Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola EC2 instans secara otomatis dengan Konfigurasi Manajemen Host Default
Pengaturan Konfigurasi Manajemen Host Default memungkinkan AWS Systems Manager untuk mengelola EC2 instans Amazon Anda secara otomatis sebagai instans terkelola. Sebuah instance terkelola adalah EC2 instance yang dikonfigurasi untuk digunakan dengan Systems Manager.
Manfaat mengelola instans Anda dengan Systems Manager meliputi hal-hal berikut:
-
Connect ke EC2 instans Anda dengan aman menggunakan Session Manager.
-
Lakukan pemindaian patch otomatis menggunakan Patch Manager.
-
Lihat informasi terperinci tentang instans Anda menggunakan Systems Manager Inventory.
-
Lacak dan kelola instance menggunakan Fleet Manager.
-
Menyimpan SSM Agent up to date secara otomatis.
Fleet Manager, Persediaan, Patch Manager, dan Session Manager adalah kemampuan Systems Manager.
Konfigurasi Manajemen Host Default memungkinkan untuk mengelola EC2 instance tanpa Anda harus membuat profil instans AWS Identity and Access Management (IAM) secara manual. Sebagai gantinya, Konfigurasi Manajemen Host Default membuat dan menerapkan IAM peran default untuk memastikan bahwa Systems Manager memiliki izin untuk mengelola semua instance di Akun AWS dan di Wilayah AWS mana itu diaktifkan.
Jika izin yang diberikan tidak cukup untuk kasus penggunaan, Anda juga dapat menambahkan kebijakan ke IAM peran default yang dibuat oleh Konfigurasi Manajemen Host Default. Atau, jika Anda tidak memerlukan izin untuk semua kemampuan yang disediakan oleh IAM peran default, Anda dapat membuat peran dan kebijakan kustom Anda sendiri. Setiap perubahan yang dibuat pada IAM peran yang Anda pilih untuk Konfigurasi Manajemen Host Default berlaku untuk semua EC2 instans Amazon yang dikelola di Wilayah dan akun.
Untuk informasi selengkapnya tentang kebijakan yang digunakan oleh Konfigurasi Manajemen Host Default, lihatAWS kebijakan terkelola: A mazonSSMManaged EC2InstanceDefaultPolicy.
Terapkan akses hak akses paling rendah
Prosedur ini dalam topik ini dimaksudkan untuk dilakukan hanya oleh administrator. Oleh karena itu, kami menyarankan untuk menerapkan akses hak istimewa terkecil untuk mencegah pengguna non-administratif mengonfigurasi atau memodifikasi Konfigurasi Manajemen Host Default. Untuk melihat contoh kebijakan yang membatasi akses ke Konfigurasi Manajemen Host Default, lihat Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default nanti dalam topik ini.
penting
Informasi pendaftaran untuk instance yang terdaftar menggunakan Konfigurasi Manajemen Host Default disimpan secara lokal di direktori var/lib/amazon/ssm
atauC:\ProgramData\Amazon
. Menghapus direktori ini atau file-file mereka akan mencegah instance memperoleh kredensi yang diperlukan untuk terhubung ke Systems Manager menggunakan Default Host Management Configuration. Dalam kasus ini, Anda harus menggunakan profil IAM instance untuk memberikan izin yang diperlukan untuk instans Anda, atau membuat ulang instance.
Topik
Prasyarat
Untuk menggunakan Konfigurasi Manajemen Host Default di Wilayah AWS dan Akun AWS di mana Anda mengaktifkan pengaturan, persyaratan berikut harus dipenuhi.
-
Instance yang akan dikelola harus menggunakan Instance Metadata Service Version 2 ()IMDSv2.
Konfigurasi Manajemen Host Default tidak mendukung Layanan Metadata Instans Versi 1. Untuk informasi tentang transisi keIMDSv2, lihat Transisi menggunakan Layanan Metadata Instans Versi 2 di Panduan Pengguna Amazon EC2
-
SSM Agent versi 3.2.582.0 atau yang lebih baru harus diinstal pada instance yang akan dikelola.
