Erstellen Sie eine Hybridaktivierung, um Knoten bei Systems Manager zu registrieren

Um andere Maschinen als Instances der Amazon Elastic Compute Cloud (EC2) als verwaltete Knoten für eine Hybrid- und Multi-Cloud-Umgebung einzurichten, erstellen Sie eine Hybrid-Aktivierung und wenden diese an. Nachdem Sie die Aktivierung erfolgreich abschließen, erhalten Sie sofort einen Aktivierungscode und eine Aktivierungs-ID oben auf der Konsolenseite. Sie geben diese Kombination aus Code und ID bei der Installation AWS Systems Manager SSM Agent auf Nicht-EC2-Computern für Ihre Hybrid- und Multi-Cloud-Umgebung an. Der Code und die ID bieten einen sicheren Zugriff auf den Systems-Manager-Service von Ihren verwalteten Knoten aus.

Wichtig

Systems Manager übergibt den Aktivierungscode und die ID sofort an die Konsole oder das Befehlsfenster, je nachdem, wie Sie die Aktivierung erstellt haben. Kopieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Wenn Sie die Konsole verlassen oder das Befehlsfenster schließen, können diese Informationen verloren gehen. Wenn Sie die Informationen verlieren, müssen Sie eine neue Aktivierung erstellen.

Informationen zu den Aktivierungabläufen

Ein Aktivierungsablauf ist ein Zeitfenster, in dem Sie On-Premises-Maschinen mit Systems Manager registrieren können. Eine abgelaufene Aktivierung hat keine Auswirkungen auf Ihre Server oder VMs, die Sie zuvor bei Systems Manager registriert haben. Wenn eine Aktivierung abgelaufen ist, können Sie anschließend mit dieser bestimmten Aktivierung keine weiteren Server oder VMs mit Systems Manager registrieren. Sie müssen eine neue erstellen.

Jeder On-Premises-Server und jede VM, die Sie zuvor registriert haben, bleibt als verwalteter Systems-Manager-Knoten registriert, bis Sie die Registrierung explizit abmelden. Sie können die Registrierung eines verwalteten Knotens auf der Registerkarte Verwaltete Knoten Fleet Manager in der Systems Manager Manager-Konsole mithilfe des AWS CLI Befehls deregister-managed-instanceoder mithilfe des API-Aufrufs aufheben. DeregisterManagedInstance

Informationen zu verwalteten Knoten

Ein verwalteter Knoten ist ein beliebiger Computer, für den er konfiguriert ist. AWS Systems Manager AWS Systems Manager unterstützt Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Edge-Geräte und lokale Server oder VMs, einschließlich VMs in anderen Cloud-Umgebungen. Bisher wurden alle verwalteten Knoten als verwaltete Instances bezeichnet. Der Begriff Instance bezieht sich jetzt nur noch auf EC2-Instances. Der Befehl deregister-managed-instance wurde vor dieser Terminologieänderung benannt.

Informationen zu Aktivierungs-Tags

Wenn Sie eine Aktivierung entweder mithilfe von AWS Command Line Interface (AWS CLI) oder erstellen AWS Tools for Windows PowerShell, können Sie Tags angeben. Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Hier ist ein AWS CLI Beispielbefehl zur Ausführung auf einem lokalen Linux-Computer, der optionale Tags enthält.

aws ssm create-activation \
  --default-instance-name MyWebServers \
  --description "Activation for Finance department webservers" \
  --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
  --registration-limit 10 \
  --region us-east-2 \
  --tags "Key=Department,Value=Finance"

Wenn Sie beim Erstellen einer Aktivierung Tags angeben, werden diese Tags automatisch Ihren verwalteten Knoten zugewiesen, wenn Sie diese aktivieren.

Es ist nicht möglich, Tags zu einer vorhandenen Aktivierung hinzuzufügen oder daraus zu löschen. Wenn Sie Ihren On-Premises-Servern und VMs nicht mithilfe einer Aktivierung automatisch Tags zuweisen möchten, können Sie ihnen später Tags hinzufügen. Genauer gesagt können Sie Ihre On-Premises-Server und VMs markieren, nachdem sie sich zum ersten Mal mit Systems Manager verbunden haben. Nachdem diese eine Verbindung hergestellt haben, wird ihnen eine verwaltete Knoten-ID zugewiesen und sie werden in der Systems-Manager-Konsole mit einer ID mit dem Präfix „mi-“ aufgeführt. Informationen zum Hinzufügen von Tags zu Ihren verwalteten Knoten ohne Verwendung des Aktivierungsprozesses finden Sie unter Markieren verwalteter Knoten.

Anmerkung

Sie können einer Aktivierung keine Tags zuweisen, wenn Sie sie mithilfe der Systems Manager-Konsole erstellen. Sie müssen ihn entweder mit den Tools AWS CLI oder mit den Tools für Windows erstellen PowerShell.

Wenn Sie einen On-Premises-Server oder eine virtuelle Maschine (VM) nicht mehr mithilfe von Systems Manager verwalten möchten, können Sie die Registrierung aufheben. Weitere Informationen finden Sie unter Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung.

Verwenden von AWS Management Console , um eine Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager zu erstellen

So erstellen Sie eine Aktivierung für einen verwalteten Knoten

1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich Hybrid Activations.

3. Wählen Sie Create activation aus.

   –oder–

   Wenn Sie in der aktuellen Version zum ersten Mal auf Hybrid-Aktivierungen zugreifen AWS-Region, wählen Sie Create an Activations.

4. (Optional) Geben Sie für Aktivierungs-Beschreibung eine Beschreibung für diese Aktivierung ein. Wir empfehlen die Eingabe einer Beschreibung, wenn Sie eine große Anzahl von Servern und VMs aktivieren möchten.

