步驟 3:為混合環境建立受管執行個體啟用 - AWS Systems Manager

步驟 3:為混合環境建立受管執行個體啟用

若要在混合環境中將伺服器和虛擬機器 (VM) 設定為受管執行個體,您需要建立受管執行個體啟用。成功完成啟用之後,您會「立即」收到啟用代碼和啟用 ID。您可以在混合環境中的伺服器和虛擬機器上安裝 AWS Systems Manager SSM Agent 時,指定此代碼/ID 組合。代碼/ID 可讓您從受管執行個體中安全地存取 Systems Manager 服務。

重要

Systems Manager 會立即將啟用代碼和 ID 傳回主控台或命令視窗,視您如何建立啟用而定。複製此資訊,並將其存放在安全的地方。如果您離開主控台或關閉命令視窗,您可能會遺失此資訊。如果您遺失此資訊,您必須建立新的啟用。

關於啟用過期

啟用過期是一個時段,您可以在這個時段中向 Systems Manager 註冊內部部署電腦。過期的啟用不會對您先前向 Systems Manager 註冊的伺服器或虛擬機器 (VM) 產生任何影響。若啟用過期,您便無法使用該特定啟用向 Systems Manager 註冊更多伺服器或虛擬機器。您只能建立新的環境。

您之前註冊的每個內部部署伺服器和虛擬機器仍會註冊為 Systems Manager 受管執行個體,直到您明確將其取消註冊為止。在 Systems Manager 主控台的 Fleet Manager 頁面和 Managed Instances (受管執行個體) 索引標籤中,使用 AWS CLI 命令 deregister-managed-instance,或使用 API 呼叫 DeregisterManagedInstance,可取消註冊受管執行個體。

關於啟用標籤

若使用 AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 建立啟用,您可以指定標籤。標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。以下是在包含選用標籤的本機 Linux 電腦上執行的 AWS CLI 範例命令。

aws ssm create-activation \ --default-instance-name MyWebServers \ --description "Activation for Finance department webservers" \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --tags "Key=Department,Value=Finance"

若您在建立啟用時指定標籤,那些標籤便會在您啟用他們時自動指派給您的現場部署伺服器和 VM。

您無法將標籤新增到現有的啟用,或是從現有的啟用刪除標籤。若您不希望使用啟用將標籤自動指派給您的現場部署伺服器和 VM,您可以稍後再為他們新增標籤。具體而言,您可以在內部部署伺服器和虛擬機器首次連線到 Systems Manager 後,為它們新增標籤。在它們連線後,便會被指派受管執行個體 ID,並在 Systems Manager 主控台中列出,其 ID 也會加上 "mi-" 字首。如需如何將標籤新增到您受管執行個體,而無需使用啟用程序的資訊,請參閱 標記受管節點

注意

若您使用 Systems Manager 主控台建立啟用,則無法為其指派標籤。您必須使用 AWS CLI 或 Tools for Windows PowerShell 來建立它。

如果您不想再使用 Systems Manager 來管理內部部署伺服器或虛擬機器 (VM),您可以將其取消註冊。如需相關資訊,請參閱 在混合式環境中取消註冊受管節點

建立啟用 (主控台)

建立受管執行個體啟用

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Hybrid Activations (混合啟用)。

    -或-

    如果 AWS Systems Manager 首頁會先開啟,請選擇選單圖示 ( ) 以開啟導覽窗格,然後選擇 Hybrid Activations (混合啟用)。

  3. 選擇 Create activation (建立啟用)。

  4. (選用) 在 Activation description (啟用描述) 欄位,輸入此啟用的描述。此描述是可選的,如果您計劃啟用大量伺服器和虛擬機器,則建議您輸入描述。

  5. Instance limit (執行個體限制) 欄位,指定您想要向 AWS 註冊作為此啟用一部分的內部部署伺服器或虛擬機器總數。預設值為 1 個執行個體。

  6. IAM role name (IAM 角色名稱) 區段中,選擇服務角色選項,此選項可讓伺服器和虛擬機器與雲端中的 AWS Systems Manager 通訊:

    1. 選擇 Use the system created default command execution role (使用系統建立的預設命令執行角色) 來使用 AWS 所建立的角色和受管政策。

