• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Systems Manager Fleet Manager
<a name="fleet-manager"></a>

Fleet Manager, ein Tool in AWS Systems Manager, ist eine einheitliche Benutzeroberfläche (UI), mit der Sie Ihre auf AWS oder On-Premises ausgeführten Knoten remote verwalten können. Mit Fleet Manager können Sie sich den Zustand und den Leistungsstatus Ihrer gesamten Serverflotte von einer Konsole aus ansehen. Sie können auch Daten aus einzelnen Knoten sammeln, um allgemeine Problembehandlungs- und Verwaltungsaufgaben über die Konsole auszuführen. Dies umfasst die Verbindung mit Windows-Instances über das Remote Desktop Protocol (RDP), das Anzeigen von Ordner- und Dateiinhalten, die Verwaltung der Windows-Registry, die Benutzerverwaltung des Betriebssystems und vieles mehr. 

Um mit Fleet Manager zu beginnen, öffnen Sie die [Systems-Manager-Konsole](https://console.aws.amazon.com/systems-manager/fleet-manager). Wählen Sie im Navigationsbereich **Fleet Manager** aus.

## An wen richtet sich Fleet Manager?
<a name="fleet-who"></a>

Alle AWS-Kunden, die eine zentralisierte Methode zur Verwaltung ihrer Knotenflotte möchten, sollten Fleet Manager verwenden.

## Welche Vorteile bietet Fleet Manager meiner Organisation?
<a name="fleet-benefits"></a>

Fleet Manager bietet die folgenden Vorteile:
+ Ausführen einer Vielzahl gängiger Systemverwaltungs-Aufgaben, ohne eine manuelle Verbindung zu Ihren verwalteten Knoten herstellen zu müssen.
+ Verwalten von Knoten, die auf mehreren Plattformen ausgeführt werden, über eine einzige einheitliche Konsole.
+ Verwalten von Knoten, auf denen verschiedene Betriebssysteme ausgeführt werden, über eine einzige einheitliche Konsole.
+ Verbessern Sie die Effizienz Ihrer Systemadministration.

## Über welche Features verfügt Fleet Manager?
<a name="fleet-features"></a>

Nachstehend sind einige der wichtigsten Features von Fleet Manager aufgelistet:
+ **Zugreifen auf das Red-Hat-Knowledgebase-Portal**

  Greifen Sie über Ihre Red Hat Enterprise Linux (RHEL)-Instances auf Binärdateien, Wissensfreigaben und Diskussionsforen im Knowledgebase-Portal von Red Hat zu.
+ **Status des verwalteten Knotens** 

  Anzeigen, welche verwalteten Knoten `running` sind und welche `stopped` sind. Weitere Informationen zu gestoppten Instances finden Sie unter [Anhalten und Starten Ihrer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html) im *Amazon-EC2-Benutzerhandbuch*. Für AWS IoT Greengrass-Core-Geräte können Sie sehen, welche `online` oder `offline` sind, bzw. den Status `Connection lost` anzeigen.
**Anmerkung**  
Wenn Sie Ihre verwaltete Instance vor dem 12. Juli 2021 angehalten haben, wird die `stopped`-Markierung nicht angezeigt. Um die Markierung anzuzeigen, starten und beenden Sie die Instance.
+ **Anzeigen von Instance-Informationen**

  Zeigen Sie Informationen zu den Ordner- und Dateidaten an, die auf den an Ihre verwalteten Instances angeschlossenen Volumes gespeichert sind, sowie Leistungsdaten zu Ihren Instances in Echtzeit und auf Ihren Instances gespeicherte Protokolldaten.
+ **Informationen über Edge-Gerät anzeigen**

  Aufrufen des AWS IoT Greengrass-Objektnamens für das Gerät, SSM Agent-Ping-Status und der Version und mehr.
+ **Verwalten von Konten und Registrierung**

  Verwalten von Betriebssystem-Benutzerkonten auf Ihren Instances und Registrieren auf Ihren Windows-Instances.
+ **Steuern des Zugriffs auf Features**

  Steuern des Zugriffs auf Fleet Manager-Features mit AWS Identity and Access Management (IAM)-Richtlinien. Mit diesen Richtlinien können Sie steuern, welche Benutzer oder Gruppen in Ihrer Organisation verschiedene Fleet Manager-Features verwenden können und welche verwalteten Knoten sie verwalten können.

**Topics**
+ [An wen richtet sich Fleet Manager?](#fleet-who)
+ [Welche Vorteile bietet Fleet Manager meiner Organisation?](#fleet-benefits)
+ [Über welche Features verfügt Fleet Manager?](#fleet-features)
+ [Einrichten von Fleet Manager](setting-up-fleet-manager.md)
+ [Arbeiten mit verwalteten Knoten](fleet-manager-managed-nodes.md)
+ [Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration](fleet-manager-default-host-management-configuration.md)
+ [Eine Verbindung zu einer von Windows Server verwalteten Instance mit Remote Desktop herstellen](fleet-manager-remote-desktop-connections.md)
+ [Verwaltung von Amazon-EBS-Volumes auf verwalteten Instances](fleet-manager-manage-amazon-ebs-volumes.md)
+ [Zugriff auf das Wissensdatenbank-Portal von Red Hat](fleet-manager-red-hat-knowledge-base-access.md)
+ [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md)

# Einrichten von Fleet Manager
<a name="setting-up-fleet-manager"></a>

Bevor Benutzer in Ihrem AWS-Konto Fleet Manager verwenden können, ein Tool in AWS Systems Manager, um Ihre verwalteten Knoten zu überwachen und zu verwalten, müssen ihnen die erforderlichen Berechtigungen erteilt werden. Darüber hinaus müssen alle Amazon Elastic Compute Cloud (Amazon EC2)-Instances, AWS IoT Greengrass-Core-Geräte und On-Premises-Server, Edge-Geräte und virtuelle Maschinen (VMs), die mithilfe von Fleet Manager, überwacht und verwaltet werden können, *verwaltete Knoten* von Systems Manager sein. Ein verwalteter Knoten ist jede Maschine, die für die Verwendung mit Systems Manager in [Hybrid- und Multi-Cloud](operating-systems-and-machine-types.md#supported-machine-types)-Umgebungen konfiguriert ist.

Dies bedeutet, dass Ihre Knoten bestimmte Voraussetzungen erfüllen und mit dem AWS Systems Manager-Agent (SSM Agent) konfiguriert sein müssen.

Je nach Maschinentyp sollten Sie sich mit einem der folgenden Themen befassen, um sicherzustellen, dass Ihre Computer die Anforderungen für verwaltete Knoten erfüllen.
+ Amazon-EC2-Instances: [Verwalten von EC2-Instances mit Systems Manager](systems-manager-setting-up-ec2.md)
**Tipp**  
Sie können auch Quick Setup, ein Tool in AWS Systems Manager, verwenden, um Ihre Amazon-EC2-Instances schnell als verwaltete Instances in einem einzelnen Konto konfigurieren zu können. Wenn Ihr Unternehmen oder Ihre Organisation AWS Organizations verwendet, können Sie auch Instances über mehrere Organisationseinheiten (OUs) und AWS-Regionen hinweg konfigurieren. Weitere Informationen zur Verwendung von Quick Setup zum Konfigurieren verwalteter Instance finden Sie unter [Amazon-EC2-Host-Verwaltung mit Quick Setup einrichten](quick-setup-host-management.md).
+ On-Premises und andere Servertypen in der Cloud: [Verwalten von Knoten in Hybrid- und Multi-Cloud-Umgebungen mit Systems Manager](systems-manager-hybrid-multicloud.md)
+ AWS IoT Greengrass-(Edge)-Geräte: [Verwalten von Edge-Geräten mit Systems Manager](systems-manager-setting-up-edge-devices.md)

**Topics**
+ [Steuern des Zugriffs auf Fleet Manager](configuring-fleet-manager-permissions.md)

# Steuern des Zugriffs auf Fleet Manager
<a name="configuring-fleet-manager-permissions"></a>

Um ein Tool in verwenden zu können Fleet Manager AWS Systems Manager, muss Ihr AWS Identity and Access Management (IAM-) Benutzer oder Ihre Rolle über die erforderlichen Berechtigungen verfügen. Sie können eine IAM-Richtlinie erstellen, die Zugriff auf alle Fleet Manager-Features bieten, oder ändern Sie Ihre Richtlinie, um Zugriff auf die ausgewählten Features zu gewähren. Anschließend gewähren Sie diese Berechtigungen Benutzern oder Identitäten in Ihrem Konto.

**Aufgabe 1: Erstellen von IAM-Richtlinien zur Definition von Zugriffsberechtigungen**  
Folgen Sie einer der Methoden, die im folgenden Thema des *IAM-Benutzerhandbuchs beschrieben werden, um ein IAM* zu erstellen, das Identitäten (Benutzern, Rollen oder Benutzergruppen) Zugriff gewährt auf: Fleet Manager  
+ [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)
Sie können eine der unten aufgeführten Beispielrichtlinien verwenden oder sie entsprechend den Berechtigungen ändern, die Sie gewähren möchten. Wir bieten Beispielrichtlinien für vollständigen Fleet Manager-Zugriff und schreibgeschützten Zugriff. 

**Aufgabe 2: Ordnen Sie den Benutzern die IAM-Richtlinien zu, um ihnen Berechtigungen zu gewähren**  
Nachdem Sie die IAM-Richtlinie(n) erstellt haben, die Zugriffsberechtigungen für Fleet Manager definieren, verwenden Sie eines der folgenden Verfahren im *IAM-Benutzerhandbuch*, um diese Berechtigungen für Identitäten in Ihrem Konto zu gewähren:  
+ [Hinzufügen von IAM-Identitätsberechtigungen (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)
+ [Hinzufügen von IAM-Identitätsberechtigungen (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-cli)
+ [Hinzufügen von IAM-Identitätsberechtigungen (AWS -API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-api)

**Topics**
+ [Beispielrichtlinie für Fleet Manager-Administratorzugriff](#admin-policy-sample)
+ [Beispielrichtlinie für schreibgeschützten Fleet Manager-Zugriff](#read-only-policy-sample)

## Beispielrichtlinie für Fleet Manager-Administratorzugriff
<a name="admin-policy-sample"></a>

Die folgende Richtlinie gewährt Berechtigungen für alle Fleet Manager-Features. Dies bedeutet, dass ein Benutzer lokale Benutzer und Gruppen erstellen und löschen, die Gruppenmitgliedschaft für jede lokale Gruppe ändern und Windows Server-Registrierungsschlüssel oder -werte ändern kann. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags",
                "ec2:DeleteTags",
                "ec2:DescribeInstances",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "General",
            "Effect": "Allow",
            "Action": [
                "ssm:AddTagsToResource",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:DescribeInstancePatches",
                "ssm:DescribeInstancePatchStates",
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetServiceSetting",
                "ssm:GetInventorySchema",
                "ssm:ListComplianceItems",
                "ssm:ListInventoryEntries",
                "ssm:ListTagsForResource",
                "ssm:ListCommandInvocations",
                "ssm:ListAssociations",
                "ssm:RemoveTagsFromResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DefaultHostManagement",
            "Effect": "Allow",
            "Action": [
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "SendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument",
                "ssm:SendCommand",
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*:111122223333:document/SSM-SessionManagerRunShell",
                "arn:aws:ssm:*:*:document/AWS-PasswordReset",
                "arn:aws:ssm:*:*:document/AWSFleetManager-AddUsersToGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CopyFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateDirectory",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateGroup",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateUser",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateUserInteractive",
                "arn:aws:ssm:*:*:document/AWSFleetManager-CreateWindowsRegistryKey",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteGroup",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteUser",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryKey",
                "arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryValue",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-MountVolume",
                "arn:aws:ssm:*:*:document/AWSFleetManager-MoveFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-RemoveUsersFromGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-RenameFileSystemItem",
                "arn:aws:ssm:*:*:document/AWSFleetManager-SetWindowsRegistryValue",
                "arn:aws:ssm:*:*:document/AWSFleetManager-StartProcess",
                "arn:aws:ssm:*:*:document/AWSFleetManager-TerminateProcess"
            ]
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        }
    ]
}
```

------

## Beispielrichtlinie für schreibgeschützten Fleet Manager-Zugriff
<a name="read-only-policy-sample"></a>

Die folgende Richtlinie gewährt Berechtigungen für alle schreibgeschützten Fleet Manager–Features. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "General",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:DescribeInstancePatches",
                "ssm:DescribeInstancePatchStates",
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetServiceSetting",
                "ssm:GetInventorySchema",
                "ssm:ListComplianceItems",
                "ssm:ListInventoryEntries",
                "ssm:ListTagsForResource",
                "ssm:ListCommandInvocations",
                "ssm:ListAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument",
                "ssm:SendCommand",
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*:111122223333:document/SSM-SessionManagerRunShell",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
                "arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent"
            ]
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        }
    ]
}
```

------

# Arbeiten mit verwalteten Knoten
<a name="fleet-manager-managed-nodes"></a>

Ein *verwalteter Knoten* ist ein beliebiger Computer, für den er konfiguriert ist. AWS Systems Manager Sie können die folgenden Maschinentypen als verwaltete Knoten konfigurieren: 
+ Amazon Elastic Compute Cloud (Amazon EC2) -Instanzen
+ Server in Ihren eigenen Räumlichkeiten (On-Premises-Server)
+ AWS IoT Greengrass Kerngeräte
+ AWS IoT und Geräte, die nicht zu den AWS Edge-Geräten gehören
+ Virtuelle Maschinen (VMs), auch VMs in anderen Cloud-Umgebungen

Jede Maschine mit dem Präfix „mi-“ in der Systems-Manager-Konsole wurde mit einer [*Hybrid-Aktivierung*](activations.md) als verwalteter Knoten konfiguriert. Edge-Geräte zeigen ihren AWS IoT Ding-Namen an.

**Anmerkung**  
Die einzige unterstützte Funktion für macOS-Instances ist die Anzeige des Dateisystems.

**Üner Systems Manager Instances-Kontingente**  
AWS Systems Manager bietet eine Stufe „Standard-Instances“ und eine Stufe „Advanced-Instances“. Beide unterstützen verwaltete Knoten in Ihrer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types). Die Stufe „Standard-Instances“ ermöglicht es Ihnen, maximal 1.000 Maschinen pro Person zu registrieren. AWS-Konto AWS-Region Wenn Sie mehr als 1 000 Maschinen in einem einzigen Konto und einer Region anmelden müssen, verwenden Sie das Advanced-Instances-Kontingent. Sie können im Advanced-Instances-Kontingent so viele verwaltete Knoten erstellen, wie Sie möchten. Alle verwalteten Knoten, die für Systems Manager konfiguriert sind, werden auf pay-per-use Basis von Preisen berechnet. Weitere Informationen über das Aktivieren des Advanced-Instances-Kontingent finden Sie unter [Aktivieren des Kontingents für erweiterte Instances](fleet-manager-enable-advanced-instances-tier.md). Weitere Informationen über die Preise finden Sie unter [AWS Systems Manager – Preise](https://aws.amazon.com/systems-manager/pricing/).

Beachten Sie die folgenden zusätzlichen Informationen zur Ebene für Standard-Instances und zur Ebene für erweiterte Instances:
+ Mithilfe von Advanced Instances können Sie in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) auch eine Verbindung zu Ihren EC2 Nicht-Nodes AWS Systems Manager Session Manager herstellen. Session Managerbietet interaktiven Shell-Zugriff auf Ihre Instanzen. Weitere Informationen finden Sie unter [AWS Systems Manager Session Manager](session-manager.md).
+ Das Kontingent für Standardinstanzen gilt auch für EC2 Instanzen, die eine lokale Systems Manager Manager-Aktivierung verwenden (was kein übliches Szenario ist).
+ Um von Microsoft veröffentlichte Anwendungen auf lokalen Instanzen virtueller Maschinen (VMs) zu patchen, aktivieren Sie die Stufe „Advanced-Instances“. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Für Patch-Anwendungen, die von Microsoft auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances veröffentlicht wurden, fallen keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter [Informationen zum Patchen von Anwendungen, die von Microsoft unter Windows Server veröffentlicht wurden](patch-manager-patching-windows-applications.md).

**Anzeigen von verwalteten Knoten**  
Wenn Ihre verwalteten Knoten nicht in der Konsole aufgeführt werden, gehen Sie wie folgt vor:

1. Stellen Sie sicher, dass die Konsole in dem Bereich geöffnet ist, in AWS-Region dem Sie Ihre verwalteten Knoten erstellt haben. Über die Liste in der oberen, rechten Ecke der Konsole können Sie zwischen dein einzelnen Regionen wechseln. 

1. Überprüfen Sie, ob die Einrichtungsschritte für Ihre verwalteten Knoten den Voraussetzungen von Systems Manager entsprechen. Weitere Informationen finden Sie unter [Einrichtung verwalteter Knoten für AWS Systems Manager](systems-manager-setting-up-nodes.md).

1. Vergewissern Sie sich, dass Sie den Hybrid-Aktivierungsprozess abgeschlossen haben, falls es sich nicht um EC2 Maschinen handelt. Weitere Informationen finden Sie unter [Verwalten von Knoten in Hybrid- und Multi-Cloud-Umgebungen mit Systems Manager](systems-manager-hybrid-multicloud.md).

Beachten Sie folgende Zusatzinformationen:
+ Die Fleet Manager Konsole zeigt keine EC2 Amazon-Knoten an, die beendet wurden.
+ Systems Manager erfordert genaue Zeitreferenzen, um Operationen auf Ihren Maschinen auszuführen. Wenn auf Ihren verwalteten Knoten das Datum und die Uhrzeit nicht korrekt eingestellt wurden, stimmen sie möglicherweise nicht mit dem Signaturdatum Ihrer API-Anforderungen überein. Weitere Informationen finden Sie unter [Anwendungsfälle und bewährte Methoden](systems-manager-best-practices.md).
+ Wenn Sie Tags erstellen oder bearbeiten, kann das System bis zu einer Stunde benötigen, bis Änderungen im Tabellenfilter angezeigt werden.
+ Nachdem der Status eines verwalteten Knotens mindestens 30 Tage lang `Connection Lost` gewesen ist, wird der Knoten möglicherweise nicht mehr in der Fleet Manager-Konsole aufgeführt. Beheben Sie das Problem, das den Verbindungsverlust verursacht hat, um ihn wieder in die Liste aufzunehmen. Tipps zur Fehlerbehebung finden Sie unter [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md).

