• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwalten von Knoten in Hybrid- und Multi-Cloud-Umgebungen mit Systems Manager
<a name="systems-manager-hybrid-multicloud"></a>

Sie können AWS Systems Manager damit sowohl Amazon Elastic Compute Cloud (EC2) -Instances als auch eine Reihe von Nicht-EC2-Maschinentypen verwalten. Dieser Abschnitt beschreibt die Einrichtungsaufgaben, die Konto- und Systemadministratoren ausführen, um Nicht-EC2-Maschinen mithilfe von Systems Manager in einer *[Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types)* zu verwalten. Nach Abschluss dieser Schritte können Benutzer, denen der AWS-Konto Administrator Berechtigungen erteilt hat, Systems Manager verwenden, um die Nicht-EC2-Computer ihrer Organisation zu konfigurieren und zu verwalten.

Jede Maschine, die für die Verwendung mit Systems Manager konfiguriert wurde, wird als *verwalteter Knoten* bezeichnet.

**Anmerkung**  
Sie können Edge-Geräte als verwaltete Knoten registrieren, indem Sie die gleichen Hybrid-Aktivierungsschritte wie für andere Nicht-EC2-Maschinen verwenden. Zu diesen Arten von Edge-Geräten gehören sowohl Geräte als auch AWS IoT Geräte, bei denen es sich nicht AWS IoT um Geräte handelt. Verwenden Sie den in diesem Abschnitt beschriebenen Prozess, um diese Arten von Edge-Geräten einzurichten.  
Systems Manager unterstützt auch Edge-Geräte, die AWS IoT Greengrass Core-Software verwenden. Der Einrichtungsprozess und die Anforderungen für AWS IoT Greengrass Core-Geräte unterscheiden sich von denen für Edge-Geräte AWS IoT und Edge-Geräte, bei denen es sich nicht um AWS Edge-Geräte handelt. Informationen zur Registrierung von AWS IoT Greengrass Geräten für die Verwendung mit Systems Manager finden Sie unter[Verwalten von Edge-Geräten mit Systems Manager](systems-manager-setting-up-edge-devices.md).
Nicht-EC2-macOS-Maschinen werden für Hybrid- und Multi-Cloud-Umgebungen von Systems Manager nicht unterstützt.

Wenn Sie Systems Manager verwenden möchten, um Amazon Elastic Compute Cloud (Amazon EC2)-Instances bzw. sowohl Amazon-EC2-Instances und Nicht-EC2-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung zu verwalten, befolgen Sie zunächst die Schritte unter [Verwalten von EC2-Instances mit Systems Manager](systems-manager-setting-up-ec2.md). 

Nachdem Sie Ihre Hybrid- und Multi-Cloud-Umgebung für Systems Manager konfiguriert haben, können Sie Folgendes tun: 
+ Erstellen Sie eine konsistente und sichere Möglichkeit, Hybrid- und Multi-Cloud-Workloads mit denselben Tools oder Skripts von einem Remote-Standort aus zu verwalten.
+ Zentralisieren Sie die Zugriffskontrolle für Aktionen, die auf Ihren Computern mithilfe von AWS Identity and Access Management (IAM) ausgeführt werden können.
+ Zentralisieren Sie die Überwachung der auf Ihren Maschinen durchgeführten Vorgänge, indem Sie die in AWS CloudTrail aufgezeichnete API-Aktivität anzeigen.

  Informationen CloudTrail zur Überwachung von Systems Manager Manager-Aktionen finden Sie unter[AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ Zentralisieren Sie die Überwachung, indem Sie Amazon EventBridge und Amazon Simple Notification Service (Amazon SNS) so konfigurieren, dass Benachrichtigungen über die erfolgreiche Ausführung des Dienstes gesendet werden.

  Informationen EventBridge zur Überwachung von Systems Manager Manager-Ereignissen finden Sie unter[Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge](monitoring-eventbridge-events.md).