    2. 選擇 Select an existing custom IAM role that has the required permissions (選取具有所需許可的現有自訂 IAM 角色),以使用您先前建立的選用自訂角色。此角色必須擁有可指定 "Service": "ssm.amazonaws.com" 的信任關係政策。如果您的 IAM 角色未在信任關係政策中指定此準則,您會收到下列錯誤:

      An error occurred (ValidationException) when calling the CreateActivation
                                          operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      如需建立此角色的詳細資訊,請參閱步驟 2:建立適用於混合環境的 IAM 服務角色

  7. Activation expiry date (啟用過期日) 欄位中,指定啟用的過期日期。過期日期必須為未來的日期,不能超過 30 天。預設值為 24 小時。

    注意

    如果想要在過期日期之後註冊其他的受管執行個體,您必須建立新的啟用。該過期日期不會影響已經註冊與正在執行的執行個體。

  8. (選用) 在 Default instance name (預設執行個體名稱) 欄位中,指定名稱。

  9. 選擇 Create activation (建立啟用)。Systems Manager 會立即將啟用代碼和 ID 傳回主控台。

建立受管執行個體啟用 (命令列)

以下程序說明如何使用 AWS Command Line Interface (AWS CLI) (在 Linux 或 Windows 上) 或 AWS Tools for PowerShell 建立受管執行個體啟用。

建立啟用

  1. 如果您尚未安裝並設定 AWS CLI 或 AWS Tools for PowerShell,請進行相應的操作。

    如需相關資訊,請參閱安裝或升級 AWS 命令列工具

  2. 執行以下命令來建立啟用。

    注意
    • region 代表 AWS Systems Manager 支援之 AWS 區域 的識別符,例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需 region 值的清單,請參閱《Amazon Web Services 一般參考》中 Systems Manager 服務端點中的 Region (區域) 資料欄。

    • 您為 iam-role 參數指定的角色必須擁有可指定 "Service": "ssm.amazonaws.com" 的信任關係政策。如果您的 AWS Identity and Access Management (IAM) 角色未在信任關係政策中指定此準則,您會收到下列錯誤:

      An error occurred (ValidationException) when calling the CreateActivation
                                              operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      如需建立此角色的詳細資訊,請參閱步驟 2:建立適用於混合環境的 IAM 服務角色

    • 對於 --expiration-date,以時間戳記格式提供日期,例如 "2021-07-07T00:00:00",適用於啟用代碼到期時。您可以在 30 天前指定日期。如果您未提供過期日期,啟用代碼將在 24 小時內過期。

    Linux & macOS
    aws ssm create-activation \ --default-instance-name name \ --iam-role iam-service-role-name \ --registration-limit number-of-managed-instances \ --region region \ --expiration-date "timestamp" \\ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^ --default-instance-name name ^ --iam-role iam-service-role-name ^ --registration-limit number-of-managed-instances ^ --region region ^ --expiration-date "timestamp" ^ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name ` -IamRole iam-service-role-name ` -RegistrationLimit number-of-managed-instances ` –Region region ` -ExpirationDate "timestamp" ` -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    請見此處範例。

    Linux & macOS
    aws ssm create-activation \ --default-instance-name MyWebServers \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --expiration-date "2021-07-07T00:00:00" \ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^ --default-instance-name MyWebServers ^ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^ --registration-limit 10 ^ --region us-east-2 ^ --expiration-date "2021-07-07T00:00:00" ^ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers ` -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances ` -RegistrationLimit 10 ` –Region us-east-2 ` -ExpirationDate "2021-07-07T00:00:00" ` -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    若成功建立啟用,系統會立即傳回啟用代碼和 ID。

繼續進行步驟 5:在混合環境 (Windows) 中安裝 SSM Agent