**Überprüfen des Supports für Systems Manager auf einem verwalteten Knoten**  
AWS Config stellt AWS verwaltete Regeln bereit. Dabei handelt es sich um vordefinierte, anpassbare Regeln, AWS Config anhand derer bewertet wird, ob Ihre AWS Ressourcenkonfigurationen den gängigen bewährten Methoden entsprechen. AWS Config Zu den verwalteten Regeln gehört die [instance-managed-by-systemsec2-manager-Regel](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html). Diese Regel prüft, ob die EC2 Amazon-Instances in Ihrem Konto von Systems Manager verwaltet werden. Weitere Informationen finden Sie unter [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html). 

**Erhöhen des Sicherheitsstatus auf verwalteten Knoten**  
Informationen zur Steigerung des Sicherheitsstatus in Bezug auf nicht autorisierte Befehle auf Root-Ebene auf Ihren verwalteten Knoten finden Sie unter [Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM Agent](ssm-agent-restrict-root-level-commands.md).

**Abmelden verwalteter Knoten**  
Sie können verwaltete Knoten jederzeit abmelden. Wenn Sie beispielsweise mehrere Knoten mit derselben AWS Identity and Access Management (IAM-) Rolle verwalten und irgendein bösartiges Verhalten feststellen, können Sie jederzeit eine beliebige Anzahl von Computern abmelden. (Um dasselbe Gerät erneut zu registrieren, müssen Sie einen anderen Hybrid-Aktivierungscode und eine andere Aktivierungs-ID als zuvor verwenden.) Informationen über das Abmelden verwalteter Knoten finden Sie unter [Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung](fleet-manager-deregister-hybrid-nodes.md).

**Topics**
+ [Konfigurieren von Instance-Kontingenten](fleet-manager-configure-instance-tiers.md)
+ [Zurücksetzen von Passwörtern für verwaltete Knoten](fleet-manager-reset-password.md)
+ [Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung](fleet-manager-deregister-hybrid-nodes.md)
+ [Arbeiten mit Betriebssystemdateisystemen mithilfe von Fleet Manager](fleet-manager-file-system-management.md)
+ [Überwachung der Leistung verwalteter Knoten](fleet-manager-monitoring-node-performance.md)
+ [Arbeiten mit Prozessen](fleet-manager-manage-processes.md)
+ [Protokolle auf verwalteten Knoten anzeigen](fleet-manager-view-node-logs.md)
+ [Verwalten von Betriebssystembenutzerkonten und Gruppen auf verwalteten Knoten mithilfe von Fleet Manager](fleet-manager-manage-os-user-accounts.md)
+ [Verwalten der Windows-Registrierung auf verwalteten Knoten](fleet-manager-manage-windows-registry.md)

# Konfigurieren von Instance-Kontingenten
<a name="fleet-manager-configure-instance-tiers"></a>

In diesem Thema werden die Szenarien beschrieben, in denen Sie das Advanced-Instances-Kontingent aktivieren müssen. 

AWS Systems Manager [bietet eine Standard-Instance-Stufe und eine Advanced-Instance-Stufe für Nicht-EC2-Computer in einer Hybrid- und Multi-Cloud-Umgebung.](operating-systems-and-machine-types.md#supported-machine-types) 

Sie können bis zu 1.000 standardmäßige, [hybridaktivierte](activations.md) Knoten pro Konto und ohne zusätzliche Kosten registrieren. AWS-Region Um mehr als 1 000 Hybrid-Knoten zu registrieren, müssen Sie jedoch das Advanced-Instances-Kontingent aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Weitere Informationen finden Sie unter [AWS Systems Manager  – Preise](https://aws.amazon.com/systems-manager/pricing/).

Selbst mit weniger als 1 000 registrierten hybrid-aktivierten Knoten erfordern zwei weitere Szenarien des Advanced-Instances-Kontingents: 
+ Sie möchten Session Manager verwenden, um eine Verbindung zu Nicht-EC2-Knoten herzustellen.
+ Sie möchten Anwendungen (nicht Betriebssysteme), die von Microsoft auf Nicht-EC2-Knoten veröffentlicht wurden, patchen.
**Anmerkung**  
Für Patch-Anwendungen, die von Microsoft auf Amazon-EC2-Instances veröffentlicht wurden, fallen keine Gebühren an.

## Detaillierte Szenarien für Advanced-Instances-Kontingent
<a name="systems-manager-managed-instances-tier-scenarios"></a>

Die folgenden Informationen enthalten Details zu den drei Szenarien, für die Sie das Advanced-Instances-Kontingent aktivieren müssen.

Szenario 1: Sie möchten mehr als 1 000 hybrid-aktivierte Knoten registrieren  
Mit der Stufe „Standard-Instances“ können Sie pro AWS-Region Konto maximal 1.000 Nicht-EC2-Knoten in einer [Hybrid- und Multicloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) ohne zusätzliche Kosten registrieren. Wenn Sie mehr als 1 000 Nicht-EC2-Knoten in einer Region anmelden müssen, müssen Sie das Advanced-Instances-Kontingent verwenden. Sie können dann so viele Maschinen für Ihre Hybrid- und Multi-Cloud-Umgebung aktivieren, wie Sie möchten. Die Gebühren für das Advanced-Instance-Kontingent basieren auf der Anzahl der Advanced-Knoten, die als von Systems Manager verwaltete Knoten aktiviert wurden, und den Stunden, in denen diese Knoten ausgeführt werden.  
Für alle von Systems Manager verwalteten Knoten, die den unter [Eine Hybridaktivierung zum Registrieren von Knoten bei Systems Manager erstellen](hybrid-activation-managed-nodes.md) beschriebenen Aktivierungsprozess verwenden, wird eine Gebühr erhoben, wenn Sie in einer Region in einem bestimmten Konto die Zahl von 1 000 On-Premises-Knoten überschreiten.   
Sie können auch vorhandene Amazon Elastic Compute Cloud (Amazon EC2)-Instances mithilfe von Hybrid-Aktivierungen von Systems Manager installieren und mit ihnen als Nicht-EC2-Instances arbeiten, z. B. zu Testzwecken. Diese zählen auch als Hybrid-Knoten. Dies ist kein übliches Szenario.

Szenario 2: Patchen von von Microsoft veröffentlichten Anwendungen auf hybrid-aktivierten Knoten  
Das Advanced-Instances-Kontingent ist auch erforderlich, wenn Sie von Microsoft veröffentlichte Anwendungen auf Nicht-EC2-Knoten in einer Hybrid- und Multi-Cloud-Umgebung patchen möchten. Wenn Sie das Advanced-Instances-Kontingent aktivieren, um Microsoft-Anwendungen auf Nicht-EC2-Knoten zu patchen, fallen Gebühren für alle On-Premises-Knoten an, selbst wenn Sie weniger als 1 000 haben.  
Für Patch-Anwendungen, die von Microsoft auf Amazon Elastic Compute Cloud (Amazon EC2)-Instances veröffentlicht wurden, fallen keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter [Informationen zum Patchen von Anwendungen, die von Microsoft unter Windows Server veröffentlicht wurden](patch-manager-patching-windows-applications.md).

Szenario 3: Herstellen einer Verbindung zu hybrid-aktivierten Knoten mit Session Manager  
Session Manager bietet interaktiven Shell-Zugriff auf Ihre Instances. Um über Session Manager eine Verbindung zu hybrid-aktivierten Knoten herzustellen, müssen Sie die Advanced-Instances-Kontingente aktivieren. Dann fallen Gebühren für alle hybrid-aktivierten Knoten an, auch wenn Sie weniger als 1 000 haben.

**Zusammenfassung: Wann brauche ich das Advanced-Instances-Kontingent?**  
Anhand der folgenden Tabelle können Sie überprüfen, wann Sie das Advanced-Instances-Kontingent verwenden müssen und für welche Szenarien zusätzliche Gebühren anfallen.


****  

| Szenario | Advanced-Instances-Kontingent erforderlich? | Es fallen zusätzliche Gebühren an. | 
| --- | --- | --- | 
|  Die Anzahl der hybrid-aktivierten Knoten in meiner Region in einem bestimmten Konto beträgt mehr als 1 000.  | Ja | Ja | 
|  Ich möchte Patch Manager benutzen, um von Microsoft veröffentlichte Anwendungen auf einer beliebigen Anzahl hybrid-aktivierter Knoten zu patchen, sogar weniger als 1 000.  | Ja | Ja | 
|  Ich möchte Session Manager benutzen, um sich mit einer beliebigen Anzahl hybrid-aktivierter Knoten zu verbinden, sogar weniger als 1 000.  | Ja | Ja | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/fleet-manager-configure-instance-tiers.html)  | Nein | Nein | 

**Topics**
+ [Detaillierte Szenarien für Advanced-Instances-Kontingent](#systems-manager-managed-instances-tier-scenarios)
+ [Aktivieren des Kontingents für erweiterte Instances](fleet-manager-enable-advanced-instances-tier.md)
+ [Wechsel vom Kontingent für erweiterte Instances zurück zum Kontingent für Standard-Instances](fleet-manager-revert-to-standard-tier.md)

# Aktivieren des Kontingents für erweiterte Instances
<a name="fleet-manager-enable-advanced-instances-tier"></a>

AWS Systems Manager [bietet eine Stufe „Standard-Instances“ und eine Stufe „Advanced-Instances“ für Nicht-EC2-Computer in einer Hybrid- und Multi-Cloud-Umgebung.](operating-systems-and-machine-types.md#supported-machine-types) Mit der Stufe „Standard-Instances“ können Sie pro Person maximal 1.000 hybridaktivierte Maschinen registrieren. AWS-Konto AWS-Region Die erweiterte Instances-Ebene ist auch erforderlich, um Patch Manager zum Patchen von von Microsoft freigegebenen Anwendungen auf Nicht-EC2-Knoten zu verwenden und mit Session Manager eine Verbindung zu Nicht-EC2-Knoten herzustellen. Weitere Informationen finden Sie unter [Aktivieren des Kontingents für erweiterte Instances](#fleet-manager-enable-advanced-instances-tier).

In diesem Abschnitt wird beschrieben, wie Sie Ihre Hybrid- und Multi-Cloud-Umgebung für die Nutzung des Kontingents für erweiterte Instances konfigurieren.

**Bevor Sie beginnen**  
Prüfen Sie die Preisdetails für erweiterte Instances. Erweiterte Instanzen sind auf a verfügbar. per-use-basis Weitere Informationen dazu finden Sie unter [AWS Systems Manager -Preise](https://aws.amazon.com/systems-manager/pricing/). 

## Konfigurieren von Berechtigungen zum Aktivieren des Kontingents für erweiterte Instances
<a name="enable-advanced-instances-tier-permissions"></a>

Vergewissern Sie sich, dass Sie in AWS Identity and Access Management (IAM) berechtigt sind, Ihre Umgebung von der Stufe Standard-Instances auf die Stufe Advanced-Instances umzustellen. Sie müssen entweder die `AdministratorAccess`-IAM-Richtlinie an Ihren Benutzer, Ihre Gruppe oder Ihre Rolle anfügen oder über die Berechtigung zum Ändern der Service-Einstellung für die Aktivierungsebene in Systems Manager verfügen. Diese nutzt die folgenden API-Operationen: 
+ [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)
+ [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)
+ [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)

Gehen Sie wie folgt vor, um einem Benutzerkonto eine IAM-Richtlinie hinzufügen. Mit dieser Richtlinie können Benutzer die aktuelle Einstellung für das Kontingent für verwaltete Instances anzeigen. Diese Richtlinie ermöglicht es dem Benutzer auch, die aktuelle Einstellung im angegebenen und zu ändern oder zurückzusetzen. AWS-Konto AWS-Region

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Liste den Namen des Benutzers aus, in den Sie die Richtlinie einbinden möchten.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Klicken Sie rechts auf der Seite unter **Permission policies (Berechtigungsrichtlinien)** auf **Add inline policy (Inline-Richtlinie hinzufügen)**. 

1. Wählen Sie den Tab **JSON**.

1. Ersetzen Sie den Standardinhalt durch folgenden Inhalt:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:GetServiceSetting"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ResetServiceSetting",
                   "ssm:UpdateServiceSetting"
               ],
               "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/activation-tier"
           }
       ]
   }
   ```

------

1. Wählen Sie **Richtlinie prüfen**.

1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein. Beispiel: **Managed-Instances-Tier**.

1. Wählen Sie **Richtlinie erstellen** aus.

Administratoren können schreibgeschützte Berechtigungen angeben, indem sie dem Benutzer die folgende Inline-Richtlinie zuweisen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Informationen zum Erstellen einer IAM-Richtlinie finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

## Aktivieren des Kontingents für erweiterte Instances (Konsole)
<a name="enable-advanced-instances-tier-enabling"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie mit der Systems Manager Manager-Konsole *alle* Nicht-EC2-Knoten, die mithilfe der Managed-Instance-Aktivierung hinzugefügt wurden, in der angegebenen AWS-Konto und auf die AWS-Region Advanced-Instance-Stufe umstellen.

**Bevor Sie beginnen**  
Stellen Sie sicher, dass die Konsole in dem Bereich geöffnet ist, in AWS-Region dem Sie Ihre verwalteten Instanzen erstellt haben. Über die Liste in der oberen, rechten Ecke der Konsole können Sie zwischen dein einzelnen Regionen wechseln. 

Überprüfen Sie, ob Sie die Einrichtungsanforderungen für Ihre Instances der Amazon Elastic Compute Cloud (Amazon EC2) und Nicht-EC2-Maschinen in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) erfüllt haben. Weitere Informationen finden Sie unter [Einrichtung verwalteter Knoten für AWS Systems Manager](systems-manager-setting-up-nodes.md).

**Wichtig**  
Nachfolgend wird beschrieben, wie Sie eine Einstellung auf Kontoebene ändern. Durch diese Änderung fallen für Ihr Konto Gebühren an.

**So aktivieren Sie das Kontingent für erweiterte Instances (Konsole)**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie **Einstellungen** und anschließend **Einstellungen der Instance-Ebene ändern**.

1. Überprüfen Sie die Informationen im Dialogfeld zum Ändern der Kontoeinstellungen.

1. Wenn Sie zustimmen, wählen Sie die Option, die Sie akzeptieren möchten, und klicken Sie dann auf **Einstellung ändern**.

Es kann einige Minuten dauern, bis alle Instances vom Kontingent für Standard-Instances in das Kontingent für erweiterte Instances verschoben wurden.

**Anmerkung**  
Informationen zum Wechsel zurück zum Kontingent für Standard-Instances finden Sie unter [Wechsel vom Kontingent für erweiterte Instances zurück zum Kontingent für Standard-Instances](fleet-manager-revert-to-standard-tier.md).

## Aktivieren des Kontingents für erweiterte Instances (AWS CLI)
<a name="enable-advanced-instances-tier-enabling-cli"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie *alle* lokalen Server AWS Command Line Interface , die mithilfe der Aktivierung von verwalteten Instanzen hinzugefügt wurden VMs , in der angegebenen Version ändern AWS-Konto und AWS-Region, um die Stufe Advanced-Instances zu verwenden.

**Wichtig**  
Nachfolgend wird beschrieben, wie Sie eine Einstellung auf Kontoebene ändern. Durch diese Änderung fallen für Ihr Konto Gebühren an.

**Um die Stufe Advanced-Instances zu aktivieren, verwenden Sie den AWS CLI**

1. Öffnen Sie den AWS CLI und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \
       --setting-value advanced
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^
       --setting-value advanced
   ```

------

   Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

1. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für verwaltete Knoten im aktuellen AWS-Konto und anzuzeigen AWS-Region.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------

   Der Befehl gibt Informationen wie die folgenden zurück.

   ```
   {
       "ServiceSetting": {
           "SettingId": "/ssm/managed-instance/activation-tier",
           "SettingValue": "advanced",
           "LastModifiedDate": 1555603376.138,
           "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
           "Status": "PendingUpdate"
       }
   }
   ```

## Aktivieren des Kontingents für erweiterte Instances (PowerShell)
<a name="enable-advanced-instances-tier-enabling-ps"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie *alle* lokalen Server AWS Tools for Windows PowerShell , die mithilfe der Aktivierung von verwalteten Instanzen hinzugefügt wurden VMs , in der angegebenen AWS-Konto Ebene ändern und, um die Stufe „ AWS-Region Advanced-Instances“ zu verwenden.

**Wichtig**  
Nachfolgend wird beschrieben, wie Sie eine Einstellung auf Kontoebene ändern. Durch diese Änderung fallen für Ihr Konto Gebühren an.

