Erstellen Sie die für Systems Manager in Hybrid- und Multicloud-Umgebungen erforderliche IAM-Servicerolle

Nicht-EC2-Maschinen (Amazon Elastic Compute Cloud) in einer Hybrid- und Multi-Cloud-Umgebung benötigen eine AWS Identity and Access Management (IAM) -Servicerolle, um mit dem Service zu kommunizieren. AWS Systems Manager Die Rolle gewährt AWS Security Token Service (AWS STS) AssumeRole Zugriff auf den Systems Manager-Dienst. Sie müssen nur einmal eine Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung erstellen, und zwar für jedes AWS-Konto. Sie können jedoch mehrere Servicerollen für verschiedene Hybrid- und Multi-Cloud-Aktivierungen erstellen, wenn Maschinen in Ihrer Hybrid-Umgebung unterschiedliche Berechtigungen benötigen.

Im Folgenden wird beschrieben, wie Sie die erforderliche Servicerolle mit der Systems-Manager-Konsole oder Ihrem bevorzugten Befehlszeilen-Tool erstellen.

Verwenden der AWS Management Console , um eine IAM-Dienstrolle für Systems Manager Manager-Hybridaktivierungen zu erstellen

Verwenden Sie das folgende Verfahren zum Erstellen einer Servicerolle für eine Hybrid-Aktivierung. Dieses Verfahren verwendet die AmazonSSMManagedInstanceCore-Richtlinie für die Kernfunktionalität von Systems Manager. Abhängig von Ihrem Anwendungsfall müssen Sie Ihrer Servicerolle möglicherweise zusätzliche Richtlinien hinzufügen, damit Ihre Rechner On-Premises auf andere Funktionen oder AWS-Services zugreifen können. Zum Beispiel, ohne Zugriff auf das erforderliche AWS -verwalteten Amazon Simple Storage Service (Amazon S3)-Buckets schlagen Patch Manager-Patch-Operationen fehl.

So erstellen Sie eine -Servicerolle (Konsole)

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

3. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die folgenden Optionen:

   1. Wählen Sie für Vertrauenswürdige Entität die Option AWS-Service aus.

   2. Wählen Sie Systems Manager für Anwendungsfälle für andere AWS-Services.

   3. Wählen Sie Systems Manager, wie im folgenden Image gezeigt.

      

4. Wählen Sie Next (Weiter).

5. Gehen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) wie folgt vor:

   • Verwenden Sie das Suchfeld, um die AmazonSSM ManagedInstance Core-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen.

     

   • Die Konsole behält Ihre Auswahl auch dann bei, wenn Sie nach anderen Richtlinien suchen.

   • Wenn Sie im Verfahren (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket, eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen.

   • Wenn Sie beabsichtigen, Nicht-EC2-Computer zu einem Active Directory hinzuzufügen, das von verwaltet wird AWS Directory Service, suchen Sie nach AmazonSSM DirectoryService Access und aktivieren Sie das Kontrollkästchen neben dem Namen.

   • Wenn Sie planen, Ihren verwalteten Knoten mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach CloudWatchAgentServerPolicy und aktivieren Sie das Kontrollkästchen neben dem Namen.

6. Wählen Sie Weiter aus.

7. Geben Sie unter Rollenname einen Namen für Ihre neue IAM-Serverrolle ein, z. B. SSMServerRole.

   Anmerkung

   Notieren Sie sich den Rollennamen. Sie wählen diese Rolle, wenn Sie neue Maschinen registrieren, die Sie mit Systems Manager verwalten möchten.

8. (Optional) Aktualisieren Sie für Beschreibung die Beschreibung für diese IAM-Serverrolle.

9. (Optional) Fügen Sie für Tags ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern.

10. Wählen Sie Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

Verwenden der AWS CLI , um eine IAM-Dienstrolle für Systems Manager Manager-Hybridaktivierungen zu erstellen

Verwenden Sie das folgende Verfahren zum Erstellen einer Servicerolle für eine Hybrid-Aktivierung. Dieses Verfahren verwendet die AmazonSSMManagedInstanceCore-Richtlinie für die Kernfunktionalität von Systems Manager. Je nach Anwendungsfall müssen Sie Ihrer Servicerolle für Ihre Nicht-EC2-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung möglicherweise zusätzliche Richtlinien hinzufügen, um auf andere Funktionen oder AWS-Services zugreifen zu können.

S3-Bucket-Richtlinienanforderung

Wenn einer der folgenden Fälle zutrifft, müssen Sie eine benutzerdefinierte IAM-Berechtigungsrichtlinie für Amazon Simple Storage Service (Amazon S3)-Buckets erstellen, bevor Sie dieses Verfahren durchführen:

• Fall 1 — Sie verwenden einen VPC-Endpunkt, um Ihre VPC privat mit unterstützten AWS-Services und VPC-Endpunktdiensten zu verbinden, die von unterstützt werden. AWS PrivateLink

• Fall 2: Sie beabsichtigen, einen Amazon-äS3-Bucket zu verwenden, den Sie als Teil Ihrer Systems-Manager-Operationen erstellen, z. B. zum Speichern der Ausgabe für Run Command-Befehle oder Session Manager-Sitzungen in einem S3-Bucket. Bevor Sie fortfahren, befolgen Sie die Schritte unter Erstellen einer benutzerdefinierten S3-Bucket-Richtlinie für ein Instance-Profil. Die Informationen über S3-Bucket-Richtlinien in diesem Thema gelten auch für Ihre Service-Rolle.

