Einrichtung einer einheitlichen Systems-Manager-Konsole für ein einziges Konto und eine Region

Fokusmodus

Einrichtung einer einheitlichen Systems-Manager-Konsole für ein einziges Konto und eine Region - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um das einheitliche Konsolenerlebnis von Systems Manager für eine einzelne Person AWS-Konto einzurichten, müssen AWS-Region Sie weder Organizations verwenden noch ein delegiertes Administratorkonto registrieren. Der Einrichtungsprozess für die Systems-Manager-Konsole erledigt viele der erforderlichen Aufgaben für Sie. Dazu gehören das Erstellen und Anhängen von Instance-Profilen mit den erforderlichen IAM-Berechtigungen an Ihre Knoten und vieles mehr. Im Folgenden finden Sie eine detaillierte Liste der Ressourcen, die von Systems Manager für die einheitliche Konsole erstellt wurden.

IAM-Rollen

RoleForOnboardingAutomation – Ermöglicht Systems Manager, Ressourcen während des Einrichtungsvorgangs zu verwalten. Weitere Informationen zu dieser Richtlinie finden Sie unter AWSQuickSetup SSMManage ResourcesExecutionPolicy.
RoleForLifecycleManagement – Ermöglicht Lambda, den Lebenszyklus von Ressourcen zu verwalten, die durch den Einrichtungsprozess erstellt wurden. Weitere Informationen zu der Richtlinie finden Sie unter AWSQuickSetup SSMLifecycle ManagementExecutionPolicy.
RoleForAutomation – Eine Servicerolle, die Systems Manager Automation zur Ausführung von Runbooks übernehmen soll. Weitere Informationen finden Sie unter Erstellen Sie die Servicerollen für Automation mithilfe der Konsole.
AWSSSMDiagnosisAdminRole – Eine Automatisierungsausführungsrolle für das Diagnose-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM- DiagnosisAutomation -AdministrationRolePolicy, AWS-SSM-Automation-und AWS-SSM - -. DiagnosisBucketPolicy DiagnosisAutomation OperationalAccountAdministrationRolePolicy
AWSSSMRemediationAdminRole – Eine Automatisierungsausführungsrolle für das Remediation-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM- RemediationAutomation -AdministrationRolePolicy, AWS-SSM-Automation-und AWS-SSM - -. DiagnosisBucketPolicy RemediationAutomation OperationalAccountAdministrationRolePolicy
ManagedInstanceCrossAccountManagementRole – Ermöglicht Systems Manager, Informationen über verwaltete Knoten kontenübergreifend zu sammeln.

State Manager Verbände

EnableDHMCAssociation – Wird täglich ausgeführt und stellt sicher, dass die Standard-Host-Verwaltungskonfiguration aktiviert ist.
SystemAssociationForManagingInstances— Läuft mindestens alle 30 Tage und jedes Mal, wenn eine neue Instanz gestartet wird. Stellt sicher, dass die AmazonSSMManagedInstanceCore Richtlinie auf Instanzprofile angewendet wird, die an Ihre Knoten angehängt sind. Wenn dem Knoten kein Instanzprofil angehängt ist, erstellt Systems Manager ein Instanzprofil mit der AmazonSSMManagedInstanceCore Richtlinie und fügt es dem Knoten an. Wenn Ihren Knoten bereits ein Instance-Profil angehängt ist, wird die Richtlinie an das Instance-Profil angehängt. Wenn das Instance-Profil bereits die erforderlichen Berechtigungen enthält, werden keine Änderungen vorgenommen.

Wenn ein Knoten von gestartet wurde, können die Änderungen AWS CloudFormation, die Systems Manager am Instanzprofil vornimmt, AWS CloudFormation dazu führen, dass die Ressource als Drift erkannt wird.

Wichtig
Jedes Mal, wenn eine neue Instanz gestartet wird, wird diese SystemAssociationForManagingInstances Zuordnung ausgeführt. Wenn Ihr Konto routinemäßig eine große Anzahl von Instances startet, kann dies zu erhöhten Kosten führen, wenn Sie das maximale kostenlose Kontingent von Automation für Automation-Ausführungen überschreiten.
Informationen zu den Automation-Preisen und den Höchstwerten für das kostenlose Kontingent finden Sie unter Preise für Automation.
Informationen zur Targeting-Frequenz für State Manager Assoziationen finden Sie unterInformationen zu Zielupdates mit Automation-Runbooks.
SystemAssociationForEnablingExplorer— Läuft täglich und sorgt Explorer ist aktiviert. Explorer wird verwendet, um Daten von Ihren verwalteten Knoten zu synchronisieren.
EnableAREXAssociation— Läuft täglich und stellt sicher, dass AWS Ressourcen Explorer es aktiviert ist. Resource Explorer wird verwendet, um festzustellen, welche EC2 Amazon-Instances in Ihrer Organisation nicht von Systems Manager verwaltet werden.
SSMAgentUpdateAssociation— Läuft alle 14 Tage und gewährleistet die neueste verfügbare Version von SSM Agent ist auf Ihren verwalteten Knoten installiert.
SystemAssociationForInventoryCollection – Wird alle 12 Stunden ausgeführt und sammelt Bestandsdaten von Ihren verwalteten Knoten.

S3-Buckets

DiagnosisBucket – Speichert Daten, die bei der Ausführung des Diagnose-Runbooks gesammelt wurden.

Lambda-Funktionen

SSMLifecycleOperatorLambda – Ermöglicht Prinzipalen Zugriff auf alle AWS Systems Manager Quick Setup -Aktionen.
SSMLifecycleResource – Benutzerdefinierte Ressource zur Verwaltung des Lebenszyklus von Ressourcen, die während des Einrichtungsprozesses erstellt wurden.

