Verwenden der Standardeinstellung für die Host-Management-Konfiguration - AWS Systems Manager
VoraussetzungenAktivierung der Einstellung für die Standard-Host-Management-KonfigurationDeaktivierung der Standardeinstellung für die Host-Management-KonfigurationBeispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Standardeinstellung für die Host-Management-Konfiguration

Mit der Einstellung Standard-Host-Management-Konfiguration können AWS Systems Manager Sie Ihre EC2 Amazon-Instances automatisch als verwaltete Instances verwalten. Eine verwaltete Instanz ist eine EC2 Instanz, die für die Verwendung mit Systems Manager konfiguriert ist.

Die Verwaltung Ihrer Instances mit Systems Manager bietet unter anderem folgende Vorteile:

  • Stellen Sie eine sichere Connect zu Ihren EC2 Instances her mitSession Manager.

  • Führen Sie automatisierte Patch-Scans mit Patch Manager durch.

  • Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.

  • Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.

  • Halten Sie SSM Agent automatisch auf dem neuesten Stand.

Fleet Manager, Bestand, Patch Manager und Session Manager sind Funktionen von Systems Manager.

Die Standard-Host-Management-Konfiguration ermöglicht die Verwaltung von EC2 Instanzen, ohne dass Sie manuell ein Instanzprofil AWS Identity and Access Management (IAM) erstellen müssen. Stattdessen erstellt und wendet die Standard-Host-Management-Konfiguration eine IAM Standardrolle an, um sicherzustellen, dass Systems Manager über Berechtigungen zur Verwaltung aller Instanzen in der AWS-Konto und AWS-Region in der sie aktiviert ist, verfügt.

Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie der IAM Standardrolle, die mit der Standard-Host-Management-Konfiguration erstellt wurde, auch Richtlinien hinzufügen. Wenn Sie nicht für alle Funktionen der IAM Standardrolle Berechtigungen benötigen, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM Rolle, die Sie für die Standard-Host-Management-Konfiguration wählen, gelten für alle verwalteten EC2 Amazon-Instances in der Region und im Konto.

Weitere Informationen zu der Richtlinie, die von der Standardkonfiguration für die Host-Verwaltung verwendet wird, finden Sie unter AWS verwaltete Richtlinie: A mazonSSMManaged EC2InstanceDefaultPolicy.

Implementieren des Zugriffs mit geringsten Berechtigungen

Die in diesem Thema beschriebenen Verfahren sollten nur von Administratoren durchgeführt werden. Daher empfehlen wir, Zugriff mit den geringsten Berechtigungen zu implementieren, um zu verhindern, dass nichtadministrative Benutzer die Standardkonfiguration für die Host-Verwaltung konfigurieren oder ändern. Beispielrichtlinien, die den Zugriff auf die Standardkonfiguration für die Host-Verwaltung einschränken, finden Sie unter Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung weiter unten in diesem Thema.

Wichtig

Registrierungsinformationen für Instances, die mit der Standard-Host-Management-Konfiguration registriert wurden, werden lokal in den C:\ProgramData\Amazon Verzeichnissen var/lib/amazon/ssm oder gespeichert. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein IAM Instanzprofil verwenden, um die erforderlichen Berechtigungen für Ihre Instance bereitzustellen, oder die Instanz neu erstellen.

Voraussetzungen

Um die Standard-Host-Management-Konfiguration in der AWS-Region und an der AWS-Konto Stelle zu verwenden, an der Sie die Einstellung aktivieren, müssen die folgenden Anforderungen erfüllt sein.

  • Eine zu verwaltende Instanz muss Instance Metadata Service Version 2 (IMDSv2) verwenden.

    Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 Version 2 finden Sie unter Umstellung auf die Nutzung von Instance Metadata Service Version 2 im EC2Amazon-Benutzerhandbuch

  • SSM Agent-Version 3.2.582.0 oder höher muss auf der zu verwaltenden Instance installiert sein.

    Informationen zur Überprüfung der auf Ihrer Instance installierten Version von SSM Agent finden Sie unter Überprüfen der SSM Agent-Versionsnummer.

    Weitere Informationen zur Aktualisierung von SSM Agent finden Sie unter Automatische Aktualisierung von SSM Agent.

  • Sie als Administrator, der die Aufgaben in diesem Thema ausführt, benötigen Berechtigungen für die UpdateServiceSettingAPIOperationen GetServiceSettingResetServiceSetting, und. Darüber hinaus müssen Sie über Berechtigungen für die iam:PassRole Berechtigung für die AWSSystemsManagerDefaultEC2InstanceManagementRole IAM Rolle verfügen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die diese Berechtigungen vorsieht. Ersetze jeden example resource placeholder mit Ihren eigenen Informationen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  • Wenn ein IAM Instanzprofil bereits an eine EC2 Instanz angehängt ist, die mit Systems Manager verwaltet werden soll, müssen Sie der Instanz alle Berechtigungen entziehen, die den ssm:UpdateInstanceInformation Vorgang zulassen. SSM Agentversucht, Instanzprofilberechtigungen zu verwenden, bevor die Standardberechtigungen für die Host-Management-Konfiguration verwendet werden. Wenn Sie den ssm:UpdateInstanceInformation Vorgang in Ihrem eigenen IAM Instanzprofil zulassen, verwendet die Instanz nicht die standardmäßigen Berechtigungen für die Host-Management-Konfiguration.

