Utilizzo dell'impostazione di configurazione predefinita della gestione host - AWS Systems Manager
PrerequisitiAttivazione dell'impostazione di configurazione predefinita della gestione dell'hostDisattivazione dell'impostazione di configurazione predefinita della gestione dell'hostEsempi di policy con privilegi minimi per la funzionalità Configurazione di gestione host predefinita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell'impostazione di configurazione predefinita della gestione host

L'impostazione Default Host Management Configuration AWS Systems Manager consente di gestire automaticamente EC2 le istanze Amazon come istanze gestite. Un'istanza gestita è un'EC2istanza configurata per l'uso con Systems Manager.

I vantaggi della gestione delle istanze con Systems Manager includono:

  • Connect alle EC2 istanze in modo sicuro utilizzando. Session Manager

  • Esegui le scansioni automatiche delle patch utilizzando Patch Manager.

  • Visualizzare informazioni dettagliate sulle istanze utilizzando Inventario di Systems Manager Inventory.

  • Tieni traccia delle istanze e gestiscile utilizzando Fleet Manager.

  • Mantenere SSM Agent aggiornato automaticamente.

Fleet Manager, Inventario, Patch Manager e Session Manager sono funzionalità di Systems Manager.

La configurazione predefinita di gestione dell'host consente di gestire EC2 le istanze senza dover creare manualmente un profilo di istanza AWS Identity and Access Management (IAM). Al contrario, Default Host Management Configuration crea e applica un IAM ruolo predefinito per garantire che Systems Manager disponga delle autorizzazioni per gestire tutte le istanze presenti Account AWS e in Regione AWS cui è attivato.

Se le autorizzazioni fornite non sono sufficienti per il tuo caso d'uso, puoi anche aggiungere politiche al IAM ruolo predefinito creato dalla configurazione predefinita di gestione dell'host. In alternativa, se non hai bisogno di autorizzazioni per tutte le funzionalità fornite dal IAM ruolo predefinito, puoi creare ruoli e policy personalizzati. Qualsiasi modifica apportata al IAM ruolo scelto per la configurazione di gestione host predefinita si applica a tutte le EC2 istanze Amazon gestite nella regione e nell'account.

Per ulteriori informazioni sulla policy utilizzata dalla configurazione di gestione host predefinita, consulta la pagina AWS politica gestita: A mazonSSMManaged EC2InstanceDefaultPolicy.

Implementazione dell'accesso con privilegio minimo

La procedura in questo argomento deve essere eseguita solo dagli amministratori. Pertanto, si consiglia di implementare l'accesso con privilegi minimi per impedire agli utenti non amministrativi di configurare o modificare la funzionalità Configurazione di gestione host predefinita. Per visualizzare esempi di policy che limitano l'accesso alla funzionalità Configurazione di gestione host predefinita, consulta Esempi di policy con privilegi minimi per la funzionalità Configurazione di gestione host predefinita più avanti in questo argomento.

Importante

Le informazioni di registrazione per le istanze registrate utilizzando Default Host Management Configuration sono archiviate localmente nelle directory var/lib/amazon/ssm oC:\ProgramData\Amazon. La rimozione di tali directory o dei relativi file impedirà all'istanza di acquisire le credenziali necessarie per connettersi a Systems Manager utilizzando la configurazione di gestione host predefinita. In questi casi, è necessario utilizzare un profilo di IAM istanza per fornire le autorizzazioni necessarie all'istanza o ricreare l'istanza.

Prerequisiti

Per utilizzare la configurazione predefinita della gestione dell'host nel Regione AWS luogo in Account AWS cui si attiva l'impostazione, è necessario soddisfare i seguenti requisiti.

  • Un'istanza da gestire deve utilizzare Instance Metadata Service Version 2 (IMDSv2).

    La configurazione di gestione host predefinita non supporta Instance Metadata Service versione 1. Per informazioni sulla transizione aIMDSv2, consulta Transition to using Instance Metadata Service versione 2 nella Amazon EC2 User Guide

  • Per poter essere gestito, SSM Agent versione 3.2.582.0 o successiva deve essere installato sull'istanza.

    Per informazioni sulla verifica della versione di SSM Agent installata sull'istanza, consulta Verifica del numero di versione di SSM Agent.

    Per informazioni sull'aggiornamento di SSM Agent, consulta Aggiornamento automatico di SSM Agent.

  • In qualità di amministratore che esegue le attività descritte in questo argomento, devi disporre delle autorizzazioni per le operazioni GetServiceSettingResetServiceSetting, e. UpdateServiceSettingAPI Inoltre, è necessario disporre delle autorizzazioni necessarie per iam:PassRole il AWSSystemsManagerDefaultEC2InstanceManagementRole IAM ruolo. Quello seguente è un esempio di policy che concede queste autorizzazioni. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  • Se un profilo di IAM istanza è già collegato a un'EC2istanza che deve essere gestita tramite Systems Manager, è necessario rimuovere tutte le autorizzazioni che consentono l'ssm:UpdateInstanceInformationoperazione. SSM Agenttenta di utilizzare le autorizzazioni del profilo di istanza prima di utilizzare le autorizzazioni di configurazione di gestione host predefinita. Se si consente l'ssm:UpdateInstanceInformationoperazione nel proprio profilo di IAM istanza, l'istanza non utilizzerà le autorizzazioni di configurazione di gestione host predefinita.