**Informationen zu verwalteten Knoten**  
*Nachdem Sie die Konfiguration Ihrer Nicht-EC2-Computer für Systems Manager wie in diesem Abschnitt beschrieben abgeschlossen haben, werden Ihre hybridaktivierten Maschinen in den Knoten aufgeführt AWS-Managementkonsole und als verwaltete Knoten beschrieben.* In der Konsole werden die IDs Ihrer hybrid-aktivierten verwalteten Knoten allerdings mit dem Präfix „mi-“ von Amazon-EC2-Instances unterschieden. Amazon EC2 EC2-Instances IDs verwenden das Präfix „i-“.

Eine verwalteter Knoten ist jede für Systems Manager konfigurierte Maschine. Bisher wurden alle verwalteten Knoten als verwaltete Instances bezeichnet. Der Begriff *Instance* bezieht sich jetzt nur noch auf EC2-Instances. Der [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)Befehl wurde vor dieser Terminologieänderung benannt.

Weitere Informationen finden Sie unter [Arbeiten mit verwalteten Knoten](fleet-manager-managed-nodes.md).

**Wichtig**  
Es wird dringend empfohlen, die Verwendung von Betriebssystemversionen zu vermeiden, die End-of-Life (EOL) erreicht haben. Betriebssystemanbieter, darunter auch, bieten AWS in der Regel keine Sicherheitspatches oder andere Updates für Versionen an, die EOL erreicht haben. Die weitere Verwendung eines EOL-Systems erhöht das Risiko, dass Upgrades, einschließlich Sicherheitsupdates, und andere Betriebsprobleme nicht durchgeführt werden können, erheblich. AWS testet die Systems Manager Manager-Funktionalität nicht auf Betriebssystemversionen, die EOL erreicht haben.

**Informationen zum Instance-Kontingent**  
Systems Manager bietet ein Standard-Instances-Kontingent und ein Advanced-Instances-Kontingent für Nicht-EC2-verwaltete Knoten in Ihrer Hybrid- und Multi-Cloud-Umgebung an. Mit dem Standard-Instances-Kontingent erlaubt Ihnen maximal 1 000 hybridaktivierte Maschinen pro AWS-Konto pro AWS-Region zu registrieren. Wenn Sie mehr als 1 000 Nicht-EC2-Maschinen in einem einzigen Konto und einer Region anmelden müssen, verwenden Sie das Advanced-Instances-Kontingent. Mit erweiterten Instances können Sie auch eine Verbindung zu Ihren Nicht-EC2-Computern herstellen, indem Sie AWS Systems Manager Session Manager Session Managerbietet interaktiven Shell-Zugriff auf Ihre verwalteten Knoten.

Weitere Informationen finden Sie unter [Konfigurieren von Instance-Kontingenten](fleet-manager-configure-instance-tiers.md).

**Topics**
+ [Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle](hybrid-multicloud-service-role.md)
+ [Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren](hybrid-activation-managed-nodes.md)
+ [Installation von SSM Agent auf hybriden Linux-Knoten](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Installation von SSM Agent auf hybriden Windows Server-Knoten](hybrid-multicloud-ssm-agent-install-windows.md)

# Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle
<a name="hybrid-multicloud-service-role"></a>

Nicht-EC2-Maschinen (Amazon Elastic Compute Cloud) in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) benötigen eine AWS Identity and Access Management (IAM) -Servicerolle, um mit dem Service zu kommunizieren. AWS Systems Manager Die Rolle gewährt AWS -Security-Token-Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) Zugriff auf den Systems Manager-Dienst. Sie müssen nur einmal eine Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung erstellen, und zwar für jedes AWS-Konto. Sie können jedoch mehrere Servicerollen für verschiedene Hybrid- und Multi-Cloud-Aktivierungen erstellen, wenn Maschinen in Ihrer Hybrid-Umgebung unterschiedliche Berechtigungen benötigen.

Im Folgenden wird beschrieben, wie Sie die erforderliche Servicerolle mit der Systems-Manager-Konsole oder Ihrem bevorzugten Befehlszeilen-Tool erstellen.