Aktivierung der Einstellung für die Standard-Host-Management-Konfiguration

Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder aktivieren AWS Tools for Windows PowerShell.

Sie müssen die Standard-Host-Management-Konfiguration nacheinander in jeder Region aktivieren, in der Sie Ihre EC2 Amazon-Instances mit dieser Einstellung verwalten möchten.

Nachdem Sie die Standard-Host-Management-Konfiguration aktiviert haben, kann es bis zu 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der Rolle verwenden, die Sie in Schritt 5 des folgenden Verfahrens ausgewählt haben.

So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager aus.

  3. Wählen Sie im Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung konfigurieren.

  4. Aktivieren Sie Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie die Rolle AWS Identity and Access Management (IAM), die verwendet wird, um Systems Manager Manager-Funktionen für Ihre Instances zu aktivieren. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Es enthält die Mindestberechtigungen, die für die Verwaltung Ihrer EC2 Amazon-Instances mit Systems Manager erforderlich sind. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.

  6. Wählen Sie Konfigurieren, um die Einrichtung abzuschließen.

So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)

  1. Erstellen Sie auf Ihrem lokalen Computer eine JSON Datei, die die folgende Vertrauensstellungsrichtlinie enthält.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
                "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
        }
    ]
}

  2. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie je nach Betriebssystemtyp Ihres lokalen Computers einen der folgenden Befehle aus, um eine Servicerolle in Ihrem Konto zu erstellen. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
    Windows
    aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
    PowerShell
    New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"

  3. Führen Sie den folgenden Befehl aus, um Ihrer neu erstellten Rolle die von AmazonSSMManagedEC2InstanceDefaultPolicy verwaltete Richtlinie anzufügen. Ersetze jedes example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"

  4. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  5. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für die Standard-Host-Management-Konfiguration im aktuellen AWS-Konto und anzuzeigen AWS-Region.

    Linux & macOS
    aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

    Der Befehl gibt Informationen wie die folgenden zurück.

    {
    "ServiceSetting": {
        "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
        "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
        "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
        "LastModifiedUser": "System",
        "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
        "Status": "Custom"
    }
}

Deaktivierung der Standardeinstellung für die Host-Management-Konfiguration

Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder AWS Tools for Windows PowerShell deaktivieren.

Sie müssen die Einstellung für die Standard-Host-Management-Konfiguration nacheinander in jeder Region deaktivieren, in der Ihre EC2 Amazon-Instances nicht mehr mit dieser Konfiguration verwaltet werden sollen. Wenn Sie sie in einer Region deaktivieren, wird sie nicht in allen Regionen deaktiviert.

Wenn Sie die Standard-Host-Management-Konfiguration deaktivieren und Ihren EC2 Amazon-Instances kein Instance-Profil angehängt haben, das den Zugriff auf Systems Manager ermöglicht, werden sie nicht mehr von Systems Manager verwaltet.

So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager aus.

  3. Wählen Sie im Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung.

  4. Deaktivieren Sie Einstellung der Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie Konfigurieren, um die Standardkonfiguration für die Host-Verwaltung zu deaktivieren.

So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)

  • Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung

Die folgenden Beispielrichtlinien zeigen, wie Sie verhindern können, dass Mitglieder Ihrer Organisation Änderungen an der Standardkonfiguration für die Host-Verwaltung in Ihrem Konto vornehmen.

Richtlinie zur Servicekontrolle für AWS Organizations

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass Mitglieder, die keine Administratorrechte haben, Ihre AWS Organizations Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jedes example resource placeholder mit Ihren eigenen Informationen.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Action":[
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource":"arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition":{
                "StringNotEqualsIgnoreCase":{
                "aws:PrincipalTag/job-function":[
                    "administrator"
                ]
                }
            }
        },
        {
            "Effect":"Deny",
            "Action":[
                "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition":{
                "StringEquals":{
                "iam:PassedToService":"ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase":{
                "aws:PrincipalTag/job-function":[
                    "administrator"
                ]
                }
            }
        },
        {
            "Effect":"Deny",
            "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action":[
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition":{
                "StringNotEqualsIgnoreCase":{
                "aws:PrincipalTag/job-function":[
                    "administrator"
                ]
                }
            }
        }
    ]
}

Richtlinie für IAM Schulleiter

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass IAM Gruppen, Rollen oder Benutzer in AWS Organizations Ihrem Unternehmen Ihre Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jedes example resource placeholder mit Ihren eigenen Informationen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}