Schritt 1: Erfüllen der Session Manager-Voraussetzungen - AWS Systems Manager

Schritt 1: Erfüllen der Session Manager-Voraussetzungen

Stellen Sie vor der Verwendung von Session Manager sicher, dass Ihre Umgebung den folgenden Anforderungen entspricht.

Session Manager-Voraussetzungen
Anforderung Beschreibung

Unterstützte Betriebssysteme

Session Manager unterstützt die Verbindung zu Amazon Elastic Compute Cloud (Amazon EC2)-Instances und Nicht-EC2-Maschinen in Ihrer Hybrid- und Multi-Cloud-Umgebung, die das Advanced-Instances-Kontingent verwenden.

Session Manager unterstützt die folgenden Betriebssystemversionen:

Anmerkung

Session Manager unterstützt EC2-Instances, Edge-Geräte und On-Premises-Server und virtuelle Maschinen (VMs) in Ihrer Hybrid-und Multi-Cloud-Umgebung, die das Advanced-Instances-Kontingent verwenden. Weitere Informationen über erweiterte Instances finden Sie unter Konfigurieren von Instance-Kontingenten.

Linux und macOS

Session Manager unterstützt alle Versionen von Linux und macOS, die von AWS Systems Manager unterstützt werden. Weitere Informationen finden Sie unter Unterstützte Betriebssysteme und Maschinentypen.

Windows

Session Manager unterstützt Windows Server 2012 bis Windows Server 2022.

Anmerkung

Microsoft Windows Server 2016 Nano wird nicht unterstützt.

SSM Agent

Auf den verwalteten Knoten, mit denen Sie während der Sitzungen Verbindungen herstellen möchten, muss AWS Systems Manager SSM Agent Version 2.3.68.0 oder höher installiert sein.

Damit Sie die Option zum Verschlüsseln von Sitzungsdaten mit einem in AWS Key Management Service (AWS KMS) erstellten Schlüssel verwenden können, muss Version 2.3.539.0 oder höher des SSM Agent auf dem verwalteten Knoten installiert sein.

Um Shell-Profile in einer Sitzung zu verwenden, muss SSM Agent Version 3.0.161.0 oder höher auf dem verwalteten Knoten installiert sein.

Um eine Session Manager-Port-Weiterleitung oder SSH-Sitzung zu starten, muss SSM Agent Version 3.0.222.0 oder höher auf dem verwalteten Knoten installiert sein.

Um Sitzungsdaten mit Amazon CloudWatch Logs zu streamen, muss SSM Agent Version 3.0.284.0 oder höher auf dem verwalteten Knoten installiert sein.

Informationen zum Ermitteln der auf einer Instance ausgeführten Versionsnummer finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Informationen über das manuelle Installieren oder automatische Aktualisieren von SSM Agent finden Sie unter Arbeiten mit SSM Agent.

Über das ssm-user-Konto

Beginnend mit Version 2.3.50.0 von SSM Agent erstellt der Agent unter Verwendung der Root- oder Administratorberechtigungen ein Benutzerkonto auf dem verwalteten Knoten, das ssm-user genannt wird. (Auf Versionen vor 2.3.612.0 wird das Konto erstellt, wenn SSM Agent startet oder neu startet. Auf Version 2.3.612.0 und höher wird ssm-user erstellt, wenn eine Sitzung auf dem verwalteten Knoten zum ersten Mal gestartet wird.) Sitzungen werden mittels der Anmeldeinformationen für dieses Benutzerkonto gestartet. Weitere Informationen zum Einschränken der administrativen Kontrolle für dieses Konto finden Sie unter Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto.

ssm-user auf Windows Server-Domain-Controller

Ab SSM Agent Version 2.3.612.0 wird das ssm-user-Konto nicht automatisch auf verwalteten Knoten erstellt, die als Windows Server-Domain-Controller verwendet werden. Um Session Manager auf einer Windows Server-Maschine zu verwenden, die als Domain-Controller verwendet wird, erstellen Sie das ssm-user-Konto manuell, sofern es noch nicht vorhanden ist, und weisen dem Benutzer Domain-Administratorberechtigungen zu. Unter Windows Server legt SSM Agent bei jedem Start einer Sitzung ein neues Passwort für das ssm-user-Konto fest. Es ist also nicht erforderlich, ein Passwort anzugeben, wenn Sie das Konto erstellen.

