Konfigurieren Sie die für Systems Manager erforderlichen Instanzberechtigungen - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die für Systems Manager erforderlichen Instanzberechtigungen

Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instanzberechtigungen auf Kontoebene mithilfe einer Rolle AWS Identity and Access Management (IAM) oder auf Instanzebene mithilfe eines Instanzprofils gewähren. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren.

Empfohlene Konfiguration für EC2 Instanzberechtigungen

Die Standard-Host-Management-Konfiguration ermöglicht es Systems Manager, Ihre EC2 Amazon-Instances automatisch zu verwalten. Nachdem Sie diese Einstellung aktiviert haben, werden alle Instances, die Instance Metadata Service Version 2 (IMDSv2) verwenden, im AWS-Region und AWS-Konto mit SSM Agent Die installierte Version 3.2.582.0 oder höher wird automatisch zu verwalteten Instanzen. Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 Version 2 finden Sie unter Umstellung auf die Nutzung von Instance Metadata Service Version 2 im EC2Amazon-Benutzerhandbuch. Informationen zur Überprüfung der Version von SSM Agent auf Ihrer Instance installiert, finden Sie unterÜberprüfen der SSM Agent-Versionsnummer. Informationen zur Aktualisierung der SSM Agent, finden Sie unter Automatische Aktualisierung von SSM Agent. Zu den Vorteilen verwalteter Instances gehören die folgenden:

  • Stellen Sie eine sichere Connect zu Ihren Instances her mit Session Manager.

  • Führen Sie automatisierte Patchscans durch mit Patch Manager.

  • Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.

  • Verfolgen und verwalten Sie Instanzen mit Fleet Manager.

  • Behalte die SSM Agent automatisch auf dem neuesten Stand.

Fleet Manager, Inventar, Patch Manager, und Session Manager sind Fähigkeiten von AWS Systems Manager.

Die Standardkonfiguration für die Host-Verwaltung ermöglicht die Instance-Verwaltung ohne die Verwendung von Instance-Profilen und stellt sicher, dass Systems Manager über Berechtigungen zum Verwalten aller Instances in der Region und im Konto verfügt. Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie der IAM Standardrolle, die mit der Standard-Hostverwaltungskonfiguration erstellt wurde, auch Richtlinien hinzufügen. Wenn Sie nicht für alle Funktionen der IAM Standardrolle Berechtigungen benötigen, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM Rolle, die Sie für die Standard-Host-Management-Konfiguration wählen, gelten für alle verwalteten EC2 Amazon-Instances in der Region und im Konto. Weitere Informationen über die von der Standardkonfiguration für die Host-Verwaltung verwendete Richtlinie finden Sie unter AWS verwaltete Richtlinie: A mazonSSMManaged EC2InstanceDefaultPolicy. Weitere Informationen zur Standard-Host-Verwaltungskonfiguration finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.

Wichtig

Instances, die mit der Standardkonfiguration für die Host-Verwaltung registriert wurden, speichern Registrierungsinformationen lokal in den Verzeichnissen /lib/amazon/ssm oder C:\ProgramData\Amazon. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein Instance-Profil verwenden, um Ihrer Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.

Anmerkung

Dieses Verfahren sollte nur von Administratoren durchgeführt werden. Implementieren Sie den Zugriff mit den geringsten Berechtigungen, wenn Sie Einzelpersonen erlauben, die Standardkonfiguration für die Host-Verwaltung zu konfigurieren oder zu ändern. Sie müssen die Standard-Host-Management-Konfiguration für jede EC2 Instanz aktivieren, die AWS-Region Sie automatisch Amazon möchten.

