Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren - AWS Systems Manager
Verwenden Sie AWS Management Console, um eine Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager zu erstellenVerwenden Sie die Befehlszeile zum Erstellen einer Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager

Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren

Um andere Maschinen als Instances der Amazon Elastic Compute Cloud (EC2) als verwaltete Knoten für eine Hybrid- und Multi-Cloud-Umgebung einzurichten, erstellen Sie eine Hybrid-Aktivierung und wenden diese an. Nachdem Sie die Aktivierung erfolgreich abschließen, erhalten Sie sofort einen Aktivierungscode und eine Aktivierungs-ID oben auf der Konsolenseite. Sie geben diese Code- und ID-Kombination an, wenn Sie AWS Systems Manager SSM Agent auf Nicht-EC2-Maschinen für Ihre Hybrid- und Multi-Cloud-Umgebung installieren. Der Code und die ID bieten einen sicheren Zugriff auf den Systems-Manager-Service von Ihren verwalteten Knoten aus.

Wichtig

Systems Manager übergibt den Aktivierungscode und die ID sofort an die Konsole oder das Befehlsfenster, je nachdem, wie Sie die Aktivierung erstellt haben. Kopieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Wenn Sie die Konsole verlassen oder das Befehlsfenster schließen, können diese Informationen verloren gehen. Wenn Sie die Informationen verlieren, müssen Sie eine neue Aktivierung erstellen.

Informationen zu den Aktivierungabläufen

Ein Aktivierungsablauf ist ein Zeitfenster, in dem Sie On-Premises-Maschinen mit Systems Manager registrieren können. Eine abgelaufene Aktivierung hat keine Auswirkungen auf Ihre Server oder VMs, die Sie zuvor bei Systems Manager registriert haben. Wenn eine Aktivierung abgelaufen ist, können Sie anschließend mit dieser bestimmten Aktivierung keine weiteren Server oder VMs mit Systems Manager registrieren. Sie müssen eine neue erstellen.

Jeder On-Premises-Server und jede VM, die Sie zuvor registriert haben, bleibt als verwalteter Systems-Manager-Knoten registriert, bis Sie die Registrierung explizit abmelden. Sie können die Registrierung eines verwalteten Knotens auf der Registerkarte Verwaltete Knoten in Fleet Manager auf der Systems-Manager-Konsole mit dem AWS CLI-Befehl deregister-managed-instance oder mit dem API-Aufruf DeregisterManagedInstance aufheben.

Informationen zu verwalteten Knoten

Ein verwalteter Knoten ist jeder Computer, die für AWS Systems Manager konfiguriert ist. AWS Systems Manager unterstützt Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Edge-Geräte und On-Premises-Server oder VMs, einschließlich VMs in anderen Cloud-Umgebungen. Bisher wurden alle verwalteten Knoten als verwaltete Instances bezeichnet. Der Begriff Instance bezieht sich jetzt nur noch auf EC2-Instances. Der Befehl deregister-managed-instance wurde vor dieser Terminologieänderung benannt.

Informationen zu Aktivierungs-Tags

Wenn Sie eine Aktivierung entweder mithilfe der AWS Command Line Interface (AWS CLI) oder AWS Tools for Windows PowerShell erstellen, können Sie Tags angeben. Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Hier ist ein AWS CLI-Beispielbefehl zur Ausführung auf einem lokalen Linux-Computer mit optionalen Tags.

aws ssm create-activation \
  --default-instance-name MyWebServers \
  --description "Activation for Finance department webservers" \
  --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
  --registration-limit 10 \
  --region us-east-2 \
  --tags "Key=Department,Value=Finance"

Wenn Sie beim Erstellen einer Aktivierung Tags angeben, werden diese Tags automatisch Ihren verwalteten Knoten zugewiesen, wenn Sie diese aktivieren.

Es ist nicht möglich, Tags zu einer vorhandenen Aktivierung hinzuzufügen oder daraus zu löschen. Wenn Sie Ihren On-Premises-Servern und VMs nicht mithilfe einer Aktivierung automatisch Tags zuweisen möchten, können Sie ihnen später Tags hinzufügen. Genauer gesagt können Sie Ihre On-Premises-Server und VMs markieren, nachdem sie sich zum ersten Mal mit Systems Manager verbunden haben. Nachdem diese eine Verbindung hergestellt haben, wird ihnen eine verwaltete Knoten-ID zugewiesen und sie werden in der Systems-Manager-Konsole mit einer ID mit dem Präfix „mi-“ aufgeführt.

Anmerkung

Sie können einer Aktivierung keine Tags zuweisen, wenn Sie sie mithilfe der Systems Manager-Konsole erstellen. Sie müssen sie entweder mit der AWS CLI oder mit Tools for Windows PowerShell erstellen.

Wenn Sie einen On-Premises-Server oder eine virtuelle Maschine (VM) nicht mehr mithilfe von Systems Manager verwalten möchten, können Sie die Registrierung aufheben. Weitere Informationen finden Sie unter Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung.

Verwenden Sie AWS Management Console, um eine Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager zu erstellen

So erstellen Sie eine Aktivierung für einen verwalteten Knoten

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Hybrid Activations.

  3. Wählen Sie Create activation aus.

    –oder–

    Wenn Sie im aktuellen AWS-Region zum ersten Mal auf Hybrid-aktivierungen zugreifen, wählen Sie Create an Activation (Aktivierung erstellen).

