为组织设置 Systems Manager 统一控制台
只需单击几下即可从 AWS Management Console完成 Systems Manager 统一控制台体验的设置过程。要为 AWS Organizations 组织设置 Systems Manager,您必须有权访问您的组织的管理账户以及您的组织中的另一个账户以用作委派管理员。仅当启用或禁用 Systems Manager 时才需要访问管理账户。要管理您的节点,您将使用委派管理员账户。在管理整个组织的节点时,Systems Manager 会使用各种从属服务来设置和增强统一控制台的功能。因此,Systems Manager 必须启用可信访问并为以下服务注册委派管理员账户:
-
AWS CloudFormation:将 Systems Manager 所需的资源部署到您的账户。
-
AWS 资源探索器:搜索和筛选您账户中的 EC2 实例。
-
AWS Systems Manager Explorer:监控您的账户中为 Systems Manager 部署的资源的运行状况并排查其故障。
-
AWS Systems Manager Quick Setup:将 Systems Manager 所需的Quick Setup配置部署到您的账户。
在开始为某组织设置 Systems Manager 之前,请确保您尚未超过任何这些从属服务的委派管理员配额。否则,您将不能注册启用 Systems Manager 所需的委派管理员账户。当您为某组织启用 Systems Manager 时,您组织中的每个账户都将被包括在内。目前,尚没有关于将账户排除在设置过程之外的规定。启用 Systems Manager 时,您可以选择要包含的 AWS 区域。仅可选择当前支持 Systems Manager 统一控制台体验的区域。要了解有关控制台体验可用的区域的更多信息,请参阅支持的 AWS 区域。
注意
如果您在不同于主区域的区域中为资源探索器创建了聚合器索引,则 Systems Manager 会降级当前索引。然后,Systems Manager 会将您的主区域中的本地索引升级为新的聚合器索引。在此期间,仅显示您的主区域的节点。此过程最多可能需要 24 小时才能完成。
Systems Manager 控制台体验的设置过程会为您完成许多先决条件任务。这包括创建具有所需 IAM 权限的实例配置文件并将其附加到您的节点等。以下是 Systems Manager 统一控制台创建的资源的详细列表。
IAM 角色
-
RoleForOnboardingAutomation:允许 Systems Manager 在设置过程中管理资源。有关策略的更多信息,请参阅 AWSQuickSetupSSMManageResourcesExecutionPolicy。 -
RoleForLifecycleManagement:允许 Lambda 管理设置过程创建的资源的生命周期。有关策略的更多信息,请参阅 AWSQuickSetupSSMLifecycleManagementExecutionPolicy。 -
RoleForAutomation:Systems Manager Automation 执行运行手册要承担的服务角色。有关更多信息,请参阅 使用控制台为 Automation 创建服务角色。 -
AWSSSMDiagnosisAdminRole:用于启动使用诊断运行手册的自动化的管理员角色。有关这些策略的更多信息,请参阅 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy、AWS-SSM-Automation-DiagnosisBucketPolicy 和 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy。 -
AWSSSMDiagnosisExecutionRole:诊断运行手册的自动化执行角色。有关策略的更多信息,请参阅 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 和 AWS-SSM-Automation-DiagnosisBucketPolicy。 -
AWSSSMRemediationAdminRole:用于启动使用修复运行手册的自动化的管理员角色。有关这些策略的更多信息,请参阅 AWS-SSM-RemediationAutomation-AdministrationRolePolicy、AWS-SSM-Automation-DiagnosisBucketPolicy 和 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy。 -
AWSSSMRemediationExecutionRole:修复运行手册的自动化执行角色。有关策略的更多信息,请参阅 AWS-SSM-RemediationAutomation-ExecutionRolePolicy 和 AWS-SSM-Automation-DiagnosisBucketPolicy。 -
ManagedInstanceCrossAccountManagementRole:允许 Systems Manager 跨账户收集托管式节点的信息。
State Manager 关联
-
EnableDHMCAssociation:每天运行一次,确保启用默认主机管理配置。 -
SystemAssociationForManagingInstances:每 30 天运行一次,确保AmazonSSMManagedInstanceCore策略应用于附加到节点的实例配置文件。如果节点上没有附加实例配置文件,Systems Manager 会使用该AmazonSSMManagedInstanceCore策略创建实例配置文件并将其附加到节点。如果节点已经附加实例配置文件,则该策略会附加到实例配置文件中。如果实例配置文件已包含必要的权限,则不会进行任何变更。注意
如果节点由 AWS CloudFormation 启动,Systems Manager 对实例配置文件所做的更改可能会导致 AWS CloudFormation 检测到资源发生偏差。
-
SystemAssociationForEnablingExplorer:每天运行一次,确保已启用 Explorer。Explorer 用于同步来自托管式节点的数据。 -
EnableAREXAssociation:每天运行一次,确保已启用 AWS 资源探索器。资源探索器用于确定组织中的哪些 Amazon EC2 实例未由 Systems Manager 管理。 -
SSMAgentUpdateAssociation:每 14 天运行一次,确保托管式节点上安装了 SSM Agent 的最新可用版本。 -
SystemAssociationForInventoryCollection:每 12 小时运行一次,从托管式节点收集清单数据。
S3 存储桶
-
DiagnosisBucket:存储从诊断运行手册执行中收集的数据。
Lambda 函数
-
SSMLifecycleOperatorLambda:允许主体访问所有 AWS Systems Manager 快速设置功能 操作。 -
SSMLifecycleResource:自定义资源,可帮助管理设置过程创建的资源的生命周期。
此外,在设置过程完成后,您可以选择诊断并修复节点任务,以自动将修复应用于未报告为由 Systems Manager 管理的节点。这可能包括识别诸如 Systems Manager 端点的网络连接问题等问题。
为组织设置 Systems Manager
-
登录您组织的管理账户。
访问 https://console.aws.amazon.com/systems-manager/
,打开 AWS Systems Manager 控制台。 -
输入您要注册为委派管理员的账户的 ID。
-
委派管理员账户注册成功后,登录您刚刚注册的委派管理员账户,然后返回 Systems Manager 控制台完成设置 Systems Manager。
-
选择启用 Systems Manager。
-
在主区域部分,确定您希望 Systems Manager 聚合您的节点数据的区域。默认情况下,Systems Manager 会选择您当前正在使用的区域。要选择其他主区域,请在设置 Systems Manager 之前将控制台更改为您想要使用的区域。节点数据将在您组织的各个账户和区域之间复制并存储在主区域中。设置 Systems Manager 后,您选择的区域无法更改。要使用其他区域作为您组织的主区域,您必须禁用统一控制台并再次完成设置过程。如果您的组织使用 IAM Identity Center,则必须选择与您设置 IAM Identity Center 的相同区域作为您的主区域。
-
在区域部分中,选择您想要启用 Systems Manager 的区域。
-
选择提交。
根据您组织的规模,设置 Systems Manager 统一控制台体验可能需要较长的时间。