So aktivieren Sie die Einstellung der Standardkonfiguration für die Host-Verwaltung

Sie können die Standard-Host-Management-Konfiguration über den Fleet Manager console. Um dieses Verfahren mit dem AWS Management Console oder Ihrem bevorzugten Befehlszeilentool erfolgreich abschließen zu können, benötigen Sie Berechtigungen für die UpdateServiceSettingAPIOperationen GetServiceSettingResetServiceSetting, und. Darüber hinaus müssen Sie über Berechtigungen für die iam:PassRole Berechtigung für die AWSSystemsManagerDefaultEC2InstanceManagementRole IAM Rolle verfügen. Es folgt eine Beispielrichtlinie . Ersetze jeden example resource placeholder mit Ihren eigenen Informationen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting", "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } } } ] }

Bevor Sie beginnen: Wenn Sie Instance-Profile an Ihre EC2 Amazon-Instances angehängt haben, entfernen Sie alle Berechtigungen, die den ssm:UpdateInstanceInformation Vorgang zulassen. Das Tool SSM Agent versucht, Instance-Profilberechtigungen zu verwenden, bevor die Standardberechtigungen für die Host-Management-Konfiguration verwendet werden. Wenn Sie die ssm:UpdateInstanceInformation-Operation in Ihren Instance-Profilen zulassen, verwendet die Instance nicht die Berechtigungen der Standardkonfiguration für die Host-Verwaltung.

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager.

  3. Wählen Sie im Drop-Down-Menü Kontoverwaltung die Option Standardkonfiguration für die Host-Verwaltung konfigurieren aus.

  4. Aktivieren Sie Standardkonfiguration für die Host-Verwaltung aktivieren.

  5. Wählen Sie die IAM Rolle aus, die verwendet wird, um die Systems Manager Manager-Funktionen für Ihre Instances zu aktivieren. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Es enthält die Mindestberechtigungen, die für die Verwaltung Ihrer EC2 Amazon-Instances mit Systems Manager erforderlich sind. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.

  6. Wählen Sie Konfigurieren, um die Einrichtung abzuschließen.

Nach dem Aktivieren der Standardkonfiguration für die Host-Verwaltung kann es 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der von Ihnen ausgewählten Rolle verwenden. Sie müssen die Standard-Host-Management-Konfiguration in jeder Region aktivieren, in der Sie Ihre EC2 Amazon-Instances automatisch verwalten möchten.

Alternative Konfiguration für EC2 Instance-Berechtigungen

Sie können Zugriff auf individueller Instanzebene gewähren, indem Sie ein Instanzprofil AWS Identity and Access Management (IAM) verwenden. Ein Instance-Profil ist ein Container, der beim Start IAM Rolleninformationen an eine Amazon Elastic Compute Cloud (AmazonEC2) -Instance weitergibt. Sie können ein Instanzprofil für Systems Manager erstellen, indem Sie einer neuen Rolle oder einer bereits erstellten Rolle eine oder mehrere IAM Richtlinien anhängen, die die erforderlichen Berechtigungen definieren.

Anmerkung

Sie können Folgendes verwenden … Quick Setup, eine Fähigkeit von AWS Systems Manager, um schnell ein Instanzprofil für alle Instanzen in Ihrem AWS-Konto zu konfigurieren. Quick Setup erstellt außerdem eine IAM Servicerolle (oder übernimmt eine Rolle), die es Systems Manager ermöglicht, Befehle auf Ihren Instances in Ihrem Namen sicher auszuführen. Durch die Verwendung von Quick Setup, Sie können diesen Schritt (Schritt 3) und Schritt 4 überspringen. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.

Beachten Sie die folgenden Details zur Erstellung eines IAM Instanzprofils:

  • Wenn Sie EC2 Computer in einer Hybrid- und Multi-Cloud-Umgebung für Systems Manager konfigurieren, müssen Sie kein Instanzprofil für sie erstellen. Konfigurieren Sie stattdessen Ihre Server und verwenden VMs Sie eine IAM Servicerolle. Weitere Informationen finden Sie unter Erstellen der für Systems Manager erforderlichen IAM Servicerolle in Hybrid- und Multicloud-Umgebungen.

  • Wenn Sie das IAM Instanzprofil ändern, kann es einige Zeit dauern, bis die Instanzanmeldedaten aktualisiert sind. SSM Agent verarbeitet Anfragen erst, wenn dies passiert. Um den Aktualisierungsvorgang zu beschleunigen, können Sie ihn neu starten SSM Agent oder starten Sie die Instanz neu.

