Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation

Der Einrichtungsvorgang für die einheitliche Systems-Manager-Konsolenerfahrung ist von AWS Management Console aus mit nur wenigen Klicks abgeschlossen. Um Systems Manager für eine AWS Organizations-Organisation einzurichten, benötigen Sie Zugriff auf das Verwaltungskonto Ihrer Organisation und ein anderes Konto in Ihrer Organisation, das Sie als delegierter Administrator verwenden können. Der Zugriff auf das Verwaltungskonto ist nur erforderlich, um Systems Manager zu aktivieren oder zu deaktivieren. Um Ihre Knoten zu verwalten, verwenden Sie das delegierte Administratorkonto. Bei der Verwaltung von Knoten in einem Unternehmen verwendet Systems Manager verschiedene abhängige Services, um die Funktionalität der vereinheitlichten Konsole einzurichten und zu erweitern. Daher muss Systems Manager vertrauenswürdigen Zugriff aktivieren und ein delegiertes Administratorkonto für die folgenden Services registrieren:

AWS CloudFormation – Stellt die für Systems Manager erforderlichen Ressourcen für Ihre Konten bereit.
AWS Ressourcen Explorer – Suchen und Filtern von EC2-Instances in Ihren Konten.
AWS Systems Manager Explorer – Überwachung und Problembehebung des Zustands der Ressourcen, die für Systems Manager in Ihren Konten bereitgestellt werden.
AWS Systems Manager Quick Setup – Stellt für Ihre Konten die für Systems Manager erforderlichen Quick Setup-Konfigurationen bereit.

Bevor Sie mit der Einrichtung von Systems Manager für eine Organisation beginnen, stellen Sie sicher, dass Sie das Kontingent an delegierten Administratoren für keinen dieser abhängigen Services bereits überschritten haben. Andernfalls können Sie die delegierten Administratorkonten, die zur Aktivierung von Systems Manager erforderlich sind, nicht registrieren. Wenn Sie Systems Manager für eine Organisation aktivieren, ist jedes Konto in Ihrer Organisation enthalten. Derzeit gibt es keine Möglichkeit, Konten vom Einrichtungsprozess auszuschließen. Wenn Sie Systems Manager aktivieren, können Sie auswählen, welche AWS-Regionen Sie einbeziehen möchten. Es können nur Regionen ausgewählt werden, die derzeit das einheitliche Konsolenerlebnis für Systems Manager unterstützen. Weitere Informationen zu den Regionen, in denen das Konsolenerlebnis verfügbar ist, finden Sie unter Unterstützte AWS-Regionen.

Anmerkung

Wenn Sie einen Aggregatorindex für Resource Explorer in einer anderen Region als Ihrer Heimatregion erstellt haben, stuft Systems Manager den aktuellen Index herab. Anschließend bewirbt Systems Manager den lokalen Index in Ihrer Heimatregion als neuen Aggregatorindex. Während dieser Zeit werden nur Knoten für Ihre Heimatregion angezeigt. Dieser Vorgang kann bis zu 24 Stunden dauern.

Der Einrichtungsprozess für die Systems-Manager-Konsole erledigt viele der erforderlichen Aufgaben für Sie. Dazu gehören das Erstellen und Anhängen von Instance-Profilen mit den erforderlichen IAM-Berechtigungen an Ihre Knoten und vieles mehr. Im Folgenden finden Sie eine detaillierte Liste der Ressourcen, die von Systems Manager für die einheitliche Konsole erstellt wurden.

IAM-Rollen

RoleForOnboardingAutomation – Ermöglicht Systems Manager, Ressourcen während des Einrichtungsvorgangs zu verwalten. Weitere Informationen zu der Richtlinie finden Sie unter AWSQuickSetupSSMManageResourcesExecutionPolicy.
RoleForLifecycleManagement – Ermöglicht Lambda, den Lebenszyklus von Ressourcen zu verwalten, die durch den Einrichtungsprozess erstellt wurden. Weitere Informationen zu der Richtlinie finden Sie unter AWSQuickSetupSSMLifecycleManagementExecutionPolicy.
RoleForAutomation – Eine Servicerolle, die Systems Manager Automation zur Ausführung von Runbooks übernehmen soll. Weitere Informationen finden Sie unter Erstellen Sie die Servicerollen für Automation mithilfe der Konsole.
AWSSSMDiagnosisAdminRole – Eine Administratorrolle, die zum Starten von Automatisierungen verwendet wird, die Diagnose-Runbooks verwenden. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy und AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.
AWSSSMDiagnosisExecutionRole – Eine Automatisierungsausführungsrolle für das Diagnose-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy und AWS-SSM-Automation-DiagnosisBucketPolicy.
AWSSSMRemediationAdminRole – Eine Administratorrolle, die zum Starten von Automatisierungen verwendet wird, die Reparatur-Runbooks verwenden. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-RemediationAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy und AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.
AWSSSMRemediationExecutionRole – Eine Automatisierungsausführungsrolle für das Remediation-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM-RemediationAutomation-ExecutionRolePolicy und AWS-SSM-Automation-DiagnosisBucketPolicy.
ManagedInstanceCrossAccountManagementRole – Ermöglicht Systems Manager, Informationen über verwaltete Knoten kontenübergreifend zu sammeln.

