步驟 1:完成Session Manager事前準備 - AWS Systems Manager

步驟 1:完成Session Manager事前準備

在您使用 Session Manager 之前,請確定您的環境符合下列要求。

Session Manager 先決條件
需求 描述

支援的作業系統

在使用 advanced-instance 方案的混合多雲端環境中,Session Manager 支援連線至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和伺服器或虛擬機器 (VM)。

Session Manager 支援以下作業系統版本:

注意

在使用 advanced-instance 方案的混合多雲端環境中,Session Manager 支援 EC2 執行個體、邊緣設備及內部部署伺服器和虛擬機器 (VM)。如需進階執行個體的詳細資訊,請參閱 設定執行個體方案

Linux 和 macOS

Session Manager 支援所有被 AWS Systems Manager 支援的 Linux 和 macOS 版本。如需相關資訊,請參閱 支援的作業系統和機器類型

Windows

Session Manager 支援 Windows Server 2012 至 Windows Server 2022。

注意

不支援 Microsoft Windows Server 2016 Nano。

SSM Agent

至少安裝 AWS Systems Manager SSM Agent 版本 2.3.68.0 或更新版本必須安裝在您要透過工作階段連接到的受管節點。

若要使用在 AWS Key Management Service (AWS KMS) 中建立的金鑰來加密工作階段資料的選項,則受管節點中必須安裝 SSM Agent 的 2.3.539.0 或更新版本。

若要在工作階段中使用 shell 描述檔,必須在受管節點上安裝 SSM Agent 3.0.161.0 版或更新版本。

若要啟動 Session Manager 網路埠轉送或 SSH 工作階段,必須在受管節點上安裝 SSM Agent 3.0.222.0 版或更新版本。

若要使用 Amazon CloudWatch Logs 來串流工作階段資料,必須在受管節點上安裝 SSM Agent 3.0.284.0 版或更新版本。

如需如何判斷在執行個體上執行的版本號的詳細資訊,請參閱 檢查 SSM Agent 版本編號。如需手動安裝或自動更新 SSM Agent 的詳細資訊,請參閱 使用 SSM Agent

關於 ssm 使用者帳戶

從 SSM Agent 2.3.50.0 版開始,代理程式使用名為 ssm-user 的根或管理員權限,在受管節點上建立使用者帳戶。(在 2.3.612.0 之前的版本中,當 SSM Agent 啟動或重新啟動時會建立帳戶。在版本 2.3.612.0 和更新版本中,在受管節點上第一次啟動工作階段時會建立 ssm-user。) 透過使用者帳戶的管理登入資料來啟動工作階段。如果有關限制此帳戶的管理控制的資訊,請參閱停用或啟用 ssm-user 帳戶管理許可

Windows Server 網域控制站上的 ssm 使用者

從 SSM Agent 2.3.612.0 版開始,系統不會在用作為 Windows Server 網域控制站的受管節點上自動建立 ssm-user 帳戶。若要在被用作網域控制器的 Windows Server 機器上使用 Session Manager,您必須手動建立 ssm-user 帳戶 (如果尚不存在),並將網域管理員許可指派給使用者。每次工作階段啟動時,SSM Agent 會在 Windows Server 上為 ssm-user 帳戶設定新的密碼,因此您在建立帳戶時不需要指定密碼。

連線至端點

您連線的受管節點也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

如需詳細資訊,請參閱下列主題:

或者,您可以使用介面端點連線至所需的端點。如需詳細資訊,請參閱步驟 6:(選用) 使用 AWS PrivateLink 設定 Session Manager 的 VPC 端點

AWS CLI

(選用) 如果您使用 AWS Command Line Interface (AWS CLI) 開始您的工作階段 (而不是使用 AWS Systems Manager 主控台或 Amazon EC2 主控台)、版本 1.16.12 或 CLI 的更新版本必須安裝在本機機器。

您可以呼叫 aws --version 來檢查版本。

若您需要安裝或升級 CLI,請參閱《AWS Command Line Interface 使用者指南》中的安裝 AWS Command Line Interface

重要

當新功能新增至 Systems Manager,或對現有功能更新時,會發行 SSM Agent 的更新版本。若未使用最新版本的代理程式,您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此,我們建議您讓機器的 SSM Agent 自動保持最新狀態。如需相關資訊,請參閱 自動化 SSM Agent 更新。請訂閱 GitHub 上的 SSM Agent 版本備註頁面,以便接收有關 SSM Agent 更新的通知。

除此之外,透過 Session Manager 使用 CLI 來管理您的節點,您必須先安裝 Session Manager 外掛程式本機電腦。如需相關資訊,請參閱 為 AWS CLI 安裝 Session Manager 外掛程式

開啟 advanced-instance 方案 (混合多雲端環境)

若要使用 Session Manager 連線至非 EC2 機器,您必須在 AWS 帳戶 和 AWS 區域 中開啟 advanced-instances 方案,在該帳戶和區域中您建立了混合式啟用,將非 EC2 機器註冊為受管節點。使用 advanced-instance 方案會產生費用。如需 advanced-instance 方案的詳細資訊,請參閱 設定執行個體方案

確認 IAM 服務角色許可 (混合多雲端環境)

啟用混合模式節點使用 AWS Identity and Access Management (IAM) 混合式啟用中指定的服務角色,以與 Systems Manager API 操作進行通訊。此服務角色必須包含使用 Session Manager 連線至混合多雲端機器所需的許可。如果您的服務角色包含 AWS 管理的政策 AmazonSSMManagedInstanceCore,則已提供 Session Manager 的必要許可。

如果發現服務角色不包含必要的許可,則您必須取消註冊受管執行個體,並使用具有所需許可之 IAM 服務角色的新混合式啟用來註冊該執行個體。如需取消註冊受管執行個體的詳細資訊,請參閱 取消註冊混合多雲端環境中的受管節點。如需建立具有 Session Manager 許可之 IAM 政策的詳細資訊,請參閱步驟 2:為 Session Manager 確認或新增執行個體許可