Verwenden Sie eine der folgenden Vorgehensweisen, je nachdem, ob Sie eine neue Rolle für Ihr Instance-Profil erstellen oder die erforderlichen Berechtigungen zu einer vorhandenen Rolle hinzufügen.

Erstellen eines Instance-Profils für von Systems Manager verwaltete Instances (Konsole)
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  3. Wählen Sie für Trusted entity type (Vertrauenswürdige Entität) die Option AWS-Service aus.

  4. Wählen EC2Sie unmittelbar unter Anwendungsfall die Option und anschließend Weiter aus.

  5. Gehen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) wie folgt vor:

    • Verwenden Sie das Suchfeld, um die mazonSSMManagedInstanceCoreA-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen, wie in der folgenden Abbildung dargestellt.

      Das Kontrollkästchen ist in der mazonSSMManaged InstanceCore Zeile A aktiviert.

      Die Konsole behält Ihre Auswahl auch dann bei, wenn Sie nach anderen Richtlinien suchen.

    • Wenn Sie im vorherigen Verfahren, (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket, eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen.

    • Wenn Sie vorhaben, Instanzen mit einem Active Directory zu verbinden, das von verwaltet wird AWS Directory Service, suchen Sie nach A mazonSSMDirectory ServiceAccess und aktivieren Sie das Kontrollkästchen neben dem Namen.

    • Wenn Sie planen, Ihre Instanz mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach dem entsprechenden Namen CloudWatchAgentServerPolicyund aktivieren Sie das Kontrollkästchen neben dem Namen.

  6. Wählen Sie Weiter.

  7. Geben Sie unter Role name (Rollenname) einen Namen für Ihr neues Instance-Profil ein, wie z. B. SSMInstanceProfile.

    Anmerkung

    Notieren Sie sich den Rollennamen. Sie wählen diese Rolle beim Erstellen neuer Instances, die Sie mit Systems Manager verwalten möchten.

  8. (Optional) Aktualisieren Sie in Description (Beschreibung) die Beschreibung für dieses Instance-Profil ein.

  9. (Optional) Fügen Sie für Tags ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern, und wählen Sie dann Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

So fügen Sie Instance-Profil-Berechtigungen für Systems Manager zu einer vorhandenen Rolle hinzu (Konsole)
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Rollen und wählen Sie die vorhandene Rolle aus, die Sie einem Instance-Profil für Systems Manager-Operationen zuordnen möchten.

  3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Attach policies (Berechtigungen hinzufügen, Richtlinien anfügen) aus.

  4. Führen Sie auf der Seite Attach Policy (Richtlinie anfügen) die folgenden Schritte aus:

    • Verwenden Sie das Suchfeld, um die mazonSSMManagedInstanceCoreA-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen.

    • Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen. Weitere Informationen zu benutzerdefinierten S3-Bucket-Richtlinien für ein Instance-Profil finden Sie unter (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket.

    • Wenn Sie vorhaben, Instanzen mit einem Active Directory zu verbinden, das von verwaltet wird AWS Directory Service, suchen Sie nach A mazonSSMDirectory ServiceAccess und aktivieren Sie das Kontrollkästchen neben dem Namen.

    • Wenn Sie planen, Ihre Instanz mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach dem entsprechenden Namen CloudWatchAgentServerPolicyund aktivieren Sie das Kontrollkästchen neben dem Namen.

  5. Wählen Sie Richtlinien anfügen.

Informationen dazu, wie Sie eine Rolle aktualisieren, um sie um eine vertrauenswürdige Entität zu erweitern oder den Zugriff weiter einzuschränken, finden Sie im IAMBenutzerhandbuch unter Rolle ändern.

(Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket

Das Erstellen einer benutzerdefinierten Richtlinie für den Amazon S3 S3-Zugriff ist nur erforderlich, wenn Sie in Ihren Systems Manager Manager-Vorgängen einen VPC Endpunkt oder einen eigenen S3-Bucket verwenden. Sie können diese Richtlinie an die IAM Standardrolle anhängen, die durch die Standard-Host-Management-Konfiguration erstellt wurde, oder an ein Instance-Profil, das Sie im vorherigen Verfahren erstellt haben.