AWS CLI

So erstellen Sie eine IAM-Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung (AWS CLI)

1. Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.

   Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version von AWS CLI.

2. Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern. Stellen Sie sicher, dass Sie Ihre AWS-Konto und die AWS-Region in der ARN angeben, in der Sie Ihre Hybrid-Aktivierung erstellt haben.

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"123456789012"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012:*"
               }
            }
         }
      ]
   }

3. Öffnen Sie das und führen Sie in dem Verzeichnis AWS CLI, in dem Sie die JSON-Datei erstellt haben, den Befehl create-role aus, um die Servicerolle zu erstellen. In diesem Beispiel wird eine Rolle mit dem Namen SSMServiceRole erstellt. Sie können auf Wunsch einen anderen Namen wählen.

   Linux & macOSWindows

   Linux & macOS

   aws iam create-role \
       --role-name SSMServiceRole \
       --assume-role-policy-document file://SSMService-Trust.json 

   Windows

   aws iam create-role ^
       --role-name SSMServiceRole ^
       --assume-role-policy-document file://SSMService-Trust.json 

4. Führen Sie den attach-role-policy-Befehl wie folgt, um es der gerade von Ihnen erstellten Servicerolle zu ermöglichen, ein Sitzungs-Token zu erstellen. Das Sitzungstoken erteilt Ihrem verwalteten Knoten die Berechtigung, Befehle mit Systems Manager auszuführen.

   Anmerkung

   Die Richtlinien, die Sie für ein Serviceprofil für verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten AWS Richtlinien finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

   (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein verwalteter Knoten die Kernfunktionen des AWS Systems Manager Service nutzen kann.

   Linux & macOSWindows

   Linux & macOS

   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore  

   Windows

   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore 

   Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, damit AWS Systems Manager Agent (SSM Agent) auf die Buckets zugreifen kann, die Sie in der Richtlinie angegeben haben. Ersetzen Sie account-id und DOC-EXAMPLE-BUCKET durch Ihre ID und Ihren Bucket-Namen. AWS-Konto

   Linux & macOSWindows

   Linux & macOS

   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::account-id:policy/DOC-EXAMPLE-BUCKET

   Windows

   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::account-id:policy/DOC-EXAMPLE-BUCKET

   (Optional) Führen Sie den folgenden Befehl aus, um in Ihrem Namen Zugriff AWS Directory Service auf Anfragen zum Beitritt SSM Agent zur Domäne durch den verwalteten Knoten zu gewähren. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Knoten mit einem Microsoft-AD-Verzeichnis verbinden.

   Linux & macOSWindows

   Linux & macOS

   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

   Windows

   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

   (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren verwalteten Knoten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Knoten zu lesen und darauf zu schreiben CloudWatch. Ihr Serviceprofil benötigt diese Richtlinie nur, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Tools for PowerShell

So erstellen Sie eine IAM-Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung (AWS Tools for Windows PowerShell)

1. Installieren und konfigurieren Sie die AWS Tools for PowerShell (Tools für Windows PowerShell), falls Sie dies noch nicht getan haben.

   Weitere Informationen finden Sie unter Installieren des AWS Tools for PowerShell.

2. Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern. Stellen Sie sicher, dass Sie Ihre AWS-Konto und die AWS-Region in der ARN angeben, in der Sie Ihre Hybrid-Aktivierung erstellt haben.

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"123456789012"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:region:123456789012:*"
               }
            }
         }
      ]
   }

3. Öffnen Sie PowerShell im Administratormodus und führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, New-IAMRole wie folgt aus, um eine Servicerolle zu erstellen. In diesem Beispiel wird eine Rolle mit dem Namen SSMServiceRole erstellt. Sie können auf Wunsch einen anderen Namen wählen.

   New-IAMRole `
       -RoleName SSMServiceRole `
       -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

4. Verwenden Sie Register-IAM RolePolicy wie folgt, damit die von Ihnen erstellte Servicerolle ein Sitzungstoken erstellen kann. Das Sitzungstoken erteilt Ihrem verwalteten Knoten die Berechtigung, Befehle mit Systems Manager auszuführen.

   Anmerkung

   Die Richtlinien, die Sie für ein Serviceprofil für verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung hinzufügen, sind dieselben Richtlinien, die zum Erstellen eines Instance-Profils für EC2-Instances verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten AWS Richtlinien finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

   (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein verwalteter Knoten die Kernfunktionen des AWS Systems Manager Service nutzen kann.

   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

   Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um SSM Agent den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen Sie account-id und my-bucket-policy-name durch Ihre AWS-Konto -ID und Ihren Bucket-Namen.

   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name

   (Optional) Führen Sie den folgenden Befehl ausSSM Agent, damit der verwaltete Knoten in Ihrem Namen AWS Directory Service auf Anfragen zum Beitritt zur Domäne zugreifen kann. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Knoten mit einem Microsoft-AD-Verzeichnis verbinden.

   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

   (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren verwalteten Knoten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Knoten zu lesen und darauf zu schreiben CloudWatch. Ihr Serviceprofil benötigt diese Richtlinie nur, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Fahren Sie fort mit Erstellen Sie eine Hybridaktivierung, um Knoten bei Systems Manager zu registrieren.