Untuk informasi tentang memeriksa versi SSM Agent diinstal pada instance Anda, lihatMemeriksa nomor SSM Agent versi.
Untuk informasi tentang pemutakhiran SSM Agent, lihat Memperbarui secara otomatis SSM Agent.
-
Anda, sebagai administrator yang melakukan tugas dalam topik ini, harus memiliki izin untuk GetServiceSetting, ResetServiceSetting, dan UpdateServiceSettingAPIoperasi. Selain itu, Anda harus memiliki izin untuk
iam:PassRole
izin untukAWSSystemsManagerDefaultEC2InstanceManagementRole
IAM peran tersebut. Berikut ini adalah contoh kebijakan yang menyediakan izin ini. Ganti masing-masingexample resource placeholder
dengan informasi Anda sendiri.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting", "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:
region
:account-id
:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id
:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
", "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } } } ] } -
Jika profil IAM instans sudah dilampirkan ke EC2 instance yang akan dikelola menggunakan Systems Manager, Anda harus menghapus izin apa pun darinya yang memungkinkan
ssm:UpdateInstanceInformation
pengoperasian. SSM Agent mencoba menggunakan izin profil instance sebelum menggunakan izin Konfigurasi Manajemen Host Default. Jika Anda mengizinkanssm:UpdateInstanceInformation
operasi di profil IAM instans Anda sendiri, instans tidak akan menggunakan izin Konfigurasi Manajemen Host Default.
Mengaktifkan pengaturan Konfigurasi Manajemen Host Default
Anda dapat mengaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol, atau dengan menggunakan AWS Command Line Interface atau AWS Tools for Windows PowerShell.
Anda harus mengaktifkan Konfigurasi Manajemen Host Default satu per satu di setiap Wilayah tempat Anda ingin EC2 instans Amazon dikelola oleh setelan ini.
Setelah mengaktifkan Konfigurasi Manajemen Host Default, mungkin diperlukan waktu hingga 30 menit agar instans Anda menggunakan kredensi peran yang Anda pilih pada langkah 5 dalam prosedur berikut.
Untuk mengaktifkan Konfigurasi Manajemen Host Default (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Fleet Manager.
-
Pilih Manajemen akun, Konfigurasi Konfigurasi Manajemen Host Default.
-
Aktifkan Aktifkan Konfigurasi Manajemen Host Default.
-
Pilih peran AWS Identity and Access Management (IAM) yang digunakan untuk mengaktifkan kemampuan Systems Manager untuk instans Anda. Sebaiknya gunakan peran default yang disediakan oleh Konfigurasi Manajemen Host Default. Ini berisi set izin minimum yang diperlukan untuk mengelola EC2 instans Amazon Anda menggunakan Systems Manager. Jika Anda lebih suka menggunakan peran khusus, kebijakan kepercayaan peran tersebut harus mengizinkan Systems Manager sebagai entitas tepercaya.
-
Pilih Konfigurasi untuk menyelesaikan penyiapan.
Untuk mengaktifkan Konfigurasi Manajemen Host Default (baris perintah)
-
Buat JSON file di mesin lokal Anda yang berisi kebijakan hubungan kepercayaan berikut.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
-
Buka AWS CLI atau Tools untuk Windows PowerShell dan jalankan salah satu perintah berikut, tergantung pada jenis sistem operasi mesin lokal Anda, untuk membuat peran layanan di akun Anda. Ganti masing-masing
example resource placeholder
dengan informasi Anda sendiri. -
Jalankan perintah berikut untuk melampirkan kebijakan
AmazonSSMManagedEC2InstanceDefaultPolicy
terkelola ke peran yang baru dibuat. Ganti masing-masingexample resource placeholder
dengan informasi Anda sendiri. -
Buka AWS CLI or Tools untuk Windows PowerShell dan jalankan perintah berikut. Ganti masing-masing
example resource placeholder
dengan informasi Anda sendiri.Tidak ada output jika perintah berhasil.
