AWS Identity and Access Management (IAM) -Rolle aus, die zum Aktivieren von Systems-Manager-Funktionen für Ihre Instances verwendet wird. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Sie enthält die Mindestberechtigungen für die Verwaltung Ihrer EC2 Amazon-Instances mit Systems Manager. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.

  6. Wählen Sie Konfigurieren, um die Einrichtung abzuschließen.

So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)
  1. Erstellen Sie auf Ihrem lokalen Computer eine JSON Datei, die die folgende Vertrauensbeziehungsrichtlinie enthält.

    { "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
  2. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie einen der folgenden Befehle aus, je nach Betriebssystemtyp Ihrer lokalen Maschine, um eine Servicerolle für Ihr Konto zu erstellen. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws iam create-role \ --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \ --path /service-role/ \ --assume-role-policy-document file://trust-policy.json
    Windows
    aws iam create-role ^ --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^ --path /service-role/ ^ --assume-role-policy-document file://trust-policy.json
    PowerShell
    New-IAMRole ` -RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" ` -Path "/service-role/" ` -AssumeRolePolicyDocument "file://trust-policy.json"
  3. Führen Sie den folgenden Befehl aus, um Ihrer neu erstellten Rolle die von AmazonSSMManagedEC2InstanceDefaultPolicy verwaltete Richtlinie anzufügen. Ersetze jedes example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \ --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws iam attach-role-policy ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^ --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Register-IAMRolePolicy ` -PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" ` -RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"
  4. Öffnen Sie die AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm update-service-setting \ --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \ --setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws ssm update-service-setting ^ --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^ --setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Update-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" ` -SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  5. Führen Sie den folgenden Befehl aus, um die aktuellen Service-Einstellungen der Standardkonfiguration für die Host-Verwaltung im aktuellen AWS-Konto und in der aktuellen anzuzeigen AWS-Region.

    Linux & macOS
    aws ssm get-service-setting \ --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm get-service-setting ^ --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Get-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

    Der Befehl gibt Informationen wie die folgenden zurück.

    {
        "ServiceSetting": {
            "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
            "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
            "LastModifiedUser": "System",
            "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Status": "Custom"
        }
    }

Die Einstellung der Standardkonfiguration für die Host-Verwaltung

Sie können die Standardkonfiguration für die Host-Verwaltung im Fleet Manager Konsole oder mithilfe von AWS Command Line Interface oder AWS Tools for Windows PowerShell.

Sie müssen die Einstellung der Standardkonfiguration für die Host-Verwaltung in jeder Region, in der Sie Ihre EC2 Amazon-Instances nicht mehr von dieser Konfiguration verwalten möchten. Wenn Sie sie in einer Region deaktivieren, wird sie nicht in allen Regionen deaktiviert.

Wenn Sie die Standardkonfiguration für die Host-Verwaltung deaktivieren und Ihren EC2 Amazon-Instances kein Instance-Profil zugeordnet haben, das den Zugriff auf Systems Manager ermöglicht, werden diese nicht mehr von Systems Manager verwaltet.

So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager.

  3. Wählen Sie im Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung.

  4. Deaktivieren Sie Einstellung der Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie Konfigurieren, um die Standardkonfiguration für die Host-Verwaltung zu deaktivieren.

So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)
  • Öffnen Sie die AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm reset-service-setting \ --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm reset-service-setting ^ --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Reset-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung

Die folgenden Beispielrichtlinien zeigen, wie Sie verhindern können, dass Mitglieder Ihrer Organisation Änderungen an der Standardkonfiguration für die Host-Verwaltung in Ihrem Konto vornehmen.

Service-Kontrollrichtlinie für AWS Organizations

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass Mitglieder in Ihrem, die keine Administratorrechte haben, Ihre AWS Organizations Einstellung für die Standardkonfiguration für die Host-Verwaltung aktualisieren. Ersetzen Sie jedes example resource placeholder mit Ihren eigenen Informationen.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": [ "ssm:UpdateServiceSetting", "ssm:ResetServiceSetting" ], "Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role", "Condition": { "StringNotEqualsIgnoreCase": { "aws:PrincipalTag/job-function": [ "administrator" ] } } }, { "Effect": "Deny", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Condition": { "StringEquals": { "iam:PassedToService": "ssm.amazonaws.com" }, "StringNotEqualsIgnoreCase": { "aws:PrincipalTag/job-function": [ "administrator" ] } } }, { "Effect": "Deny", "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole" ], "Condition": { "StringNotEqualsIgnoreCase": { "aws:PrincipalTag/job-function": [ "administrator" ] } } } ] }

Richtlinie für IAM Schulleiter

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass IAM Gruppen, Rollen oder Benutzer in AWS Organizations Ihrem Ihre Einstellung für die Standardkonfiguration für die Host-Verwaltung aktualisieren. Ersetzen Sie jedes example resource placeholder mit Ihren eigenen Informationen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ssm:UpdateServiceSetting", "ssm:ResetServiceSetting" ], "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole" } ] }