## Verwenden der AWS-Managementkonsole , um eine IAM-Dienstrolle für Systems Manager Manager-Hybridaktivierungen zu erstellen
<a name="create-service-role-hybrid-activation-console"></a>

Verwenden Sie das folgende Verfahren zum Erstellen einer Servicerolle für eine Hybrid-Aktivierung. Dieses Verfahren verwendet die `AmazonSSMManagedInstanceCore`-Richtlinie für die Kernfunktionalität von Systems Manager. Je nach Anwendungsfall müssen Sie Ihrer Servicerolle möglicherweise zusätzliche Richtlinien hinzufügen, damit Ihre On-Premises-Maschinen auf andere Systems-Manager-Tools oder AWS-Services zugreifen können. Ohne Zugriff auf die erforderlichen AWS verwalteten Amazon Simple Storage Service (Amazon S3) -Buckets schlagen beispielsweise Patch Manager Patch-Vorgänge fehl.

**So erstellen Sie eine -Servicerolle (Konsole)**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

1. Wählen Sie für **Select trusted entity** (Vertrauenswürdige Entität auswählen) die folgenden Optionen:

   1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.

   1. Wählen **Sie **Systems Manager** für Anwendungsfälle für andere AWS-Services**.

   1. Wählen Sie **Systems Manager** aus.

      In der folgenden Abbildung wird die Position der Systems-Manager-Option hervorgehoben.  
![\[Systems Manager ist eine der Optionen für den Anwendungsfall.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Wählen Sie **Weiter** aus. 

1. Gehen Sie auf der Seite **Berechtigungen hinzufügen** wie folgt vor: 
   + Verwenden Sie das **Suchfeld**, um die **SSMManagedInstanceCoreAmazon-Richtlinie** zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen, wie in der folgenden Abbildung gezeigt.   
![\[Das Kontrollkästchen ist in der SSMManagedInstanceCoreAmazon-Zeile aktiviert.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**Anmerkung**  
Die Konsole behält Ihre Auswahl auch dann bei, wenn Sie nach anderen Richtlinien suchen.
   + Wenn Sie im Verfahren [(Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket](setup-instance-permissions.md#instance-profile-custom-s3-policy), eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen.
   + Wenn Sie vorhaben, Nicht-EC2-Computer zu einem Active Directory hinzuzufügen, das von verwaltet wird Directory Service, suchen Sie nach **Amazon SSMDirectory ServiceAccess** und aktivieren Sie das Kontrollkästchen neben dem Namen.
   + Wenn Sie planen, Ihren verwalteten Knoten mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach dem entsprechenden Knoten **CloudWatchAgentServerPolicy**und aktivieren Sie das Kontrollkästchen neben dem Namen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Rollenname** einen Namen für Ihre neue IAM-Serverrolle ein, z. B. **SSMServerRole**.
**Anmerkung**  
Notieren Sie sich den Rollennamen. Sie wählen diese Rolle, wenn Sie neue Maschinen registrieren, die Sie mit Systems Manager verwalten möchten.

1. (Optional) Aktualisieren Sie für **Beschreibung** die Beschreibung für diese IAM-Serverrolle.

1. (Optional) Fügen Sie für **Tags** ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern. 

1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.

## Verwenden der AWS CLI , um eine IAM-Dienstrolle für Systems Manager Manager-Hybridaktivierungen zu erstellen
<a name="create-service-role-hybrid-activation-cli"></a>

Verwenden Sie das folgende Verfahren zum Erstellen einer Servicerolle für eine Hybrid-Aktivierung. Dieses Verfahren verwendet die `AmazonSSMManagedInstanceCore`-Richtlinie für die Kernfunktionalität von Systems Manager. Je nach Anwendungsfall müssen Sie Ihrer Servicerolle für Nicht-EC2-Maschinen in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) möglicherweise zusätzliche Richtlinien hinzufügen, um auf andere Tools oder AWS-Services zugreifen zu können.

