AWS Systems Manager - Benutzerhandbuch · wie z. B. Systems Manager-SSM-Dokumente, Patch-Baselines,...

AWS Systems ManagerBenutzerhandbuch

AWS Systems Manager Benutzerhandbuch

AWS Systems Manager: BenutzerhandbuchCopyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsWas ist AWS Systems Manager? ......................................................................................................... 1

Funktionen ................................................................................................................................. 3Verfahrensmanagement ....................................................................................................... 4Application Management ...................................................................................................... 5Aktionen und Änderungen .................................................................................................... 5Instances und Knoten ......................................................................................................... 6Freigegebene Ressourcen ................................................................................................... 7

Funktionsweise ........................................................................................................................... 7Informationen zu SSM-Agent ...................................................................................................... 10Unterstützte Betriebssysteme ...................................................................................................... 11

Windows Server ............................................................................................................... 11Linux ............................................................................................................................... 12Raspbian ......................................................................................................................... 13

Zugriff auf Systems Manager ...................................................................................................... 13Voraussetzungen ...................................................................................................................... 14

Schnelleinrichtung ............................................................................................................................. 16Berechtigungsrollen ................................................................................................................... 16

Details zum Instance-Standardprofil ..................................................................................... 17Details zur Servicerolle ...................................................................................................... 18

Aktualisieren eines Systems Manager (SSM)-Agenten .................................................................... 19Erfassen von Beständen aus Ihren Instances ................................................................................ 19Scannen von Instances nach fehlenden Patches täglich .................................................................. 20Installieren und Konfigurieren des CloudWatch-Agenten .................................................................. 21Aktualisieren des CloudWatch-Agenten einmal alle vier Wochen ...................................................... 21Arbeiten mit Schnelleinrichtungsergebnissen ................................................................................. 21Fehlerbehebung bei Schnelleinrichtungsergebnissen ...................................................................... 23Schnelleinrichtung erneut ausführen ............................................................................................ 24

Einrichten von Systems Manager ........................................................................................................ 26Schritt 1: Anmelden bei AWS ...................................................................................................... 26Schritt 2: Erstellen eines IAM-Adminbenutzers für AWS .................................................................. 27Schritt 3: Erstellen von Nicht-Admin- IAM-Benutzer und -Gruppen für Systems Manager ....................... 28

Aufgabe 1: Erstellen von Richtlinien für Ressourcengruppen und Tag Editor ............................... 29Aufgabe 2: Erstellen von Benutzergruppen ........................................................................... 30Aufgabe 3: Erstellen von Benutzern und Zuweisen von Berechtigungen ..................................... 31

Aufgabe 4: Erstellen eines IAM-Instance-Profils für Systems Manager ............................................... 33Informationen zu Richtlinien für ein Systems Manager-Instance-Profil ........................................ 33Aufgabe 1: (Optional) Erstellen einer benutzerdefinierten Richtlinie für Amazon S3-Bucket-Zugriff ... 35Aufgabe 2: Hinzufügen von Berechtigungen zu einem Systems Manager-Instance-Profil(Konsole) ......................................................................................................................... 37

Schritt 5: Anfügen eines IAM-Instance-Profils an eine Amazon EC2-Instance ...................................... 39Starten einer Instance, die das Systems Manager-Instance-Profil verwendet (Konsole) ................. 40Anfügen eines Systems Manager-Instance-Profils an eine vorhandene Instance (Konsole) ............ 40

Schritt 6: (Optional) Erstellen Sie einen Virtual Private Cloud-Endpunkt ............................................. 41Beschränkungen und Einschränkungen bei VPC-Endpunkten .................................................. 41Erstellen von VPC-Endpunkten für Systems Manager ............................................................. 43

Schritt 7: (Optional) Erstellen Sie Systems Manager-Servicerolle ...................................................... 43Erstellen Sie eine Servicerolle ............................................................................................ 44

Schritt 8: (Optional) Einrichten von Integrationen mit anderen AWS-Services ...................................... 45Einrichten von Hybrid-Umgebungen ..................................................................................................... 47

Schritt 1: Ausführen allgemeiner Systems Manager-Einrichtungsschritte ............................................. 48Schritt 2: Erstellen einer IAM-Servicerolle für eine Hybrid-Umgebung ................................................. 48Schritt 3: Installieren eines TLS-Zertifikats auf lokalen Servern und VMs ............................................ 51Schritt 4: Erstellen einer Aktivierung für verwaltete Instances in einer Hybrid-Umgebung ....................... 52

Erstellen einer Aktivierung (Konsole) .................................................................................... 53

iii


Erstellen einer Aktivierung für eine verwaltete Instance (Befehlszeile) ........................................ 54Schritt 5: Installieren von SSM-Agent in einer Hybrid-Umgebung (Windows) ....................................... 55Schritt 6: Installieren von SSM-Agent in einer Hybrid-Umgebung (Linux) ............................................ 57Schritt 7: (Optional) Aktivieren des Kontingents für erweiterte Instances ............................................. 60

Konfigurieren von Berechtigungen zum Aktivieren des Kontingents für erweiterte Instances ........... 61Aktivieren des Kontingents für erweiterte Instances (Konsole) .................................................. 62Aktivieren des Kontingents für erweiterte Instances (AWS CLI) ................................................. 63Aktivieren des Kontingents für erweiterte Instances (PowerShell) .............................................. 64

Erste Schritte ................................................................................................................................... 65Schritt 1: Installieren oder Aktualisieren der AWS CLI ..................................................................... 65Schritt 2: Installieren oder Aktualisieren der AWS Tools for PowerShell .............................................. 66Schritt 3: Übung – Installieren oder Aktualisieren von SSM-Agent auf einer Instance ............................ 68Schritt 4: Ausprobieren von Tutorials und Anleitungen für Systems Manager ....................................... 68

Arbeiten mit SSM-Agent ..................................................................................................................... 72Installieren und Konfigurieren des SSM-Agent auf Windows-Instances ............................................... 73

Installation und Konfiguration des SSM-Agent auf Amazon EC2-Windows-Instances .................... 74Anzeigen von SSM-Agent-Protokollen auf Windows-Instances ................................................. 76Konfigurieren des SSM-Agent zur Nutzung eines Proxys für Windows-Instances ......................... 76

Installation und Konfiguration des SSM-Agent auf Amazon EC2-Linux-Instances ................................. 77Manuelles Installieren des SSM-Agent auf Amazon EC2-Linux-Instances ................................... 78Konfigurieren des SSM-Agent zur Nutzung eines Proxys ......................................................... 93SSM-Agent-Protokolle anzeigen .......................................................................................... 95Deinstallieren des SSM-Agent von Linux-Instances ................................................................ 96

Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM-Agent ........................................ 96Automatische Aktualisierungen von SSM-Agent ............................................................................. 97

Automatische Aktualisierung von SSM-Agent ........................................................................ 98Abonnieren von SSM-Agent-Benachrichtigungen ............................................................................ 98Über minimale S3-Bucket-Berechtigungen für SSM-Agent ............................................................... 99

Erforderliche Berechtigungen ............................................................................................ 100Beispiel .......................................................................................................................... 101

Partner- und Produktintegration ......................................................................................................... 102Referenzieren von AWS Secrets Manager-Geheimnissen über Parameter Store-Parameter ................. 102

Einschränkungen ............................................................................................................. 102So referenzieren Sie ein Secrets Manager-Geheimnis mithilfe von Parameter Store ................... 103

Ausführen von Skripts von GitHub und Amazon S3 ...................................................................... 105Ausführen von Skripts von GitHub ..................................................................................... 106Ausführen von Skripts von Amazon S3 ............................................................................... 111

Verwenden von Chef InSpec-Profilen mit Systems Manager-Compliance .......................................... 118So funktioniert es ............................................................................................................ 119Ausführen eines InSpec-Compliance-Scans ......................................................................... 119

Verfahrensmanagement ................................................................................................................... 123Explorer ................................................................................................................................. 123

Über welche Funktionen verfügt Explorer? .......................................................................... 124In welcher Verbindung steht Explorer mit OpsCenter? ........................................................... 125Was ist OpsData? ........................................................................................................... 125Entstehen Kosten für die Verwendung von Explorer? ............................................................ 125Ist Explorer in allen AWS-Regionen verfügbar? .................................................................... 126Erste Schritte .................................................................................................................. 126Die Verwendung von Explorer ........................................................................................... 134Exportieren von OpsData ................................................................................................. 137Fehlersuche .................................................................................................................... 140

OpsCenter .............................................................................................................................. 141Welche Vorteile bietet OpsCenter meiner Organisation? ........................................................ 141Über welche Funktionen verfügt OpsCenter? ....................................................................... 142Wie funktioniert OpsCenter mit Amazon CloudWatch Events? Welchen Service sollte ichverwenden? .................................................................................................................... 144Lässt sich OpsCenter in mein vorhandenes Fallbearbeitungssystem integrieren? ....................... 144

iv


Entstehen Kosten für die Verwendung von OpsCenter? ......................................................... 144Funktioniert OpsCenter auf meinen lokalen Servern und verwalteten Hybrid-Instances? .............. 145Ist OpsCenter in allen AWS-Regionen verfügbar? ................................................................ 145Was sind die Ressourcenlimits für OpsCenter? .................................................................... 145Erste Schritte mit OpsCenter ............................................................................................ 146Erstellen von OpsItems .................................................................................................... 147Arbeiten mit OpsItems ..................................................................................................... 152Beheben von OpsItem-Problemen ..................................................................................... 161Anzeigen von OpsCenter-Zusammenfassungsberichte .......................................................... 165Unterstützte Ressourcen-Reference ................................................................................... 165Prüfen und Protokollieren von OpsCenter-Aktivitäten ............................................................ 169

CloudWatch-Dashboards .......................................................................................................... 169Trusted Advisor und PHD ......................................................................................................... 169

Application Management ...................................................................................................................... 5Resource Groups .................................................................................................................... 170AppConfig .............................................................................................................................. 170

Welche Vorteile bietet AppConfig meiner Organisation? ........................................................ 171Welche Arten von Zielen werden unterstützt? ...................................................................... 172Entstehen Kosten für die Verwendung von AppConfig? ......................................................... 172Muss ich meine Anwendung ändern, damit sie mit AppConfig funktioniert? ............................... 172Wie funktioniert AppConfig? .............................................................................................. 172Wie lauten die Servicekontingente von AppConfig? .............................................................. 174Erste Schritte mit AWS AppConfig ..................................................................................... 174Verwenden von AWS AppConfig ....................................................................................... 179

Parameter Store ...................................................................................................................... 187Erste Schritte mit Parameter Store ..................................................................................... 188Weitere Informationen zu Parametern ................................................................................. 189Einrichten von Parameter Store ......................................................................................... 194Arbeiten mit Parametern ................................................................................................... 202Arbeiten mit öffentlichen Parametern .................................................................................. 229Erhöhen des Parameter Store-Durchsatzes ......................................................................... 233Angeben einer Standardparameterstufe .............................................................................. 237Parameter Store-Anleitungen ............................................................................................ 243

Aktionen und Änderungen ................................................................................................................ 251Automation ............................................................................................................................. 251

Automation-Anwendungsfälle ............................................................................................. 252Erste Schritte mit Automation ............................................................................................ 254Arbeiten mit Automation-Ausführungen ............................................................................... 261Arbeiten mit Automation-Dokumenten (Playbooks) ................................................................ 332Anleitungen zur Automatisierung ........................................................................................ 539Fehlerbehebung bei Systems Manager Automation .............................................................. 581

Wartungsfenster ...................................................................................................................... 592Steuern des Zugriffs ........................................................................................................ 593Arbeiten mit Wartungsfenstern (Konsole) ............................................................................ 605Wartungsfenster-Tutorials (AWS CLI) ................................................................................. 613Wartungsfenster-Anleitungen ............................................................................................. 649

Instances und Knoten ...................................................................................................................... 658Compliance ............................................................................................................................ 658

Erste Schritte mit Configuration Compliance ........................................................................ 659Erstellen einer Ressource Data Sync für Configuration Compliance ......................................... 660Arbeiten mit Configuration Compliance ............................................................................... 662Beheben von Compliance-Problemen ................................................................................. 664Anleitung zu Configuration Compliance (AWS CLI) ............................................................... 665

Inventory ................................................................................................................................ 667Weitere Informationen über Inventory ................................................................................. 671Konfigurieren von Resource Data Sync für Inventory ............................................................ 676Konfigurieren der Bestandserfassung ................................................................................. 680

v


Arbeiten mit Bestandsdaten .............................................................................................. 684Arbeiten mit benutzerdefiniertem Bestand ........................................................................... 699Anzeigen von Inventory-Verlauf und Änderungsnachverfolgung .............................................. 709Anleitungen zu Inventory .................................................................................................. 710Beheben von Inventory-Problemen .................................................................................... 720

Verwaltete Instances ................................................................................................................ 721Zurücksetzen von Passwörter für verwaltete Instances .......................................................... 723

Aktivierungen .......................................................................................................................... 726Session Manager .................................................................................................................... 727

Welche Vorteile bietet Session Manager meiner Organisation? ............................................... 727An wen richtet sich Session Manager? ............................................................................... 729Was sind die Hauptfunktionen von Session Manager? .......................................................... 729Was ist eine Sitzung? ...................................................................................................... 730Erste Schritte mit Session Manager ................................................................................... 731Arbeiten mit Session Manager .......................................................................................... 764Prüfen und Protokollieren von Sitzungsaktivitäten ................................................................. 774Session Manager-Fehlerbehebung ..................................................................................... 778

Run Command ....................................................................................................................... 780Einrichten von Run Command ........................................................................................... 781Ausführen von Befehlen ................................................................................................... 787Grundlegendes zu Befehlsstatus ........................................................................................ 796Run Command-Anleitungen .............................................................................................. 800Run Command-Fehlerbehebung ........................................................................................ 811

State Manager ........................................................................................................................ 814Informationen zu State Manager ........................................................................................ 815Arbeiten mit Zuordnungen ................................................................................................ 817Anleitungen zu State Manager .......................................................................................... 838

Patch Manager ....................................................................................................................... 856Voraussetzungen des Patch Manager ................................................................................ 858Funktionsweise ............................................................................................................... 859Über Patch-Operationen ................................................................................................... 874Über Patch-Baselines ...................................................................................................... 884Arbeiten mit Patchmanager (Konsole) ................................................................................ 896Anleitung: Patchen einer Serverumgebung (AWS CLI) .......................................................... 910AWS CLI-Befehle für Patch Manager ................................................................................. 915

Distributor .............................................................................................................................. 928Welche Vorteile bietet Distributor meiner Organisation? ......................................................... 928An wen richtet sich Distributor? ......................................................................................... 929Über welche Funktionen verfügt Distributor? ........................................................................ 929Was ist ein Paket? .......................................................................................................... 930Erste Schritte mit Distributor ............................................................................................. 931Arbeiten mit Distributor ..................................................................................................... 933Prüfen und Protokollieren von Distributor-Aktivitäten ............................................................. 957Distributor-Fehlerbehebung ............................................................................................... 957

Freigegebene Ressourcen ................................................................................................................ 959SSM-Dokumente ..................................................................................................................... 959

Vordefinierte Systems Manager-Dokumente ........................................................................ 961SSM-Dokumentschemata und -funktionen ........................................................................... 962SSM-Dokumentsyntax ...................................................................................................... 964Erstellen von Systems Manager-Dokumenten ...................................................................... 969Markieren von Dokumenten .............................................................................................. 972Freigeben von Systems Manager-Dokumenten .................................................................... 975Erstellen von zusammengesetzten Dokumenten ................................................................... 981Ausführen von Dokumente von Remote-Standorten .............................................................. 983Referenz für SSM-Dokument-Plug-Ins ................................................................................ 986

Überwachung ................................................................................................................................ 1013Senden von Instance-Protokollen an CloudWatch Logs (CloudWatch-Agent) ................................... 1013

vi


Migrieren der Protokollerfassung von Windows Server-Instances zum CloudWatch-Agent .......... 1015Speichern der CloudWatch-Agent-Konfigurationseinstellungen in Parameter Store ................... 1019Rollback zur Protokollerfassung mit SSM-Agent ................................................................. 1019

Senden von Instance-Protokollen an CloudWatch Logs (SSM-Agent) ............................................. 1020Protokollieren von AWS Systems Manager-API-Aufrufen mit AWS CloudTrail .................................. 1022

Systems Manager-Informationen in CloudTrail .................................................................... 1022Grundlagen zu Systems Manager-Protokolldateieinträgen .................................................... 1023

Überwachen mit Amazon CloudWatch Events ............................................................................ 1024Konfigurieren von CloudWatch Events für Automation ......................................................... 1025

Amazon SNS-Benachrichtigungen ............................................................................................ 1026Konfigurieren von Amazon SNS-Benachrichtigungen für AWS Systems Manager ..................... 1026Beispiele von Amazon SNS-Benachrichtigungen für AWS Systems Manager ........................... 1033Verwenden von Run Command zum Senden eines Befehls, der Statusbenachrichtigungenzurückgibt ..................................................................................................................... 1034Verwenden eines Wartungsfensters zum Senden eines Befehls, der Statusbenachrichtigungenzurückgibt ..................................................................................................................... 1036

Authentifizierung und Zugriffskontrolle ............................................................................................... 1041Authentication ....................................................................................................................... 1041Zugriffskontrolle ..................................................................................................................... 1042Übersicht über die Verwaltung des Zugriffs ................................................................................ 1043

Ressourcen und Operationen .......................................................................................... 1043Grundlegendes zum Eigentum an Ressourcen ................................................................... 1046Verwalten des Zugriffs auf Ressourcen ............................................................................. 1046Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale ...................... 1048Angeben von Bedingungen in einer Richtlinie .................................................................... 1049

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) ..................................................... 1049Erforderliche Berechtigungen für die Verwendung der AWS Systems Manager-Konsole ............. 1050Von AWS verwaltete Richtlinien für AWS Systems Manager ................................................. 1051Beispiele für vom Kunden verwaltete Richtlinien ................................................................. 1052

Verwenden von serviceverknüpften Rollen ................................................................................. 1054Inventory and Maintenance Windows Role ........................................................................ 1055Explorer Account Discovery Role ..................................................................................... 1057

Referenz zu AWS Systems Manager-Berechtigungen ................................................................. 1060AWS Systems Manager-Referenz .................................................................................................... 1073

Cron- und Rate-Ausdrücke ...................................................................................................... 1073Allgemeine Informationen zu Cron- und Rate-Ausdrücken .................................................... 1074Cron- und Rate-Ausdrücke für Zuordnungen ...................................................................... 1077Cron- und Rate-Ausdrücke für Wartungsfenster .................................................................. 1078

Wartungsfenster-Optionen für Planung und aktive Zeiträume ........................................................ 1079Beispiel 1: Angeben eines Startdatums für das Wartungsfenster ........................................... 1080Beispiel 2: Angeben eines Start- und Enddatums für das Wartungsfenster .............................. 1080Beispiel 3: Erstellen eines Wartungsfensters, das nur einmal ausgeführt wird .......................... 1081

ec2messages, ssmmessages und andere API-Aufrufe ................................................................. 1081Anwendungsfälle und bewährte Methoden ......................................................................................... 1083Dokumentverlauf ............................................................................................................................ 1085

Frühere Aktualisierungen ........................................................................................................ 1122AWS Glossary .............................................................................................................................. 1136

vii


Was ist AWS Systems Manager?AWS Systems Manager ist ein AWS-Service, den Sie verwenden können, um Ihre Infrastruktur in AWSanzuzeigen und zu steuern. Mithilfe der Systems Manager-Konsole können Sie Betriebsdaten vonmehreren AWS-Services anzeigen und operative Aufgaben für alle Ihre AWS-Ressourcen automatisieren.Systems Manager unterstützt Sie dabei, die Sicherheit und Compliance zu wahren, indem der ServiceIhre verwalteten Instances scannt und alle Richtlinienverstöße meldet (oder korrigiert), die von ihm erkantwerden.

Bei einer verwalteten Instance handelt es sich um eine Maschine, die für die Verwendung mit SystemsManager konfiguriert wurde. Systems Manager hilft Ihnen auch, Ihre verwalteten Instances zu konfigurierenund zu verwalten. Zu unterstützten Maschinentypen gehören Amazon EC2-Instances, lokale Serverund virtuelle Maschinen (VMs), einschließlich VMs in anderen Cloud-Umgebungen. UnterstützteBetriebssysteme umfassen Windows Server, mehrere Verteilungen von Linux und Raspbian.

Mit Systems Manager können Sie AWS-Ressourcen verknüpfen, indem Sie auf jede von ihnen dasgleiche identifizierende Ressourcen-Tag anwenden. Sie können anschließend operative Daten für dieseRessourcen als Ressourcengruppe, anzeigen, um Überwachung und Fehlerbehebung zu vereinfachen.

So können Sie z. B. all den folgenden Ressourcen das Ressourcen-Tag „Operation=North Region OSPatching“ zuweisen:

• Einer Gruppe von Amazon EC2-Instances• Einer Gruppe von lokalen Servern in Ihrem eigenen Rechenzentrum• Einer Systems Manager-Patch-Baseline, die angibt, welche Patches auf Ihre verwalteten Instances

angewendet werden sollen• Einem Amazon S3-Bucket zum Speichern der Protokollausgabe der Patch-Operation• Einem Systems Manager Wartungsfenster, das den Zeitplan für die Patch-Operation angibt

Nachdem die Ressourcen markiert wurden, können Sie ein konsolidiertes Dashboard in Systems Manageranzeigen, das den Status aller Ressourcen meldet, die Teil des Patching-Vorgangs in Ihrer Region Nordsind. Wenn ein Problem mit diesen Ressourcen auftritt, können Sie umgehend korrigierende Maßnahmenergreifen.

Funktionen in Systems Manager

Systems Manager besteht aus einzelnen Funktionen (p. 3), die in vier Kategorien unterteilt sind:Betriebsverwaltung, Aktionen und Änderungen, Instances und Knoten und Freigegebene Ressourcen.

Diese Zusammenstellung von Funktionen ist eine leistungsstarke Satz von Tools und Funktionen, die Sieverwenden können, um viele operative Aufgaben auszuführen. zum Beispiel:

• Gruppieren von AWS-Ressourcen nach einem bestimmten Zweck oder einer bestimmten Aktivität, z. B.Anwendung, Umgebung, Region, Projekt, Kampagne, Geschäftseinheit oder Software-Lebenszyklus.

• Zentrales Definieren der Konfigurationsoptionen und Richtlinien für Ihre verwalteten Instances.• Hiermit können Sie operative Arbeitselemente im Zusammenhang mit AWS-Ressourcen zentral

anzeigen, untersuchen und Probleme mit ihnen lösen.• Automatisieren oder Planen einer Vielzahl von Wartungs- und Bereitstellungsaufgaben.• Verwenden und Erstellen von SSM-Dokumenten im Runbook-Stil, die die Aktionen definieren, die auf

Ihrem verwalteten Instances ausgeführt werden sollen.

1


• Ausführen eines Befehls mit Raten- und Fehlersteuerungen, der auf eine gesamte Flotte verwalteterInstances abzielt.

• Sicheres Verbinden mit einer verwalteten Instance mit einem einzigen Klick, ohne einen eingehendenPort öffnen oder SSH-Schlüssel verwalten zu müssen.

• Trennen Ihrer geheimen und Konfigurationsdaten von Ihrem Code mithilfe von Parametern, mit oderohne Verschlüsselung, und Verweisen auf diese Parameter von einer Vielzahl anderer AWS-Services.

• Ausführen einer automatisierten Bestandsaufnahme, indem Sie Metadaten über Ihre Amazon EC2-und lokalen verwalteten Instances erfassen. Metadaten können Informationen über Anwendungen,Netzwerkkonfigurationen und vieles mehr enthalten.

• Ansicht konsolidierter Bestandsdaten aus mehreren AWS-Regionen und -Konten, die Sie verwalten.• Schnelle Ansicht der Ressourcen, die in Ihrem Konto nicht konform sind, und Ergreifen korrigierender

Maßnahmen über ein zentrales Dashboard.• Anzeigen aktiver Zusammenfassungen der Metriken und Alarme für Ihre AWS-Ressourcen.

Systems Manager vereinfacht die Verwaltung von Ressourcen und Anwendungen, verkürzt die Zeit zumErkennen sowie Beheben betrieblicher Probleme und erleichtert die sichere Bedienung und VerwaltungIhrer AWS-Infrastruktur nach Maß.

Note

AWS Systems Manager wurde ehemals als Amazon Simple Systems Manager (SSM) undAmazon EC2 Systems Manager (SSM) bezeichnet. Weitere Informationen finden Sie unter Verlaufdes Systems Manager-Servicenamens (p. 2).

Was ist AWS Systems Manager? (Video)

Sehen Sie sich weitere AWS-Videos im Amazon Web Services YouTube-Kanal an.

Unterstützte Regionen für Systems Manager

AWS Systems Manager ist in den unter Systems ManagerService-Endpunkte in der Amazon WebServices General Reference aufgeführten AWS-Regionen verfügbar. Bevor Sie den Systems Manager-Konfigurationsprozess starten, empfehlen wir Ihnen sicherzustellen, dass der Service in allen AWS-Regionen, in denen Sie ihn verwenden möchten, verfügbar ist.

Für lokale Server und virtuelle Maschinen in Ihrer Hybrid-Umgebung empfehlen wir Ihnen, die Regionauszuwählen, die Ihrem Rechenzentrum oder der IT-Umgebung am nächsten liegt.

Systems Manager – Preise

Einige Systems Manager-Funktionen sind gebührenpflichtig. Weitere Informationen finden Sie unterAWS Systems Manager-Preise.

Verlauf des Systems Manager-Servicenamens

AWS Systems Manager (Systems Manager) wurde früher als „Amazon Simple Systems Manager(SSM)“ und „Amazon EC2 Systems Manager (SSM)“bezeichnet. Der ursprüngliche abgekürzte Namedes Services, „SSM", ist nach wie vor in verschiedenen AWS-Ressourcen zu finden, einschließlicheiniger anderer Servicekonsolen. Hier einige Beispiele:• Systems Manager Agent: SSM-Agent• Systems Manager-Parameter: SSM-Parameter• Systems Manager-Service-Endpunkte: ssm.us-east-2.amazonaws.com• AWS CloudFormation-Ressourcentypen: AWS::SSM::Document• AWS Config-Regel-ID: EC2_INSTANCE_MANAGED_BY_SSM• AWS CLI-Befehle: aws ssm describe-patch-baselines• Von AWS Identity and Access Management (IAM) verwaltete Richtliniennamen:AmazonSSMReadOnlyAccess

2

http://youtu.be/MK4ZoCs-muohttps://www.youtube.com/user/AmazonWebServiceshttps://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_regionhttps://aws.amazon.com/systems-manager/pricing/

AWS Systems Manager BenutzerhandbuchFunktionen

• Systems Manager-Ressourcen-ARNs: arn:aws:ssm:us-east-2:111222333444:patchbaseline/pb-07d8884178EXAMPLE

Verwandter Inhalt

Die folgenden Ressourcen können bei der direkten Nutzung von Systems Manager unterstützen.• AWS Blog & Podcast – Lesen Sie Blog-Beiträge zu Systems Manager in der AWS Management

Tools Category sowie andere Beiträge, die mit #Systems Manager markiert sind.• Systems Manager Developer Forum – Lesen Sie Ankündigungen oder stellen oder beantworten Sie

Fragen im AWS Systems Manager Forum.• AWS Systems Manager API Reference – Enthält Beschreibungen, Syntax und Anwendungsbeispiele

für die einzelnen Aktionen und Datentypen für Systems Manager.• AWS Systems Manager section of the AWS CLI Command Reference – Verwalten von Systems

Manager über ein Befehlszeilen-Tool. Verfügbar zur Verwendung für Windows-, Mac- und Linux/UNIX-Systeme.

• AWS Systems Manager section of the AWS Tools for PowerShell Cmdlet Reference – Verwalten SieSystems Manager mit den gleichen PowerShell-Tools, die Sie auch zur Verwaltung Ihrer Windows-,Linux- oder Mac-Umgebungen einsetzen.

• Systems Manager-Servicekontingente in der Amazon Web Services General Reference. – Enthältdie Standardkontingente für Systems Manager für ein AWS-Konto. Wenn nicht anders angegeben,gilt jedes Kontingent spezifisch für eine Region.

The following related resources can help you as you work with this service.• Classes & Workshops – Links to role-based and specialty courses as well as self-paced labs to help

sharpen your AWS skills and gain practical experience.• AWS Developer Tools – Links to developer tools, SDKs, IDE toolkits, and command line tools for

developing and managing AWS applications.• AWS Whitepapers – Links to a comprehensive list of technical AWS whitepapers, covering topics

such as architecture, security, and economics and authored by AWS Solutions Architects or othertechnical experts.

• AWS Support Center – The hub for creating and managing your AWS Support cases. Also includeslinks to other helpful resources, such as forums, technical FAQs, service health status, and AWSTrusted Advisor.

• AWS Support – The primary web page for information about AWS Support, a one-on-one, fast-response support channel to help you build and run applications in the cloud.

• Contact Us – A central contact point for inquiries concerning AWS billing, account, events, abuse,and other issues.

• AWS Site Terms – Detailed information about our copyright and trademark; your account, license,and site access; and other topics.

Weitere Informationen über Systems Manager.• Systems Manager-Funktionen (p. 3)• Funktionsweise von Systems Manager (p. 7)• Informationen zu SSM-Agent (p. 10)• Unterstützte Betriebssysteme (p. 11)• Zugriff auf Systems Manager (p. 13)• Systems Manager-Anforderungen (p. 14)

Systems Manager-FunktionenSystems Manager-Funktionen sind in die folgenden Funktionstypen unterteilt:

3

http://aws.amazon.com/blogs/http://aws.amazon.com/blogs/aws/category/management-tools/amazon-ec2-systems-manager/http://aws.amazon.com/blogs/aws/category/management-tools/amazon-ec2-systems-manager/http://aws.amazon.com/blogs/mt/tag/aws-systems-manager/https://forums.aws.amazon.com//forum.jspa?forumID=185https://docs.aws.amazon.com/systems-manager/latest/APIReference/https://docs.aws.amazon.com/cli/latest/reference/ssm/index.htmlhttps://docs.aws.amazon.com/powershell/latest/reference/items/AWS_Systems_Manager_cmdlets.htmlhttps://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssmhttps://aws.amazon.com/training/course-descriptions/https://aws.amazon.com/tools/https://aws.amazon.com/whitepapers/https://console.aws.amazon.com/support/home#/https://aws.amazon.com/premiumsupport/https://aws.amazon.com/contact-us/https://aws.amazon.com/terms/

AWS Systems Manager BenutzerhandbuchVerfahrensmanagement

Themen• Verfahrensmanagement (p. 4)• Application Management (p. 5)• Aktionen und Änderungen (p. 5)• Instances und Knoten (p. 6)• Freigegebene Ressourcen (p. 7)

VerfahrensmanagementOperations Management besteht aus einer Reihe von Funktionen, die Sie bei der Verwaltung Ihrer AWS-Ressourcen unterstützen.

Explorer

Explorer (p. 123) ist ein anpassbares Betriebsdashboard, in dem Informationen zu Ihren AWS-Ressourcen angezeigt werden. Explorer zeigt eine aggregierte Ansicht der Betriebsdaten (OpsData)für Ihre AWS-Konten und regionsübergreifend an. In Explorer enthalten OpsData Metadaten zu IhrenAmazon EC2-Instances, Details zur Patch-Compliance und operative Arbeitselemente (OpsItems).Explorer macht deutlich, wie OpsItems über Ihre Geschäftsbereiche oder Anwendungen verteiltsind, welche Trends im Zeitverlauf bestehen und wie sie je nach Kategorie variieren. Sie könnenInformationen in Explorer gruppieren und filtern, um sich auf die Elemente zu konzentrieren, die für Sierelevant sind und eine Aktion erfordern. Wenn Sie Probleme mit hoher Priorität erkennen, können Siemit Systems Manager OpsCenter Automation-Runbooks ausführen und die Probleme schnell beheben.

OpsCenter

OpsCenter (p. 141) bietet einen zentralen Speicherort, an dem Techniker und IT-Experten operativeArbeitselemente (OpsItems) im Zusammenhang mit AWS-Ressourcen anzeigen, untersuchenund lösen können. OpsCenter wurde konzipiert, um die durchschnittliche Zeit zum Lösen vonProblemen, die sich auf AWS-Ressourcen auswirken, zu reduzieren. Diese Systems Manager-Funktion aggregiert und standardisiert OpsItems über Services hinweg und bietet gleichzeitigkontextbezogene Untersuchungsdaten über jedes OpsItem, verwandte OpsItems und verwandteRessourcen. OpsCenter bietet außerdem Systems Manager-Automatisierungsdokumente(Runbooks), die Sie verwenden können, um Probleme schnell zu lösen. Sie können durchsuchbare,benutzerdefinierte Daten für jedes OpsItem angeben. Sie können auch automatisch generierteZusammenfassungsberichte über OpsItems nach Status und Quelle anzeigen.

CloudWatch Dashboards

Amazon CloudWatch-Dashboards sind anpassbare Startseiten in der CloudWatch-Konsole, die Sieverwenden können, um Ihre Ressourcen – sogar Ressourcen, die auf verschiedene Regionen verteiltsind – in einer einzigen Ansicht zu überwachen. Sie können CloudWatch-Dashboards verwenden, umbenutzerdefinierte Ansichten der Metriken und Alarme für Ihre AWS-Ressourcen zu erstellen.

Trusted Advisor & Personal Health Dashboard (PHD)

Systems Manager hostet zwei Online-Tools, die Sie bei der Bereitstellung Ihrer Ressourcen undder Überwachung Ihres Kontos auf Zustandsereignisse unterstützen. Trusted Advisor ist ein Online-Tool, das Ihnen in Echtzeit Hilfestellung bei der Bereitstellung Ihrer Ressourcen gemäß bewährtenMethoden von AWS bietet. Weitere Informationen finden Sie unter Trusted Advisor.

Das AWS Personal Health Dashboard liefert Informationen zu AWS Health-Ereignissen, die sich aufIhr Konto auswirken können. Diese Informationen werden auf zweierlei Weise bereitgestellt: in einemDashboard, in dem aktuelle und anstehende Ereignisse sortiert nach Kategorie angezeigt werden, undin einem vollständigen Protokoll, in dem alle Ereignisse der letzten 90 Tage angezeigt werden. WeitereInformationen finden Sie unter Erste Schritte mit AWS Personal Health Dashboard.

4

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.htmlhttps://aws.amazon.com/premiumsupport/technology/trusted-advisor/https://docs.aws.amazon.com/health/latest/ug/getting-started-phd.html

AWS Systems Manager BenutzerhandbuchApplication Management

Application ManagementApplication Management ist eine Suite von Funktionen, mit denen Sie Ihre in AWS ausgeführtenAnwendungen verwalten können.

Resource Groups

AWS-Ressourcengruppen: Eine AWS-Ressource ist eine Entität, mit der Sie in AWS arbeiten können,wie z. B. Systems Manager-SSM-Dokumente, Patch-Baselines, Wartungsfenster, Parameter undverwaltete Instances, eine Amazon Elastic Compute Cloud(Amazon EC2)-Instance, ein AmazonElastic Block Store(Amazon EBS)-Volume, eine Sicherheitsgruppe oder eine Amazon Virtual PrivateCloud(VPC). Eine Ressourcengruppe ist eine Sammlung von AWS-Ressourcen, die sich alle inderselben AWS-Region befinden und mit den in einer Abfrage angegebenen Kriterien übereinstimmen.Sie erstellen Abfragen in der Ressourcengruppen-Konsole oder übergeben sie als Argumentean die Ressourcengruppen-Befehle in der AWS CLI. Mit Ressourcengruppen können Sie einebenutzerdefinierte Konsole erstellen, die Informationen basierend auf Kriterien, die Sie durch Tagsfestlegen, organisiert und konsolidiert. Sie können Gruppen auch als Grundlage für die Anzeige vonEinblicken in AWS Systems Manager in Bezug auf Überwachung und Konfiguration nutzen.

AWS AppConfig

Mit AppConfig (p. 170) können Sie Anwendungskonfigurationen schnell erstellen, verwalten undbereitstellen. AppConfig unterstützt kontrollierte Bereitstellungen für Anwendungen jeder Größe.Sie können AppConfig mit Anwendungen verwenden, die auf Amazon EC2-Instances, in AWSLambda, Containern, mobilen Anwendungen oder auf IoT-Geräten gehostet werden. Um Fehler bei derBereitstellung von Anwendungskonfigurationen zu vermeiden, enthält AppConfig Validierungen. EineValidierung stellt durch eine syntaktische oder semantische Prüfung sicher, dass die Konfiguration, dieSie bereitstellen möchten, wie beabsichtigt funktioniert. Während einer Konfigurationsbereitstellungüberwacht AppConfig die Anwendung, um sicherzustellen, dass die Bereitstellung erfolgreich ist. Fallsim System ein Fehler auftritt oder die Bereitstellung einen Alarm auslöst, setzt AppConfig die Änderungzurück, um die Auswirkungen auf die Benutzer Ihrer Anwendung zu minimieren.

Parameter Store

Parameter Store (p. 187) ermöglicht eine sichere, hierarchische Speicherung für dieKonfigurationsdatenverwaltung und das Verschlüsselungsmanagement. Sie können Daten wiePasswörter, Datenbankzeichenfolgen und Lizenzcodes als Parameterwerte speichern. Sie könnenWerte als Klartext oder als verschlüsselte Daten speichern. Anschließend können Sie die Werteanhand des eindeutigen Namens, den Sie beim Erstellen des Parameters angegeben haben,referenzieren.

Aktionen und ÄnderungenSystems Manager bietet folgende Funktionen, damit Sie entsprechend Ihren AWS-RessourcenMaßnahmen ergreifen oder Änderungen vornehmen können.

Automation

Mit Systems Manager Automatisierung (p. 251) werden übliche Wartungs- undBereitstellungsaufgaben automatisiert. Sie können Automation verwenden, um Amazon MachineImages zu erstellen und zu aktualisieren, Treiber- und Agent-Updates anzuwenden, Passwörterauf Windows-Instances zurückzusetzen, SSH-Schlüssel auf Linux-Instances zurückzusetzen oderBetriebssystem-Patches oder Anwendungs-Updates anzuwenden.

Wartungsfenster

Mit Wartungsfenster (p. 592) können Sie wiederkehrende Zeitpläne für verwaltete Instances zumAusführen von Verwaltungsaufgaben wie etwa der Installation von Patches und Updates ohneUnterbrechung der geschäftskritischen Vorgänge einrichten.

5

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html

AWS Systems Manager BenutzerhandbuchInstances und Knoten

Instances und KnotenSystems Manager bietet Funktionen für die Verwaltung Ihrer Amazon EC2-Instances, Ihrer lokalen Serverund virtuellen Maschinen (VMs) in Ihrer Hybrid-Umgebung und anderer Typen von AWS-Ressourcen(Knoten).

Configuration Compliance

Mit Systems Manager Konfigurations-Compliance (p. 658) können Sie Ihre Flotte verwalteterInstances auf Patch-Compliance und Konfigurationsinkonsistenzen prüfen. Sie können Daten ausmehreren AWS-Konten und -Regionen erfassen und zusammenfassen und anschließend Details zubestimmten Ressourcen anzeigen, die nicht konform sind. Standardmäßig werden von ConfigurationCompliance die Compliance-Daten zu Patch Manager-Patches und State Manager-Zuordnungenangezeigt. Sie können auch den Service anpassen und Ihre eigenen Compliance-Typen auf GrundlageIhrer IT- oder Business-Anforderungen erstellen.

Inventory Management

Der Inventory Manager automatisiert die Erfassung von Software-Bestand durch verwalteteInstances. (p. 667) Sie können mit dem Inventar Manager Metadaten über Anwendungen, Dateien,Komponenten, Patches und vieles mehr auf Ihren verwalteten Instances erfassen.

Managed Instances

Verwaltete Instances (p. 26) sind Amazon EC2-Instances oder lokal installierte Computer (einServer oder eine virtuelle Maschine (VM)) in Ihrer Hybrid-Umgebung, die für Systems Managerkonfiguriert sind. Um verwaltete Instances einzurichten, müssen Sie auf Ihren Computern den SSM-Agent installieren (sofern nicht standardmäßig installiert) und AWS Identity and Access Management-(IAM-)Berechtigungen konfigurieren. Für lokal installierte Computer ist ebenfalls ein Aktivierungscodeerforderlich.

Activations

Wenn Sie Server und virtuelle Maschinen in Ihrer Hybrid-Umgebung als verwaltete Instances erstellenmöchten, müssen Sie eine Aktivierung (p. 47) für verwaltete Instances erstellen. Nach Abschlussder Aktivierung erhalten Sie einen Aktivierungscode und eine ID. Diese Code/ID-Kombinationfunktioniert wie eine Amazon EC2-Zugriffs-ID und ein geheimer Schlüssel, um sicheren Zugriff auf denSystems Manager-Service Ihrer verwalteten Instances bereitzustellen.

Session Manager

Verwenden Sie Session Manager (p. 727) für die Verwaltung Ihrer Amazon EC2-Instances übereine interaktive Browser-basierte One-Click-Shell oder über die AWS CLI. Session Manager bieteteine sichere und prüffähige Instance-Verwaltung, ohne dass eingehende Ports geöffnet, Bastion-Hosts gewartet oder SSH-Schlüssel verwaltet werden müssen. Session Manager vereinfacht auchdie Einhaltung von Unternehmensrichtlinien, die einen kontrollierten Zugriff auf Instances, strengeSicherheitsverfahren und vollständig prüffähige Protokolle mit Instance-Zugriffsdetails vorschreiben,und bietet den Endbenutzern gleichzeitig immer noch einen einfachen plattformübergreifenden Zugriffauf Ihre Amazon EC2-Instances mit einem Klick.

Run Command

Mit Systems Manager Run Command (p. 780) können Sie die Konfiguration Ihrer verwaltetenInstances in großem Umfang remote und sicher verwalten. Verwenden Sie Run Command zumAusführen von On-Demand-Änderungen, wie das Aktualisieren von Anwendungen oder das Ausführenvon Linux-Shell-Skripts und Windows PowerShell-Befehlen auf einem Zielsatz mit Dutzenden oderHunderten von Instances.

State Management

Mit Systems Manager Statusmanager (p. 814) automatisieren Sie den Vorgang, mit dem Ihreverwalteten Instances in einem definierten Status gehalten werden. Mit State Manager können Sie beiIhren Instances Folgendes sicherstellen: Bootstrapping mit bestimmter Software bei Startup, Beitritt

6

AWS Systems Manager BenutzerhandbuchFreigegebene Ressourcen

zu einer Windows-Domäne (nur bei Windows-Instances) oder Einspielen von Patches mit bestimmtenSoftware-Updates.

Patch Management

Verwenden Sie Patch Manager (p. 856) zum Automatisieren des Patch-Vorgangs für Ihreverwalteten Instances, sowohl mit Sicherheits-Updates als auch anderen Arten von Updates.Sie können Patch Manager verwenden, um Patches sowohl für Betriebssysteme als auch fürAnwendungen durchzuführen. (Unter Windows Server ist die Anwendungsunterstützung beschränktauf Updates für Microsoft-Anwendungen.) Mit dieser Funktion können Sie Instances auf fehlendePatches prüfen und diese mit Amazon EC2-Instance-Tags einzeln oder bei großen Instance-Gruppen anwenden. Patch Manager verwendet Patch-Baselines, die Regeln für die automatischeGenehmigung von Patches innerhalb einer festgelegten Anzahl von Tagen nach ihrer Veröffentlichungenthalten, sowie eine Liste von genehmigten und zurückgewiesenen Patches. Sie könnensicherheitsrelevante Patches regelmäßig installieren, indem Sie das Patching als eine SystemsManager-Wartungsfensteraufgabe planen. Für Linux-Betriebssysteme können Sie als Teil Ihrer Patch-Baseline die Repositorys definieren, die für Patching-Operationen verwendet werden sollen. Auf dieseWeise können Sie sicherstellen, dass Updates installiert nur aus vertrauenswürdigen Repositorysinstalliert werden, unabhängig davon, welche Repositorys auf der Instance konfiguriert sind. FürLinux haben Sie auch die Möglichkeit, ein beliebiges Paket auf der Instance zu aktualisieren, nichtnur diejenigen, die als Sicherheits-Updates für Betriebssysteme eingestuft sind. Für Windows Serverkönnen Sie mit Patch Manager auch unterstützte Microsoft-Anwendungen aktualisieren.

Distributor

Mit Distributor (p. 928) können Sie Pakete erstellen und auf verwalteten Instances bereitstellen.Distributor ermöglicht es Ihnen, eigene Softwarepakete zu erstellen oder nach von AWSbereitgestellten Agent-Softwarepaketen (z. B. AmazonCloudWatchAgent) zu suchen, um sie auf vonAWS Systems Manager verwalteten Instances zu installieren. Nachdem Sie ein Paket zum erstenMal installiert haben, können Sie Distributor verwenden, um eine neue Paketversion vollständig zudeinstallieren und neu zu installieren oder um eine direkte Aktualisierung durchzuführen, bei dernur neue oder geänderte Dateien hinzufügt werden. Distributor veröffentlicht Ressourcen (z. B.Softwarepakete) auf von AWS Systems Manager verwalteten Instances.

Freigegebene RessourcenSystems Manager verwendet die folgenden freigegebenen Ressourcen für die Verwaltung undKonfiguration Ihrer AWS-Ressourcen.

Systems Manager Documents

Ein Systems Manager-Dokument (p. 959) (SSM-Dokument) definiert die Aktionen, die SystemsManager ausführt. SSM-Dokumenttypen umfassen Befehlsdokumente, die von State Manager undRun Command verwendet werden, und Automatisierungsdokumente, die von Systems Manager-Automatisierung verwendet werden. Systems Manager enthält mehrere Dutzend vorkonfigurierterDokumente, die Sie verwenden können, indem Sie zur Laufzeit Parameter angeben. Die Dokumentekönnen im JSON- oder YAML-Format vorliegen und enthalten die von Ihnen angegeben Schritte undParameter.

Funktionsweise von Systems ManagerDas unten stehende Diagramm 1 zeigt ein allgemeines Beispiel für die verschiedenen Prozesse, dieSystems Manager bei der Ausführung einer Aktion durchführt, z. B. beim Senden eines Befehls an IhreServerflotte oder beim Durchführen einer Bestandsaufnahme der Anwendungen, die auf Ihren lokalenServern ausgeführt werden. Jede Systems Manager-Funktion, z. B. Run Command oder Wartungsfenster,verwendet einen ähnlichen Prozess für die Einrichtung, Ausführung, Verarbeitung und Berichterstellung.

7

AWS Systems Manager BenutzerhandbuchFunktionsweise

1. Konfigurieren von Systems Manager: Verwenden Sie die Systems Manager-Konsole, das SDK, die AWSCLI oder AWS Tools for Windows PowerShell zum Konfigurieren, Planen, Automatisieren und Ausführenvon Aktionen, die Sie für Ihre AWS-Ressourcen durchführen möchten.

2. Verifizierung und Verarbeitung: Systems Manager überprüft die Konfigurationen, einschließlich derBerechtigungen, und sendet Anfragen an den SSM-Agent, der auf Ihren Instances oder Servern in IhrerHybrid-Umgebung ausgeführt wird. Der SSM-Agent führt die angegebenen Konfigurationsänderungendurch.

3. Berichterstellung: Der SSM-Agent meldet den Status von Konfigurationsänderungen und Aktionenan Systems Manager in der AWS Cloud. Anschließend sendet Systems Manager den Status an denBenutzer und verschiedene AWS-Services, wenn das System entsprechend konfiguriert wurde.

Diagramm 1: Allgemeine Beispiele für den Systems Manager-Prozessablauf

8

AWS Systems Manager BenutzerhandbuchFunktionsweise

9

AWS Systems Manager BenutzerhandbuchInformationen zu SSM-Agent

Informationen zu SSM-AgentBei dem AWS Systems Manager-Agenten (SSM-Agent) handelt es sich um eine Amazon-Software, dieauf einer Amazon EC2-Instance, einem lokalen Server oder einer virtuellen Maschine (VM) installiert undkonfiguriert werden kann. Mithilfe von SSM-Agent kann Systems Manager diese Ressourcen aktualisieren,verwalten und konfigurieren. Der Agent verarbeitet Anforderungen vom Systems Manager-Service in derAWS-Cloud und führt diese dann wie in der Anforderung angegeben aus. Anschließend sendet SSM-AgentInformationen zum Status und zur Ausführung über den Amazon Message Delivery Service (Service-Präfix:ec2messages) zurück zum Systems Manager-Service.

SSM-Agent muss auf jeder Instance installiert werden, die Sie mit Systems Manager verwenden möchten.SSM-Agent ist auf Instances, die aus den folgenden Amazon Machine Images (AMIs) erstellt wurden,standardmäßig vorinstalliert.

• Windows Server 2003-2012 R2 AMIs, die im November 2016 oder später veröffentlicht wurden• Windows Server 2016 und 2019• Amazon Linux• Amazon Linux 2• Ubuntu Server 16.04• Ubuntu Server 18.04

Auf anderen AMIs und auf lokalen Servern und virtuellen Maschinen für Ihre Hybrid-Umgebung müssen Sieden Agenten manuell installieren, wie in der Tabelle unten beschrieben.

Important

Wenn Systems Manager neue Funktionen hinzugefügt oder Aktualisierungen an den vorhandenenFunktionen vorgenommen werden, wird eine neue Version von SSM-Agent veröffentlicht. Wenneine ältere Version des Agenten weiterhin auf einer Instance ausgeführt wird, können einigeSSM-Agent-Prozesse fehlschlagen. Aus diesem Grund empfehlen wir, dass Sie den Prozesszur Aktualisierung von SSM-Agent auf Ihren Instances automatisieren. Weitere Informationenfinden Sie unter Automatische Aktualisierungen von SSM-Agent (p. 97). Wenn Sie über SSM-Agent-Aktualisierungen benachrichtigt werden möchten, abonnieren Sie die SeiteSSM-Agent-Versionshinweise auf GitHub.

Betriebssystemtyp Installation von SSM-Agent

Windows Windows AMIs, die vor November 2016veröffentlicht wurden, nutzen den EC2Config-Service, um Anforderungen zu verarbeiten undInstances zu konfigurieren.

Wenn Sie keinen speziellen Grund haben, denEC2Config-Service oder eine ältere Versionvon SSM-Agent zum Verarbeiten von SystemsManager-Anfragen zu verwenden, empfehlenwir Ihnen, die neueste Version des SSM-Agentfür jede Ihrer Amazon EC2-Instances oderverwalteten Instances in Ihrer Hybrid-Umgebungherunterzuladen und zu installieren. WeitereInformationen finden Sie unter Installieren undKonfigurieren des SSM-Agent auf Windows-Instances (p. 73).

10

https://github.com/aws/amazon-ssm-agent/blob/master/RELEASENOTES.mdhttps://github.com/aws/amazon-ssm-agent/blob/master/RELEASENOTES.md

AWS Systems Manager BenutzerhandbuchUnterstützte Betriebssysteme

Betriebssystemtyp Installation von SSM-Agent

Linux SSM-Agent ist standardmäßig auf Amazon Linux,Amazon Linux 2, Ubuntu Server 16.04 und UbuntuServer 18.04 LTS-Basis-EC2-AMIs installiert. Aufanderen Versionen von Amazon EC2 für Linuxmüssen Sie SSM-Agent manuell installieren,auch auf Nicht-Basis-Abbildern wie Amazon ECS-optimierten AMIs. Weitere Informationen finden Sieunter Installation und Konfiguration des SSM-Agentauf Amazon EC2-Linux-Instances (p. 77).

Lokale Server und VMs SSM-Agent muss auf lokalen Servern undvirtuellen Maschinen (VMs), die in einer Hybrid-Umgebung verwendet werden sollen, manuellinstalliert werden. Der SSM-Agent-Download-und Installationsprozess für diese Maschinenunterscheidet sich von dem für AmazonEC2-Instances genutzten Prozess. WeitereInformationen finden Sie unter den folgendenThemen:

• Installieren von SSM-Agent in einer Hybrid-Umgebung (Windows) (p. 55)

• Installieren von SSM-Agent in einer Hybrid-Umgebung (Linux) (p. 57)

Unterstützte BetriebssystemeIhre Amazon EC2-Instances, lokalen Server und virtuelle Maschinen (VMs) müssen eines der folgendenBetriebssysteme ausführen, um mit AWS Systems Manager verwendet werden zu können.

Betriebssystemtypen• Windows Server (p. 11)• Linux (p. 12)• Raspbian (p. 13)

Windows Server

Version Intel 32-Bit (x86) Intel 64-Bit (x86_64) ARM 64-Bit (arm64)

2003 und 2003 R2 ✓ ✓

2008 ✓ ✓

2008 R2 ✓

2012 und 2012 R2 ✓

2016 ✓

2019 ✓

11

AWS Systems Manager BenutzerhandbuchLinux

LinuxAmazon Linux

Versionen Intel 32-Bit (x86) Intel 64-Bit (x86_64) ARM 64-Bit (arm64)

2012.03 – 2018.03 ✓ ✓

Note

Ab Version 2015.03 wird Amazon Linux nur unter Intel 64-Bit-Versionen (x86_64) veröffentlicht.

Amazon Linux 2


2.0 und alle späterenVersionen

✓ ✓

Ubuntu Server


12.04 LTS und 14.04LTS

✓ ✓

16.04 LTS und 18.04LTS

✓ ✓

Debian Server


Jessie (8) ✓

Stretch (9) ✓

Red Hat Enterprise Linux (RHEL)


6.0 ✓

6.5 ✓ ✓

6.9 ✓ ✓

7.0 ✓

7.4 ✓

7.5 ✓

7.6 ✓ ✓

12

AWS Systems Manager BenutzerhandbuchRaspbian

CentOS


6.0 ✓

6.3 und neuere 6.x-Versionen

✓ ✓

7.1 und neuere 7.x-Versionen

✓ ✓

SUSE Linux Enterprise Server (SLES)


12 und neuere 12.x-Versionen

✓

Raspbian

Version ARM 32-Bit (arm)

Jessie ✓

Strecken ✓

Zugriff auf Systems ManagerSie können auf folgende Art und Weise mit Systems Manager arbeiten:

Systems Manager-Konsole

Die AWS Systems Manager-Konsole ist eine browserbasierte Schnittstelle für den Zugriff auf und dieVerwendung von Systems Manager.

AWS-Befehlszeilen-Tools

Mit den AWS-Befehlszeilen-Tools können Sie Befehle in der Befehlszeile Ihres Systems ausgeben,um Systems Manager- und andere AWS-Aufgaben auszuführen. Diese Tools werden für dieBetriebssysteme Windows, Linux und macOS unterstützt. Die CLI kann schneller und bequemer zuverwenden sein als die Konsole. Die Befehlszeilen-Tools sind auch hilfreich, wenn Sie Skripts erstellenmöchten, die AWS-Aufgaben ausführen.

AWS bietet zwei Sätze an Befehlszeilen-Tools: AWS Command Line Interface (AWS CLI) und AWSTools for Windows PowerShell. Weitere Informationen zur Installation und Verwendung der AWS CLIfinden Sie im AWS Command Line Interface User Guide. Weitere Informationen zur Installation undVerwendung der Tools for Windows PowerShell finden Sie im AWS Tools for Windows PowerShellUser Guide.

Note

Auf Ihren Windows Server-Instances wird Windows PowerShell 3.0 oder höher benötigt,um bestimmte SSM-Dokumente ausführen zu können (z. B. das Legacy-Dokument AWS-ApplyPatchBaseline). Vergewissern Sie sich, dass Ihre Windows-Instances auf Windows

13

https://console.aws.amazon.com/systems-manager/https://aws.amazon.com/cli/https://aws.amazon.com/powershell/https://aws.amazon.com/powershell/https://docs.aws.amazon.com/cli/latest/userguide/https://docs.aws.amazon.com/powershell/latest/userguide/https://docs.aws.amazon.com/powershell/latest/userguide/

AWS Systems Manager BenutzerhandbuchVoraussetzungen

Management Framework 3.0 oder höher ausgeführt werden. Das Framework umfasstPowerShell.

AWS-SDKs

AWS stellt Software Development Kits (SDKs) zur Verfügung, die aus Bibliotheken und Beispiel-Codes für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS undAndroid and mehr) bestehen. Die SDKs sind gut zur Einrichtung des programmgesteuerten Zugriffs aufSystems Manager geeignet. Weitere Informationen über die AWS SDKs, das Herunterladen und dieInstallation finden Sie unter Tools für Amazon Web Services.

Systems Manager-AnforderungenInformationen über die Voraussetzungen für die Verwendung von AWS Systems Manager zur VerwaltungIhrer Amazon EC2-Instances, lokalen Server und virtuellen Maschinen (VMs) werden schrittweise in denKapiteln über die Einrichtung in diesem Benutzerhandbuch beschrieben.

• Einrichten von AWS Systems Manager (p. 26)• Einrichten von AWS Systems Manager in Hybrid-Umgebungen (p. 47)

Dieses Thema bietet eine Übersicht über diese Voraussetzungen.

So erfüllen Sie die Voraussetzungen für die Verwendung von Systems Manager

1. Erstellen Sie ein AWS-Konto und konfigurieren Sie die erforderlichen IAM-Rollen.2. Stellen Sie sicher, dass Systems Manager in den AWS-Regionen unterstützt wird, in denen Sie den

Service nutzen möchten.3. Stellen Sie sicher, dass Sie unterstützte Maschinentypen verwenden, die auf einem unterstützten

Betriebssystem ausgeführt werden.4. Erstellen Sie für EC2-Instances ein IAM-Instance-Profil und fügen Sie es an Ihre Maschinen an.5. Erstellen Sie für lokale Server und VMs eine IAM-Service-Rolle für eine hybride Umgebung.6. Stellen Sie sicher, dass Sie ausgehenden Datenverkehr für HTTPS (Port 443) an den Systems

Manager-Endpunkten erlauben.7. (Empfohlen) Erstellen Sie einen VPC-Endpunkt in Amazon Virtual Private Cloud für die Verwendung

mit Systems Manager.8. Installieren Sie auf lokalen Servern, VMs und EC2-Instances, die aus nicht von AWS bereitgestellten

AMIs erstellt wurden, ein TLS-Zertifikat (Transport Layer Security).9. Für lokale Server und VMs registrieren Sie die Maschinen mit dem Aktivierungsprozess für verwaltete

Instances bei Systems Manager.10. Installieren oder überprüfen Sie die Installation von SSM-Agent auf allen Ihren verwalteten Instances.

Integration in IAM und Amazon EC2

Der Benutzerzugriff auf Systems Manager, seine Funktionen und seine Ressourcen wird über Richtliniengesteuert, die Sie in AWS Identity and Access Management (IAM) verwenden oder erstellen. Wenn Sievorhaben, die von AWS bereitgestellten Datenverarbeitungsressourcen und nicht nur lokale Server undvirtuelle Maschinen (VMs) zu nutzen, müssen Sie sich auch mit Amazon Elastic Compute Cloud (AmazonEC2) vertraut machen, bevor Sie Systems Manager für Ihre Organisation einrichten. Vertrautheit mit derFunktionsweise dieser Services ist für die erfolgreiche Einrichtung von Systems Manager unabdinglich.

Weitere Informationen zu Amazon EC2 finden Sie unter:

• Amazon Elastic Compute Cloud (Amazon EC2)

14

https://aws.amazon.com/sdk-for-java/https://aws.amazon.com/sdk-for-python/https://aws.amazon.com/sdk-for-ruby/https://aws.amazon.com/sdk-for-net/https://aws.amazon.com/mobile/resources/https://aws.amazon.com/mobile/resources/https://aws.amazon.com/tools/#sdkhttps://aws.amazon.com/tools/#sdkhttps://aws.amazon.com/ec2/

AWS Systems Manager BenutzerhandbuchVoraussetzungen

• Erste Schritte mit Amazon EC2-Linux-Instances• Erste Schritte mit Amazon EC2-Windows-Instances• Was ist Amazon EC2? (Linux)• Was ist Amazon EC2? (Windows)

Weitere Informationen zu IAM finden Sie unter:

• AWS Identity and Access Management (IAM)• Erste Schritte mit AWS IAM• Was ist IAM?

15

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/concepts.htmlhttps://aws.amazon.com/iam/https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/

AWS Systems Manager BenutzerhandbuchBerechtigungsrollen

AWS Systems ManagerSchnelleinrichtung

Verwenden Sie die AWS Systems Manager-Schnelleinrichtung, um die erforderlichen Sicherheitsrollenund häufig verwendeten Funktionen von Systems Manager auf Ihren Amazon EC2-Instances schnellzu konfigurieren. Diese Funktionen helfen Ihnen, den Zustand Ihrer Instances zu verwalten undzu überwachen und gleichzeitig das Minimum an erforderlichen Berechtigungen für den Einstiegbereitzustellen. Mit der Schnelleinrichtung können Sie insbesondere die folgenden Komponenten auf denInstances konfigurieren, die Sie mithilfe von Tags auswählen oder als Ziel festlegen:

• AWS Identity and Access Management (IAM)-Instance-Profilrollen für Systems Manager.• Eine geplante, zweiwöchentliche Aktualisierung von SSM-Agent.• Eine geplante Sammlung von Inventory-Metadaten alle 30 Minuten.• Ein täglicher Scan Ihrer Instances, um fehlende Patches zu identifizieren.• Eine einmalige Installation und Konfiguration des Amazon CloudWatch-Agenten.• Eine geplante, monatliche Aktualisierung des CloudWatch-Agenten.

Um auf die Schnelleinrichtung zuzugreifen, wählen Sie Quick Setup (Schnelleinrichtung) imNavigationsbereich der Systems Manager-Konsole aus. Sie können auch auf die Schnelleinrichtungzugreifen, indem Sie AWS Systems Manager oben im Navigationsbereich und dann Get Started with (ErsteSchritte mit) Systems Manager wie gezeigt auswählen.

Note

Sie können die Konfiguration der Schnelleinrichtung jederzeit ändern. Bevor Sie dies tun,empfehlen wir Ihnen, über die Seite Quick Setup Results (Schnelleinrichtungsergebnisse) zuerfahren, wie Sie Konfigurationen ändern. Weitere Informationen finden Sie unter Arbeiten mitSchnelleinrichtungsergebnissen (p. 21).

BerechtigungsrollenStandardmäßig hat Systems Manager keine Berechtigung, mit Ihren Instances zu kommunizieren oderAktionen auszuführen. Sie müssen den Zugriff gewähren, indem Sie ein AWS Identity and Access

16

AWS Systems Manager BenutzerhandbuchDetails zum Instance-Standardprofil

Management (IAM)-Instance-Profil und eine IAM-Servicerolle (oder eine Übernahmerolle) verwenden. EinInstance-Profil ist ein Container, der beim Start Informationen zur IAM-Rolle an eine Amazon EC2-Instanceübergibt. Eine Servicerolle ermöglicht Systems Manager, Befehle auf Ihren Instances auszuführen. WeitereInformationen zu Instance-Profilen finden Sie unter Verwendung von Instance-Profilen im IAM UserGuide. Weitere Informationen zu Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren vonBerechtigungen an einen AWS-Service.

Sie können diese Rollen über die Schnelleinrichtung erstellen und konfigurieren lassen, indem Sie Usethe default role (Standardrolle verwenden) auswählen. Wenn Sie eine vorhandene Rolle auswählen, mussdiese Rolle IAM-Richtlinien mit mindestens den in diesem Thema beschriebenen Berechtigungen enthalten.Wenn Sie vorhandene Rollen auswählen und diese nicht über diese Berechtigungen verfügen, kann dieSchnelleinrichtung möglicherweise eine oder mehrere ausgewählte Komponenten nicht konfigurieren oderdiese Komponenten können nicht korrekt ausgeführt werden.

Note

Die Schnelleinrichtung überschreibt keine Instance-Profile, die bereits auf Ihren Instancesvorhanden sind.

Details zum Instance-StandardprofilWenn Sie im Abschnitt Instance profile role (Instance-Profilrolle) die Option Use the default role(Standardrolle verwenden) auswählen, erstellt die Schnelleinrichtung ein neues IAM-Instance-Profil, dasdie AmazonSSMManagedInstanceCore-Richtlinie und eine zusätzliche Richtlinie verwendet. Die RichtlinieAmazonSSMManagedInstanceCore ermöglicht Systems Manager, die folgenden Aktionen auf IhrenInstances auszuführen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, {

17

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

AWS Systems Manager BenutzerhandbuchDetails zur Servicerolle

"Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*" } ]}

Note

Weitere Informationen über die ssmmessages*- und ec2messages*-Aktionen finden Sie unterReferenz: ec2messages, ssmmessages und andere API-Aufrufe (p. 1081).