Attivazione dell'impostazione di configurazione predefinita della gestione dell'host

È possibile attivare la configurazione di gestione host predefinita dalla Fleet Manager console o utilizzando AWS Command Line Interface o AWS Tools for Windows PowerShell.

Devi attivare la configurazione di gestione host predefinita una alla volta in ogni regione in cui desideri che le tue EC2 istanze Amazon vengano gestite da questa impostazione.

Dopo aver attivato la configurazione di gestione host predefinita, potrebbero essere necessari fino a 30 minuti prima che le istanze utilizzino le credenziali del ruolo scelto nel passaggio 5 della procedura seguente.

Per attivare la funzionalità Configurazione di gestione host predefinita (console)

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Nel riquadro di navigazione, scegli Fleet Manager.

  3. Scegli Gestione account, Configura la Configurazione di gestione host predefinita.

  4. Attiva Abilita la configurazione di gestione host predefinita.

  5. Scegliete il ruolo AWS Identity and Access Management (IAM) utilizzato per abilitare le funzionalità di Systems Manager per le vostre istanze. Ti consigliamo di utilizzare il ruolo predefinito fornito dalla configurazione di gestione host predefinita. Contiene il set minimo di autorizzazioni necessarie per gestire le EC2 istanze Amazon utilizzando Systems Manager. Se preferisci utilizzare un ruolo personalizzato, la policy di attendibilità del ruolo deve riconoscere Systems Manager come un'entità attendibile.

  6. Scegli Configura per completare la configurazione.

Per attivare la funzionalità Configurazione di gestione host predefinita (riga di comando)

  1. Crea un JSON file sul tuo computer locale contenente la seguente politica sulle relazioni di fiducia.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
                "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
        }
    ]
}

  2. Apri AWS CLI o Tools for Windows PowerShell ed esegui uno dei seguenti comandi, a seconda del tipo di sistema operativo del computer locale, per creare un ruolo di servizio nel tuo account. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    Linux & macOS
    aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
    Windows
    aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
    PowerShell
    New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"

  3. Esegui il comando seguente per collegare la policy gestita AmazonSSMManagedEC2InstanceDefaultPolicy al ruolo appena creato. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    Linux & macOS
    aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"

  4. Apri AWS CLI o Tools for Windows PowerShell ed esegui il seguente comando. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"

    Se il comando va a buon fine, non viene generato output.

  5. Esegui il comando seguente per visualizzare le impostazioni correnti del servizio per la configurazione predefinita della gestione host nella versione corrente Account AWS e Regione AWS.

    Linux & macOS
    aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

    Il comando restituisce informazioni simili alle seguenti.

    {
    "ServiceSetting": {
        "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
        "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
        "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
        "LastModifiedUser": "System",
        "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
        "Status": "Custom"
    }
}

Disattivazione dell'impostazione di configurazione predefinita della gestione dell'host

È possibile disattivare la configurazione predefinita della gestione dell'host dalla Fleet Manager console o utilizzando o. AWS Command Line Interface AWS Tools for Windows PowerShell

Devi disattivare l'impostazione di Default Host Management Configuration una alla volta in ogni regione in cui non desideri più che le tue EC2 istanze Amazon vengano gestite da questa configurazione. La disattivazione in una Regione non comporta la disattivazione in tutte le Regioni.

Se disattivi la configurazione predefinita della gestione degli host e non hai collegato un profilo di istanza alle tue EC2 istanze Amazon che consenta l'accesso a Systems Manager, queste non saranno più gestite da Systems Manager.

Per disattivare la funzionalità Configurazione di gestione host predefinita (console)

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Nel riquadro di navigazione, scegli Fleet Manager.

  3. Scegli Gestione account, Configurazione di gestione host predefinita.

  4. Disattiva Abilita configurazione di gestione host predefinita.

  5. Scegli Configura per disabilitare la configurazione di gestione host predefinita.

Per disattivare la funzionalità Configurazione di gestione host predefinita (riga di comando)

  • Apri AWS CLI o Tools for Windows PowerShell ed esegui il seguente comando. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

Esempi di policy con privilegi minimi per la funzionalità Configurazione di gestione host predefinita

Le seguenti policy di esempio mostrano come impedire ai membri dell'organizzazione di apportare modifiche all'impostazione della funzionalità Configurazione di gestione host predefinita nell'account.

Politica di controllo del servizio per AWS Organizations

La seguente politica illustra come impedire ai membri non amministrativi dell'utente di aggiornare l'impostazione predefinita della configurazione di gestione dell'host. AWS Organizations Sostituisci ogni example resource placeholder con le tue informazioni.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Action":[
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource":"arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition":{
                "StringNotEqualsIgnoreCase":{
                "aws:PrincipalTag/job-function":[
                    "administrator"
                ]
                }
            }
        },
        {
            "Effect":"Deny",
            "Action":[
                "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition":{
                "StringEquals":{
                "iam:PassedToService":"ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase":{
                "aws:PrincipalTag/job-function":[
                    "administrator"
                ]
                }
            }
        },
        {
            "Effect":"Deny",
            "Resource":"arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action":[
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition":{
                "StringNotEqualsIgnoreCase":{
                "aws:PrincipalTag/job-function":[
                    "administrator"
                ]
                }
            }
        }
    ]
}

Politica per i IAM committenti

La seguente politica illustra come impedire a IAM gruppi, ruoli o utenti dell'utente di aggiornare l'impostazione AWS Organizations di configurazione predefinita della gestione dell'host. Sostituisci ogni example resource placeholder con le tue informazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}