Konnektivität mit Endpunkten

In diesem Fall müssen die verwalteten Knoten auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten zulassen:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Weitere Informationen finden Sie unter den folgenden Themen:

Alternativ können Sie sich über Schnittstellenendpunkte mit den erforderlichen Endpunkten verbinden. Weitere Informationen finden Sie unter Schritt 6: (Optional) Verwenden von AWS PrivateLink zum Einrichten eines VPC-Endpunkts für Session Manager.

AWS CLI

(Optional) Wenn Sie zum Starten Ihrer Sitzungen die AWS Command Line Interface (AWS CLI)-Konsole verwenden (anstatt der AWS Systems Manager- oder Amazon EC2-Konsole zu verwenden), muss die Version 1.16.12 oder höher der CLI auf Ihrem lokalen Rechner installiert sein.

Zum Überprüfen der Version können Sie den Befehl aws --version aufrufen.

Informationen zum Installieren oder Upgraden der CLI finden Sie unter Installieren der AWS Command Line Interface im AWS Command Line Interface-Benutzerhandbuch.

Wichtig

Eine aktualisierte Version von SSM Agent wird veröffentlicht, wenn neue Funktionen zu Systems Manager hinzugefügt oder Aktualisierungen an den vorhandenen Funktionen vorgenommen werden. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent auf Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise-Seite auf GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

Um die CLI zur Verwaltung Ihrer Knoten mit Session Manager verwenden zu können, müssen Sie zunächst das Session Manager-Plugin auf Ihrer lokalen Maschine installieren. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugin für die AWS CLI.

Aktivieren des Advanced-Instances-Kontingents (Hybrid- und Multi-Cloud-Umgebungen)

Um eine Verbindung zu Nicht-EC2-Maschinen mit Session Manager herzustellen, müssen Sie das Advanced-Instances-Kontingent im AWS-Konto und der AWS-Region aktivieren, in der Sie Hybrid-Aktivierungen erstellen, um Nicht-EC2-Maschinen als verwaltete Knoten anzumelden. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Weitere Informationen zum Aktivieren des Advanced-Instances-Kontingent finden Sie unter Konfigurieren von Instance-Kontingenten.

Überprüfen der Berechtigungen für IAM-Servicerollen (Hybrid- und Multi-Cloud-Umgebungen)

Hybrid-aktivierte Knoten verwenden die AWS Identity and Access Management (IAM)-Servicerolle, die in der Hybrid-Aktivierung angegeben ist, um mit den API-Operationen von Systems Manager zu kommunizieren. Diese Servicerolle muss die Berechtigungen enthalten, die zum Herstellen einer Verbindung mit Ihren Hybrid- und Multi-Cloud-Maschinen mit Session Manager erforderlich sind. Wenn Ihre Servicerolle die AWS-verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält, sind die erforderlichen Berechtigungen für Session Manager bereits vorhanden.

Wenn Sie feststellen, dass die Servicerolle nicht die erforderlichen Berechtigungen enthält, müssen Sie die verwaltete Instance abmelden und sie bei einer neuen Hybrid-Aktivierung registrieren, die eine IAM-Servicerolle mit den erforderlichen Berechtigungen verwendet. Informationen über das Abmelden verwalteter Instances finden Sie unter Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung. Weitere Informationen zum Erstellen von IAM-Richtlinien mit Session Manager-Berechtigungen finden Sie unter Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager.