開啟 advanced-instances 方案 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開啟 advanced-instances 方案

AWS Systems Manager 為混合多雲端環境中的非EC2 機器提供標準執行個體層和進階執行個體層。標準執行個體層可讓您 AWS 帳戶 為每個 註冊最多 1,000 個混合啟動機器 AWS 區域。還需要進階執行個體層才能使用 Patch Manager 在非 EC2 節點上修補 Microsoft 發行的應用程式,並使用 連線到非 EC2 節點 Session Manager。 如需詳細資訊,請參閱 開啟 advanced-instances 方案。

此部分說明如何設定您的混合多雲端環境,以使用 advanced-instances 方案。

開始之前

查看進階執行個體的定價詳細資訊。進階執行個體可在 a per-use-basis 上使用。如需詳細資訊,請參閱 AWS Systems Manager 定價

設定許可來開啟 advanced-instances 方案

確認您擁有在 AWS Identity and Access Management (IAM) 中將環境從標準執行個體層變更為進階執行個體層的許可。您必須將 AdministratorAccess IAM 政策連接至您的使用者、群組或角色,或者您必須具有變更 Systems Manager 啟動層級服務設定的許可。啟用層級設定使用以下 API 操作:

使用下列程序將內嵌 IAM 政策新增至使用者帳戶。此政策允許使用者檢視目前的受管執行個體方案設定。此政策也允許使用者變更或重設指定 AWS 帳戶 和 中的目前設定 AWS 區域。

  1. 登入 AWS Management Console 並在 IAM 開啟 https://console.aws.amazon.com/iam/ 主控台。

  2. 在導覽窗格中,選擇使用者

  3. 在清單中,選擇要內嵌政策的使用者名稱。

  4. 選擇許可索引標籤標籤。

  5. 在頁面右邊的 Permission policies (許可政策) 下選擇 Add inline policy (新增內嵌政策)

  6. 選擇 JSON 索引標籤。

  7. 將預設內容取代為以下內容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" } ] }
  8. 選擇檢閱政策

  9. Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱。例如:Managed-Instances-Tier

  10. 選擇 建立政策

管理員可以將下列內嵌政策指派給使用者,以指定唯讀許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "*" } ] }

如需建立和編輯 IAM 政策的詳細資訊,請參閱 IAM 使用者指南中的建立 Word 政策IAM

開啟 advanced-instances 方案 (主控台)

下列程序說明如何使用 Systems Manager 主控台,在指定的 AWS 帳戶 和 中變更使用受管執行個體啟用新增的所有非 EC2 節點 AWS 區域,以使用進階執行個體層。

開始之前

確認主控台在您建立受管執行個體 AWS 區域 的 中已開啟。您可以使用主控台頂端右上角的清單切換區域。

確認您已完成混合多雲端環境中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和非 EC2 機器的設定要求。如需相關資訊,請參閱 設定 的受管節點 AWS Systems Manager

重要

下列程序說明如何變更帳戶層級的設定。此變更會向您的帳戶收取費用。

若要開啟 advanced-instances 方案 (主控台)
  1. https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Fleet Manager.

  3. 選擇設定,然後選擇變更執行個體層設定

  4. 檢閱對話方塊中有關變更帳戶設定的資訊。

  5. 如果您核准,請選擇要接受的選項,然後選擇變更設定

系統可能需要幾分鐘的時間才能完成將所有執行個體從 standard-instances 方案移動到 advanced-instances 方案的程序。

注意

如需變更回 standard-instances 方案的相關資訊,請參閱從進階執行個體層還原至標準執行個體層

開啟 advanced-instances 方案 (AWS CLI)

下列程序說明如何使用 AWS Command Line Interface 來變更使用指定 和 中的受管執行個體啟用新增的所有內部部署伺服器 AWS 帳戶 和 VMs AWS 區域,以使用進階執行個體層。

重要

下列程序說明如何變更帳戶層級的設定。此變更會向您的帳戶收取費用。

若要使用 開啟進階執行個體層 AWS CLI
  1. 開啟 AWS CLI 並執行下列命令。取代每個 example resource placeholder 使用您自己的資訊。

    Linux & macOS
    aws ssm update-service-setting \ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \ --setting-value advanced
    Windows
    aws ssm update-service-setting ^ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^ --setting-value advanced

    如果命令成功,則無輸出訊息。

  2. 執行下列命令,以檢視目前 AWS 帳戶 和 中受管節點的目前服務設定 AWS 區域。

    Linux & macOS
    aws ssm get-service-setting \ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
    Windows
    aws ssm get-service-setting ^ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier

    該命令會傳回相關資訊,如以下所示。

    {
        "ServiceSetting": {
            "SettingId": "/ssm/managed-instance/activation-tier",
            "SettingValue": "advanced",
            "LastModifiedDate": 1555603376.138,
            "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
            "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
            "Status": "PendingUpdate"
        }
    }

開啟進階執行個體層 (PowerShell)

下列程序說明如何使用 AWS Tools for Windows PowerShell 變更使用指定 和 中的受管執行個體啟用新增的所有內部部署伺服器 AWS 帳戶 和 VMs AWS 區域,以使用進階執行個體層。

重要

下列程序說明如何變更帳戶層級的設定。此變更會向您的帳戶收取費用。

使用 PowerShell 開啟進階執行個體層
  1. 開啟 AWS Tools for Windows PowerShell 並執行下列命令。取代每個 example resource placeholder 使用您自己的資訊。

    Update-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" ` -SettingValue "advanced"

    如果命令成功,則無輸出訊息。

  2. 執行下列命令,以檢視目前 AWS 帳戶 和 中受管節點的目前服務設定 AWS 區域。

    Get-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"

    該命令會傳回相關資訊,如以下所示。

    ARN:arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
    LastModifiedDate : 4/18/2019 4:02:56 PM
    LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/User_1
    SettingId        : /ssm/managed-instance/activation-tier
    SettingValue     : advanced
    Status           : PendingUpdate

系統可能需要幾分鐘的時間才能完成將所有節點從 standard-instances 方案移動到 advanced-instances 方案的程序。

注意

如需變更回 standard-instances 方案的相關資訊,請參閱從進階執行個體層還原至標準執行個體層