• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle
<a name="hybrid-multicloud-service-role"></a>

Nicht-EC2-Maschinen (Amazon Elastic Compute Cloud) in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) benötigen eine AWS Identity and Access Management (IAM) -Servicerolle, um mit dem Service zu kommunizieren. AWS Systems Manager Die Rolle gewährt AWS -Security-Token-Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) Zugriff auf den Systems Manager-Dienst. Sie müssen nur einmal eine Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung erstellen, und zwar für jedes AWS-Konto. Sie können jedoch mehrere Servicerollen für verschiedene Hybrid- und Multi-Cloud-Aktivierungen erstellen, wenn Maschinen in Ihrer Hybrid-Umgebung unterschiedliche Berechtigungen benötigen.

Im Folgenden wird beschrieben, wie Sie die erforderliche Servicerolle mit der Systems-Manager-Konsole oder Ihrem bevorzugten Befehlszeilen-Tool erstellen.

## Verwenden der AWS-Managementkonsole , um eine IAM-Dienstrolle für Systems Manager Manager-Hybridaktivierungen zu erstellen
<a name="create-service-role-hybrid-activation-console"></a>

Verwenden Sie das folgende Verfahren zum Erstellen einer Servicerolle für eine Hybrid-Aktivierung. Dieses Verfahren verwendet die `AmazonSSMManagedInstanceCore`-Richtlinie für die Kernfunktionalität von Systems Manager. Je nach Anwendungsfall müssen Sie Ihrer Servicerolle möglicherweise zusätzliche Richtlinien hinzufügen, damit Ihre On-Premises-Maschinen auf andere Systems-Manager-Tools oder AWS-Services zugreifen können. Ohne Zugriff auf die erforderlichen AWS verwalteten Amazon Simple Storage Service (Amazon S3) -Buckets schlagen beispielsweise Patch Manager Patch-Vorgänge fehl.

**So erstellen Sie eine -Servicerolle (Konsole)**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

1. Wählen Sie für **Select trusted entity** (Vertrauenswürdige Entität auswählen) die folgenden Optionen:

   1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.

   1. Wählen **Sie **Systems Manager** für Anwendungsfälle für andere AWS-Services**.

   1. Wählen Sie **Systems Manager** aus.

      In der folgenden Abbildung wird die Position der Systems-Manager-Option hervorgehoben.  
![\[Systems Manager ist eine der Optionen für den Anwendungsfall.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Wählen Sie **Weiter** aus. 

1. Gehen Sie auf der Seite **Berechtigungen hinzufügen** wie folgt vor: 
   + Verwenden Sie das **Suchfeld**, um die **SSMManagedInstanceCoreAmazon-Richtlinie** zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen, wie in der folgenden Abbildung gezeigt.   
![\[Das Kontrollkästchen ist in der SSMManagedInstanceCoreAmazon-Zeile aktiviert.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**Anmerkung**  
Die Konsole behält Ihre Auswahl auch dann bei, wenn Sie nach anderen Richtlinien suchen.
   + Wenn Sie im Verfahren [(Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket](setup-instance-permissions.md#instance-profile-custom-s3-policy), eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen.
   + Wenn Sie vorhaben, Nicht-EC2-Computer zu einem Active Directory hinzuzufügen, das von verwaltet wird Directory Service, suchen Sie nach **Amazon SSMDirectory ServiceAccess** und aktivieren Sie das Kontrollkästchen neben dem Namen.
   + Wenn Sie planen, Ihren verwalteten Knoten mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach dem entsprechenden Knoten **CloudWatchAgentServerPolicy**und aktivieren Sie das Kontrollkästchen neben dem Namen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Rollenname** einen Namen für Ihre neue IAM-Serverrolle ein, z. B. **SSMServerRole**.
**Anmerkung**  
Notieren Sie sich den Rollennamen. Sie wählen diese Rolle, wenn Sie neue Maschinen registrieren, die Sie mit Systems Manager verwalten möchten.

1. (Optional) Aktualisieren Sie für **Beschreibung** die Beschreibung für diese IAM-Serverrolle.

1. (Optional) Fügen Sie für **Tags** ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern. 

1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.

## Verwenden der AWS CLI , um eine IAM-Dienstrolle für Systems Manager Manager-Hybridaktivierungen zu erstellen
<a name="create-service-role-hybrid-activation-cli"></a>

Verwenden Sie das folgende Verfahren zum Erstellen einer Servicerolle für eine Hybrid-Aktivierung. Dieses Verfahren verwendet die `AmazonSSMManagedInstanceCore`-Richtlinie für die Kernfunktionalität von Systems Manager. Je nach Anwendungsfall müssen Sie Ihrer Servicerolle für Nicht-EC2-Maschinen in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) möglicherweise zusätzliche Richtlinien hinzufügen, um auf andere Tools oder AWS-Services zugreifen zu können.

**S3-Bucket-Richtlinienanforderung**  
Wenn einer der folgenden Fälle zutrifft, müssen Sie eine benutzerdefinierte IAM-Berechtigungsrichtlinie für Amazon Simple Storage Service (Amazon S3)-Buckets erstellen, bevor Sie dieses Verfahren durchführen:
+ **Fall 1** — Sie verwenden einen VPC-Endpunkt, um Ihre VPC privat mit unterstützten AWS-Services und VPC-Endpunktdiensten zu verbinden, die von unterstützt werden. AWS PrivateLink
+ **Fall 2**: Sie beabsichtigen, einen Amazon-äS3-Bucket zu verwenden, den Sie als Teil Ihrer Systems-Manager-Operationen erstellen, z. B. zum Speichern der Ausgabe für Run Command-Befehle oder Session Manager-Sitzungen in einem S3-Bucket. Bevor Sie fortfahren, befolgen Sie die Schritte unter [Eine benutzerdefinierte S3-Bucket-Richtlinie für ein Instance-Profil erstellen](setup-instance-permissions.md#instance-profile-custom-s3-policy). Die Informationen über S3-Bucket-Richtlinien in diesem Thema gelten auch für Ihre Service-Rolle.