**S3-Bucket-Richtlinienanforderung**  
Wenn einer der folgenden Fälle zutrifft, müssen Sie eine benutzerdefinierte IAM-Berechtigungsrichtlinie für Amazon Simple Storage Service (Amazon S3)-Buckets erstellen, bevor Sie dieses Verfahren durchführen:
+ **Fall 1** — Sie verwenden einen VPC-Endpunkt, um Ihre VPC privat mit unterstützten AWS-Services und VPC-Endpunktdiensten zu verbinden, die von unterstützt werden. AWS PrivateLink
+ **Fall 2**: Sie beabsichtigen, einen Amazon-äS3-Bucket zu verwenden, den Sie als Teil Ihrer Systems-Manager-Operationen erstellen, z. B. zum Speichern der Ausgabe für Run Command-Befehle oder Session Manager-Sitzungen in einem S3-Bucket. Bevor Sie fortfahren, befolgen Sie die Schritte unter [Eine benutzerdefinierte S3-Bucket-Richtlinie für ein Instance-Profil erstellen](setup-instance-permissions.md#instance-profile-custom-s3-policy). Die Informationen über S3-Bucket-Richtlinien in diesem Thema gelten auch für Ihre Service-Rolle.

------
#### [ AWS CLI ]

**So erstellen Sie eine IAM-Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung (AWS CLI)**

1. Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.

   Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Erstellen Sie eine Textdatei mit einem Namen wie z. B. `SSMService-Trust.json` mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung `.json` speichern. Stellen Sie sicher, dass Sie Ihre AWS-Konto und die AWS-Region in der ARN angeben, in der Sie Ihre Hybrid-Aktivierung erstellt haben. Ersetzen Sie *placeholder values* die Konto-ID und die Region durch Ihre eigenen Informationen.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"123456789012"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:us-east-1:111122223333:*"
               }
            }
         }
      ]
   }
   ```

------

1. Öffnen Sie die und führen Sie in dem Verzeichnis AWS CLI, in dem Sie die JSON-Datei erstellt haben, den Befehl [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) aus, um die Servicerolle zu erstellen. In diesem Beispiel wird eine Rolle mit dem Namen `SSMServiceRole` erstellt. Sie können auf Wunsch einen anderen Namen wählen.

------
#### [ Linux & macOS ]

   ```
   aws iam create-role \
       --role-name SSMServiceRole \
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------
#### [ Windows ]

   ```
   aws iam create-role ^
       --role-name SSMServiceRole ^
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------

1. Führen Sie den [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)Befehl wie folgt aus, damit die Servicerolle, die Sie gerade erstellt haben, ein Sitzungstoken erstellen kann. Das Sitzungstoken erteilt Ihrem verwalteten Knoten die Berechtigung, Befehle mit Systems Manager auszuführen.
**Anmerkung**  
Die Richtlinien, die Sie für ein Serviceprofil für verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwendet werden. Weitere Informationen zu den AWS -Richtlinien finden Sie unter [Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren](setup-instance-permissions.md).

   (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein verwalteter Knoten die Kernfunktionen des AWS Systems Manager Service nutzen kann.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------

   Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, damit AWS Systems Manager Agent (SSM Agent) auf die Buckets zugreifen kann, die Sie in der Richtlinie angegeben haben. Ersetzen Sie *account-id* und *amzn-s3-demo-bucket* durch Ihre AWS-Konto ID und Ihren Bucket-Namen. 

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
   ```

------

   (Optional) Führen Sie den folgenden Befehl aus, SSM Agent um in Ihrem Namen Directory Service auf Anfragen zum Beitritt zur Domäne durch den verwalteten Knoten zugreifen zu können. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Knoten mit einem Microsoft-AD-Verzeichnis verbinden.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------

   (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren verwalteten Knoten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Knoten zu lesen und darauf zu schreiben CloudWatch. Ihr Serviceprofil benötigt diese Richtlinie nur, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------
#### [ Tools for PowerShell ]

**So erstellen Sie eine IAM-Servicerolle für eine Hybrid- und Multi-Cloud-Umgebung (AWS Tools for Windows PowerShell)**

1. Installieren und konfigurieren Sie die AWS -Tools für PowerShell (Tools für Windows PowerShell), falls Sie dies noch nicht getan haben.