Informationen zu den AWS verwalteten S3-Buckets, auf die Sie in der folgenden Richtlinie Zugriff gewähren, finden Sie unterSSM Agent Kommunikation mit AWS verwalteten S3-Buckets.

  1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

  3. Wählen Sie die JSONRegisterkarte und ersetzen Sie den Standardtext durch den folgenden Text.

    { "Version": "2012-10-17", "Statement": [ Footnote callout 1 to explain a line in a JSON policy{ "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-region/*", "arn:aws:s3:::aws-windows-downloads-region/*", "arn:aws:s3:::amazon-ssm-region/*", "arn:aws:s3:::amazon-ssm-packages-region/*", "arn:aws:s3:::region-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-distributor-file-region/*", "arn:aws:s3:::aws-ssm-document-attachments-region/*", "arn:aws:s3:::patch-baseline-snapshot-region/*" ] }, Footnote callout 2 to explain a line in a JSON policy{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl", Footnote callout 3 to explain a line in a JSON policy "s3:GetEncryptionConfiguration" Footnote callout 4 to explain a line in a JSON policy ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket" Footnote callout 5 to explain a line in a JSON policy ] } ] }

    1 Das erste Statement Element ist nur erforderlich, wenn Sie einen VPC Endpunkt verwenden.

    2 Das zweite Statement-Element ist nur erforderlich, wenn Sie einen S3 Bucket verwenden, den Sie zur Verwendung bei Ihren Systems Manager-Operationen erstellt haben.

    3 Die PutObjectAcl-ACL-Berechtigung ist nur erforderlich, wenn Sie vorhaben, kontoübergreifenden Zugriff auf S3-Buckets in anderen Konten zu unterstützen.

    4 Das GetEncryptionConfiguration-Element ist erforderlich, wenn Ihr S3-Bucket für die Verwendung der Verschlüsselung konfiguriert ist.

    5 Wenn Ihr S3 Bucket für die Verwendung der Verschlüsselung konfiguriert ist, muss das S3-Bucket-Stammverzeichnis (z. B. arn:aws:s3:::amzn-s3-demo-bucket) im Abschnitt Resource (Ressource) aufgeführt werden. Ihr Benutzer, Ihre Gruppe oder Ihre Rolle muss mit Zugriff auf den Stamm-Bucket konfiguriert sein.

  4. Wenn Sie in Ihren Vorgängen einen VPC Endpunkt verwenden, gehen Sie wie folgt vor:

    Ersetzen Sie im ersten Statement Element jedes region Platzhalter mit der ID, in der AWS-Region diese Richtlinie verwendet werden soll. Verwenden Sie beispielsweise us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

    Wichtig

    Wir empfehlen, dass Sie keine Platzhalterzeichen (*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise arn:aws:s3:::aws-ssm-us-east-2/* und nicht arn:aws:s3:::aws-ssm-*/*. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie das Instance-Profil für mehr als eine Region verwenden möchten, empfehlen wir, das erste Statement-Element für jede Region zu wiederholen.

    –oder–

    Wenn Sie in Ihren Vorgängen keinen VPC Endpunkt verwenden, können Sie das erste Statement Element löschen.

  5. Wenn Sie einen eigenen S3-Bucket in Ihren Systems Manager-Operationen verwenden, gehen Sie wie folgt vor:

    Ersetzen Sie im zweiten Statement Element amzn-s3-demo-bucket mit dem Namen eines S3-Buckets in Ihrem Konto. Dieser Bucket wird nun für Ihre Systems Manager-Operationen verwendet. Er bietet die Berechtigung für Objekte im Bucket, wobei "arn:aws:s3:::my-bucket-name/*" als Ressource verwendet wird. Weitere Informationen zur Bereitstellung von Berechtigungen für Buckets oder Objekte in Buckets finden Sie im Thema Amazon S3 S3-Aktionen im Amazon Simple Storage Service User Guide und im AWS Blogbeitrag IAMPolicies and Bucket Policies and! ACLs Oh, My! (Steuern des Zugriffs auf S3-Ressourcen).

    Anmerkung

    Wenn Sie mehr als einen Bucket verwenden, geben Sie den ARN für jeden Bucket an. Im folgenden Beispiel finden Sie Berechtigungen für Buckets.