Einheitliche Konsolenressourcen

IAM-Rollen

RoleForOnboardingAutomation – Ermöglicht Systems Manager, Ressourcen während des Einrichtungsvorgangs zu verwalten. Weitere Informationen zu dieser Richtlinie finden Sie unter AWSQuickSetup SSMManage ResourcesExecutionPolicy.
RoleForLifecycleManagement – Ermöglicht Lambda, den Lebenszyklus von Ressourcen zu verwalten, die durch den Einrichtungsprozess erstellt wurden. Weitere Informationen zu der Richtlinie finden Sie unter AWSQuickSetup SSMLifecycle ManagementExecutionPolicy.
RoleForAutomation – Eine Servicerolle, die Systems Manager Automation zur Ausführung von Runbooks übernehmen soll. Weitere Informationen finden Sie unter Erstellen Sie die Servicerollen für Automation mithilfe der Konsole.
AWSSSMDiagnosisAdminRole – Eine Automatisierungsausführungsrolle für das Diagnose-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM- DiagnosisAutomation -AdministrationRolePolicy, AWS-SSM-Automation-und AWS-SSM - -. DiagnosisBucketPolicy DiagnosisAutomation OperationalAccountAdministrationRolePolicy
AWSSSMRemediationAdminRole – Eine Automatisierungsausführungsrolle für das Remediation-Runbook. Weitere Informationen zu den Richtlinien finden Sie unter AWS-SSM- RemediationAutomation -AdministrationRolePolicy, AWS-SSM-Automation-und AWS-SSM - -. DiagnosisBucketPolicy RemediationAutomation OperationalAccountAdministrationRolePolicy
ManagedInstanceCrossAccountManagementRole – Ermöglicht Systems Manager, Informationen über verwaltete Knoten kontenübergreifend zu sammeln.

State Manager Verbände

EnableDHMCAssociation – Wird täglich ausgeführt und stellt sicher, dass die Standard-Host-Verwaltungskonfiguration aktiviert ist.
SystemAssociationForManagingInstances— Läuft mindestens alle 30 Tage und jedes Mal, wenn eine neue Instanz gestartet wird. Stellt sicher, dass die AmazonSSMManagedInstanceCore Richtlinie auf Instanzprofile angewendet wird, die an Ihre Knoten angehängt sind. Wenn dem Knoten kein Instanzprofil angehängt ist, erstellt Systems Manager ein Instanzprofil mit der AmazonSSMManagedInstanceCore Richtlinie und fügt es dem Knoten an. Wenn Ihren Knoten bereits ein Instance-Profil angehängt ist, wird die Richtlinie an das Instance-Profil angehängt. Wenn das Instance-Profil bereits die erforderlichen Berechtigungen enthält, werden keine Änderungen vorgenommen.

Wenn ein Knoten von gestartet wurde, können die Änderungen AWS CloudFormation, die Systems Manager am Instanzprofil vornimmt, AWS CloudFormation dazu führen, dass die Ressource als Drift erkannt wird.

Wichtig
Jedes Mal, wenn eine neue Instanz gestartet wird, wird diese SystemAssociationForManagingInstances Zuordnung ausgeführt. Wenn Ihr Konto routinemäßig eine große Anzahl von Instances startet, kann dies zu erhöhten Kosten führen, wenn Sie das maximale kostenlose Kontingent von Automation für Automation-Ausführungen überschreiten.
Informationen zu den Automation-Preisen und den Höchstwerten für das kostenlose Kontingent finden Sie unter Preise für Automation.
Informationen zur Targeting-Frequenz für State Manager Assoziationen finden Sie unterInformationen zu Zielupdates mit Automation-Runbooks.
SystemAssociationForEnablingExplorer— Läuft täglich und sorgt Explorer ist aktiviert. Explorer wird verwendet, um Daten von Ihren verwalteten Knoten zu synchronisieren.
EnableAREXAssociation— Läuft täglich und stellt sicher, dass AWS Ressourcen Explorer es aktiviert ist. Resource Explorer wird verwendet, um festzustellen, welche EC2 Amazon-Instances in Ihrer Organisation nicht von Systems Manager verwaltet werden.
SSMAgentUpdateAssociation— Läuft alle 14 Tage und gewährleistet die neueste verfügbare Version von SSM Agent ist auf Ihren verwalteten Knoten installiert.
SystemAssociationForInventoryCollection – Wird alle 12 Stunden ausgeführt und sammelt Bestandsdaten von Ihren verwalteten Knoten.

S3-Buckets

DiagnosisBucket – Speichert Daten, die bei der Ausführung des Diagnose-Runbooks gesammelt wurden.

Lambda-Funktionen

SSMLifecycleOperatorLambda – Ermöglicht Prinzipalen Zugriff auf alle AWS Systems Manager Quick Setup -Aktionen.
SSMLifecycleResource – Benutzerdefinierte Ressource zur Verwaltung des Lebenszyklus von Ressourcen, die während des Einrichtungsprozesses erstellt wurden.

Darüber hinaus können Sie nach Abschluss des Einrichtungsvorgangs die Knotenaufgabe diagnostizieren und korrigieren auswählen, um automatisch Korrekturen auf Knoten anzuwenden, die nicht als von Systems Manager verwaltet gemeldet werden. Dies kann die Identifizierung von Problemen wie Netzwerkverbindungsproblemen zu den Systems-Manager-Endpunkten und mehr beinhalten.