**Um die Advanced-Instance-Stufe zu aktivieren, verwenden Sie PowerShell**

1. Öffnen Sie den folgenden AWS Tools for Windows PowerShell Befehl und führen Sie ihn aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" `
       -SettingValue "advanced"
   ```

   Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

1. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für verwaltete Knoten im aktuellen AWS-Konto und anzuzeigen AWS-Region.

   ```
   Get-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"
   ```

   Der Befehl gibt Informationen wie die folgenden zurück.

   ```
   ARN:arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
   LastModifiedDate : 4/18/2019 4:02:56 PM
   LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/User_1
   SettingId        : /ssm/managed-instance/activation-tier
   SettingValue     : advanced
   Status           : PendingUpdate
   ```

Es kann einige Minuten dauern, bis alle Knoten vom Standard-Instances-Kontingent in das Advanced-Instances-Kontingent verschoben wurden.

**Anmerkung**  
Informationen zum Wechsel zurück zum Kontingent für Standard-Instances finden Sie unter [Wechsel vom Kontingent für erweiterte Instances zurück zum Kontingent für Standard-Instances](fleet-manager-revert-to-standard-tier.md).

# Wechsel vom Kontingent für erweiterte Instances zurück zum Kontingent für Standard-Instances
<a name="fleet-manager-revert-to-standard-tier"></a>

In diesem Abschnitt wird beschrieben, wie hybrid-aktivierte Knoten, die im Advanced-Instances-Kontingent ausgeführt werden, wieder zum Standard-Instances-Kontingent umgestellt werden. Diese Konfiguration gilt für alle hybridaktivierten Knoten in einem AWS-Konto und einem. AWS-Region

**Bevor Sie beginnen**  
Lesen Sie die folgenden wichtigen Details.

**Anmerkung**  
Sie können nicht wieder zum Kontingent für Standard-Instances zurückkehren, wenn Sie im Konto und in der Region mehr als 1 000 hybrid-aktivierte Knoten ausführen. Sie müssen also zunächst die Registrierung für Knoten aufheben, bis 1 000 oder weniger vorhanden sind. Dies gilt auch für Amazon Elastic Compute Cloud (Amazon EC2)-Instances, die eine Hybrid-Aktivierung von Systems Manager verwenden (kein gängiges Szenario). Weitere Informationen finden Sie unter [Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung](fleet-manager-deregister-hybrid-nodes.md).
Nach dem Zurücksetzen können Sie Session Manager, ein Tool in AWS Systems Manager, nicht mehr verwenden, um interaktiv auf Ihre hybrid-aktivierten Knoten zuzugreifen.
Nach dem Zurücksetzen können Sie Patch Manager, ein Tool in AWS Systems Manager, nicht mehr verwenden, um von Microsoft veröffentlichte Anwendungen auf hybrid-aktivierten Knoten zu patchen.
Das Zurücksetzen aller hybrid-aktivierten Knoten auf das Kontingent für Standard-Instances kann 30 Minuten oder länger dauern.

In diesem Abschnitt wird beschrieben, wie Sie alle hybridaktivierten Knoten in einer Stufe AWS-Konto und AWS-Region von der Stufe Advanced-Instances auf die Stufe Standard-Instances zurücksetzen.

## Zurücksetzen auf das Kontingent für Standard-Instances (Konsole)
<a name="revert-to-standard-tier-console"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie die Systems Manager Manager-Konsole verwenden, um alle hybridaktivierten Knoten in Ihrer [Hybrid- und Multicloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) so zu ändern, dass sie die Stufe „Standardinstanzen“ im angegebenen und verwenden. AWS-Konto AWS-Region

**So stellen Sie das Kontingent für Standard-Instances wieder her (Konsole)**

1. Öffnen Sie die Konsole unter. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie das Dropdown-Menü **Account settings (Kontoeinstellungen)** und wählen Sie **Instance tier settings (Instance-Kontingenteneinstellungen)**.

1. Wählen Sie die Option **Change account settings (Kontoeinstellungen ändern)** aus.

1. Lesen Sie die Informationen zum Ändern der Kontoeinstellungen im angezeigten Popup-Fenster und wählen Sie ggf. die Option zum Akzeptieren und Fortfahren aus.

## Zurücksetzen auf das Kontingent für Standard-Instances (AWS CLI)
<a name="revert-to-standard-tier-cli"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie die AWS Command Line Interface verwenden, um alle hybridaktivierten Knoten in Ihrer [Hybrid- und Multicloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) so zu ändern, dass sie die Stufe „Standard-Instances“ im angegebenen und verwenden. AWS-Konto AWS-Region

**Um zur Stufe „Standard-Instances“ zurückzukehren, verwenden Sie AWS CLI**

1. Öffnen Sie den AWS CLI und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \
       --setting-value standard
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^
       --setting-value standard
   ```

------

   Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

1. Führen Sie den folgenden Befehl 30 Minuten später aus, um die Einstellungen für verwaltete Instanzen in der aktuellen Version AWS-Konto und anzuzeigen AWS-Region.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
       --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
   ```

------

   Der Befehl gibt Informationen wie die folgenden zurück.

   ```
   {
       "ServiceSetting": {
           "SettingId": "/ssm/managed-instance/activation-tier",
           "SettingValue": "standard",
           "LastModifiedDate": 1555603376.138,
           "LastModifiedUser": "System",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
           "Status": "Default"
       }
   }
   ```

   Der Status ändert sich auf *Standard*, nachdem die Anfrage genehmigt wurde.

## Zurücksetzen auf das Kontingent für Standard-Instances (PowerShell)
<a name="revert-to-standard-tier-ps"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie hybridaktivierte Knoten in Ihrer Hybrid- und Multicloud-Umgebung so ändern, dass sie die Stufe „Standardinstanzen“ im angegebenen und verwenden. AWS Tools for Windows PowerShell AWS-Konto AWS-Region

**Um zur Stufe „Standard-Instances“ zurückzukehren, verwenden Sie PowerShell**

1. Öffnen Sie den folgenden AWS Tools for Windows PowerShell Befehl und führen Sie ihn aus.

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" `
       -SettingValue "standard"
   ```

   Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

1. Führen Sie den folgenden Befehl 30 Minuten später aus, um die Einstellungen für verwaltete Instanzen in der aktuellen Version AWS-Konto und anzuzeigen AWS-Region.

   ```
   Get-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"
   ```

   Der Befehl gibt Informationen wie die folgenden zurück.

   ```
   ARN: arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
   LastModifiedDate : 4/18/2019 4:02:56 PM
   LastModifiedUser : System
   SettingId        : /ssm/managed-instance/activation-tier
   SettingValue     : standard
   Status           : Default
   ```

   Der Status ändert sich auf *Standard*, nachdem die Anfrage genehmigt wurde.

# Zurücksetzen von Passwörtern für verwaltete Knoten
<a name="fleet-manager-reset-password"></a>

Sie können das Passwort für einen beliebigen Benutzer auf einem verwalteten Knoten zurücksetzen. Dazu gehören Amazon Elastic Compute Cloud (Amazon EC2) -Instances, AWS IoT Greengrass Kerngeräte und lokale Server, Edge-Geräte und virtuelle Maschinen (VMs), die von verwaltet werden. AWS Systems Manager Die Funktionalität zum Zurücksetzen des Passworts basiert auf Session Manager, einem Tool in AWS Systems Manager. Sie können diese Funktionalität verwenden, um eine Verbindung zu verwalteten Knoten herzustellen, ohne eingehende Ports öffnen, Bastion-Hosts zu pflegen oder SSH-Schlüssel verwalten zu müssen. 

Die Option zum Zurücksetzen des Passworts ist nützlich, wenn ein Benutzer ein Passwort vergessen hat, oder wenn Sie schnell ein Passwort aktualisieren möchten, ohne eine RDP- oder SSH-Verbindung mit einem verwalteten Knoten herzustellen. 

**Voraussetzungen**  
Um das Passwort auf einem verwalteten Knoten zurücksetzen zu können, müssen die folgenden Anforderungen erfüllt sein:
+ Der verwaltete Knoten, auf dem Sie ein Passwort ändern möchten, muss ein von Systems Manager verwalteter Knoten sein. Auch muss SSM Agent Version 2.3.668.0 oder höher auf dem verwalteten Knoten installiert sein. Informationen über das Installieren oder Aktualisieren von SSM Agent finden Sie unter [Arbeiten mit SSM Agent](ssm-agent.md).
+ Die Funktionalität zum Zurücksetzen des Passworts verwendet die Session Manager-Konfiguration, die für Ihr Konto eingerichtet ist, um eine Verbindung mit dem verwalteten Knoten herzustellen. Aus diesem Grund müssen die Voraussetzungen für die Verwendung von Session Manager für Ihr Konto in der aktuellen AWS-Region erfüllt sein. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
**Anmerkung**  
Session Manager-Support für On-Premises-Knoten wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter [Aktivieren des Kontingents für erweiterte Instances](fleet-manager-enable-advanced-instances-tier.md).
+ Der AWS Benutzer, der das Passwort ändert, muss über die `ssm:SendCommand` Berechtigung für den verwalteten Knoten verfügen. Weitere Informationen finden Sie unter [Den Zugriff von Run Command anhand von Tags beschränken](run-command-setting-up.md#tag-based-access).

**Beschränken des Zugriffs**  
Sie können die Fähigkeit eines Benutzers, Passwörter zurückzusetzen, auf bestimmte verwaltete Knoten beschränken. Dies geschieht durch Verwendung von identitätsbasierten Richtlinien für die Session Manager-Operation `ssm:StartSession` über dem SSM-Dokument `AWS-PasswordReset`. Weitere Informationen finden Sie unter [Kontrollieren des Sitzungszugriffs von Benutzern auf Instances](session-manager-getting-started-restrict-access.md).

**Verschlüsseln von Daten**  
Aktivieren Sie AWS Key Management Service (AWS KMS) die vollständige Verschlüsselung für Session Manager Daten, um die Option zum Zurücksetzen des Kennworts für verwaltete Knoten zu verwenden. Weitere Informationen finden Sie unter [So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md).

## Zurücksetzen eines Passworts auf einem verwalteten Knoten
<a name="managed-instance-reset-a-password"></a>

Sie können ein Passwort auf einem von Systems Manager verwalteten Knoten mithilfe der Systems Manager **Fleet Manager**Manager-Konsole oder der Taste AWS Command Line Interface (AWS CLI) zurücksetzen.

**So ändern Sie das Passwort auf einem verwalteten Knoten (Konsole)**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem Knoten, der ein neues Passwort benötigt.

1. Wählen Sie **Instance-Aktionen, Passwort zurücksetzen**.

1. Geben Sie im Feld **User name (Benutzername)** den Namen des Benutzers ein, für den Sie das Passwort ändern. Dabei kann es sich um jeden Benutzernamen handeln, der ein Konto auf dem Knoten hat.

1. Wählen Sie **Absenden** aus.

1. Befolgen Sie die Eingabe-Prompts im Befehlsfenster **Neues Passwort eingeben**, um das neue Passwort anzugeben.
**Anmerkung**  
Wenn die Version von SSM Agent auf dem verwalteten Knoten kein Zurücksetzen von Passwörtern unterstützt, werden Sie aufgefordert, mit Run Command, einem Tool in AWS Systems Manager, eine unterstützte Version zu installieren.

**So setzen Sie das Passwort auf einem verwalteten Knoten zurück (AWS CLI)**

1. Um das Passwort für einen Benutzer auf einem verwalteten Knoten zurückzusetzen, führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
**Anmerkung**  
Um das AWS CLI zum Zurücksetzen eines Passworts zu verwenden, muss das Session Manager Plugin auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).

------
#### [ Linux & macOS ]

   ```
   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       --parameters '{"username": ["user-name"]}'
   ```

------
#### [ Windows ]

   ```
   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"
   ```

------

1. Befolgen Sie die Eingabe-Prompts im Befehlsfenster **Neues Passwort eingeben**, um das neue Passwort anzugeben.

## Fehlerbehebung beim Zurücksetzen von Passwörtern auf verwalteten Knoten
<a name="password-reset-troubleshooting"></a>

Viele Probleme beim Zurücksetzen von Passwörtern können behoben werden, wenn Sie sicherstellen, dass Sie die [Voraussetzungen für das Zurücksetzen von Passwörtern](#pw-reset-prereqs) gelesen haben. Bei anderen Problemen nehmen Sie die folgenden Informationen zur Behebung von Problemen beim Zurücksetzen von Passwörtern zu Hilfe.

**Topics**
+ [Verwalteter Knoten nicht verfügbar](#password-reset-troubleshooting-instances)
+ [SSM Agentnicht up-to-date (Konsole)](#password-reset-troubleshooting-ssmagent-console)
+ [Optionen zum Zurücksetzen des Passworts werden nicht bereitgestellt (AWS CLI)](#password-reset-troubleshooting-ssmagent-cli)
+ [Keine Berechtigung zum Ausführen von `ssm:SendCommand`](#password-reset-troubleshooting-sendcommand)
+ [Session Manager-Fehlermeldung](#password-reset-troubleshooting-session-manager)

### Verwalteter Knoten nicht verfügbar
<a name="password-reset-troubleshooting-instances"></a>

**Problem**: Sie möchten auf der Seite **Managed Instances** (Verwaltete Instances) der Konsole das Passwort für einen verwalteten Knoten zurücksetzen, der jedoch nicht in der Liste enthalten ist.
+ **Solution** (Lösung): Der verwaltete Knoten, mit dem Sie eine Verbindung herstellen möchten, wurde möglicherweise nicht für Systems Manager konfiguriert. Um eine EC2-Instance mit Systems Manager zu verwenden, muss der Instance ein AWS Identity and Access Management (IAM-) Instanzprofil angehängt werden, das Systems Manager die Erlaubnis erteilt, Aktionen auf Ihren Instances auszuführen. Informationen finden Sie unter [Konfiguration von erforderliche Instance-Berechtigungen für Systems Manager](setup-instance-permissions.md). 

  Um eine Nicht-EC2-Maschine mit Systems Manager zu verwenden, erstellen Sie eine IAM-Servicerolle, die Systems Manager die Berechtigung gibt, Aktionen auf Ihren verwalteten Knoten durchzuführen. Weitere Informationen finden Sie unter [Erstellen der für Systems Manager erforderlichen IAM-Servicerolle in Hybrid- und Multicloud-Umgebungen](hybrid-multicloud-service-role.md). (Session ManagerUnterstützung für lokale Server und VMs wird nur für die Stufe „Advanced-Instances“ bereitgestellt. Weitere Informationen finden Sie unter.) [Aktivieren des Kontingents für erweiterte Instances](fleet-manager-enable-advanced-instances-tier.md)

### SSM Agentnicht up-to-date (Konsole)
<a name="password-reset-troubleshooting-ssmagent-console"></a>

**Problem**: Es wird eine Meldung angezeigt, dass die Version von SSM Agent die Funktionalität zum Zurücksetzen von Passwörtern nicht unterstützt.
+ **Lösung**: Es ist Version 2.3.668.0 oder höher von SSM Agent erforderlich, um Passwörter zurückzusetzen. In der Konsole können Sie den Agent auf dem verwalteten Knoten aktualisieren, indem Sie **Update SSM Agent** ( aktualisieren) auswählen. 

  Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter [Automatisieren von Updates für SSM Agent](ssm-agent-automatic-updates.md). Abonnieren Sie die [SSM Agent-Versionshinweise](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

### Optionen zum Zurücksetzen des Passworts werden nicht bereitgestellt (AWS CLI)
<a name="password-reset-troubleshooting-ssmagent-cli"></a>

**Problem**: Sie haben mit dem AWS CLI `[https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)` Befehl erfolgreich eine Verbindung zu einem verwalteten Knoten hergestellt. Sie haben das SSM-Dokument `AWS-PasswordReset` und einen gültigen Benutzernamen angegeben, aber die Eingabeaufforderungen zur Änderung des Passworts werden nicht angezeigt.
+ **Lösung**: Die Version von SSM Agent auf dem verwalteten Knoten ist es nicht up-to-date. Es ist Version 2.3.668.0 oder höher erforderlich, um das Passwort zurückzusetzen. 

  Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter [Automatisieren von Updates für SSM Agent](ssm-agent-automatic-updates.md). Abonnieren Sie die [SSM Agent-Versionshinweise](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

### Keine Berechtigung zum Ausführen von `ssm:SendCommand`
<a name="password-reset-troubleshooting-sendcommand"></a>

**Problem**: Sie versuchen, eine Verbindung zu einem verwalteten Knoten herzustellen, um das Passwort zu ändern, aber es wird eine Fehlermeldung angezeigt, dass Sie nicht autorisiert sind, `ssm:SendCommand` auf dem verwalteten Knoten auszuführen.
+ **Lösung**: Ihre IAM-Richtlinie muss die Berechtigung zum Ausführen des `ssm:SendCommand`-Befehls enthalten. Weitere Informationen finden Sie unter [Den Zugriff von Run Command anhand von Tags beschränken](run-command-setting-up.md#tag-based-access).

### Session Manager-Fehlermeldung
<a name="password-reset-troubleshooting-session-manager"></a>

**Problem**: Sie erhalten eine Fehlermeldung zu Session Manager.
+ **Lösung**: Die Unterstützung für das Zurücksetzen von Passwörtern erfordert, dass Session Manager korrekt konfiguriert ist. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md) und [Fehlerbehebung für Session Manager](session-manager-troubleshooting.md).

# Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung
<a name="fleet-manager-deregister-hybrid-nodes"></a>

Wenn Sie einen lokalen Server, ein Edge-Gerät oder eine virtuelle Maschine (VM) nicht mehr mithilfe von verwenden möchten AWS Systems Manager, können Sie die Registrierung aufheben. Wenn Sie einen hybridaktivierten Knoten deregistrieren, wird er aus der Liste der verwalteten Knoten in Systems Manager entfernt. AWS Systems Manager Der Agent (SSM Agent) der auf dem hybrid-aktivierten Knoten läuft, kann sein Autorisierungs-Token nicht mehr aktualisieren, da es nicht mehr registriert ist. SSM Agent wird in den Ruhezustand versetzt und reduziert seine Ping-Frequenz auf Systems Manager in der Cloud auf einmal pro Stunde. Systems Manager speichert den Befehlsverlauf für einen verwaltete Knoten, deren Registrierung aufgehoben wurde, 30 Tage lang.

**Anmerkung**  
Sie können einen lokalen Server, ein Edge-Gerät oder eine VM mit demselben Aktivierungscode und derselben ID erneut registrieren, solange Sie das Instance-Limit für den angegebenen Aktivierungscode und die angegebene ID nicht erreicht haben. **Sie können das Instance-Limit in der Konsole überprüfen, indem Sie **Node-Tools** und dann Hybrid-Aktivierungen** auswählen. Wenn der Wert für **Registrierte Instances** unter dem **Registrierungslimit** liegt, können Sie eine Maschine mit demselben Aktivierungscode und derselben ID erneut registrieren. Wenn der Wert über dem Limit liegt, müssen Sie einen anderen Aktivierungscode und eine andere ID verwenden.

Im folgenden Verfahren wird beschrieben, wie Sie die Registrierung für einen hybrid-aktivierten Knoten mithilfe der Systems-Manager-Konsole aufheben. Informationen dazu, wie Sie dies mithilfe von tun können AWS Command Line Interface, finden Sie unter [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html).

Verwandte Informationen finden Sie in den folgenden Themen:
+ [Abmelden und Neuregistrieren eines verwalteten Knotens (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister) (Linux)
+ [Abmelden und Neuregistrieren eines verwalteten Knotens (Windows Server)](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister) (Windows Server)

**Um die Registrierung eines hybrid-aktivierten Knotens aufzuheben (Konsole)**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Aktivieren Sie das Kontrollkästchen neben dem verwalteten Knoten, den Sie abmelden möchten.

1. Wählen Sie **„Knotenaktionen“, „Tools“, „Diesen verwalteten Knoten abmelden“**.

1. Überprüfen Sie die Informationen im Dialogfeld **Diesen verwalteten Knoten deregistrieren**. Wenn Sie zustimmen, wählen Sie **Deregister** aus.

# Arbeiten mit Betriebssystemdateisystemen mithilfe von Fleet Manager
<a name="fleet-manager-file-system-management"></a>

Sie könnenFleet Manager, ein Tool in AWS Systems Manager, verwenden, um mit dem Dateisystem auf Ihren verwalteten Knoten zu arbeiten. Mit Fleet Manager können Sie Informationen über das Verzeichnis und die Dateidaten anzeigen, die auf den Volumes gespeichert sind, die an Ihre verwalteten Knoten angefügt sind. Sie können beispielsweise den Namen, die Größe, die Erweiterung, den Besitzer und die Berechtigungen für Ihre Verzeichnisse und Dateien anzeigen. Bis zu 10.000 Zeilen von Dateidaten können als Text in der Fleet Manager-Konsole angezeigt werden. Sie können diese Funktion auch für `tail`-Dateien verwenden. Bei Verwendung von `tail`, um Dateidaten anzuzeigen, werden zunächst die letzten 10 Zeilen der Datei angezeigt. Wenn neue Datenzeilen in die Datei geschrieben werden, wird die Ansicht in Echtzeit aktualisiert. Daher können Sie Protokolldaten von der Konsole aus überprüfen, was die Effizienz Ihrer Fehlerbehebung und Systemverwaltung verbessern kann. Darüber hinaus können Sie Verzeichnisse erstellen und Dateien und Verzeichnisse kopieren, ausschneiden, einfügen, umbenennen oder löschen.

