Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan pengaturan Konfigurasi Manajemen Host Default
Pengaturan Konfigurasi Manajemen Host Default memungkinkan AWS Systems Manager untuk mengelola instans Amazon EC2 Anda secara otomatis sebagai instans terkelola. Instans terkelola adalah instans EC2 yang dikonfigurasi untuk digunakan dengan Systems Manager.
Manfaat mengelola instans Anda dengan Systems Manager meliputi hal-hal berikut:
-
Connect ke instans EC2 Anda dengan aman menggunakan. Session Manager
-
Lakukan pemindaian patch otomatis menggunakanPatch Manager.
-
Lihat informasi terperinci tentang instans Anda menggunakan Systems Manager Inventory.
-
Lacak dan kelola instance menggunakanFleet Manager.
-
Tetap SSM Agent up to date secara otomatis.
Fleet Manager, InventarisPatch Manager,, dan Session Manager merupakan kemampuan Systems Manager.
Konfigurasi Manajemen Host Default memungkinkan untuk mengelola instans EC2 tanpa Anda harus membuat profil instans AWS Identity and Access Management (IAM) secara manual. Sebagai gantinya, Konfigurasi Manajemen Host Default membuat dan menerapkan peran IAM default untuk memastikan bahwa Systems Manager memiliki izin untuk mengelola semua instance di Akun AWS dan di Wilayah AWS mana peran tersebut diaktifkan.
Jika izin yang diberikan tidak cukup untuk kasus penggunaan, Anda juga dapat menambahkan kebijakan ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default. Atau, jika Anda tidak memerlukan izin untuk semua kemampuan yang disediakan oleh peran IAM default, Anda dapat membuat peran dan kebijakan kustom Anda sendiri. Setiap perubahan yang dibuat pada peran IAM yang Anda pilih untuk Konfigurasi Manajemen Host Default berlaku untuk semua instans Amazon EC2 yang dikelola di Wilayah dan akun.
Untuk informasi selengkapnya tentang kebijakan yang digunakan oleh Konfigurasi Manajemen Host Default, lihatAWS kebijakan terkelola: Kebijakan InstanceDefault AmazonsSMManageDEC2.
Terapkan akses hak akses paling rendah
Prosedur ini dalam topik ini dimaksudkan untuk dilakukan hanya oleh administrator. Oleh karena itu, kami menyarankan untuk menerapkan akses hak istimewa terkecil untuk mencegah pengguna non-administratif mengonfigurasi atau memodifikasi Konfigurasi Manajemen Host Default. Untuk melihat contoh kebijakan yang membatasi akses ke Konfigurasi Manajemen Host Default, lihat Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default nanti dalam topik ini.
penting
Informasi pendaftaran untuk instance yang terdaftar menggunakan Konfigurasi Manajemen Host Default disimpan secara lokal di direktori var/lib/amazon/ssm atauC:\ProgramData\Amazon. Menghapus direktori ini atau file-file mereka akan mencegah instance memperoleh kredensi yang diperlukan untuk terhubung ke Systems Manager menggunakan Default Host Management Configuration. Dalam kasus ini, Anda harus menggunakan profil instans IAM untuk memberikan izin yang diperlukan untuk instans Anda, atau membuat ulang instance.
Topik
Prasyarat
Untuk menggunakan Konfigurasi Manajemen Host Default di Wilayah AWS dan Akun AWS di mana Anda mengaktifkan pengaturan, persyaratan berikut harus dipenuhi.
-
Instance yang akan dikelola harus menggunakan Instance Metadata Service Version 2 (IMDSv2).
Konfigurasi Manajemen Host Default tidak mendukung Layanan Metadata Instans Versi 1. Untuk informasi tentang transisi ke IMDSv2, lihat Transisi menggunakan Layanan Metadata Instans Versi 2 di Panduan Pengguna Amazon EC2
-
SSM Agentversi 3.2.582.0 atau yang lebih baru harus diinstal pada instance yang akan dikelola.
Untuk informasi tentang memeriksa versi yang SSM Agent diinstal pada instans Anda, lihatMemeriksa nomor SSM Agent versi.
Untuk informasi tentang memperbaruiSSM Agent, lihatMemperbarui secara otomatis SSM Agent.
-
Anda, sebagai administrator yang menjalankan tugas dalam topik ini, harus memiliki izin untuk operasi GetServiceSetting, ResetServiceSetting, dan UpdateServiceSetting API. Selain itu, Anda harus memiliki izin untuk
iam:PassRoleizin untuk peranAWSSystemsManagerDefaultEC2InstanceManagementRoleIAM. Berikut ini adalah contoh kebijakan yang menyediakan izin ini. Ganti setiapplaceholder sumber daya contohdengan informasi Anda sendiri.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting", "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } } } ] } -
Jika profil instans IAM sudah dilampirkan ke instans EC2 yang akan dikelola menggunakan Systems Manager, Anda harus menghapus izin apa pun darinya yang memungkinkan operasi.
ssm:UpdateInstanceInformationSSM Agentmencoba menggunakan izin profil instans sebelum menggunakan izin Konfigurasi Manajemen Host Default. Jika Anda mengizinkanssm:UpdateInstanceInformationoperasi di profil instans IAM Anda sendiri, instans tidak akan menggunakan izin Konfigurasi Manajemen Host Default.
Mengaktifkan pengaturan Konfigurasi Manajemen Host Default
Anda dapat mengaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol, atau dengan menggunakan AWS Command Line Interface atau AWS Tools for Windows PowerShell.
Anda harus mengaktifkan Konfigurasi Manajemen Host Default satu per satu di setiap Wilayah tempat Anda ingin instans Amazon EC2 dikelola oleh setelan ini.