------
#### [ AWS CLI ]

**So erstellen Sie eine IAM-Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung (AWS CLI)**

1. Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.

   Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Erstellen Sie eine Textdatei mit einem Namen wie z. B. `SSMService-Trust.json` mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung `.json` speichern. Stellen Sie sicher, dass Sie Ihre AWS-Konto und die AWS-Region in der ARN angeben, in der Sie Ihre Hybrid-Aktivierung erstellt haben. Ersetzen Sie *placeholder values* die Konto-ID und die Region durch Ihre eigenen Informationen.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"123456789012"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:us-east-1:111122223333:*"
               }
            }
         }
      ]
   }
   ```

------

1. Öffnen Sie die und führen Sie in dem Verzeichnis AWS CLI, in dem Sie die JSON-Datei erstellt haben, den Befehl [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) aus, um die Servicerolle zu erstellen. In diesem Beispiel wird eine Rolle mit dem Namen `SSMServiceRole` erstellt. Sie können auf Wunsch einen anderen Namen wählen.

------
#### [ Linux & macOS ]

   ```
   aws iam create-role \
       --role-name SSMServiceRole \
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------
#### [ Windows ]

   ```
   aws iam create-role ^
       --role-name SSMServiceRole ^
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------

1. Führen Sie den [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)Befehl wie folgt aus, damit die Servicerolle, die Sie gerade erstellt haben, ein Sitzungstoken erstellen kann. Das Sitzungstoken erteilt Ihrem verwalteten Knoten die Berechtigung, Befehle mit Systems Manager auszuführen.
**Anmerkung**  
Die Richtlinien, die Sie für ein Serviceprofil für verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwendet werden. Weitere Informationen zu den AWS -Richtlinien finden Sie unter [Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md).

   (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein verwalteter Knoten die Kernfunktionen des AWS Systems Manager Service nutzen kann.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------

   Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, damit AWS Systems Manager Agent (SSM Agent) auf die Buckets zugreifen kann, die Sie in der Richtlinie angegeben haben. Ersetzen Sie *account-id* und *amzn-s3-demo-bucket* durch Ihre AWS-Konto ID und Ihren Bucket-Namen. 

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
   ```

------

   (Optional) Führen Sie den folgenden Befehl aus, SSM Agent um in Ihrem Namen Directory Service auf Anfragen zum Beitritt zur Domäne durch den verwalteten Knoten zugreifen zu können. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Knoten mit einem Microsoft-AD-Verzeichnis verbinden.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------

   (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren verwalteten Knoten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Knoten zu lesen und darauf zu schreiben CloudWatch. Ihr Serviceprofil benötigt diese Richtlinie nur, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------
#### [ Tools for PowerShell ]

**So erstellen Sie eine IAM-Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung (AWS Tools for Windows PowerShell)**

1. Installieren und konfigurieren Sie die AWS -Tools für PowerShell (Tools für Windows PowerShell), falls Sie dies noch nicht getan haben.

   Weitere Informationen finden Sie unter [Installieren des AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Erstellen Sie eine Textdatei mit einem Namen wie z. B. `SSMService-Trust.json` mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung `.json` speichern. Stellen Sie sicher, dass Sie Ihre AWS-Konto und die AWS-Region in der ARN angeben, in der Sie Ihre Hybrid-Aktivierung erstellt haben.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:ssm:us-east-1:123456789012:*"
                   }
               }
           }
       ]
   }
   ```

------

1. Öffnen Sie PowerShell im Administratormodus und führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, [New- IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html) wie folgt aus, um eine Servicerolle zu erstellen. In diesem Beispiel wird eine Rolle mit dem Namen `SSMServiceRole` erstellt. Sie können auf Wunsch einen anderen Namen wählen.

   ```
   New-IAMRole `
       -RoleName SSMServiceRole `
       -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
   ```

1. Verwenden Sie [Register — IAMRole Policy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html) wie folgt, damit die von Ihnen erstellte Servicerolle ein Sitzungstoken erstellen kann. Das Sitzungstoken erteilt Ihrem verwalteten Knoten die Berechtigung, Befehle mit Systems Manager auszuführen.
**Anmerkung**  
Die Richtlinien, die Sie für ein Serviceprofil für verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung hinzufügen, sind dieselben Richtlinien, die zum Erstellen eines Instance-Profils für EC2-Instances verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten AWS Richtlinien finden [Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen](setup-instance-permissions.md).

   (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein verwalteter Knoten die Kernfunktionen des AWS Systems Manager Service nutzen kann.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

   Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um SSM Agent den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen Sie *account-id* und *my-bucket-policy-name* durch Ihre AWS-Konto ID und Ihren Bucket-Namen. 

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
   ```

   (Optional) Führen Sie den folgenden Befehl aus, SSM Agent um in Ihrem Namen Directory Service auf Anfragen zum Beitritt zur Domäne durch den verwalteten Knoten zugreifen zu können. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Knoten mit einem Microsoft-AD-Verzeichnis verbinden.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

   (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren verwalteten Knoten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Knoten zu lesen und darauf zu schreiben CloudWatch. Ihr Serviceprofil benötigt diese Richtlinie nur, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------

Fahren Sie fort mit [Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren](hybrid-activation-managed-nodes.md).