    "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ]

    –oder–

    Wenn Sie bei Ihren Systems Manager-Operationen keinen eigenen S3 Bucket verwenden, können Sie das zweite Statement-Element löschen.

  6. Wählen Sie Weiter: Markierungen.

  7. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

  8. Wählen Sie Weiter: Prüfen aus.

  9. Geben Sie unter Name einen Namen für diese Richtlinie, z. B. SSMInstanceProfileS3Policy, ein.

  10. Wählen Sie Create Policy (Richtlinie erstellen) aus.

Zusätzliche Richtlinienüberlegungen für verwaltete Instances

In diesem Abschnitt werden einige der Richtlinien beschrieben, die Sie zu der IAM Standardrolle hinzufügen können, die in der Standard-Host-Management-Konfiguration erstellt wurde, oder zu Ihren Instanzprofilen AWS Systems Manager. Um Berechtigungen für die Kommunikation zwischen Instanzen und dem Systems Manager bereitzustellenAPI, empfehlen wir, benutzerdefinierte Richtlinien zu erstellen, die Ihren System- und Sicherheitsanforderungen entsprechen. Abhängig von Ihrem Betriebsplan benötigen Sie möglicherweise Berechtigungen, die in einer oder mehreren der anderen Richtlinien dargestellt werden.

Richtlinie: AmazonSSMDirectoryServiceAccess

Nur erforderlich, wenn Sie EC2 Amazon-Instances beitreten möchten für Windows Server in ein Microsoft AD-Verzeichnis.

Diese AWS verwaltete Richtlinie ermöglicht SSM Agent um in Ihrem Namen AWS Directory Service auf Anfragen der verwalteten Instanz zuzugreifen, um der Domain beizutreten. Weitere Informationen finden Sie unter Nahtloses Beitreten zu einer EC2 Windows-Instanz im AWS Directory Service Administratorhandbuch.

Richtlinie: CloudWatchAgentServerPolicy

Nur erforderlich, wenn Sie planen, den CloudWatch Agenten auf Ihren Instances zu installieren und auszuführen, um Metrik- und Protokolldaten auf einer Instance zu lesen und in Amazon zu schreiben CloudWatch. Diese helfen Ihnen dabei, Probleme oder Änderungen an Ihren AWS Ressourcen zu überwachen, zu analysieren und schnell darauf zu reagieren.

Ihre IAM Standardrolle, die mit der Standard-Host-Management-Konfiguration oder dem Instance-Profil erstellt wurde, benötigt diese Richtlinie nur, wenn Sie Funktionen wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden. (Sie können auch eine restriktivere Richtlinie erstellen, die beispielsweise den Schreibzugriff auf einen bestimmten CloudWatch Logs-Protokollstream einschränkt.)

Anmerkung

Die Verwendung der Funktionen EventBridge und CloudWatch Protokollierung ist optional. Wenn Sie sich jedoch hierzu entschlossen haben, sollte diese zu Beginn des Systems-Manager-Konfigurationsprozesses eingerichtet werden. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch und im Amazon CloudWatch Logs-Benutzerhandbuch.

Informationen zum Erstellen von IAM Richtlinien mit Berechtigungen für zusätzliche Systems Manager Manager-Funktionen finden Sie in den folgenden Ressourcen:

Anfügen des Systems-Manager-Instance-Profils an eine Instance (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter Instances die Option Instances.

  3. Navigieren Sie zu Ihrer EC2 Instance und wählen Sie sie aus der Liste aus.

  4. Wählen Sie im Menü Aktionen die Optionen Sicherheit, IAMRolle ändern aus.

  5. Wählen Sie unter IAMRolle das Instanzprofil aus, das Sie mit dem Verfahren unter erstellt habenAlternative Konfiguration für EC2 Instance-Berechtigungen.

  6. Wählen Sie IAMRolle aktualisieren aus.

Für weitere Informationen zum Anhängen von IAM Rollen an Instanzen wählen Sie je nach ausgewähltem Betriebssystemtyp eine der folgenden Optionen:

Fahren Sie fort mit Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden.