Mục lục bài viết
Nội dung cập nhật
Default Host Management Configuration (DHMC) cho phép kích hoạt Systems Manager và cấu hình quyền cho tất cả các EC2 instance trong tài khoản AWS chỉ bằng một thao tác.
DHMC cho phép sử dụng tất cả các tính năng cốt lõi mà Systems Manager cung cấp, bao gồm Patch Manager, Session Manager, và Inventory.
Sử dụng SSM trước cập nhật:
– Cần cài đặt instance profile cho EC2 instance sử dụng SSM
– SSM Agent hoạt động dựa trên quyền của instance profile trên và cho phép sử dụng các tính năng SSM
Thay đổi sau cập nhật:
– Instance profile không còn là yêu cầu bắt buộc cho EC2 instance sử dụng SSM
– Nếu instance profile đã được cài đặt cho EC2 instance, SSM Agent sẽ hoạt động theo quyền của instance profile đó để sử dụng các tính năng SSM
– Nếu EC2 instance không có instance profile, SSM Agent sẽ lấy thông tin xác thực từ role được đặt trong DHMC để sử dụng các tính năng SSM
Thử nghiệm sử dụng DHMC
Có một vài điều kiện tiên quyết, bao gồm:
Khi tất cả các instance sử dụng dịch vụ Version 2 của Instance Metadata Service (IMDSv2), thì các tài khoản AWS đã cài đặt phiên bản 3.2.582.0 hoặc mới hơn của SSM Agent sẽ tự động trở thành managed instances.
Default Host Management Configuration không hỗ trợ Instance Metadata Service Version 1.
- Tiến hành cài đặt role. Tạo [SSMManagedEC2InstanceManagement] dưới dạng role.
Cần iam: PassRole và AWSSystemsManagerDefaultEC2InstanceManagementRole.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}- Tạo role. Đặt tên là [SSMManagedEC2InstanceDefaultRole].
- Khởi động Systems Manager và chọn [Freelance Manager].
- Từ Account Management của menu xổ xuống, nhấp vào [Default Host Management Settings].
- Nhấp vào [Enable the default host management settings].
- Chọn role và nhấp vào [Cấu hình].
- Một thông báo “kích hoạt thành công” hiển thị.
- Tiếp theo,khởi động EC2. Để đảm bảo rằng đã đáp ứng đủ các yêu cầu tiên quyết, từ phần [Chi tiết nâng cao] chọn [V1 và V2] cho metadata instance.
- Sau khi EC2 được khởi động, nhưng không hiển thị trong phần [Freelance Manager]…
- Để cập nhật SSM agent version lên phiên bản mới nhất, thực hiện lệnh dưới đây.
yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm- EC2 đã hiển thị trong [Freelance Manager]
Các khu vực sử dụng DHMC
Trừ khu vực Trung Quốc (Bắc Kinh) được quản lý bởi Sinnet và khu vực Trung Quốc (Ningxia) được quản lý bởi NWCD, Có thể sử dụng DHMC ở tất cả các khu vực thương mại và trong khu vực AWS GovCloud (Hoa Kỳ).
Trả lời