State Manager-Zuordnungen

EnableDHMCAssociation – Wird täglich ausgeführt und stellt sicher, dass die Standard-Host-Verwaltungskonfiguration aktiviert ist.
SystemAssociationForManagingInstances – Wird alle 30 Tage ausgeführt und stellt sicher, dass die AmazonSSMManagedInstanceCore -Richtlinie auf Instance-Profile angewendet wird, die an Ihre Knoten angehängt sind. Wenn dem Knoten kein Instance-Profil zugeordnet ist, erstellt Systems Manager ein Instance-Profil mit der AmazonSSMManagedInstanceCore -Richtlinie und fügt es dem Knoten hinzu. Wenn Ihren Knoten bereits ein Instance-Profil angehängt ist, wird die Richtlinie an das Instance-Profil angehängt. Wenn das Instance-Profil bereits die erforderlichen Berechtigungen enthält, werden keine Änderungen vorgenommen.

Anmerkung
Wenn ein Knoten von AWS CloudFormation gestartet wurde, können die Änderungen, die Systems Manager am Instance-Profil vornimmt, dazu führen, dass AWS CloudFormation die Ressource als Drift erkennt.
SystemAssociationForEnablingExplorer – Wird täglich ausgeführt und stellt sicher, dass Explorer aktiviert ist. Explorer wird verwendet, um Daten aus Ihren verwalteten Knoten zu synchronisieren.
EnableAREXAssociation – Wird täglich ausgeführt und stellt sicher, dass AWS Ressourcen Explorer aktiviert ist. Resource Explorer wird verwendet, um zu ermitteln, welche Amazon-EC2-Instances in Ihrer Organisation nicht durch Systems Manager verwaltet werden.
SSMAgentUpdateAssociation – Wird alle 14 Tage ausgeführt und stellt sicher, dass die neueste verfügbare Version von SSM Agent in Ihren verwalteten Knoten installiert ist.
SystemAssociationForInventoryCollection – Wird alle 12 Stunden ausgeführt und sammelt Bestandsdaten von Ihren verwalteten Knoten.

S3-Buckets

DiagnosisBucket – Speichert Daten, die bei der Ausführung des Diagnose-Runbooks gesammelt wurden.

Lambda-Funktionen

SSMLifecycleOperatorLambda – Ermöglicht Prinzipalen Zugriff auf alle AWS Systems Manager Quick Setup-Aktionen.
SSMLifecycleResource – Benutzerdefinierte Ressource zur Verwaltung des Lebenszyklus von Ressourcen, die während des Einrichtungsprozesses erstellt wurden.

Darüber hinaus können Sie nach Abschluss des Einrichtungsvorgangs die Aufgabe Knoten diagnostizieren und korrigieren auswählen, um automatisch Korrekturen auf Knoten anzuwenden, die nicht als von Systems Manager verwaltet gemeldet werden. Dies kann die Identifizierung von Problemen wie Netzwerkverbindungsproblemen zu den Systems-Manager-Endpunkten und mehr beinhalten.

So richten Sie Systems Manager für eine Organisation ein

Anmeldung das Verwaltungskonto für Ihre Organisation.
Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.
Geben Sie die ID des Kontos ein, das Sie als delegierter Administrator registrieren möchten.
Nachdem das delegierte Administratorkonto erfolgreich registriert wurde, melden Sie sich bei dem delegierten Administratorkonto an, das Sie gerade registriert haben, und kehren Sie zur Systems-Manager-Konsole zurück, um die Einrichtung von Systems Manager abzuschließen.
Wählen Sie Systems Manager aktivieren aus.
Im Abschnitt Heimatregion bestimmen Sie eine Region, in der Systems Manager Ihre Knotendaten aggregieren soll. Standardmäßig wählt Systems Manager die Region aus, die Sie gerade verwenden. Um eine andere Heimatregion auszuwählen, ändern Sie die Konsole in die Region, die Sie verwenden möchten, bevor Sie Systems Manager einrichten. Knotendaten werden über Konten und Regionen Ihrer Organisation hinweg repliziert und in der Heimatregion gespeichert. Die von Ihnen gewählte Region kann nach der Einrichtung von Systems Manager nicht mehr geändert werden. Um eine andere Region als Heimatregion für Ihre Organisation zu verwenden, müssen Sie die einheitliche Konsole deaktivieren und den Einrichtungsvorgang erneut abschließen. Wenn Ihre Organisation IAM Identity Center verwendet, müssen Sie dieselbe Region, in der Sie IAM Identity Center eingerichtet haben, als Ihre Heimatregion auswählen.
Wählen Sie im Abschnitt Regionen die Regionen aus, in denen Sie Systems Manager aktivieren möchten.
Wählen Sie Absenden aus.

Je nach Größe Ihres Unternehmens kann es sehr lange dauern, bis die einheitliche Konsolenoberfläche von Systems Manager eingerichtet ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einrichten des Systems-Manager-Konsolenzugriffs

Einrichtung einer einheitlichen Systems-Manager-Konsole für ein einziges Konto und eine Region