Die Schnelleinrichtung fügt dem Instance-Profil außerdem die folgende Richtlinie hinzu. Diese Richtlinieermöglicht eine vertrauenswürdige Kommunikation zwischen dem Systems Manager-Service in der Cloudund Ihren Amazon EC2-Instances.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ec2.amazonaws.com" }, "Action":"sts:AssumeRole" } ]}

Details zur ServicerolleWenn Sie im Abschnitt Systems Manager service role (Servicerolle) die Option Use the default role(Standardrolle verwenden) auswählen, erstellt die Schnelleinrichtung eine neue IAM-Servicerolle, die diefolgenden Richtlinien enthält. Die erste Richtlinie ermöglicht Systems Manager, die folgenden Aktionen aufIhren Instances auszuführen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:PassRole", "ec2:DescribeIamInstanceProfileAssociations", "iam:GetInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:AssociateIamInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "*" } ]

18

AWS Systems Manager BenutzerhandbuchAktualisieren eines Systems Manager (SSM)-Agenten

}

Mit der folgenden Richtlinie kann Systems Manager die Aktionen in der vorherigen Richtlinie in IhremNamen ausführen. Systems Manager übernimmt Ihre Rolle, um die Aktionen auszuführen.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ]}

Note

Das Konfigurieren einer Instance mit einem Instance-Profil für Systems Manager gewährt einemBenutzer keinen Zugriff auf die Ausführung von Befehlen oder die Verwendung von SystemsManager-Funktionen auf dieser Instance. Ihr IAM-Benutzer, Ihre Gruppe oder Ihre Rolle mussmit einer separaten Berechtigungsrichtlinie konfiguriert werden, mit der Sie Aktionen auf IhrenInstances mithilfe von Systems Manager ausführen können. Weitere Informationen finden Sieunter Einrichten von AWS Systems Manager (p. 26).

Aktualisieren eines Systems Manager (SSM)-Agenten

SSM-Agent ist eine Amazon-Software, die Anforderungen vom Systems Manager-Service in der AWSCloud verarbeitet und diese dann wie in der Anforderung angegeben auf Ihrer Instance ausführt. SSM-Agent ist standardmäßig auf den folgenden Amazon Machine Images (AMIs) vorinstalliert:

• Windows Server 2003-2012 R2 AMIs, die im November 2016 oder später veröffentlicht wurden• Windows Server 2016 und 2019• Amazon Linux• Amazon Linux 2• Ubuntu Server 16.04• Ubuntu Server 18.04

Wenn Sie diese Option aktivieren, sucht Systems Manager automatisch alle zwei Wochen nach einerneuen Version des Agenten. Wenn es eine neue Version gibt, aktualisiert Systems Manager den Agentenautomatisch auf Ihrer Instance auf die neueste veröffentlichte Version. Wir empfehlen Ihnen, dieseOption zu wählen, um sicherzustellen, dass Ihre Instances immer die aktuellste Version von SSM-Agentausführen. Weitere Informationen zu SSM-Agent, einschließlich Informationen zur manuellen Installationdes Agenten, finden Sie unter Arbeiten mit SSM-Agent (p. 72).

Erfassen von Beständen aus Ihren InstancesAWS Systems Manager Inventory bietet Transparenz in Ihrer Computing-Umgebung. Mit Inventory könnenSie Metadaten aus Ihren verwalteten Instances erfassen. Sie können diese Metadaten in einem zentralen

19

AWS Systems Manager BenutzerhandbuchScannen von Instances nach fehlenden Patches täglich

Amazon Simple Storage Service (Amazon S3)-Bucket speichern. Verwenden Sie dann die integriertenTools, um Daten abzufragen und direkt zu ermitteln, welche Instances die Software ausführen, welcheKonfigurationen im Rahmen Ihrer Software-Richtlinie erforderlich sind und welche Instances aktualisiertwerden müssen. Die Schnelleinrichtung konfiguriert die Sammlung der folgenden Metadatentypen:

• AWS-Komponenten: EC2-Treiber, Agenten, Versionen und mehr.• Anwendungen: Anwendungsnamen, Herausgeber, Versionen und mehr.• Instance-Details: Systemname, Name des Betriebssystems (OS), Version des Betriebssystems, letzter

Boot-Vorgang, DNS, Domain, Arbeitsgruppe, Betriebssystemarchitektur und mehr.• Netzwerkkonfiguration: IP-Adresse, MAC-Adresse, DNS-Gateway, Subnetzmaske und mehr.• Services: Name, Anzeigename, Status, abhängige Services, Servicetyp, Starttyp und mehr (nur

Windows-Instances).• Windows-Rollen: Name, Anzeigename, Pfad, Funktionstyp, Installationsstatus und mehr (nur Windows-

Instances).• Windows-Updates: Hotfix-ID, installiert von, Installationsdatum und mehr (nur Windows-Instances).

Sie können Systems Manager Inventory so konfigurieren, dass die folgenden zusätzlichen Metadatentypenvon Ihren Instances erfasst werden. Weitere Informationen finden Sie unter AWS Systems ManagerInventory (p. 667).

• Benutzerdefinierter Bestand: Metadaten, die einer verwalteten Instance zugeordnet wurden, wie inArbeiten mit benutzerdefiniertem Bestand (p. 699) beschrieben.

• Dateien: Name, Größe, Version, Installationsdatum, Änderungszeitpunkt, Zeitpunkt des letzten Zugriffsund mehr.

• Tags: Tags, die zu Ihren Instances zugewiesen werden.• Windows-Registry: Registry-Schlüsselpfad, Wertname, Werttyp und Wert.

Important

Eine globale Inventory-Konfiguration wird über die Konfigurationsoption mit einem Klick auf derSeite „Inventory“ erstellt und richtet sich an alle Instances in Ihrem AWS-Konto. Wenn Sie bereitseine globale Bestandskonfiguration auf Ihren Instances aktiviert haben, wird durch die Aktivierungder Bestandserfassung in der Schnelleinrichtung ein weiterer Zeitplan für die Erfassung vonInventory-Daten für die angegebenen oder Ziel-Instances erstellt. Es gibt keinen Konflikt. WennSie jedoch bereits eine nicht-globale Inventory-Konfiguration für einige Ihrer Instances aktivierthaben, schlägt die zuvor erstellte Konfiguration fehl. Die Bestandserfassung unterstützt nicht mehrals eine bestimmte Konfiguration pro Instance. Um dieses Problem zu lösen, stellen Sie entwedereine globale Inventory-Konfiguration bereit oder löschen Sie die Konfliktkonfiguration.

Scannen von Instances nach fehlenden Patchestäglich

Wenn Sie diese Option in der Schnelleinrichtung aktivieren, verwendet Systems Manager PatchManager, um Ihre Instances jeden Tag zu scannen und einen einfachen Bericht auf der Seite Compliancezu generieren. Der Bericht zeigt, wie viele Instances entsprechend der Standard-Patch-Baselinepatchkompatibel sind. Der Bericht enthält eine Liste der einzelnen Instances und deren Compliance-Status. Sie können diese Liste navigieren, um Details zu nicht konformen Instances anzuzeigen. WeitereInformationen zu Patch-Vorgängen und Patch-Baselines finden Sie unter AWS Systems Manager PatchManager (p. 856). Informationen zur Compliance finden Sie auf der Seite Systems Manager Compliance.

20

https://console.aws.amazon.com/systems-manager/compliance

AWS Systems Manager BenutzerhandbuchInstallieren und Konfigurieren des CloudWatch-Agenten

Installieren und Konfigurieren des CloudWatch-Agenten

Amazon CloudWatch bietet Ihnen Daten und umsetzbare Erkenntnisse, um Ihre Anwendungen zuüberwachen, systemweite Leistungsveränderungen nachzuvollziehen und auf sie zu reagieren, dieRessourcennutzung zu optimieren und einen einheitlichen Überblick über den Gesamtbetriebsstatuszu erhalten. Der CloudWatch-Agent sammelt Metriken und Protokolldateien von Ihren Instances undfasst diese Informationen zusammen, damit Sie den Zustand Ihrer Instances schnell bestimmen können.Weitere Informationen finden Sie unter Erfassen von Metriken und Protokollen von Amazon EC2-Instancesund lokalen Servern mit dem CloudWatch-Agenten. Es können zusätzliche Kosten anfallen. WeitereInformationen finden Sie unter Amazon CloudWatch-Preise.

Aktualisieren des CloudWatch-Agenten einmal allevier Wochen

Wenn Sie diese Option aktivieren, sucht Systems Manager automatisch alle vier Wochen nach einer neuenVersion des CloudWatch-Agenten. Wenn es eine neue Version gibt, aktualisiert Systems Manager denAgenten automatisch auf Ihrer Instance auf die neueste veröffentlichte Version. Wir empfehlen Ihnen, dieseOption zu wählen, um sicherzustellen, dass Ihre Instances immer die aktuellste Version des CloudWatch-Agenten ausführen.

Arbeiten mit SchnelleinrichtungsergebnissenSystems Manager zeigt die Ergebnisse der Schnelleinrichtung auf einer separaten Karte für jedeausgewählte Option an.

21

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.htmlhttps://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.htmlhttps://aws.amazon.com/cloudwatch/pricing/

AWS Systems Manager BenutzerhandbuchArbeiten mit Schnelleinrichtungsergebnissen

Für jede ausgewählte Option erstellt Systems Manager und führt sofort eine State Manager-Zuordnungaus. Das Feld Configuration status (Konfigurationsstatus) zeigt Success (Erfolg) an, wenn die Zuordnungauf allen ausgewählten oder Ziel-Instances erfolgreich ausgeführt wird. Wenn eine Zuordnung nichtausgeführt werden kann lautet der Configuration status (Konfigurationsstatus) Failed (fehlgeschlagen).Wenn eine Zuordnung verarbeitet wird, lautet der Configuration status (Konfigurationsstatus) Pending(Ausstehend). Aktualisieren Sie Ihren Browser, um den Configuration status (Konfigurationsstatus) fürPending (Ausstehende) Elemente zu aktualisieren.

Note

Die Bestandserfassung kann bis zu 10 Minuten dauern, auch wenn Sie nur wenige Instancesaus

AWS Systems Manager - Benutzerhandbuch · wie z. B. Systems Manager-SSM-Dokumente, Patch-Baselines,...

Documents

Transcript of AWS Systems Manager - Benutzerhandbuch · wie z. B. Systems Manager-SSM-Dokumente, Patch-Baselines,...