Wir empfehlen Ihnen, regelmäßige Backups zu erstellen oder Snapshots der Amazon Elastic Block Store (Amazon EBS)-Volumes zu erstellen, die an Ihre verwalteten Knoten angefügt sind. Beim Kopieren oder Ausschneiden und Einfügen von Dateien werden vorhandene Dateien und Verzeichnisse im Zielpfad mit dem gleichen Namen wie die neuen Dateien oder Verzeichnisse ersetzt. Schwerwiegende Probleme können auftreten, wenn Sie Systemdateien und -verzeichnisse ersetzen oder ändern. AWS garantiert nicht, dass diese Probleme gelöst werden können. Ändern Sie Systemdateien auf eigenes Risiko. Sie sind für alle Änderungen an Dateien und Verzeichnissen verantwortlich und stellen sicher, dass Sie Backups haben. Das Löschen oder Ersetzen von Dateien und Verzeichnissen kann nicht rückgängig gemacht werden.

**Anmerkung**  
Fleet ManagerverwendetSession Manager, ein Tool in AWS Systems Manager, um Textvorschauen und `tail` Dateien anzusehen. Für Amazon Elastic Compute Cloud (Amazon EC2)-Instances muss das Instance-Profil, das Ihren verwalteten Instances angefügt ist, Berechtigungen für Session Manager bereitstellen, um diese Funktion zu verwenden. Weitere Informationen zum Hinzufügen von Session Manager-Berechtigungen an ein Instance-Profil finden Sie unter [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md).

**Topics**
+ [Anzeigen des OS-Dateisystems mithilfe von Fleet Manager](fleet-manager-viewing-file-system.md)
+ [Vorschau von Betriebssystemdateien mit Fleet Manager](fleet-manager-preview-os-files.md)
+ [Speichern von Betriebssystemdateien mit Fleet Manager](fleet-manager-tailing-os-files.md)
+ [Kopieren, Ausschneiden und Einfügen von Betriebssystemdateien oder -verzeichnissen mit Fleet Manager](fleet-manager-move-files-or-directories.md)
+ [Umbenennen von Betriebssystemdateien und -verzeichnissen mit Fleet Manager](fleet-manager-renaming-files-and-directories.md)
+ [Löschen von Betriebssystemdateien und -verzeichnissen mit Fleet Manager](fleet-manager-deleting-files-and-directories.md)
+ [Betriebssystemverzeichnisse erstellen mit Fleet Manager](fleet-manager-creating-directories.md)
+ [Ausschneiden, Kopieren und Einfügen von Betriebssystemverzeichnissen mit Fleet Manager](fleet-manager-managing-directories.md)

# Anzeigen des OS-Dateisystems mithilfe von Fleet Manager
<a name="fleet-manager-viewing-file-system"></a>

Sie können Fleet Manager verwenden, um das Betriebssystemdateisystem auf einem von Systems Manager verwalteten Knoten anzuzeigen. 

**Anzeigen des OS-Dateisystems mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit dem Dateisystem, das Sie anzeigen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

# Vorschau von Betriebssystemdateien mit Fleet Manager
<a name="fleet-manager-preview-os-files"></a>

Sie können Fleet Manager verwenden, um eine Vorschau von Textdateien auf einem Betriebssystem anzuzeigen.

**So zeigen Sie Textvorschauen mit Fleet Manager an**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit den Dateien, die Sie anzeigen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Wählen Sie den **File name** (Dateiname) des Verzeichnisses, das die Datei enthält, die Sie in der Vorschau anzeigen möchten.

1. Wählen Sie die Schaltfläche neben der Datei, deren Inhalt Sie in der Vorschau anzeigen möchten.

1. Wählen Sie **Aktionen, Vorschau als Text**.

# Speichern von Betriebssystemdateien mit Fleet Manager
<a name="fleet-manager-tailing-os-files"></a>

Sie können sie Fleet Manager verwenden, um eine Datei auf einem verwalteten Knoten als Tail zu speichern.

**So verfolgen Sie OS-Dateien mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit den Dateien, die Sie verfolgen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Wählen Sie den **File name** (Dateiname) des Verzeichnisses, das die Datei enthält, die verfolgen möchten.

1. Wählen Sie die Schaltfläche neben der Datei, deren Inhalt Sie verfolgen möchten.

1. Wählen Sie **Aktionen, Enddatei**.

# Kopieren, Ausschneiden und Einfügen von Betriebssystemdateien oder -verzeichnissen mit Fleet Manager
<a name="fleet-manager-move-files-or-directories"></a>

Sie können Fleet Manager mit Betriebssystemdateien auf einem verwalteten Knoten kopieren, ausschneiden und einfügen.

**So kopieren oder fügen Sie Dateien oder Verzeichnisse mit Fleet Manager ein**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit den Dateien, die Sie kopieren oder ausschneiden und einfügen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Um eine Datei zu kopieren oder auszuschneiden, wählen Sie den **File name** (Dateiname) des Verzeichnisses, das die Datei enthält, die Sie kopieren oder ausschneiden möchten. Um ein Verzeichnis zu kopieren oder auszuschneiden, wählen Sie die Schaltfläche neben dem Verzeichnis, das Sie kopieren oder ausschneiden möchten, und fahren Sie dann mit Schritt 8 fort.

1. Wählen Sie die Schaltfläche neben der Datei, die Sie kopieren oder ausschneiden möchten.

1. Wählen Sie im Menü **Actions** (Aktionen) **Copy** (Kopieren) oder **Cut** (Ausschneiden).

1. Wählen Sie in der Ansicht **Dateisystem** die Schaltfläche neben dem Verzeichnis, in das Sie die Datei einfügen möchten.

1. Wählen Sie im Menü **Aktionen** **Einfügen**.

# Umbenennen von Betriebssystemdateien und -verzeichnissen mit Fleet Manager
<a name="fleet-manager-renaming-files-and-directories"></a>

Sie können Fleet Manager verwenden, um Dateien und Verzeichnisse auf einem verwalteten Knoten in Ihrem Konto umzubenennen.

**So können Sie Dateien oder Verzeichnisse mit Fleet Manager umbenennen**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit den Dateien oder Verzeichnissen, die Sie umbenennen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Um eine Datei umzubenennen, wählen Sie den **File name** (Dateiname) des Verzeichnisses, das die Datei enthält, die Sie umbenennen möchten. Um ein Verzeichnis umzubenennen, wählen Sie die Schaltfläche neben dem Verzeichnis, das Sie umbenennen möchten, und fahren Sie dann mit Schritt 8 fort.

1. Wählen Sie die Schaltfläche neben der Datei, deren Inhalt Sie umbenennen möchten.

1. Wählen Sie **Aktionen, Umbenennen**.

1. Geben Sie im Feld **Dateiname** den neuen Namen für die Datei ein und wählen Sie **Umbenennen**.

# Löschen von Betriebssystemdateien und -verzeichnissen mit Fleet Manager
<a name="fleet-manager-deleting-files-and-directories"></a>

Sie können Fleet Manager verwenden, um Dateien und Verzeichnisse auf einem verwalteten Knoten in Ihrem Konto zu löschen.

**So löschen Sie Dateien oder Verzeichnisse mithilfe von Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit den Dateien oder Verzeichnissen, die Sie löschen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Um eine Datei zu löschen, wählen Sie **File name** (Dateiname) des Verzeichnisses, das die Datei enthält, die Sie löschen möchten. Um ein Verzeichnis zu löschen, wählen Sie die Schaltfläche neben dem Verzeichnis, das Sie löschen möchten, und fahren Sie dann mit Schritt 7 fort.

1. Wählen Sie die Schaltfläche neben der Datei, deren Inhalt Sie löschen möchten.

1. Wählen Sie **Aktionen, Löschen**.

# Betriebssystemverzeichnisse erstellen mit Fleet Manager
<a name="fleet-manager-creating-directories"></a>

Sie können Fleet Manager verwenden, um Dateien und Verzeichnisse auf einem verwalteten Knoten in Ihrem Konto zu erstellen.

**Erstellen eines Verzeichnisses mithilfe von Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens, in dem Sie ein Verzeichnis erstellen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Wählen Sie den **File name** (Dateiname) des Verzeichnisses, in dem Sie ein neues Verzeichnis erstellen möchten.

1. Wählen Sie **Create directory** (Verzeichnis erstellen).

1. Geben Sie im Feld **Verzeichnisname** den Namen für das neue Verzeichnis ein und wählen Sie **Verzeichnis erstellen**.

# Ausschneiden, Kopieren und Einfügen von Betriebssystemverzeichnissen mit Fleet Manager
<a name="fleet-manager-managing-directories"></a>

Sie können Fleet Manager verwenden, um Verzeichnisse auf einem verwalteten Knoten in Ihrem Konto auszuschneiden, zu kopieren und einzufügen.

**So kopieren oder fügen Sie Verzeichnisse mit Fleet Manager ein**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens mit den Dateien, die Sie kopieren oder ausschneiden und einfügen möchten.

1. Wählen Sie **Tools, Dateisysteme**.

1. Wählen Sie die Schaltfläche neben dem Verzeichnis, das Sie kopieren oder ausschneiden möchten, und fahren Sie dann mit Schritt 8 fort.

1. Wählen Sie im Menü **Aktionen** **Kopieren** oder **Ausschneiden**.

1. Wählen Sie in der Ansicht **Dateisystem** die Schaltfläche neben dem Verzeichnis, in das Sie die Datei einfügen möchten.

1. Wählen Sie im Menü **Aktionen** **Einfügen**.

# Überwachung der Leistung verwalteter Knoten
<a name="fleet-manager-monitoring-node-performance"></a>

Sie können ein Tool in verwenden Fleet Manager AWS Systems Manager, um Leistungsdaten zu Ihren verwalteten Knoten in Echtzeit anzuzeigen. Die Leistungsdaten werden von Leistungsindikatoren abgerufen.

Die folgenden Leistungsindikatoren sind in Fleet Manager verfügbar:
+ CPU-Auslastung
+ Festplattenauslastung input/output (I/O)
+ Netzwerkdatenverkehr
+ Speicherauslastung

**Anmerkung**  
Fleet ManagerverwendetSession Manager, ein Tool in AWS Systems Manager, zum Abrufen von Leistungsdaten. Für Amazon Elastic Compute Cloud (Amazon EC2)-Instances muss das Instance-Profil, das Ihren verwalteten Instances angefügt ist, Berechtigungen für Session Manager bereitstellen, um diese Funktion zu verwenden. Weitere Informationen zum Hinzufügen von Session Manager-Berechtigungen an ein Instance-Profil finden Sie unter [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md).

**Anzeigen von Leistungsdaten mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, dessen Leistung Sie überwachen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Leistungsindikatoren**.

# Arbeiten mit Prozessen
<a name="fleet-manager-manage-processes"></a>

Sie können Fleet Manager verwenden, ein Tool in AWS Systems Manager, um mit Prozessen auf Ihren verwalteten Knoten zu arbeiten. Mit Fleet Manager können Sie Informationen über Prozesse anzeigen. Beispielsweise können Sie zusätzlich zu ihren Handles und Threads die CPU-Auslastung und Speicherauslastung von Prozessen sehen. Mit Fleet Manager können Sie Prozesse von der Konsole aus starten und beenden.

**Anmerkung**  
Fleet Manager verwendet Session Manager, ein Tool in AWS Systems Manager, um Prozessdaten abzurufen. Für Amazon Elastic Compute Cloud (Amazon EC2)-Instances muss das Instance-Profil, das Ihren verwalteten Instances angefügt ist, Berechtigungen für Session Manager bereitstellen, um diese Funktion zu verwenden. Weitere Informationen zum Hinzufügen von Session Manager-Berechtigungen an ein Instance-Profil finden Sie unter [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md).

**Topics**
+ [Anzeigen von Details zu Betriebssystemprozessen mithilfe von Fleet Manager](fleet-manager-view-process-details.md)
+ [Starten eines Betriebssystemprozesses auf einem verwalteten Knoten mit Fleet Manager](fleet-manager-start-process.md)
+ [Beenden eines Betriebssystemprozesses mit Fleet Manager](fleet-manager-terminate-process.md)

# Anzeigen von Details zu Betriebssystemprozessen mithilfe von Fleet Manager
<a name="fleet-manager-view-process-details"></a>

Sie können Fleet Manager nutzen, um Details zu Prozessen auf Ihren verwalteten Knoten anzuzeigen.

**So zeigen Sie Details zu Prozessen mit Fleet Manager an**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung der Knoten aus, deren Prozesse Sie anzeigen möchten.

1. Wählen Sie **Tools, Prozesse**.

# Starten eines Betriebssystemprozesses auf einem verwalteten Knoten mit Fleet Manager
<a name="fleet-manager-start-process"></a>

Sie können Fleet Manager verwenden, um einen Prozess auf einem verwalteten Knoten zu starten.

**So starten Sie einen Prozess mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens aus, auf dem Sie einen Prozess starten möchten.

1. Wählen Sie **Tools, Prozesse**.

1. Wählen Sie **Start new process** (Neuen Prozess starten).

1. Geben Sie im Feld **Prozessname oder vollständiger Pfad** den Namen des Prozesses oder den vollständigen Pfad zur ausführbaren Datei ein.

1. (Optional) Geben Sie im Feld **Arbeitsverzeichnis** den Verzeichnispfad ein, in dem der Prozess ausgeführt werden soll.

# Beenden eines Betriebssystemprozesses mit Fleet Manager
<a name="fleet-manager-terminate-process"></a>

**So beenden Sie einen Betriebssystemprozess mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Verknüpfung des verwalteten Knotens aus, auf dem Sie einen Prozess starten möchten.

1. Wählen Sie **Tools, Prozesse**.

1. Wählen Sie die Schaltfläche neben dem Prozess, den Sie beenden möchten.

1. Wählen Sie **Aktionen, Prozess beenden** oder **Aktionen, Prozessstruktur beenden**. 
**Anmerkung**  
Durch das Beenden eines Prozessbaums werden auch alle Prozesse und Anwendungen beendet, die diesen Prozess verwenden.

# Protokolle auf verwalteten Knoten anzeigen
<a name="fleet-manager-view-node-logs"></a>

Sie können Fleet Manager verwenden, ein Tool in AWS Systems Manager, um Protokolldaten anzuzeigen, die auf Ihren verwalteten Knoten gespeichert sind. Bei Windows-verwalteten Knoten können Sie aus der Konsole Windows-Ereignisprotokolle anzeigen und ihre Details kopieren. Um Ihnen bei der Suche nach Ereignissen zu helfen, filtern Sie Windows-Ereignisprotokolle nach **Event level (Event-Ebene)**, **Event ID (Ereignis-ID)**, **Event source (Ereignisquelle)** und **Time created (Erstellungszeitpunkt)**. Sie können auch andere Protokolldaten mit dem Verfahren zum Anzeigen des Dateisystemen anzeigen. Weitere Informationen zum Anzeigen des Dateisystems mit Fleet Manager finden Sie unter [Arbeiten mit Betriebssystemdateisystemen mithilfe von Fleet Manager](fleet-manager-file-system-management.md).

**Anzeigen von Windows-Ereignisprotokolle mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager-Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, dessen Ereignisprotokolle Sie anzeigen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Windows-Ereignisprotokolle**.

1. Wählen Sie den **Log name (Protokollnamen)**, welcher die Ereignisse enthält, die Sie anzeigen möchten.

1. Wählen Sie die Schaltfläche neben dem **Log name (Protokollnamen)**, den Sie anzeigen möchten und wählen Sie dann **View events (Anzeigen von Ereignissen)**.

1. Wählen Sie die Schaltfläche neben dem Ereignis, das Sie anzeigen möchten und wählen Sie dann **View event details (Eventdetails anzeigen)**.

1. (Optional) Wählen Sie **Copy as JSON (Copy as JSON)**, um die Ereignisdetails in die Zwischenablage zu kopieren.

# Verwalten von Betriebssystembenutzerkonten und Gruppen auf verwalteten Knoten mithilfe von Fleet Manager
<a name="fleet-manager-manage-os-user-accounts"></a>

Sie könnenFleet Manager, ein Tool in AWS Systems Manager, verwenden, um Benutzerkonten und Gruppen des Betriebssystems (OS) auf Ihren verwalteten Knoten zu verwalten. Sie können beispielsweise Benutzer und Gruppen erstellen und löschen. Darüber hinaus können Sie Details wie Gruppenmitgliedschaft, Benutzerrollen und Status anzeigen.

**Wichtig**  
Fleet Managerverwendet Run Command undSession Manager, Tools in AWS Systems Manager, für verschiedene Benutzerverwaltungsvorgänge. Daher könnte ein Benutzer einem Betriebssystembenutzerkonto Berechtigungen erteilen, die andernfalls nicht möglich wären. Das liegt daran, dass AWS Systems Manager Agent (SSM Agent) auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit Root-Rechten (Linux) oder SYSTEM-Berechtigungen (Windows Server) ausgeführt wird. Weitere Informationen zum Einschränken des Zugriffs auf Befehle auf Root-Ebene über SSM Agent finden Sie unter [Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM Agent](ssm-agent-restrict-root-level-commands.md). Um den Zugriff auf diese Funktion einzuschränken, empfehlen wir, AWS Identity and Access Management (IAM-) Richtlinien für Ihre Benutzer zu erstellen, die nur Zugriff auf die von Ihnen definierten Aktionen gewähren. Weitere Informationen zum Erstellen von IAM-Richtlinien für Fleet Manager finden Sie unter [Steuern des Zugriffs auf Fleet Manager](configuring-fleet-manager-permissions.md).

**Topics**
+ [Einen Betriebssystembenutzer oder eine Betriebssystemgruppe erstellen mit Fleet Manager](manage-os-user-accounts-create.md)
+ [Benutzer- oder Gruppenmitgliedschaft aktualisieren mit Fleet Manager](manage-os-user-accounts-update.md)
+ [Löschen eines Betriebssystembenutzers oder einer Betriebssystemgruppe mit Fleet Manager](manage-os-user-accounts-delete.md)

# Einen Betriebssystembenutzer oder eine Betriebssystemgruppe erstellen mit Fleet Manager
<a name="manage-os-user-accounts-create"></a>

**Anmerkung**  
Fleet Manager nutzt Session Manager, um Kennwörter für neue Benutzer festzulegen. Für Amazon-EC2-Instances muss das Instance-Profil, das Ihren verwalteten Instances angefügt ist, Berechtigungen für Session Manager bereitstellen, um dieses Feature zu verwenden. Weitere Informationen zum Hinzufügen von Session Manager-Berechtigungen an ein Instance-Profil finden Sie unter [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md).