   Weitere Informationen finden Sie unter [Installieren des AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Erstellen Sie eine Textdatei mit einem Namen wie z. B. `SSMService-Trust.json` mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung `.json` speichern. Stellen Sie sicher, dass Sie Ihre AWS-Konto und die AWS-Region in der ARN angeben, in der Sie Ihre Hybrid-Aktivierung erstellt haben.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:ssm:us-east-1:123456789012:*"
                   }
               }
           }
       ]
   }
   ```

------

1. Öffnen Sie PowerShell im Administratormodus und führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, [New- IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html) wie folgt aus, um eine Servicerolle zu erstellen. In diesem Beispiel wird eine Rolle mit dem Namen `SSMServiceRole` erstellt. Sie können auf Wunsch einen anderen Namen wählen.

   ```
   New-IAMRole `
       -RoleName SSMServiceRole `
       -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
   ```

1. Verwenden Sie [Register — IAMRole Policy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html) wie folgt, damit die von Ihnen erstellte Servicerolle ein Sitzungstoken erstellen kann. Das Sitzungstoken erteilt Ihrem verwalteten Knoten die Berechtigung, Befehle mit Systems Manager auszuführen.
**Anmerkung**  
Die Richtlinien, die Sie für ein Serviceprofil für verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung hinzufügen, sind dieselben Richtlinien, die zum Erstellen eines Instance-Profils für EC2-Instances verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten AWS Richtlinien finden [Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen](setup-instance-permissions.md).

   (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein verwalteter Knoten die Kernfunktionen des AWS Systems Manager Service nutzen kann.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

   Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um SSM Agent den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen Sie *account-id* und *my-bucket-policy-name* durch Ihre AWS-Konto ID und Ihren Bucket-Namen. 

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
   ```

   (Optional) Führen Sie den folgenden Befehl aus, SSM Agent um in Ihrem Namen Directory Service auf Anfragen zum Beitritt zur Domäne durch den verwalteten Knoten zugreifen zu können. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Knoten mit einem Microsoft-AD-Verzeichnis verbinden.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

   (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren verwalteten Knoten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Knoten zu lesen und darauf zu schreiben CloudWatch. Ihr Serviceprofil benötigt diese Richtlinie nur, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------

Fahren Sie fort mit [Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren](hybrid-activation-managed-nodes.md).

# Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren
<a name="hybrid-activation-managed-nodes"></a>

Um andere Maschinen als Instances der Amazon Elastic Compute Cloud (EC2) als verwaltete Knoten für eine [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) einzurichten, erstellen Sie eine *Hybrid-Aktivierung* und wenden diese an. Nachdem Sie die Aktivierung erfolgreich abschließen, erhalten Sie *sofort* einen Aktivierungscode und eine Aktivierungs-ID oben auf der Konsolenseite. Sie geben diese Kombination aus Code und ID bei der Installation AWS Systems Manager SSM Agent auf Nicht-EC2-Computern für Ihre Hybrid- und Multi-Cloud-Umgebung an. Der Code und die ID bieten einen sicheren Zugriff auf den Systems-Manager-Service von Ihren verwalteten Knoten aus.

**Wichtig**  
Systems Manager übergibt den Aktivierungscode und die ID sofort an die Konsole oder das Befehlsfenster, je nachdem, wie Sie die Aktivierung erstellt haben. Kopieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Wenn Sie die Konsole verlassen oder das Befehlsfenster schließen, können diese Informationen verloren gehen. Wenn Sie die Informationen verlieren, müssen Sie eine neue Aktivierung erstellen. 