  4. (Optional) Geben Sie für Aktivierungs-Beschreibung eine Beschreibung für diese Aktivierung ein. Wir empfehlen die Eingabe einer Beschreibung, wenn Sie eine große Anzahl von Servern und VMs aktivieren möchten.

  5. Geben Sie für Instance limit (Instance-Limit) die Gesamtzahl der Knoten an, die Sie als Teil dieser Aktivierung bei AWS registrieren möchten. Der Standardwert ist 1 Instance.

  6. Wählen Sie für die IAM-Rolle eine Servicerollen-Option aus, die es Ihren Servern und VMs ermöglicht, mit AWS Systems Manager in der Cloud zu kommunizieren:

    • Option 1: Wählen Sie Verwenden Sie die vom System erstellte Standardrolle, um eine Rolle und verwaltete Richtlinie zu verwenden, die von AWS bereitgestellt wird.

    • Option 2: Wählen Sie Select an existing custom IAM role that has the required permissions (Vorhandene benutzerdefinierte IAM Rolle auswählen) aus, um die optionale benutzerdefinierte Rolle zu verwenden, die Sie zuvor erstellt haben. Diese Rolle muss über eine Vertrauensbeziehungsrichtlinie verfügen, die "Service": "ssm.amazonaws.com" angibt. Wenn Ihre IAM-Rolle dieses Prinzip in einer Vertrauensbeziehungsrichtlinie nicht angibt, wird die folgende Fehlermeldung angezeigt:

      An error occurred (ValidationException) when calling the CreateActivation
                                    operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Weitere Informationen zum Erstellen dieser Rolle finden Sie unter Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle.

  7. Geben Sie im Feld Activation expiry date (Aktivierungsablaufdatum) ein Ablaufdatum für die Aktivierung an. Das Verfallsdatum muss in der Zukunft liegen - jedoch nicht mehr als 30 Tage. Der Standardwert beträgt 24 Stunden.

    Anmerkung

    Wenn Sie nach dem Ablaufdatum weitere verwaltete Knoten registrieren möchten, müssen Sie eine neue Aktivierung erstellen. Das Verfallsdatum wirkt sich nicht auf registrierte und ausgeführte Knoten aus.

  8. (Optional) Geben Sie für das Feld Default instance name (Standard-Instance-Name) einen identifizierenden Namenswert an, der für alle verwalteten Knoten angezeigt werden soll, die dieser Aktivierung zugeordnet sind.

  9. Wählen Sie Create activation aus. Der Systems Manager gibt den Aktivierungscode und die ID sofort an die Konsole zurück.

Verwenden Sie die Befehlszeile zum Erstellen einer Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager

Das folgende Verfahren beschreibt die Verwendung von AWS Command Line Interface (AWS CLI) (unter Linux oder Windows Server) oder AWS Tools for PowerShell zum Erstellen einer Aktivierung für einen verwalteten Knoten.

So erstellen Sie eine Aktivierung

  1. Installieren und konfigurieren Sie die AWS CLI oder AWS Tools for PowerShell, falls noch nicht erfolgt.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

  2. Führen Sie den folgenden Befehl aus, um eine Aktivierung zu erstellen.

    Anmerkung

    • Ersetzen Sie im folgenden Befehl region mit Ihren eigenen Informationen. Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

    • Die Rolle, die Sie für den iam-role-Parameter angeben, muss über eine Vertrauensbeziehungsrichtlinie verfügen, die "Service": "ssm.amazonaws.com" angibt. Wenn Ihre AWS Identity and Access Management-(IAM)-Rolle dieses Prinzip nicht in einer Vertrauensbeziehungsrichtlinie angeben, wird die folgende Fehlermeldung angezeigt:

      An error occurred (ValidationException) when calling the CreateActivation
                                        operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Weitere Informationen zum Erstellen dieser Rolle finden Sie unter Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle.

    • Geben Sie für --expiration-date ein Datum im Zeitstempel-Format an, z. B. "2021-07-07T00:00:00", wenn der Aktivierungscode abläuft. Sie können ein Datum bis zu 30 Tage im Voraus angeben. Wenn Sie kein Ablaufdatum angeben, läuft der Aktivierungscode innerhalb von 24 Stunden ab.

    Linux & macOS
    aws ssm create-activation \
    --default-instance-name name \
    --iam-role iam-service-role-name \
    --registration-limit number-of-managed-instances \
    --region region \
    --expiration-date "timestamp" \\  
    --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^
    --default-instance-name name ^
    --iam-role iam-service-role-name ^
    --registration-limit number-of-managed-instances ^
    --region region ^
    --expiration-date "timestamp" ^
    --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name `
    -IamRole iam-service-role-name `
    -RegistrationLimit number-of-managed-instances `
    –Region region `
    -ExpirationDate "timestamp" `
    -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    Ein Beispiel.

    Linux & macOS
    aws ssm create-activation \
    --default-instance-name MyWebServers \
    --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
    --registration-limit 10 \
    --region us-east-2 \
    --expiration-date "2021-07-07T00:00:00" \
    --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^
    --default-instance-name MyWebServers ^
    --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
    --registration-limit 10 ^
    --region us-east-2 ^
    --expiration-date "2021-07-07T00:00:00" ^
    --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers `
    -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
    -RegistrationLimit 10 `
    –Region us-east-2 `
    -ExpirationDate "2021-07-07T00:00:00" `
    -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    Wenn die Aktivierung erfolgreich erstellt wurde, gibt das System sofort einen Aktivierungscode und eine Aktivierungs-ID zurück.