Anstatt sich direkt bei einem Server anzumelden, um ein Benutzerkonto oder eine Gruppe zu erstellen, können Sie die Fleet Manager-Konsole verwenden, um dieselben Aufgaben auszuführen.

**So erstellen Sie ein BS-Benutzerkonto mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem Sie einen neuen Benutzer erstellen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Benutzer und Gruppen**.

1. Wählen Sie die Registerkarte **Users** und anschließend die Option **Create user (Benutzer erstellen)**.

1. Geben Sie einen Wert für den **Namen** des neuen Benutzers an.

1. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben **Set password (Passwort festlegen)**. Am Ende des Verfahrens werden Sie aufgefordert, ein Passwort für den neuen Benutzer einzugeben.

1. Wählen Sie **Create user (Benutzer erstellen)**. Wenn Sie das Kontrollkästchen zum Erstellen eines Kennworts für den neuen Benutzer aktiviert haben, werden Sie aufgefordert, einen Wert für das Kennwort einzugeben und **Done (Fertig)** zu wählen. Wenn das angegebene Passwort die Anforderungen der lokalen oder Domain-Richtlinien Ihres verwalteten Knotens nicht erfüllt, wird ein Fehler zurückgegeben.

**So erstellen Sie eine OS-Gruppe mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem Sie eine Gruppe erstellen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Benutzer und Gruppen**.

1. Wählen Sie die Registerkarte **Groups (Gruppen)** und dann **Create group (Gruppe erstellen)** aus.

1. Geben Sie einen Wert für den **Namen** der neuen Gruppe an.

1. (Optional) Geben Sie einen Wert für die **Description (Beschreibung)** der neuen Gruppe ein.

1. (Optional) Wählen Sie die Benutzer aus, die zu den **Group members (Gruppenmitgliedern)** hinzugefügt werden sollen.

1. Wählen Sie **Create group (Gruppe erstellen)**.

# Benutzer- oder Gruppenmitgliedschaft aktualisieren mit Fleet Manager
<a name="manage-os-user-accounts-update"></a>

Anstatt sich direkt bei einem Server anzumelden, um ein Benutzerkonto oder eine Gruppe zu aktualisieren, können Sie die Fleet Manager-Konsole verwenden, um dieselben Aufgaben auszuführen.

**So fügen Sie ein Betriebssystem-Benutzerkonto zu einer neuen Gruppe mit Fleet Manager hinzu**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem sich das Benutzerkonto befindet, das Sie aktualisieren möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Benutzer und Gruppen**.

1. Wählen Sie die Registerkarte **Users**.

1. Wählen Sie die Schaltfläche neben dem Benutzer, den Sie aktualisieren möchten.

1. Wählen Sie **Aktionen, Benutzer zu Gruppe hinzufügen**.

1. Wählen Sie unter **Add to group (Zur Gruppe hinzufügen)** die Gruppe aus, zu der Sie den Benutzer hinzufügen möchten.

1. Wählen Sie **Add user to group (Benutzer zur Gruppe hinzufügen)**.

**So bearbeiten Sie die Mitgliedschaft einer Betriebssystemgruppe mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem sich die Gruppe befindet, die Sie aktualisieren möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Benutzer und Gruppen**.

1. Wählen Sie die Registerkarte **Groups (Gruppen)**.

1. Wählen Sie die Schaltfläche neben der Gruppe, die Sie aktualisieren möchten.

1. Wählen Sie **Aktionen, Gruppe ändern**.

1. Wählen Sie unter **Gruppenmitglieder** die Benutzer aus, die Sie hinzufügen oder entfernen möchten.

1. Wählen Sie ** Modify group (Gruppe ändern)**.

# Löschen eines Betriebssystembenutzers oder einer Betriebssystemgruppe mit Fleet Manager
<a name="manage-os-user-accounts-delete"></a>

Anstatt sich direkt bei einem Server anzumelden, um ein Benutzerkonto oder eine Gruppe zu löschen, können Sie die Fleet Manager-Konsole verwenden, um dieselben Aufgaben auszuführen.

**So löschen Sie Betriebssystem-Benutzerkonten mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem sich das Benutzerkonto befindet, das Sie löschen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Benutzer und Gruppen**.

1. Wählen Sie die Registerkarte **Users**.

1. Wählen Sie die Schaltfläche neben dem Benutzer, dem Sie löschen möchten.

1. Wählen Sie **Aktionen, Lokalen Benutzer löschen**.

**So löschen Sie eine Betriebssystemgruppe mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem sich die Gruppe befindet, die Sie löschen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Benutzer und Gruppen**.

1. Wählen Sie die Registerkarte **Group (Gruppe)**.

1. Wählen Sie die Schaltfläche neben der Gruppe, die Sie aktualisieren möchten.

1. Wählen Sie **Aktionen, Lokale Gruppe löschen**.

# Verwalten der Windows-Registrierung auf verwalteten Knoten
<a name="fleet-manager-manage-windows-registry"></a>

Sie könnenFleet Manager, ein Tool in, verwenden AWS Systems Manager, um die Registrierung auf Ihren Windows Server verwalteten Knoten zu verwalten. Von der Fleet Manager-Konsole können Sie Registrierungseinträge und -werte erstellen, kopieren, aktualisieren und löschen.

**Wichtig**  
Wir empfehlen, ein Backup der Registry oder einen Snapshot des Amazon Elastic Block Store (Amazon EBS)-Root-Volume zu erstellen, das Ihrem verwalteten Knoten angefügt ist, bevor Sie die Registry ändern. Schwerwiegende Probleme können auftreten, wenn Sie eine falsche Änderung in der Registrierung vornehmen. Bei diesen Problemen müssen Sie möglicherweise das Betriebssystem neu installieren oder das Root-Volume Ihres Knotens anhand eines Snapshots wiederherstellen. AWS garantiert nicht, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigenes Risiko. Sie sind für alle Registrierungsänderungen verantwortlich und stellen sicher, dass Sie Backups haben.

## Erstellen eines Windows-Registrierungsschlüssels oder -Eintrags
<a name="manage-windows-registry-create"></a>

**Erstellen eines Windows-Registrierungsschlüssel mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem Sie einen Registry-Schlüssel erstellen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Windows Registry**.

1. Wählen Sie den Hive aus, in dem Sie einen neuen Registrierungsschlüssel erstellen möchten, indem Sie den **Registry name** (Registry-Name) wählen.

1. Wählen Sie **Registrierungsschlüssel erstellen**.

1. Wählen Sie die Schaltfläche neben dem Registrierungseintrag, in dem Sie einen Schlüssel erstellen möchten.

1. Wählen Sie **Create registry key** (Registry-Schlüssel erstellen).

1. Geben Sie einen Wert für den **Namen** des neuen Registrierungsschlüssels ein und wählen Sie **Submit (Senden)**

**Erstellen eines Windows-Registrierungseintrags mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben der Instance, in der Sie einen Registrierungseintrag erstellen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Windows Registry**.

1. Wählen Sie den Hive und den darauffolgenden Registrierungsschlüssel aus, in dem Sie einen neuen Registrierungseintrag erstellen möchten, indem Sie den **Registry name** (Registry-Name) wählen.

1. Wählen Sie **Erstellen, Registrierungseintrag erstellen**.

1. Geben Sie einen Wert für den **Namen** des neuen Registrierungseintrags ein.

1. Wählen Sie den **Typ** des Wertes, den Sie für den Registrierungseintrag erstellen möchten. Weitere Informationen zu Registry-Werttypen finden Sie unter [Registry value types](https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-value-types) (Registry-Wertetypen).

1. Geben Sie einen Wert für den **Value (Wert)** des neuen Registrierungseintrags ein.

## Aktualisieren eines Windows-Registrierungseintrags
<a name="manage-windows-registry-update"></a>

**Aktualisieren eines Windows-Registrierungseintrags mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem Sie einen Registry-Eintrag aktualisieren möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Windows Registry**.

1. Wählen Sie den Hive und den nachfolgenden Registrierungsschlüssel aus, den Sie aktualisieren möchten, indem Sie das Kontrollkästchen **Registry name** (Registry-Name) anklicken.

1. Wählen Sie die Schaltfläche neben dem Registrierungseintrag aus, den Sie aktualisieren möchten.

1. Wählen Sie **Aktionen, Registrierungseintrag aktualisieren**.

1. Geben Sie den neuen Wert für den **Value (Wert)** des Registrierungseintrags ein.

1. Wählen Sie **Aktualisieren** aus.

## Löschen eines Windows-Registrierungseintrags oder -schlüssels
<a name="manage-windows-registry-delete"></a>

**Erstellen eines Windows-Registrierungsschlüssel mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem Sie einen Registry-Schlüssel löschen möchten.

1. Wählen Sie **Tools, Windows Registry**.

1. Wählen Sie den Hive und den nachfolgenden Registrierungsschlüssel aus, den Sie löschen möchten, indem Sie das Kontrollkästchen **Registry name** (Registry-Name) anklicken.

1. Wählen Sie die Schaltfläche neben dem Registrierungsschlüssel, den Sie löschen möchten

1. Wählen Sie **Aktionen, Registrierungsschlüssel löschen**.

**Löschen eines Windows-Registrierungseintrags mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben dem verwalteten Knoten, auf dem Sie einen Registry-Eintrag löschen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, Windows Registry**.

1. Wählen Sie den Hive und den nachfolgenden Registrierungsschlüssel, der den Eintrag enthält, aus, den Sie löschen möchten, indem Sie das Kontrollkästchen **Registry name** (Registry-Name) anklicken.

1. Wählen Sie die Schaltfläche neben dem Registrierungseintrag, den Sie löschen möchten

1. Wählen Sie **Aktionen, Registrierungseintrag löschen**.

# Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration
<a name="fleet-manager-default-host-management-configuration"></a>

Mit der Einstellung Standard-Host-Management-Konfiguration können AWS Systems Manager Sie Ihre Amazon EC2 EC2-Instances automatisch als *verwaltete Instances* verwalten. Eine verwaltete Instance ist eine EC2-Instance, die für die Verwendung mit Systems Manager konfiguriert ist. 

Die Verwaltung Ihrer Instances mit Systems Manager bietet unter anderem folgende Vorteile:
+ Stellen Sie mit Session Manager eine sichere Verbindung zu Ihren EC2-Instances her.
+ Führen Sie automatisierte Patch-Scans mit Patch Manager durch.
+ Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.
+ Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.
+ Halten Sie SSM Agent automatisch auf dem neuesten Stand.

*Fleet Manager, Inventory, Patch Manager und Session Manager sind Tools in Systems Manager.*

Mit der Standard-Host-Management-Konfiguration können Sie EC2-Instances verwalten, ohne manuell ein AWS Identity and Access Management (IAM-) Instance-Profil erstellen zu müssen. Stattdessen erstellt und wendet die Standard-Host-Management-Konfiguration eine Standard-IAM-Rolle an, um sicherzustellen, dass Systems Manager über Berechtigungen zur Verwaltung aller Instances in der AWS-Konto und an der AWS-Region Stelle verfügt, an der sie aktiviert ist. 

Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie auch Richtlinien zur Standard-IAM-Rolle hinzufügen, die von der Standardkonfiguration für die Host-Verwaltung erstellt wird. Wenn Sie keine Berechtigungen für alle Funktionen benötigen, die von der Standard-IAM-Rolle bereitgestellt werden, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM-Rolle, die Sie für die Standardkonfiguration für die Host-Verwaltung auswählen, gelten für alle verwalteten Amazon-EC2-Instances in der Region und im Konto.

Weitere Informationen zu der Richtlinie, die von der Standardkonfiguration für die Host-Verwaltung verwendet wird, finden Sie unter [AWS verwaltete Richtlinie: Amazon SSMManaged EC2 InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy).

**Implementieren des Zugriffs mit geringsten Berechtigungen**  
Die in diesem Thema beschriebenen Verfahren sollten nur von Administratoren durchgeführt werden. Daher empfehlen wir, *Zugriff mit den geringsten Berechtigungen* zu implementieren, um zu verhindern, dass nichtadministrative Benutzer die Standardkonfiguration für die Host-Verwaltung konfigurieren oder ändern. Beispielrichtlinien, die den Zugriff auf die Standardkonfiguration für die Host-Verwaltung einschränken, finden Sie unter [Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung](#least-privilege-examples) weiter unten in diesem Thema. 

**Wichtig**  
Registrierungsinformationen für Instances, die mit der Standardkonfiguration für die Host-Verwaltung registriert wurden, speichern Registrierungsinformationen lokal in den Verzeichnissen `var/lib/amazon/ssm` oder `C:\ProgramData\Amazon`. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein Instance-Profil verwenden, um Ihrer IAM-Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.

**Topics**
+ [Voraussetzungen](#dhmc-prerequisites)
+ [Die Umgebung der Standardkonfiguration für die Host-Verwaltung aktivieren](#dhmc-activate)
+ [Die Umgebung der Standardkonfiguration für die Host-Verwaltung deaktivieren](#dhmc-deactivate)
+ [Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung](#least-privilege-examples)

## Voraussetzungen
<a name="dhmc-prerequisites"></a>

Um die Standard-Host-Management-Konfiguration in der AWS-Region und an der AWS-Konto Stelle zu verwenden, an der Sie die Einstellung aktivieren, müssen die folgenden Anforderungen erfüllt sein.
+ Eine zu verwaltende Instanz muss den Instanz-Metadatendienst Version 2 (IMDSv2) verwenden.

  Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 Version 2 finden Sie unter [Übergang zur Verwendung von Instance Metadata Service Version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) im *Amazon EC2 EC2-Benutzerhandbuch*
+ SSM Agent-Version 3.2.582.0 oder höher muss auf der zu verwaltenden Instance installiert sein.

  Informationen zur Überprüfung der auf Ihrer Instance installierten Version von SSM Agent finden Sie unter [Überprüfen der SSM Agent-Versionsnummer](ssm-agent-get-version.md).

  Weitere Informationen zur Aktualisierung von SSM Agent finden Sie unter [Automatische Aktualisierung von SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console).
+ Sie als Administrator, der die Aufgaben in diesem Thema ausführt, benötigen Berechtigungen für die [GetServiceSetting[UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)API-Operationen [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html), und. Darüber hinaus müssen Sie über Berechtigungen für die `iam:PassRole`-Berechtigung für die `AWSSystemsManagerDefaultEC2InstanceManagementRole`-IAM-Rolle verfügen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die diese Berechtigungen vorsieht. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ssm:GetServiceSetting",
                  "ssm:ResetServiceSetting",
                  "ssm:UpdateServiceSetting"
              ],
              "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
          },
          {
              "Effect": "Allow",
              "Action": [
                  "iam:PassRole"
              ],
              "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
              "Condition": {
                  "StringEquals": {
                      "iam:PassedToService": [
                          "ssm.amazonaws.com"
                      ]
                  }
              }
          }
      ]
  }
  ```

------
+ Wenn ein IAM-Instance-Profil bereits mit einer mit Systems Manager zu verwaltenden EC2 Instance verknüpft ist, müssen Sie alle Berechtigungen entfernen, die die `ssm:UpdateInstanceInformation`-Operation zulassen. SSM Agent versucht, die Berechtigungen des Instance-Profils zu verwenden, bevor Sie die Berechtigungen der Standardkonfiguration für die Host-Verwaltung verwenden. Wenn Sie die `ssm:UpdateInstanceInformation`-Operation in Ihrem eigenen IAM-Instance-Profil zulassen, wird die Instance die Berechtigungen der Standardkonfiguration für die Host-Verwaltung nicht verwenden.

## Die Umgebung der Standardkonfiguration für die Host-Verwaltung aktivieren
<a name="dhmc-activate"></a>

Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder aktivieren AWS Tools for Windows PowerShell.

Sie müssen die Standardkonfiguration für die Hostverwaltung einzeln in jeder Region aktivieren, in der Ihre Amazon-EC2-Instances mit dieser Einstellung verwaltet werden sollen.

Nachdem Sie die Standardkonfiguration für die Hostverwaltung aktiviert haben, kann es bis zu 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der Rolle verwenden, die Sie im folgenden Verfahren in Schritt 5 ausgewählt haben.

**So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie im **Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung konfigurieren**.

1. Aktivieren Sie **Standardkonfiguration für die Host-Verwaltung aktivieren**.

1. Wählen Sie die AWS Identity and Access Management (IAM) -Rolle aus, die verwendet wird, um die Systems Manager Manager-Tools für Ihre Instances zu aktivieren. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Sie enthält die Mindestberechtigungen für die Verwaltung Ihrer Amazon-EC2-Instances mit Systems Manager. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen. 

1. Wählen Sie **Konfigurieren**, um die Einrichtung abzuschließen. 

**So aktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)**

1. Erstellen Sie auf Ihrem lokalen Computer eine JSON-Datei, die die folgende Vertrauensbeziehungsrichtlinie enthält.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement":[
           {
               "Sid":"",
               "Effect":"Allow",
               "Principal":{
                   "Service":"ssm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie je nach Betriebssystemtyp Ihres lokalen Computers einen der folgenden Befehle aus, um eine Servicerolle in Ihrem Konto zu erstellen. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ Linux & macOS ]

   ```
   aws iam create-role \
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
   --path /service-role/ \
   --assume-role-policy-document file://trust-policy.json
   ```

------
#### [ Windows ]

   ```
   aws iam create-role ^
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
   --path /service-role/ ^
   --assume-role-policy-document file://trust-policy.json
   ```

------
#### [ PowerShell ]

   ```
   New-IAMRole `
   -RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
   -Path "/service-role/" `
   -AssumeRolePolicyDocument "file://trust-policy.json"
   ```

------

1. Führen Sie den folgenden Befehl aus, um Ihrer neu erstellten Rolle die von `AmazonSSMManagedEC2InstanceDefaultPolicy` verwaltete Richtlinie anzufügen. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
   --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
   --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
   --role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ PowerShell ]

   ```
   Register-IAMRolePolicy `
   -PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
   -RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"
   ```

------

1. Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
   --setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
   --setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMServiceSetting `
   -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
   -SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
   ```