5. Geben Sie unter Instanzlimit die Gesamtzahl der Knoten an, bei denen Sie sich im AWS Rahmen dieser Aktivierung registrieren möchten. Der Standardwert ist 1 Instance.

6. Wählen Sie für die IAM-Rolle eine Servicerollenoption aus, mit der Ihre Server und VMs AWS Systems Manager in der Cloud kommunizieren können:

   • Option 1: Wählen Sie Verwenden Sie die vom System erstellte Standardrolle, um eine Rolle und verwaltete Richtlinie zu verwenden, die von AWS bereitgestellt wird.

   • Option 2: Wählen Sie Select an existing custom IAM role that has the required permissions (Vorhandene benutzerdefinierte IAM Rolle auswählen) aus, um die optionale benutzerdefinierte Rolle zu verwenden, die Sie zuvor erstellt haben. Diese Rolle muss über eine Vertrauensbeziehungsrichtlinie verfügen, die "Service": "ssm.amazonaws.com" angibt. Wenn Ihre IAM-Rolle dieses Prinzip in einer Vertrauensbeziehungsrichtlinie nicht angibt, wird die folgende Fehlermeldung angezeigt:

     An error occurred (ValidationException) when calling the CreateActivation
                                         operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

     Weitere Informationen zum Erstellen dieser Rolle finden Sie unter Erstellen Sie die für Systems Manager in Hybrid- und Multicloud-Umgebungen erforderliche IAM-Servicerolle.

7. Geben Sie im Feld Activation expiry date (Aktivierungsablaufdatum) ein Ablaufdatum für die Aktivierung an. Das Verfallsdatum muss in der Zukunft liegen - jedoch nicht mehr als 30 Tage. Der Standardwert beträgt 24 Stunden.

   Anmerkung

   Wenn Sie nach dem Ablaufdatum weitere verwaltete Knoten registrieren möchten, müssen Sie eine neue Aktivierung erstellen. Das Verfallsdatum wirkt sich nicht auf registrierte und ausgeführte Knoten aus.

8. (Optional) Geben Sie für das Feld Default instance name (Standard-Instance-Name) einen identifizierenden Namenswert an, der für alle verwalteten Knoten angezeigt werden soll, die dieser Aktivierung zugeordnet sind.

9. Wählen Sie Create activation aus. Der Systems Manager gibt den Aktivierungscode und die ID sofort an die Konsole zurück.

Verwenden der Befehlszeile zum Erstellen einer Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager

Das folgende Verfahren beschreibt, wie Sie AWS Command Line Interface (AWS CLI) (unter Linux oderWindows) verwenden oder AWS Tools for PowerShell eine verwaltete Knotenaktivierung erstellen.

So erstellen Sie eine Aktivierung

1. Installieren und konfigurieren Sie das AWS CLI oder das AWS Tools for PowerShell, falls Sie das noch nicht getan haben.

   Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

2. Führen Sie den folgenden Befehl aus, um eine Aktivierung zu erstellen.

   Anmerkung

   • Ersetzen Sie im folgenden Befehl region mit Ihren eigenen Informationen. Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

   • Die Rolle, die Sie für den iam-role-Parameter angeben, muss über eine Vertrauensbeziehungsrichtlinie verfügen, die "Service": "ssm.amazonaws.com" angibt. Wenn Ihre AWS Identity and Access Management (IAM-) Rolle dieses Prinzip nicht in einer Vertrauensstellungsrichtlinie spezifiziert, erhalten Sie die folgende Fehlermeldung:

     An error occurred (ValidationException) when calling the CreateActivation
                                             operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

     Weitere Informationen zum Erstellen dieser Rolle finden Sie unter Erstellen Sie die für Systems Manager in Hybrid- und Multicloud-Umgebungen erforderliche IAM-Servicerolle.

   • Geben Sie für --expiration-date ein Datum im Zeitstempel-Format an, z. B. "2021-07-07T00:00:00", wenn der Aktivierungscode abläuft. Sie können ein Datum bis zu 30 Tage im Voraus angeben. Wenn Sie kein Ablaufdatum angeben, läuft der Aktivierungscode innerhalb von 24 Stunden ab.

   Linux & macOS

   aws ssm create-activation \
       --default-instance-name name \
       --iam-role iam-service-role-name \
       --registration-limit number-of-managed-instances \
       --region region \
       --expiration-date "timestamp" \\  
       --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"

   Windows

   aws ssm create-activation ^
       --default-instance-name name ^
       --iam-role iam-service-role-name ^
       --registration-limit number-of-managed-instances ^
       --region region ^
       --expiration-date "timestamp" ^
       --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"

   PowerShell

   New-SSMActivation -DefaultInstanceName name `
       -IamRole iam-service-role-name `
       -RegistrationLimit number-of-managed-instances `
       –Region region `
       -ExpirationDate "timestamp" `
       -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

   Ein Beispiel.

   Linux & macOS

   aws ssm create-activation \
       --default-instance-name MyWebServers \
       --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
       --registration-limit 10 \
       --region us-east-2 \
       --expiration-date "2021-07-07T00:00:00" \
       --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"

   Windows

   aws ssm create-activation ^
       --default-instance-name MyWebServers ^
       --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
       --registration-limit 10 ^
       --region us-east-2 ^
       --expiration-date "2021-07-07T00:00:00" ^
       --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"

   PowerShell

   New-SSMActivation -DefaultInstanceName MyWebServers `
       -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
       -RegistrationLimit 10 `
       –Region us-east-2 `
       -ExpirationDate "2021-07-07T00:00:00" `
       -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

   Wenn die Aktivierung erfolgreich erstellt wurde, gibt das System sofort einen Aktivierungscode und eine Aktivierungs-ID zurück.