Langkah 1: Session Manager Prasyarat lengkap - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Session Manager Prasyarat lengkap

Sebelum menggunakanSession Manager, pastikan lingkungan Anda memenuhi persyaratan berikut.

Prasyarat Session Manager
Persyaratan Deskripsi

Sistem operasi yang didukung

Session Managermendukung koneksi ke instans Amazon Elastic Compute Cloud (AmazonEC2), selain EC2 non-mesin di lingkungan hybrid dan multicloud Anda yang menggunakan tingkat instance lanjutan.

Session Managermendukung versi sistem operasi berikut:

catatan

Session Managermendukung EC2 instans, perangkat edge, dan server lokal serta mesin virtual (VMs) di lingkungan hybrid dan multicloud Anda yang menggunakan tingkat instance lanjutan. Untuk informasi selengkapnya tentang instans lanjutan, lihat Mengonfigurasi tingkat instans.

Linux dan macOS

Session Managermendukung semua versi Linux dan macOS yang didukung oleh AWS Systems Manager. Untuk informasi, lihat Sistem operasi dan jenis mesin yang didukung.

Windows

Session Managermendukung Windows Server 2012 hingga Windows Server 2022.

catatan

Tidak mendukung Microsoft Windows Server 2016 Nano.

SSM Agent

Minimal, AWS Systems Manager SSM Agent versi 2.3.68.0 atau yang lebih baru harus diinstal pada node terkelola yang ingin Anda sambungkan melalui sesi.

Untuk menggunakan opsi untuk mengenkripsi data sesi menggunakan kunci yang dibuat di AWS Key Management Service (AWS KMS), versi 2.3.539.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola.

Untuk menggunakan profil shell dalam sesi, SSM Agent versi 3.0.161.0 atau yang lebih baru harus diinstal pada node terkelola.

Untuk memulai penerusan Session Manager port atau SSH sesi, SSM Agent versi 3.0.222.0 atau yang lebih baru harus diinstal pada node terkelola.

Untuk melakukan streaming data sesi menggunakan Amazon CloudWatch Logs, SSM Agent versi 3.0.284.0 atau yang lebih baru harus diinstal pada node terkelola.

Untuk informasi tentang cara menentukan nomor versi yang berjalan pada instance, lihatMemeriksa nomor SSM Agent versi. Untuk informasi tentang menginstal secara manual atau memperbarui secara otomatisSSM Agent, lihatBekerja dengan SSM Agent.

Tentang akun ssm-user

Dimulai dengan versi 2.3.50.0 dariSSM Agent, agen membuat akun pengguna pada node terkelola, dengan izin root atau administrator, dipanggil. ssm-user (Pada versi sebelum 2.3.612.0, akun dibuat saat SSM Agent memulai atau memulai ulang. Pada versi 2.3.612.0 dan yang lebih baru, ssm-user dibuat pertama kali sesi dimulai pada node terkelola.) Sesi diluncurkan menggunakan kredensial administratif akun pengguna ini. Untuk informasi tentang membatasi kontrol administratif untuk akun ini, lihat Menonaktifkan atau mengaktifkan izin administratif akun ssm-user.

ssm-user pada pengendali domain Windows Server

Dimulai dengan SSM Agent versi 2.3.612.0, ssm-user akun tidak dibuat secara otomatis pada node terkelola yang digunakan sebagai pengontrol domain. Windows Server Untuk digunakan Session Manager pada Windows Server mesin yang digunakan sebagai pengontrol domain, Anda harus membuat ssm-user akun secara manual jika belum ada, dan menetapkan izin Administrator Domain kepada pengguna. Windows ServerAktif, SSM Agent tetapkan kata sandi baru untuk ssm-user akun setiap kali sesi dimulai, jadi Anda tidak perlu menentukan kata sandi saat membuat akun.

Konektivitas ke titik akhir

Node terkelola yang Anda sambungkan juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:

  • ec2pesan.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Untuk informasi selengkapnya, lihat topik berikut.

Atau, Anda dapat terhubung ke titik akhir yang diperlukan dengan menggunakan titik akhir antarmuka. Untuk informasi selengkapnya, lihat Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager.

AWS CLI

(Opsional) Jika Anda menggunakan AWS Command Line Interface (AWS CLI) untuk memulai sesi (alih-alih menggunakan AWS Systems Manager konsol atau EC2 konsol Amazon), versi 1.16.12 atau yang lebih baru CLI harus diinstal pada mesin lokal Anda.

Anda dapat menghubungi aws --version untuk memeriksa versi.

Jika Anda perlu menginstal atau memutakhirkanCLI, lihat Menginstal AWS Command Line Interface di Panduan AWS Command Line Interface Pengguna.

penting

Versi terbaru dirilis setiap kali kemampuan baru ditambahkan ke Systems Manager atau pembaruan dibuat untuk kemampuan yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai kemampuan dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan halaman Catatan SSM Agent Rilis GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.

Selain itu, untuk menggunakan CLI untuk mengelola node Anda denganSession Manager, Anda harus terlebih dahulu menginstal Session Manager plugin pada mesin lokal Anda. Untuk informasi, lihat Instal Session Manager plugin untuk AWS CLI.

Aktifkan tingkat instance lanjutan (lingkungan hybrid dan multicloud)

Untuk terhubung ke EC2 non-mesin menggunakanSession Manager, Anda harus mengaktifkan tingkat instance lanjutan di Akun AWS dan di Wilayah AWS mana Anda membuat aktivasi hibrida untuk mendaftarkan EC2 non-mesin sebagai node terkelola. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Untuk informasi selengkapnya tentang tingkat instance lanjutan, lihat. Mengonfigurasi tingkat instans

Verifikasi izin peran IAM layanan (lingkungan hybrid dan multicloud)

Node yang diaktifkan hibrida menggunakan peran layanan AWS Identity and Access Management (IAM) yang ditentukan dalam aktivasi hibrida untuk berkomunikasi dengan operasi Systems ManagerAPI. Peran layanan ini harus berisi izin yang diperlukan untuk terhubung ke mesin hybrid dan multicloud Anda menggunakan. Session Manager Jika peran layanan Anda berisi kebijakan AWS terkelolaAmazonSSMManagedInstanceCore, izin yang diperlukan untuk sudah Session Manager disediakan.

Jika Anda menemukan bahwa peran layanan tidak berisi izin yang diperlukan, Anda harus membatalkan pendaftaran instance terkelola dan mendaftarkannya dengan aktivasi hibrida baru yang menggunakan peran IAM layanan dengan izin yang diperlukan. Untuk informasi selengkapnya tentang membatalkan pendaftaran instans terkelola, lihat. Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud Untuk informasi selengkapnya tentang membuat IAM kebijakan dengan Session Manager izin, lihat Langkah 2: Verifikasi atau tambahkan izin instans untuk. Session Manager