------

   Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

1. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für die Standard-Hostverwaltungskonfiguration im aktuellen AWS-Konto und anzuzeigen AWS-Region.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
   --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMServiceSetting `
   -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
   ```

------

   Der Befehl gibt Informationen wie die folgenden zurück.

   ```
   {
       "ServiceSetting": {
           "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
           "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
           "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
           "LastModifiedUser": "System",
           "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
           "Status": "Custom"
       }
   }
   ```

## Die Umgebung der Standardkonfiguration für die Host-Verwaltung deaktivieren
<a name="dhmc-deactivate"></a>

Sie können die Standard-Host-Management-Konfiguration von der Fleet Manager Konsole aus oder mithilfe von AWS Command Line Interface oder deaktivieren AWS Tools for Windows PowerShell.

Sie müssen die Einstellung Standardmäßige Hostverwaltungskonfiguration nacheinander in jeder Region deaktivieren, in der Ihre Amazon-EC2-Instances nicht mehr von dieser Konfiguration verwaltet werden sollen. Wenn Sie sie in einer Region deaktivieren, wird sie nicht in allen Regionen deaktiviert.

Wenn Sie die Standardkonfiguration für die Host-Verwaltung ausschalten und Ihren Amazon-EC2-Instances kein Instance-Profil zugeordnet haben, das den Zugriff auf Systems Manager ermöglicht, werden diese nicht mehr von Systems Manager verwaltet. 

**So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Konsole)**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie im **Kontoverwaltung, Standardkonfiguration für die Host-Verwaltung**.

1. Deaktivieren Sie **Einstellung der Standardkonfiguration für die Host-Verwaltung aktivieren**.

1. Wählen Sie **Konfigurieren**, um die Standardkonfiguration für die Host-Verwaltung zu deaktivieren.

**So deaktivieren Sie die Standardkonfiguration für die Host-Verwaltung (Befehlszeile)**
+ Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ Linux & macOS ]

  ```
  aws ssm reset-service-setting \
  --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
  ```

------
#### [ Windows ]

  ```
  aws ssm reset-service-setting ^
  --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
  ```

------
#### [ PowerShell ]

  ```
  Reset-SSMServiceSetting `
  -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
  ```

------

## Beispiele für Richtlinien mit den geringsten Berechtigungen für die Standardkonfiguration für die Host-Verwaltung
<a name="least-privilege-examples"></a>

Die folgenden Beispielrichtlinien zeigen, wie Sie verhindern können, dass Mitglieder Ihrer Organisation Änderungen an der Standardkonfiguration für die Host-Verwaltung in Ihrem Konto vornehmen.

### Richtlinie zur Dienststeuerung für AWS Organizations
<a name="scp-organizations"></a>

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass Mitglieder, die keine Administratorrechte haben, Ihre AWS Organizations Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        }
    ]
}
```

------

### Richtlinie für IAM-Prinzipale
<a name="iam-principals-policy"></a>

Die folgende Richtlinie zeigt, wie Sie verhindern können, dass IAM-Gruppen, -Rollen oder Benutzer in AWS Organizations Ihrem Unternehmen Ihre Einstellung für die Standard-Host-Management-Konfiguration aktualisieren. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}
```

------

# Eine Verbindung zu einer von Windows Server verwalteten Instance mit Remote Desktop herstellen
<a name="fleet-manager-remote-desktop-connections"></a>

Sie könnenFleet Manager, ein Tool in, verwenden AWS Systems Manager, um mithilfe von (RDP) eine Verbindung zu Ihren Windows Server Amazon Elastic Compute Cloud (Amazon EC2) -Instances herzustellen. Remote Desktop Protocol Fleet Manager Remote Desktop, das von [Amazon DCV](https://docs.aws.amazon.com/dcv/latest/adminguide/what-is-dcv.html) unterstützt wird, bietet Ihnen eine sichere Verbindung zu Ihren Windows Server-Instances direkt von der Systems-Manager-Konsole aus. Sie können bis zu vier gleichzeitige Verbindungen in einem einzigen Browserfenster haben.

Die Fleet Manager Remote Desktop API trägt den Namen AWS Systems Manager GUI Connect. Informationen zur Verwendung der GUI Connect API in Systems Manager finden Sie in der *[API-Referenz für AWS Systems Manager GUI Connect](https://docs.aws.amazon.com/ssm-guiconnect/latest/APIReference)*.

Sie können Remote Desktop nur mit Instances verwenden, auf denen Windows Server 2012 RTM oder höher ausgeführt wird. Remote Desktop unterstützt nur englischsprachige Eingaben. 

Fleet Manager Remote Desktop ist ein Service, der nur für Konsolen verfügbar ist und keine Befehlszeilenverbindungen zu Ihren verwalteten Instances unterstützt. Um über eine Shell eine Verbindung zu einer von Windows Server verwalteten Instance herzustellen, können Sie Session Manager verwenden, ein weiteres Tool in AWS Systems Manager. Weitere Informationen finden Sie unter [AWS Systems Manager Session Manager](session-manager.md).

**Anmerkung**  
Die Dauer einer RDP-Verbindung wird nicht durch die Dauer Ihrer AWS Identity and Access Management (IAM)-Anmeldeinformationen bestimmt. Die Verbindung bleibt bestehen, bis die maximale Verbindungsdauer oder das Leerlaufzeitlimit erreicht ist, je nachdem, was zuerst eintritt. Weitere Informationen finden Sie unter [Dauer und Gleichzeitigkeit der Remoteverbindung](#rdp-duration-concurrency).

Informationen zur Konfiguration von AWS Identity and Access Management (IAM) -Berechtigungen, damit Ihre Instances mit Systems Manager interagieren können, finden [Sie unter Instanzberechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md).

**Topics**
+ [Einrichten Ihrer Umgebung](#rdp-prerequisites)
+ [Konfiguration von IAM-Berechtigungen für Remote Desktop](#rdp-iam-policy-examples)
+ [Authentifizierung von Remote-Desktop-Verbindungen](#rdp-authentication)
+ [Dauer und Gleichzeitigkeit der Remoteverbindung](#rdp-duration-concurrency)
+ [Systems Manager GUI Connect, Umgang mit AWS IAM Identity Center Attributen](#iam-identity-center-attribute-handling)
+ [Verbindung zu einem verwalteten Knoten über Remote Desktop](#rdp-connect-to-node)
+ [Anzeigen von Informationen über aktuelle und abgeschlossene Verbindungen](#list-connections)

## Einrichten Ihrer Umgebung
<a name="rdp-prerequisites"></a>

Vergewissern Sie sich vor der Verwendung von Remote Desktop, dass Ihre Umgebung die folgenden Anforderungen erfüllt:
+ **Konfiguration von verwalteten Knoten**

  Stellen Sie sicher, dass Ihre Amazon-EC2-Instances als [verwaltete Knoten](fleet-manager-managed-nodes.md) in Systems Manager konfiguriert sind.
+ **SSM Agent-Mindestversion**

  Stellen Sie sicher, dass auf den Knoten SSM Agent-Version 3.0.222.0 oder höher ausgeführt wird. Hinweise dazu, wie Sie überprüfen können, welche Agentenversion auf einem Knoten läuft, finden Sie unter [Überprüfen der SSM Agent-Versionsnummer](ssm-agent-get-version.md). Informationen über das Installieren oder Aktualisieren von SSM Agent finden Sie unter [Arbeiten mit SSM Agent](ssm-agent.md).
+ **Konfiguration des RDP-Ports**

  Um Remote-Verbindungen zu akzeptieren, muss der Remote Desktop Services-Service auf Ihren Windows Server-Knoten den Standard-RDP-Port 3389 verwenden. Dies ist die Standardkonfiguration von AWS on Amazon Machine Images (AMIs). Sie müssen nicht explizit irgendwelche eingehenden Ports öffnen, um Remote Desktop zu verwenden.
+ **PSReadLine-Modulversion für Tastaturfunktionen**

  Um sicherzustellen, dass Ihre Tastatur in PowerShell ordnungsgemäß funktioniert, stellen Sie sicher, dass auf den Knoten, auf denen Windows Server-2022 läuft, die PSReadLine-Modulversion 2.2.2 oder höher installiert ist. Wenn sie eine ältere Version verwenden, können Sie die erforderliche Version mit den folgenden Befehlen installieren.

  ```
  Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force
  ```

  Führen Sie nach der Installation des NuGet Paketanbieters den folgenden Befehl aus.

  ```
  Install-Module `
   -Name PSReadLine `
   -Repository PSGallery `
   -MinimumVersion 2.2.2 -Force
  ```
+ **Session-Manager-Konfiguration**

  Bevor Sie Remote Desktop verwenden können, müssen Sie die Voraussetzungen für die Einrichtung von Session Manager erfüllen. Wenn Sie über Remote Desktop eine Verbindung zu einer Instanz herstellen, AWS-Region werden alle für Sie AWS-Konto definierten Sitzungseinstellungen angewendet. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
**Anmerkung**  
Wenn Sie die Aktivitäten von Session Manager mit Amazon Simple Storage Service (Amazon S3) protokollieren, dann erzeugen Ihre Remotedesktop-Verbindungen den folgenden Fehler in `bucket_name/Port/stderr`. Dieser Fehler ist ein erwartetes Verhalten und kann ignoriert werden.  