-
Jalankan perintah berikut untuk melihat pengaturan layanan saat ini untuk Konfigurasi Manajemen Host Default di saat ini Akun AWS dan Wilayah AWS.
Perintah tersebut mengembalikan informasi seperti berikut.
{ "ServiceSetting": { "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role", "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00", "LastModifiedUser": "System", "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role", "Status": "Custom" } }
Menonaktifkan pengaturan Konfigurasi Manajemen Host Default
Anda dapat menonaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol, atau dengan menggunakan AWS Command Line Interface atau AWS Tools for Windows PowerShell.
Anda harus menonaktifkan pengaturan Konfigurasi Manajemen Host Default satu per satu di setiap Wilayah di mana Anda tidak lagi ingin EC2 instans Amazon Anda dikelola oleh konfigurasi ini. Menonaktifkannya di satu Wilayah tidak menonaktifkannya di semua Wilayah.
Jika Anda menonaktifkan Konfigurasi Manajemen Host Default, dan Anda belum melampirkan profil instans ke EC2 instans Amazon yang memungkinkan akses ke Systems Manager, mereka tidak akan lagi dikelola oleh Systems Manager.
Untuk menonaktifkan Konfigurasi Manajemen Host Default (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Fleet Manager.
-
Pilih Manajemen akun, Konfigurasi Manajemen Host Default.
-
Matikan Aktifkan Konfigurasi Manajemen Host Default.
-
Pilih Konfigurasi untuk menonaktifkan Konfigurasi Manajemen Host Default.
Untuk menonaktifkan Konfigurasi Manajemen Host Default (baris perintah)
-
Buka AWS CLI or Tools untuk Windows PowerShell dan jalankan perintah berikut. Ganti masing-masing
example resource placeholder
dengan informasi Anda sendiri.
Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default
Contoh kebijakan berikut menunjukkan cara mencegah anggota organisasi Anda membuat perubahan pada setelan Konfigurasi Manajemen Host Default di akun Anda.
Kebijakan kontrol layanan untuk AWS Organizations
Kebijakan berikut menunjukkan cara mencegah anggota non-administratif di Anda AWS Organizations memperbarui setelan Konfigurasi Manajemen Host Default Anda. Ganti masing-masing example resource placeholder
dengan informasi Anda sendiri.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":[ "ssm:UpdateServiceSetting", "ssm:ResetServiceSetting" ], "Resource":"arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role", "Condition":{ "StringNotEqualsIgnoreCase":{ "aws:PrincipalTag/job-function":[ "administrator" ] } } }, { "Effect":"Deny", "Action":[ "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/
service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
", "Condition":{ "StringEquals":{ "iam:PassedToService":"ssm.amazonaws.com" }, "StringNotEqualsIgnoreCase":{ "aws:PrincipalTag/job-function":[ "administrator" ] } } }, { "Effect":"Deny", "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
", "Action":[ "iam:AttachRolePolicy", "iam:DeleteRole" ], "Condition":{ "StringNotEqualsIgnoreCase":{ "aws:PrincipalTag/job-function":[ "administrator" ] } } } ] }
Kebijakan untuk IAM kepala sekolah
Kebijakan berikut menunjukkan cara mencegah IAM grup, peran, atau pengguna dalam memperbarui setelan Konfigurasi Manajemen Host Default Anda. AWS Organizations Ganti masing-masing example resource placeholder
dengan informasi Anda sendiri.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ssm:UpdateServiceSetting", "ssm:ResetServiceSetting" ], "Resource": "arn:aws:ssm:
region
:account-id
:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:PassRole" ], "Resource": "arn:aws:iam::account-id
:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
" } ] }