Setelah mengaktifkan Konfigurasi Manajemen Host Default, mungkin diperlukan waktu hingga 30 menit agar instans Anda menggunakan kredensi peran yang Anda pilih pada langkah 5 dalam prosedur berikut.
Untuk mengaktifkan Konfigurasi Manajemen Host Default (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Fleet Manager.
-
Pilih Manajemen akun, Konfigurasi Konfigurasi Manajemen Host Default.
-
Aktifkan Aktifkan Konfigurasi Manajemen Host Default.
-
Pilih peran AWS Identity and Access Management (IAM) yang digunakan untuk mengaktifkan kemampuan Systems Manager untuk instans Anda. Sebaiknya gunakan peran default yang disediakan oleh Konfigurasi Manajemen Host Default. Ini berisi set izin minimum yang diperlukan untuk mengelola instans Amazon EC2 Anda menggunakan Systems Manager. Jika Anda lebih suka menggunakan peran khusus, kebijakan kepercayaan peran tersebut harus mengizinkan Systems Manager sebagai entitas tepercaya.
-
Pilih Konfigurasi untuk menyelesaikan penyiapan.
Untuk mengaktifkan Konfigurasi Manajemen Host Default (baris perintah)
-
Buat file JSON di mesin lokal Anda yang berisi kebijakan hubungan kepercayaan berikut.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] } -
Buka AWS CLI atau Tools untuk Windows PowerShell dan jalankan salah satu perintah berikut, tergantung pada jenis sistem operasi mesin lokal Anda, untuk membuat peran layanan di akun Anda. Ganti setiap
placeholder sumber daya contohdengan informasi Anda sendiri. -
Jalankan perintah berikut untuk melampirkan kebijakan
AmazonSSMManagedEC2InstanceDefaultPolicyterkelola ke peran yang baru dibuat. Ganti setiapplaceholder sumber daya contohdengan informasi Anda sendiri. -
Buka AWS CLI or Tools untuk Windows PowerShell dan jalankan perintah berikut. Ganti setiap
placeholder sumber daya contohdengan informasi Anda sendiri.Tidak ada output jika perintah berhasil.
-
Jalankan perintah berikut untuk melihat pengaturan layanan saat ini untuk Konfigurasi Manajemen Host Default di saat ini Akun AWS dan Wilayah AWS.
Perintah tersebut mengembalikan informasi seperti berikut.
{ "ServiceSetting": { "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role", "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00", "LastModifiedUser": "System", "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role", "Status": "Custom" } }
Menonaktifkan pengaturan Konfigurasi Manajemen Host Default
Anda dapat menonaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol, atau dengan menggunakan AWS Command Line Interface atau AWS Tools for Windows PowerShell.
Anda harus menonaktifkan pengaturan Konfigurasi Manajemen Host Default satu per satu di setiap Wilayah di mana Anda tidak lagi ingin instans Amazon EC2 dikelola oleh konfigurasi ini. Menonaktifkannya di satu Wilayah tidak menonaktifkannya di semua Wilayah.
Jika Anda menonaktifkan Konfigurasi Manajemen Host Default, dan Anda belum melampirkan profil instans ke instans Amazon EC2 yang memungkinkan akses ke Systems Manager, mereka tidak akan lagi dikelola oleh Systems Manager.
Untuk menonaktifkan Konfigurasi Manajemen Host Default (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Fleet Manager.
-
Pilih Manajemen akun, Konfigurasi Manajemen Host Default.
-
Matikan Aktifkan Konfigurasi Manajemen Host Default.
-
Pilih Konfigurasi untuk menonaktifkan Konfigurasi Manajemen Host Default.
Untuk menonaktifkan Konfigurasi Manajemen Host Default (baris perintah)
-
Buka AWS CLI or Tools untuk Windows PowerShell dan jalankan perintah berikut. Ganti setiap
placeholder sumber daya contohdengan informasi Anda sendiri.
Contoh kebijakan hak istimewa paling sedikit untuk Konfigurasi Manajemen Host Default
Contoh kebijakan berikut menunjukkan cara mencegah anggota organisasi Anda membuat perubahan pada setelan Konfigurasi Manajemen Host Default di akun Anda.
Kebijakan kontrol layanan untuk AWS Organizations
Kebijakan berikut menunjukkan cara mencegah anggota non-administratif di Anda AWS Organizations memperbarui setelan Konfigurasi Manajemen Host Default Anda. Ganti setiap placeholder sumber daya contoh dengan informasi Anda sendiri.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":[ "ssm:UpdateServiceSetting", "ssm:ResetServiceSetting" ], "Resource":"arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role", "Condition":{ "StringNotEqualsIgnoreCase":{ "aws:PrincipalTag/job-function":[ "administrator" ] } } }, { "Effect":"Deny", "Action":[ "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Condition":{ "StringEquals":{ "iam:PassedToService":"ssm.amazonaws.com" }, "StringNotEqualsIgnoreCase":{ "aws:PrincipalTag/job-function":[ "administrator" ] } } }, { "Effect":"Deny", "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "Action":[ "iam:AttachRolePolicy", "iam:DeleteRole" ], "Condition":{ "StringNotEqualsIgnoreCase":{ "aws:PrincipalTag/job-function":[ "administrator" ] } } } ] }
Kebijakan untuk kepala sekolah IAM
Kebijakan berikut menunjukkan cara mencegah grup, peran, atau pengguna IAM dalam memperbarui setelan Konfigurasi Manajemen Host Default Anda. AWS Organizations Ganti setiap placeholder sumber daya contoh dengan informasi Anda sendiri.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ssm:UpdateServiceSetting", "ssm:ResetServiceSetting" ], "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" }, { "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole" } ] }