  ```
  Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
  <ClientErrorMessage>Session is already terminated</ClientErrorMessage>
  </BadRequest>
  ```

## Konfiguration von IAM-Berechtigungen für Remote Desktop
<a name="rdp-iam-policy-examples"></a>

Zusätzlich zu den erforderlichen IAM-Berechtigungen für Systems Manager und Session Manager, muss der Benutzer oder die Rolle, die Sie verwenden, über Berechtigungen zum Initiieren von Verbindungen verfügen.

**Berechtigungen für das Initiieren von Verbindungen**  
Um RDP-Verbindungen zu EC2-Instances in der Konsole herzustellen, sind die folgenden Berechtigungen erforderlich:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`

**Berechtigungen zum Auflisten von Verbindungen**  
Um Verbindungslisten in der Konsole anzuzeigen, ist die folgende Berechtigung erforderlich:

`ssm-guiconnect:ListConnections`

Im Folgenden finden Sie Beispiele für IAM-Richtlinien, die Sie einem Benutzer oder einer Rolle zuordnen können, um verschiedene Arten der Interaktion mit Remote Desktop zu erlauben. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.

### Standardrichtlinie für die Verbindung mit EC2-Instances
<a name="standard-policy"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Richtlinie für die Verbindung mit EC2-Instances mit bestimmten Tags
<a name="tag-policy"></a>

**Anmerkung**  
In der folgenden IAM-Richtlinie benötigt der `SSMStartSession`-Abschnitt einen Amazon-Ressourcennamen (ARN) für die Aktion `ssm:StartSession`. Wie gezeigt, benötigt der von Ihnen angegebene ARN *keine* AWS-Konto ID. Wenn Sie eine Konto-ID angeben, gibt Fleet Manager `AccessDeniedException` zurückgegeben.  
Der `AccessTaggedInstances` Abschnitt, der sich weiter unten in der Beispielrichtlinie befindet, erfordert ebenfalls ARNs für`ssm:StartSession`. Für diese ARNs geben Sie an AWS-Konto IDs.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Richtlinie für AWS IAM Identity Center Benutzer, um eine Verbindung zu EC2-Instances herzustellen
<a name="sso-policy"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Authentifizierung von Remote-Desktop-Verbindungen
<a name="rdp-authentication"></a>

Wenn Sie eine Remote-Verbindung herstellen, können Sie sich mit Windows-Anmeldeinformationen oder dem Amazon-EC2-Schlüsselpaar (`.pem`-Datei) authentifizieren, das der Instance zugeordnet ist. Weitere Informationen zur Verwendung von Schlüsselpaaren finden Sie unter [Amazon-EC2-Schlüsselpaare und Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html) im *Amazon-EC2-Benutzerhandbuch*.

Wenn Sie für die AWS-Managementkonsole Nutzung authentifiziert sind, können Sie alternativ eine Verbindung zu Ihren Instances herstellen AWS IAM Identity Center, ohne zusätzliche Anmeldeinformationen angeben zu müssen. Ein Beispiel für eine Richtlinie, die die Authentifizierung von Fernverbindungen mit IAM Identity Center erlaubt, finden Sie unter [Konfiguration von IAM-Berechtigungen für Remote Desktop](#rdp-iam-policy-examples). 

**Bevor Sie beginnen**  
Beachten Sie die folgenden Bedingungen für die Verwendung der IAM Identity Center-Authentifizierung, bevor Sie eine Verbindung über Remote Desktop herstellen.
+ Remote Desktop unterstützt die IAM Identity Center-Authentifizierung für Knoten in derselben AWS-Region , in der Sie IAM Identity Center aktiviert haben.
+ Remote Desktop unterstützt IAM Identity Center-Benutzernamen mit bis zu 16 Zeichen. 
+ Remote Desktop unterstützt IAM Identity Center-Benutzernamen, die aus alphanumerischen Zeichen und den folgenden Sonderzeichen bestehen: `.` `-` `_`
**Wichtig**  
Für IAM-Identity-Center-Benutzernamen, die die folgenden Zeichen enthalten, können keine Verbindungen hergestellt werden: `+` `=` `,`   
IAM Identity Center unterstützt diese Zeichen in Benutzernamen, Fleet Manager-RDP-Verbindungen jedoch nicht.  
Wenn darüber hinaus ein IAM-Identity-Center-Benutzername ein oder mehrere `@`-Symbole enthält, ignoriert Fleet Manager das erste `@`-Symbol und alle darauf folgenden Zeichen, unabhängig davon, ob das `@` den Domainteil einer E-Mail-Adresse einleitet oder nicht. Für den IAM Identity Center-Benutzernamen `diego_ramirez@example.com` wird der `@example.com`-Teil beispielsweise ignoriert und der Benutzername für Fleet Manager wird `diego_ramirez`. Für `diego_r@mirez@example.com` ignoriert Fleet Manager `@mirez@example.com` und der Benutzername für Fleet Manager wird `diego_r`.
+ Wenn eine Verbindung mit IAM Identity Center authentifiziert wird, erstellt Remote Desktop einen lokalen Windows-Benutzer in der Gruppe Lokale Administratoren der Instance. Dieser Benutzer bleibt bestehen, nachdem die Remoteverbindung beendet wurde. 
+ Remote Desktop erlaubt keine IAM Identity Center-Authentifizierung für Knoten, die Microsoft Active Directory-Domain-Controller sind.
+ Obwohl Remote Desktop die Verwendung der IAM Identity Center-Authentifizierung für Knoten, die einer Active Directory-Domain *angeschlossen* sind, ermöglicht, raten wir davon ab, dies zu tun. Diese Authentifizierungsmethode gewährt Benutzern administrative Berechtigungen, die restriktivere, von der Domain gewährte Berechtigungen außer Kraft setzen können.

**Unterstützte Regionen für die IAM Identity Center-Authentifizierung**  
Remote Desktop-Verbindungen, die die IAM Identity Center-Authentifizierung verwenden, werden in den folgenden AWS-Regionen unterstützt:
+ USA Ost (Ohio): (us-east-2)
+ USA Ost (Nord-Virginia): (us-east-1)
+ USA West (Nordkalifornien) (us-west-1)
+ USA West (Oregon): (us-west-2)
+ Afrika (Kapstadt) (af-south-1)
+ Asien-Pazifik (Hongkong) (ap-east-1)
+ Asien-Pazifik (Mumbai): (ap-south-1)
+ Asien-Pazifik (Tokyo) (ap-northeast-1)
+ Asien-Pazifik (Seoul): (ap-northeast-2)
+ Asien-Pazifik (Osaka) (ap-northeast-3)
+ Asien-Pazifik (Singapur): (ap-southeast-1)
+ Asien-Pazifik (Sydney): (ap-southeast-2)
+ Asien-Pazifik (Jakarta) (ap-southeast-3)
+ Kanada (Zentral): (ca-central-1)
+ Europa (Frankfurt) (eu-central-1)
+ Europa (Stockholm) (eu-north-1)
+ Europa (Irland) (eu-west-1)
+ Europa (London) (eu-west-2)
+ Europa (Paris) (eu-west-3)
+ Israel (Tel Aviv) (il-central-1)
+ Südamerika (São Paulo) (sa-east-1)
+ Europa (Mailand) (eu-south-1)
+ Naher Osten (Bahrain) (me-south-1)
+ AWS GovCloud (US-Ost) (us-gov-east-1)
+ AWS GovCloud (US-West) (us-gov-west-1)

## Dauer und Gleichzeitigkeit der Remoteverbindung
<a name="rdp-duration-concurrency"></a>

Die folgenden Bedingungen gelten für aktive Remote-Desktop-Verbindungen:
+ **Verbindungsdauer**

  Standardmäßig wird eine Remote-Desktop-Verbindung nach 60 Minuten getrennt. Um zu verhindern, dass eine Verbindung getrennt wird, können Sie die Option **Sitzung erneuern** wählen, bevor sie getrennt wird, um den Timer für die Verbindungsdauer zurückzusetzen.
+ **Verbindungstimeout**

  Eine Remote-Desktop-Verbindung wird getrennt, nachdem sie länger als 10 Minuten inaktiv war.
+ **Verbindungspersistenz**

  Nachdem Sie mit Remote Desktop eine Verbindung zu Windows Server hergestellt haben, bleibt die Verbindung bestehen, bis die maximale Verbindungsdauer (60 Minuten) oder das Leerlaufzeitlimit (10 Minuten) erreicht ist. Die Verbindungsdauer wird nicht durch die Dauer Ihrer AWS Identity and Access Management (IAM-) Anmeldeinformationen bestimmt. Die Verbindung bleibt auch nach Ablauf der IAM-Anmeldeinformationen bestehen, bis die maximale Verbindungsdauer erreicht wird. Wenn Sie Remote Desktop verwenden, sollten Sie Ihre Verbindung nach Ablauf Ihrer IAM-Anmeldeinformationen beenden, indem Sie die Browserseite verlassen.
+ **Gleichzeitige Verbindungen**

  Standardmäßig können Sie für dasselbe und maximal 5 aktive Remotedesktopverbindungen gleichzeitig AWS-Konto haben. AWS-Region Informationen zum Beantragen einer Erhöhung der Service Quotas um bis zu 50 gleichzeitige Verbindungen finden Sie unter [Eine Erhöhung der *Kontingente beantragen im Benutzerhandbuch für Servicekontingenten*](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).
**Anmerkung**  
Die Standardlizenz für Windows Server ermöglicht zwei gleichzeitige RDP-Verbindungen. Um mehr Verbindungen zu unterstützen, müssen Sie zusätzliche Clientzugriffslizenzen (CALs) von Microsoft oder Microsoft Remote Desktop Services-Lizenzen von erwerben AWS. Weitere Informationen zu zusätzlichen Lizenzen finden Sie in den folgenden Themen:  
[Clientzugriffslizenzen und Verwaltungslizenzen](https://www.microsoft.com/en-us/licensing/product-licensing/client-access-license) auf der Microsoft-Website
[Verwenden benutzerbasierter License-Manager-Abonnements für unterstützte Softwareprodukte](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html) im *Benutzerhandbuch für License Manager*

## Systems Manager GUI Connect, Umgang mit AWS IAM Identity Center Attributen
<a name="iam-identity-center-attribute-handling"></a>

Systems Manager GUI Connect ist die API, die Fleet Manager-Verbindungen zu EC2-Instances mithilfe von RDP unterstützt. Die folgenden IAM-Identity-Center-Benutzerdaten werden nach dem Trennen einer Verbindung beibehalten:
+ `username`

Systems Manager GUI Connect verschlüsselt dieses Identitätsattribut im Ruhezustand Von AWS verwalteter Schlüssel standardmäßig mit einem. Vom Kunden verwaltete Schlüssel werden für die Verschlüsselung dieses Attributs in Systems Manager GUI Connect nicht unterstützt. Wenn Sie einen Benutzer in Ihrer IAM-Identity-Center-Instance löschen, wird das verknüpfte `username`-Attribut 7 Jahre lang in Systems Manager GUI Connect aufbewahrt und anschließend gelöscht. Diese Daten werden zur Unterstützung von Überwachungsereignissen aufbewahrt, z. B. zur Auflistung des Verbindungsverlaufs von Systems Manager GUI Connect. Die Daten können nicht manuell gelöscht werden.

## Verbindung zu einem verwalteten Knoten über Remote Desktop
<a name="rdp-connect-to-node"></a>

**copy/paste Browser-Unterstützung für Text**  
Mit den Browsern Google Chrome und Microsoft Edge können Sie Text von einem verwalteten Knoten auf Ihren lokalen Computer und von Ihrem lokalen Computer in einen verwalteten Knoten, mit dem Sie verbunden sind, kopieren und einfügen.

Mit dem Mozilla-Firefox-Browser können Sie Text nur von einem verwalteten Knoten auf Ihren lokalen Computer kopieren und einfügen. Das Kopieren von Ihrem lokalen Computer auf den verwalteten Knoten wird nicht unterstützt.

**So stellen Sie über Fleet Manager Remote Desktop eine Verbindung zu einem verwalteten Knoten her**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie den Knoten, zu dem Sie eine Verbindung herstellen möchten. Sie können entweder das Kontrollkästchen oder den Knotennamen auswählen.

1. Wählen Sie im Menü **Knotenaktionen** die Option **Mit Remote Desktop verbinden**.

1. Wählen Sie den gewünschten **Authentication type** (Authentifizierungs-Typ). Wenn Sie **Benutzeranmeldeinformationen** wählen, geben Sie den Benutzernamen und das Passwort für ein Windows-Benutzerkonto auf dem Knoten ein, zu dem Sie eine Verbindung herstellen möchten. Wenn Sie **Schlüsselpaar** wählen, können Sie die Authentifizierung mit einer der folgenden Methoden durchführen:

   1. Wählen Sie **Lokale Maschine durchsuchen**, wenn Sie den mit Ihrer Instance verbundenen PEM-Schlüssel aus Ihrem lokalen Dateisystem auswählen möchten.

      – oder –

   1. Wählen Sie **Schlüsselpaarinhalt einfügen**, wenn Sie den Inhalt der PEM-Datei kopieren und in das vorgesehene Feld einfügen möchten.

1. Wählen Sie **Verbinden** aus.

1. Um Ihre bevorzugte Bildschirmauflösung zu wählen, wählen Sie im Menü **Aktionen** die Option **Auflösungen**, und wählen Sie dann eine der folgenden Optionen:
   + **Automatisch anpassen**
   + **1920 x 1080**
   + **1 400 x 900**
   + **1 366 x 768**
   + **800 x 600**

   Die Option **Automatisch anpassen** legt die Auflösung auf der Grundlage der erkannten Bildschirmgröße fest.

## Anzeigen von Informationen über aktuelle und abgeschlossene Verbindungen
<a name="list-connections"></a>

Sie können den Fleet Manager-Bereich der Systems-Manager-Konsole verwenden, um Informationen zu RDP-Verbindungen anzuzeigen, die in Ihrem Konto hergestellt wurden. Mithilfe einer Reihe von Filtern können Sie die angezeigte Liste der Verbindungen auf einen Zeitraum, eine bestimmte Instance, den Benutzer, der die Verbindungen hergestellt hat, und Verbindungen mit einem bestimmten Status einschränken. Die Konsole bietet auch Registerkarten, auf denen Informationen zu allen derzeit aktiven Verbindungen und allen vergangenen Verbindungen angezeigt werden.

**So zeigen Sie Informationen über aktuelle und abgeschlossene Verbindungen an**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie Kontoverwaltung, Mit Remote Desktop Connect.****

1. Wählen Sie eine der folgenden Registerkarten:
   + **Aktive Verbindungen**
   + **Verlauf der Verbindung**

1. Um die Liste der angezeigten Verbindungsergebnisse weiter einzuschränken, geben Sie einen oder mehrere Filter in das Suchfeld (![\[\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) ein. Sie können auch einen Freitext-Suchbegriff eingeben.

# Verwaltung von Amazon-EBS-Volumes auf verwalteten Instances
<a name="fleet-manager-manage-amazon-ebs-volumes"></a>

[Amazon Elastic Block Store](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) (Amazon EBS) bietet Volumes für die Speicherung auf Blockebene, die in Verbindung mit Instances von Amazon Elastic Compute Cloud (EC2) verwendet werden. EBS-Volumes verhalten sich wie unformatierte Blockgeräte. Sie können diese Volumes als Geräte auf Ihren Instances mounten.

Sie können ein Tool in verwenden Fleet Manager AWS Systems Manager, um Amazon EBS-Volumes auf Ihren verwalteten Instances zu verwalten. Sie können beispielsweise ein EBS-Volume initialisieren, eine Partition formatieren und das Volume mounten, um es für die Nutzung verfügbar zu machen.

**Anmerkung**  
Fleet Manager unterstützt derzeit die Amazon-EBS-Volume-Verwaltung nur für Windows Server-Instances.

## Anzeigen von Details zu EBS-Volumes
<a name="ebs-volume-management-details"></a>

**So zeigen Sie Details für ein EBS-Volume mit Fleet Manager an**

1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben der verwalteten Instance aus, deren EBS-Volumedetails Sie anzeigen möchten.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie **Tools, EBS-Volumes**.

1. Um Details zu einem EBS-Volume anzuzeigen, wählen Sie seine ID in der Spalte **Volume-ID**.

## Initialisieren und Formatieren eines EBS-Volumes
<a name="ebs-volume-management-format"></a>

**So initialisieren und formatieren Sie ein EBS-Volume mit Fleet Manager**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die Schaltfläche neben der verwalteten Instance aus, die Sie initialisieren, formatieren und mounten möchten. Sie können ein EBS-Volume nur initialisieren, wenn sein Datenträger leer ist.

1. Wählen Sie die Option **Details anzeigen** aus.

1. Wählen Sie im Menü **Tools** die Option **EBS-Volumes**.

1. Wählen Sie die Schaltfläche neben dem EBS-Volume, das Sie initialisieren und formatieren möchten.

1. Wählen Sie **Initialisieren und formatieren**.

1. Wählen Sie unter **Partitionsstil** den Partitionsstil aus, den Sie für das EBS-Volume verwenden möchten.

1. (Optional) Wählen Sie einen **Laufwerksbuchstaben** für die Partition.

1. (Optional) Geben Sie einen **Partitionsnamen** ein, um die Partition zu identifizieren.

1. Wählen Sie das **Dateisystem** aus, das zum Organisieren der in der Partition gespeicherten Dateien und Daten verwendet werden soll.

1. Wählen Sie **Bestätigen**, um das EBS-Volume zur Verwendung verfügbar zu machen. Sie können die Partitionskonfiguration AWS-Managementkonsole nach der Bestätigung nicht ändern. Sie können sich jedoch mit SSH oder RDP bei der Instanz anmelden, um die Partitionskonfiguration zu ändern.

# Zugriff auf das Wissensdatenbank-Portal von Red Hat
<a name="fleet-manager-red-hat-knowledge-base-access"></a>

Wenn Sie ein RedHat-Kunde sind AWS Systems Manager, können Sie ein Tool in verwendenFleet Manager, um auf das Knowledge Base-Portal zuzugreifen. Sie gelten als Red-Hat-Kunde, wenn Sie auf AWSRed Hat Enterprise Linux (RHEL)-Instances ausführen oder RHEL-Services verwenden. Das Wissendatenbank-Portal umfasst Binärdateien sowie Wissensaustausch- und Diskussionsforen für Community-Support, die nur von Red Hat lizenzierten Kunden zur Verfügung stehen.

Zusätzlich zu den erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen für Systems Manager und muss der Benutzer oder die RolleFleet Manager, die Sie für den Zugriff auf die Konsole verwenden, der `rhelkb:GetRhelURL` Aktion den Zugriff auf das Knowledge Base-Portal ermöglichen.

**Zugreifen auf das Red-Hat-Knowledgebase-Portal**

1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.

1. Wählen Sie die RHEL-Instance, die Sie verwenden möchten, um sich mit dem Knowledgebase-Portal von Red Hat zu verbinden.

1. Wählen Sie **Kontomanagement**, **Auf Red-Hat-Wissensdatenbank zugreifen**, um die Red-Hat-Wissensdatenbank zu öffnen.

Wenn Sie RHEL on verwenden, AWS um vollständig unterstützte RHEL Workloads auszuführen, können Sie mit Ihren AWS Zugangsdaten auch über die Website von Red Hat auf die Red Hat Knowledge Base zugreifen.

# Problembehandlung bei der Verfügbarkeit verwalteter Knoten
<a name="fleet-manager-troubleshooting-managed-nodes"></a>

Bei verschiedenen AWS Systems Manager Tools wie Run Command DistributorSession Manager, und können Sie die verwalteten Knoten, auf denen Sie einen Vorgang ausführen möchten, manuell auswählen. In solchen Fällen zeigt das System, nachdem Sie angegeben haben, dass Sie Knoten manuell auswählen möchten, eine Liste der verwalteten Knoten an, auf denen Sie die Operation ausführen können.

Dieses Thema liefert Informationen zur Diagnose, warum ein verwalteter Knoten, *für den Sie bestätigt haben, dass er ausgeführt wird*, nicht in Ihren Listen verwalteter Knoten in Systems Manager aufgeführt wird. 

Damit ein Knoten von Systems Manager verwaltet und in Listen verwalteter Knoten verfügbar ist, muss er drei primäre Anforderungen erfüllen:
+ SSM Agent muss auf dem Knoten installiert sein und mit einem unterstützten Betriebssystem ausgeführt werden.
**Anmerkung**  
Einige AWS managed Amazon Machine Images (AMIs) sind so konfiguriert, dass sie Instances mit [SSM Agent](ssm-agent.md)vorinstallierter Installation starten. (Sie können auch ein benutzerdefiniertes AMI zur Vorinstallation von SSM Agent konfigurieren). Weitere Informationen finden Sie unter [Finden Sie AMIs mit dem vorinstallierten SSM Agent](ami-preinstalled-agent.md).
+ Für Amazon Elastic Compute Cloud (Amazon EC2) -Instances müssen Sie ein AWS Identity and Access Management (IAM-) Instance-Profil an die Instance anhängen. Das Instance-Profil ermöglicht es der Instance, mit dem Systems-Manager-Service zu kommunizieren. Wenn Sie der Instance kein Instance-Profil zuweisen, registrieren Sie sie mit einer [Hybrid-Aktivierung](activations.md), was kein übliches Szenario ist.
+ SSM Agent muss in der Lage sein, eine Verbindung zu einem Systems Manager-Endpunkt herzustellen, um sich beim Service zu registrieren. Danach muss der verwaltete Knoten für den Service verfügbar sein, was vom Service bestätigt wird, der alle fünf Minuten ein Signal sendet, um den Zustand der Instance zu überprüfen. 
+ Nachdem der Status eines verwalteten Knotens mindestens 30 Tage lang `Connection Lost` gewesen ist, wird der Knoten möglicherweise nicht mehr in der Fleet Manager-Konsole aufgeführt. Beheben Sie das Problem, das den Verbindungsverlust verursacht hat, um ihn wieder in die Liste aufzunehmen.

Nachdem Sie überprüft haben, dass ein verwalteter Knoten ausgeführt wird, können Sie den folgenden Befehl verwenden, um zu überprüfen, ob SSM Agent erfolgreich beim Systems-Manager-Service registriert wurde. Dieser Befehl gibt keine Ergebnisse zurück, bis eine erfolgreiche Registrierung stattgefunden hat.

------
#### [ Linux & macOS ]

```
aws ssm describe-instance-associations-status \
    --instance-id instance-id
```

------
#### [ Windows ]

```
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
```

------
#### [ PowerShell ]

```
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id
```

------

Wenn die Registrierung erfolgreich war und der verwaltete Knoten jetzt für Systems-Manager-Operationen verfügbar ist, gibt der Befehl ähnliche Ergebnisse wie die folgenden zurück.

```
{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}
```

Wenn die Registrierung noch nicht abgeschlossen wurde oder nicht erfolgreich war, gibt der Befehl ähnliche Ergebnisse wie die folgenden zurück:

```
{
    "InstanceAssociationStatusInfos": []
}
```

Wenn der Befehl nach etwa 5 Minuten keine Ergebnisse zurückgibt, verwenden Sie die folgenden Informationen, um Probleme mit Ihren verwalteten Knoten zu beheben.

**Topics**
+ [Lösung 1: Überprüfen Sie, ob SSM Agent installiert ist und auf dem verwalteten Knoten ausgeführt wird](#instances-missing-solution-1)
+ [Lösung 2: Überprüfen Sie, ob ein IAM-Instance-Profil für die Instance angegeben wurde (nur EC2-Instances)](#instances-missing-solution-2)
+ [Lösung 3: Überprüfen der Konnektivität des Service-Endpunkts](#instances-missing-solution-3)
+ [Lösung 4: Überprüfen der Unterstützung des Zielbetriebssystems](#instances-missing-solution-4)
+ [Lösung 5: Stellen Sie sicher, dass Sie in derselben AWS-Region Amazon EC2 EC2-Instance arbeiten](#instances-missing-solution-5)
+ [Lösung 6: Überprüfen Sie die Proxy-Konfiguration, die Sie auf SSM Agent in Ihrem verwalteten Knoten angewendet haben](#instances-missing-solution-6)
+ [Lösung 7: Installieren eines TLS-Zertifikats auf verwalteten Instances](#hybrid-tls-certificate)
+ [Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit `ssm-cli`](troubleshooting-managed-nodes-using-ssm-cli.md)

## Lösung 1: Überprüfen Sie, ob SSM Agent installiert ist und auf dem verwalteten Knoten ausgeführt wird
<a name="instances-missing-solution-1"></a>

Stellen Sie sicher, dass die neueste Version von SSM Agent auf dem verwalteten Knoten installiert ist und ausgeführt wird.

Informationen zum Feststellen, ob SSM Agent installiert ist und auf einem verwalteten Knoten ausgeführt wird, finden Sie unter [Prüfen des SSM Agent-Status und Starten des Agenten](ssm-agent-status-and-restart.md).

Um SSM Agent auf einem verwalteten Knoten zu installieren bzw. deinstallieren, siehe folgende Themen:
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Linux](manually-install-ssm-agent-linux.md)
+ [So installieren Sie den SSM Agent in Hybrid-Linux-Knoten](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server](manually-install-ssm-agent-windows.md)
+ [So installieren Sie den SSM Agent in Hybrid-Windows-Knoten](hybrid-multicloud-ssm-agent-install-windows.md)

## Lösung 2: Überprüfen Sie, ob ein IAM-Instance-Profil für die Instance angegeben wurde (nur EC2-Instances)
<a name="instances-missing-solution-2"></a>

Vergewissern Sie sich bei Amazon Elastic Compute Cloud (Amazon EC2)-Instances, ob die Instance mit einem AWS Identity and Access Management (IAM)-Instance-Profil konfiguriert ist, das es der Instance erlaubt, mit der Systems-Manager-API zu kommunizieren. Stellen Sie außerdem sicher, dass Ihr Benutzer über eine IAM-Vertrauensrichtlinie verfügt, die es Ihrem Benutzer ermöglicht, mit der Systems-Manager-API zu kommunizieren.

**Anmerkung**  
Lokale Server, Edge-Geräte und virtuelle Maschinen (VMs) verwenden eine IAM-Servicerolle anstelle eines Instanzprofils. Weitere Informationen finden Sie unter [Erstellen der für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderlichen IAM-Servicerolle](hybrid-multicloud-service-role.md).

**So stellen Sie fest, ob ein Instance-Profil mit den nötigen Berechtigungen einer EC2-Instance angefügt ist**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie die Instance, die nach einem Instance-Profil überprüft werden soll.

1. Suchen Sie auf der Registerkarte **Description (Beschreibung)** im unteren Bereich die **IAM-Rolle** und wählen Sie den Namen der Rolle.

1. Vergewissern Sie sich auf der Seite **Summary** des Instance-Profils auf der Registerkarte **Permissions (Berechtigungen)**, dass unter den **Berechtigungsrichtlinien** `AmazonSSMManagedInstanceCore` aufgeführt ist.

   Wenn stattdessen eine benutzerdefinierte Richtlinie verwendet wird, stellen Sie sicher, dass sie dieselben Berechtigungen wie `AmazonSSMManagedInstanceCore` bereitstellt.

   [Öffnen Sie `AmazonSSMManagedInstanceCore` in der Konsole](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore$jsonEditor)

   Informationen über andere Richtlinien, die an ein Instance-Profil für Systems Manager angefügt werden können, finden Sie unter [Konfigurieren von erforderlichen Instances-Berechtigungen für Systems Manager](setup-instance-permissions.md).

## Lösung 3: Überprüfen der Konnektivität des Service-Endpunkts
<a name="instances-missing-solution-3"></a>

Stellen Sie sicher, dass die Instance eine Verbindung zu den Systems Manager Service-Endpunkten hat. Diese Konnektivität wird entweder durch das Erstellen und Konfigurieren von VPC-Endpunkten für Systems Manager oder durch die Genehmigung von ausgehenden HTTPS-Datenverkehr (Port 443) zu den Service-Endpunkten bereitgestellt.

Bei Amazon EC2 EC2-Instances AWS-Region wird der Systems Manager Manager-Serviceendpunkt für die zur Registrierung der Instance verwendet, wenn Ihre Virtual Private Cloud (VPC) -Konfiguration ausgehenden Datenverkehr zulässt. Wenn die VPC-Konfiguration, in der die Instance gestartet wurde, jedoch keinen ausgehenden Datenverkehr zulässt und Sie diese Konfiguration nicht ändern können, um Konnektivität zu den öffentlichen Service-Endpunkten zu erlauben, müssen Sie stattdessen Schnittstellenendpunkte für Ihre VPC konfigurieren.

Weitere Informationen finden Sie unter [Verbessern der Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für](setup-create-vpc.md) Systems Manager.

## Lösung 4: Überprüfen der Unterstützung des Zielbetriebssystems
<a name="instances-missing-solution-4"></a>

Stellen Sie sicher, dass die ausgewählte Operation für den Typ von verwalteten Knoten ausgeführt werden kann, den Sie in der Liste erwarten. Einige Systems Manager-Vorgänge können nur auf Windows-Instanceen oder nur auf Linux-Instances abzielen. Zum Beispiel können die Systems Manager (SSM) Dokumente `AWS-InstallPowerShellModule` und `AWS-ConfigureCloudWatch` nur auf Windows-Instances ausgeführt werden. Wenn Sie auf der Seite **Run a command (Ausführen eines Befehls)** eines dieser Dokumente auswählen und die Option **Choose instances manually (Instancen manuell auswählen)** wählen, werden nur Ihre Windows-Instances aufgelistet und stehen zur Auswahl.

## Lösung 5: Stellen Sie sicher, dass Sie in derselben AWS-Region Amazon EC2 EC2-Instance arbeiten
<a name="instances-missing-solution-5"></a>

Amazon EC2 EC2-Instances werden in bestimmten Regionen erstellt und sind verfügbar AWS-Regionen, z. B. in der Region USA Ost (Ohio) (us-east-2) oder Europa (Irland) (eu-west-1). Stellen Sie sicher, dass Sie in derselben AWS-Region Amazon EC2 EC2-Instance arbeiten, mit der Sie arbeiten möchten. Weitere Informationen dazu erhalten Sie unter [Choosing a Region (Region wählen)](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region) in *Getting Started with the AWS-Managementkonsole*.

## Lösung 6: Überprüfen Sie die Proxy-Konfiguration, die Sie auf SSM Agent in Ihrem verwalteten Knoten angewendet haben
<a name="instances-missing-solution-6"></a>

Überprüfen Sie, ob die Proxy-Konfiguration, die Sie auf SSM Agent in Ihrem verwalteten Knoten angewendet haben, korrekt ist. Wenn die Proxy-Konfiguration falsch ist, kann der Knoten keine Verbindung zu den erforderlichen Service-Endpunkten herstellen, oder Systems Manager identifiziert möglicherweise das Betriebssystem des verwalteten Knotens falsch. Weitere Informationen erhalten Sie unter [Konfigurieren Sie SSM Agent, um einen Proxy in Linux-Knoten zu verwenden](configure-proxy-ssm-agent.md) und [Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances](configure-proxy-ssm-agent-windows.md).

## Lösung 7: Installieren eines TLS-Zertifikats auf verwalteten Instances
<a name="hybrid-tls-certificate"></a>

Auf jeder verwalteten Instance, die Sie verwenden, muss ein Transport Layer Security (TLS) -Zertifikat installiert sein. AWS Systems Manager AWS-Services Verwenden Sie diese Zertifikate, um Anrufe an andere AWS-Services zu verschlüsseln.

Auf jeder Amazon-EC2-Instance, die aus einem Amazon Machine Image (AMI) erstellt wurde, ist standardmäßig bereits ein TLS-Zertifikat installiert. Die meisten modernen Betriebssysteme enthalten das erforderliche TLS-Zertifikat von Amazon Trust Services CAs in ihrem Trust Store.

Um zu überprüfen, ob das erforderliche Zertifikat auf Ihrer Instance installiert ist, führen Sie den folgenden Befehl basierend auf dem Betriebssystem Ihrer Instance aus. Achten Sie darauf, den *region* Teil der URL durch den Teil zu ersetzen, AWS-Region in dem sich Ihre verwaltete Instance befindet.

------
#### [ Linux & macOS ]

```
curl -L https://ssm.region.amazonaws.com
```

------
#### [ Windows ]

```
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com
```

------

Der Befehl sollte einen `UnknownOperationException`-Fehler zurückgeben. Wenn Sie stattdessen eine SSL/TLS Fehlermeldung erhalten, ist das erforderliche Zertifikat möglicherweise nicht installiert.

Wenn Sie feststellen, AMIs dass die erforderlichen CA-Zertifikate von Amazon Trust Services nicht auf Ihren Basisbetriebssystemen, auf Instances installiert sind, die nicht von Amazon bereitgestellt wurden, oder auf Ihren eigenen lokalen Servern VMs, müssen Sie ein Zertifikat von [Amazon Trust Services](https://www.amazontrust.com/repository/) installieren und zulassen oder AWS Certificate Manager (ACM) verwenden, um Zertifikate für einen unterstützten integrierten Service zu erstellen und zu verwalten.

Auf jeder Ihrer verwalteten Instances muss eines der folgenden Transport Layer Security (TLS)-Zertifikate installiert sein.
+ Amazon Root CA 1
+ Starfield Services Root Certificate Authority – G2
+ Starfield Class 2 Certificate Authority

Informationen zur Verwendung von ACM finden Sie im *[AWS Certificate Manager -Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/)*.

Wenn Zertifikate in Ihrer Datenverarbeitungsumgebung von einem Gruppenrichtlinienobjekt (GPO) verwaltet werden, dann müssen Sie möglicherweise die Gruppenrichtlinie so konfigurieren, dass eines dieser Zertifikate enthalten ist.

Weitere Informationen zu den Amazon Root- und Starfield-Zertifikaten finden Sie im Blogbeitrag [How to Prepare for AWS's Move to Its Own Certificate Authority](https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/).

# Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit `ssm-cli`
<a name="troubleshooting-managed-nodes-using-ssm-cli"></a>

Die `ssm-cli` ist ein eigenständiges Befehlszeilentool, das in der SSM Agent-Installation enthalten ist. Wenn Sie SSM Agent 3.1.501.0 oder höher auf einem Computer installieren, können Sie `ssm-cli`-Befehle auf diesem Computer ausführen. Anhand der Ausgabe dieser Befehle können Sie feststellen, ob der Computer die Mindestanforderungen für eine Amazon EC2 EC2-Instance oder einen Nicht-EC2-Computer erfüllt AWS Systems Manager, von dem er verwaltet werden kann, und daher zu den Listen der verwalteten Knoten in Systems Manager hinzugefügt wird. (SSM AgentVersion 3.1.501.0 wurde im November 2021 veröffentlicht.)

**Mindestanforderungen**  
Damit eine Amazon EC2 EC2-Instance oder ein Nicht-EC2-Computer von AWS Systems Manager verwaltet werden kann und in Listen verwalteter Knoten verfügbar ist, muss sie drei Hauptanforderungen erfüllen:
+ SSM Agent muss auf einer Maschine mit einem [unterstützten Betriebssystem](operating-systems-and-machine-types.md#prereqs-operating-systems) installiert sein und laufen.

  Einige AWS managed Amazon Machine Images (AMIs) für EC2 sind so konfiguriert, dass sie Instances mit vorinstallierter Installation starten. [SSM Agent](ssm-agent.md) (Sie können auch ein benutzerdefiniertes AMI zur Vorinstallation von SSM Agent konfigurieren). Weitere Informationen finden Sie unter [Finden Sie AMIs mit dem vorinstallierten SSM Agent](ami-preinstalled-agent.md).
+ Ein AWS Identity and Access Management (IAM-) Instanzprofil (für EC2-Instances) oder eine IAM-Servicerolle (für Nicht-EC2-Maschinen), das die erforderlichen Berechtigungen für die Kommunikation mit dem Systems Manager Manager-Dienst bereitstellt, muss an den Computer angehängt werden.
+ SSM Agent muss in der Lage sein, eine Verbindung zu einem Systems-Manager-Endpunkt herzustellen, um sich beim Service anzumelden. Danach muss der verwaltete Knoten für den Service verfügbar sein, was vom Service bestätigt wird, der alle fünf Minuten ein Signal sendet, um den Zustand des verwalteten Knoten zu überprüfen.

**Vorkonfigurierte Befehle in `ssm-cli`**  
Es sind vorkonfigurierte Befehle enthalten, die die erforderlichen Informationen sammeln, um Ihnen bei der Diagnose zu helfen, warum eine Maschine, von der Sie bestätigt haben, dass sie läuft, nicht in Ihrer Liste der verwalteten Knoten in Systems Manager enthalten ist. Diese Befehle werden ausgeführt, wenn Sie die `get-diagnostics`-Option angeben.

Führen Sie auf der Maschine den folgenden Befehl aus, um `ssm-cli` für die Problembehebung in Bezug auf die Verfügbarkeit der verwalteten Knoten zu verwenden. 

------
#### [ Linux & macOS ]

```
ssm-cli get-diagnostics --output table
```

------
#### [ Windows ]

In Windows Server-Maschinen müssen Sie zum `C:\Program Files\Amazon\SSM`-Verzeichnis navigieren, bevor Sie den Befehl ausführen.

```
ssm-cli.exe get-diagnostics --output table
```

------
#### [ PowerShell ]

Auf Windows Server-Maschinen müssen Sie zum `C:\Program Files\Amazon\SSM`-Verzeichnis navigieren, bevor Sie den Befehl ausführen.

```
.\ssm-cli.exe get-diagnostics --output table
```

------

Der Befehl liefert eine Ausgabe in Form einer Tabelle ähnlich der folgenden. 

**Anmerkung**  
Konnektivitätsprüfungen zu den `monitoring` Endpunkten `ssmmessages` `s3``kms`,`logs`,, und dienen zusätzlichen optionalen Funktionen, z. B. Session Manager die Möglichkeit, sich bei Amazon Simple Storage Service (Amazon S3) oder Amazon CloudWatch Logs zu protokollieren und AWS Key Management Service (AWS KMS) -Verschlüsselung zu verwenden.

------
#### [ Linux & macOS ]

```
[root@instance]# ssm-cli get-diagnostics --output table
┌───────────────────────────────────────┬─────────┬───────────────────────────────────────────────────────────────────────┐
│ Check                                 │ Status  │ Note                                                                  │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ EC2 IMDS                              │ Success │ IMDS is accessible and has instance id i-0123456789abcdefa in Region  │
│                                       │         │ us-east-2                                                             │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Hybrid instance registration          │ Skipped │ Instance does not have hybrid registration                            │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssm endpoint          │ Success │ ssm.us-east-2.amazonaws.com is reachable                              │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ec2messages endpoint  │ Success │ ec2messages.us-east-2.amazonaws.com is reachable                      │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssmmessages endpoint  │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable                      │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to s3 endpoint           │ Success │ s3.us-east-2.amazonaws.com is reachable                               │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to kms endpoint          │ Success │ kms.us-east-2.amazonaws.com is reachable                              │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to logs endpoint         │ Success │ logs.us-east-2.amazonaws.com is reachable                             │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to monitoring endpoint   │ Success │ monitoring.us-east-2.amazonaws.com is reachable                       │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ AWS Credentials                       │ Success │ Credentials are for                                                   │
│                                       │         │ arn:aws:sts::123456789012:assumed-role/Fullaccess/i-0123456789abcdefa │
│                                       │         │ and will expire at 2021-08-17 18:47:49 +0000 UTC                      │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Agent service                         │ Success │ Agent service is running and is running as expected user              │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Proxy configuration                   │ Skipped │ No proxy configuration detected                                       │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ SSM Agent version                     │ Success │ SSM Agent version is 3.0.1209.0, latest available agent version is    │
│                                       │         │ 3.1.192.0                                                             │
└───────────────────────────────────────┴─────────┴───────────────────────────────────────────────────────────────────────┘
```

------
#### [ Windows Server and PowerShell ]

```
PS C:\Program Files\Amazon\SSM> .\ssm-cli.exe get-diagnostics --output table      
┌───────────────────────────────────────┬─────────┬─────────────────────────────────────────────────────────────────────┐
│ Check                                 │ Status  │ Note                                                                │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ EC2 IMDS                              │ Success │ IMDS is accessible and has instance id i-0123456789EXAMPLE in       │
│                                       │         │ Region us-east-2                                                    │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Hybrid instance registration          │ Skipped │ Instance does not have hybrid registration                          │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssm endpoint          │ Success │ ssm.us-east-2.amazonaws.com is reachable                            │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ec2messages endpoint  │ Success │ ec2messages.us-east-2.amazonaws.com is reachable                    │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssmmessages endpoint  │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable                    │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to s3 endpoint           │ Success │ s3.us-east-2.amazonaws.com is reachable                             │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to kms endpoint          │ Success │ kms.us-east-2.amazonaws.com is reachable                            │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to logs endpoint         │ Success │ logs.us-east-2.amazonaws.com is reachable                           │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to monitoring endpoint   │ Success │ monitoring.us-east-2.amazonaws.com is reachable                     │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ AWS Credentials                       │ Success │ Credentials are for                                                 │
│                                       │         │  arn:aws:sts::123456789012:assumed-role/SSM-Role/i-123abc45EXAMPLE  │
│                                       │         │  and will expire at 2021-09-02 13:24:42 +0000 UTC                   │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Agent service                         │ Success │ Agent service is running and is running as expected user            │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Proxy configuration                   │ Skipped │ No proxy configuration detected                                     │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Windows sysprep image state           │ Success │ Windows image state value is at desired value IMAGE_STATE_COMPLETE  │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ SSM Agent version                     │ Success │ SSM Agent version is 3.2.815.0, latest agent version in us-east-2   │
│                                       │         │ is 3.2.985.0                                                        │
└───────────────────────────────────────┴─────────┴─────────────────────────────────────────────────────────────────────┘
```

------

Die folgende Tabelle enthält zusätzliche Details für jede der von `ssm-cli` ausgeführten Überprüfungen.


**`ssm-cli`-Diagnoseprüfungen**  

| Check | Details | 
| --- | --- | 
| Amazon-EC2-Instance-Metadaten-Service | Gibt an, ob der verwaltete Knoten den Metadaten-Service erreichen kann. Ein fehlgeschlagener Test deutet auf ein Konnektivitätsproblem zu http://169.254.169.254 hin, das durch das lokale Routing, den Proxy oder die Firewall- und Proxy-Konfigurationen des Betriebssystems verursacht werden kann. | 
| Hybrid-Instance-Registrierung | Zeigt an, ob SSM Agent über eine Hybrid-Aktivierung registriert ist. | 
| Konnektivität mit ssm-Endpunkt | Zeigt an, ob der Knoten in der Lage ist, die Service-Endpunkte für Systems Manager auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, https://ssm.region.amazonaws.com je nachdem AWS-Region , wo sich der Knoten befindet. Konnektivitätsprobleme können durch die VPC-Konfiguration verursacht werden, einschließlich Sicherheitsgruppen, Netzwerkzugriffs-Kontrolllisten, Routing-Tabellen oder OS-Firewalls und Proxys. | 
| Konnektivität mit ec2messages-Endpunkt | Zeigt an, ob der Knoten in der Lage ist, die Service-Endpunkte für Systems Manager auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, https://ec2messages.region.amazonaws.com je nachdem AWS-Region , wo sich der Knoten befindet. Konnektivitätsprobleme können durch die VPC-Konfiguration verursacht werden, einschließlich Sicherheitsgruppen, Netzwerkzugriffs-Kontrolllisten, Routing-Tabellen oder OS-Firewalls und Proxys. | 
| Konnektivität mit ssmmessages-Endpunkt | Zeigt an, ob der Knoten in der Lage ist, die Service-Endpunkte für Systems Manager auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, https://ssmmessages.region.amazonaws.com je nachdem AWS-Region , wo sich der Knoten befindet. Konnektivitätsprobleme können durch die VPC-Konfiguration verursacht werden, einschließlich Sicherheitsgruppen, Netzwerkzugriffs-Kontrolllisten, Routing-Tabellen oder OS-Firewalls und Proxys. | 
| Konnektivität mit s3-Endpunkt | Zeigt an, ob der Knoten in der Lage ist, den Service-Endpunkt für Amazon Simple Storage Service auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, https://s3.region.amazonaws.com je nachdem AWS-Region , wo sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint. | 
| Konnektivität mit kms-Endpunkt |  Gibt an, ob der Knoten den Dienstendpunkt für AWS Key Management Service den TCP-Port 443 erreichen kann. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, `https://kms.region.amazonaws.com` je nachdem AWS-Region , wo sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint.  | 
| Konnektivität mit logs-Endpunkt | Gibt an, ob der Knoten den Service-Endpunkt für Amazon CloudWatch Logs auf TCP-Port 443 erreichen kann. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, https://logs.region.amazonaws.com je nachdem AWS-Region , wo sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint. | 
| Konnektivität mit monitoring-Endpunkt | Gibt an, ob der Knoten den Service-Endpunkt für Amazon CloudWatch auf TCP-Port 443 erreichen kann. Ein fehlgeschlagener Test weist auf Verbindungsprobleme hin, https://monitoring.region.amazonaws.com je nachdem AWS-Region , wo sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint. | 
| AWS Erweitern Sie im angezeigten Detailbereich die Option | Zeigt an, ob SSM Agent über die erforderlichen Anmeldeinformationen auf der Grundlage des IAM-Instance-Profils (für EC2-Instances) oder der IAM-Servicerolle (für Nicht-EC2-Maschinen) verfügt, die mit der Maschine verbunden sind. Ein fehlgeschlagener Test zeigt an, dass der Maschine kein IAM-Instance-Profil oder keine IAM-Servicerolle zugeordnet ist, oder dass sie nicht die erforderlichen Berechtigungen für Systems Manager enthält. | 
| Agent-Service | Zeigt an, ob der SSM Agent-Service läuft und ob der Service als Root für Linux oder macOS bzw. als SYSTEM für Windows Server läuft. Ein fehlgeschlagener Test zeigt an, dass der SSM Agent-Service nicht ausgeführt oder nicht als Root oder SYSTEM ausgeführt wird. | 
| Proxykonfiguration | Gibt an, ob SSM Agent konfiguriert ist, einen Proxy zu verwenden. | 
| Sysprep-Image-Status (nur Windows) | Zeigt den Status von Sysprep auf dem Knoten an. SSM Agent wird nicht auf dem Knoten gestartet, wenn der Sysprep-Status einen anderen Wert als IMAGE\$1STATE\$1COMPLETE hat. | 
| SSM Agent-Version | Zeigt an, ob die neueste verfügbare Version von SSM Agent installiert ist. |