**Informationen zu den Aktivierungabläufen**  
Ein *Aktivierungsablauf* ist ein Zeitfenster, in dem Sie On-Premises-Maschinen mit Systems Manager registrieren können. Eine abgelaufene Aktivierung hat keine Auswirkungen auf Ihre Server oder VMs darauf, dass Sie sich zuvor bei Systems Manager registriert haben. Wenn eine Aktivierung abläuft, können Sie VMs mit dieser speziellen Aktivierung keine weiteren Server oder bei Systems Manager registrieren. Sie müssen eine neue erstellen.

Jeder On-Premises-Server und jede VM, die Sie zuvor registriert haben, bleibt als verwalteter Systems-Manager-Knoten registriert, bis Sie die Registrierung explizit abmelden. Sie haben folgende Möglichkeiten, um einen Nicht-EC2-verwalteten Knoten abzumelden:
+ Über die Registerkarte **Verwaltete Knoten** in Fleet Manager in der Systems-Manager-Konsole
+ Verwenden Sie den AWS CLI Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)
+ Mithilfe der API-Aktion [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)

Weitere Informationen finden Sie in den folgenden Themen:
+ [Abmelden und Neuregistrieren eines verwalteten Knotens (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister)
+ [Abmelden und Neuregistrieren eines verwalteten Knotens (Windows Server)](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister)

**Informationen zu verwalteten Knoten**  
Ein verwalteter Knoten ist ein beliebiger Computer, für den er konfiguriert ist AWS Systems Manager. AWS Systems Manager unterstützt Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Edge-Geräte und lokale Server oder VMs auch VMs in anderen Cloud-Umgebungen. Bisher wurden alle verwalteten Knoten als verwaltete Instances bezeichnet. Der Begriff *Instance* bezieht sich jetzt nur noch auf EC2-Instances. Der [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)Befehl wurde vor dieser Terminologieänderung benannt.

**Informationen zu Aktivierungs-Tags**  
Wenn Sie eine Aktivierung entweder mit AWS Command Line Interface (AWS CLI) oder erstellen AWS Tools for Windows PowerShell, können Sie Tags angeben. Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Hier ist ein AWS CLI Beispielbefehl, der in der Region USA Ost (Ohio) auf einem lokalen Linux-Computer ausgeführt werden kann und optionale Tags enthält.

```
aws ssm create-activation \
  --default-instance-name MyWebServers \
  --description "Activation for Finance department webservers" \
  --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
  --registration-limit 10 \
  --region us-east-2 \
  --tags "Key=Department,Value=Finance"
```

Wenn Sie beim Erstellen einer Aktivierung Tags angeben, werden diese Tags automatisch Ihren verwalteten Knoten zugewiesen, wenn Sie diese aktivieren.

Es ist nicht möglich, Tags zu einer vorhandenen Aktivierung hinzuzufügen oder daraus zu löschen. Wenn Sie Ihren lokalen Servern nicht automatisch und VMs mithilfe einer Aktivierung Tags zuweisen möchten, können Sie ihnen später Tags hinzufügen. Insbesondere können Sie Ihre lokalen Server taggen und VMs nachdem sie sich zum ersten Mal mit Systems Manager verbunden haben. Nachdem diese eine Verbindung hergestellt haben, wird ihnen eine verwaltete Knoten-ID zugewiesen und sie werden in der Systems-Manager-Konsole mit einer ID mit dem Präfix „mi-“ aufgeführt.

**Anmerkung**  
Sie können einer Aktivierung keine Tags zuweisen, wenn Sie sie mithilfe der Systems Manager-Konsole erstellen. Sie müssen es entweder mit den AWS CLI oder Tools für Windows PowerShell erstellen.

Wenn Sie einen On-Premises-Server oder eine virtuelle Maschine (VM) nicht mehr mithilfe von Systems Manager verwalten möchten, können Sie die Registrierung aufheben. Weitere Informationen finden Sie unter [Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung](fleet-manager-deregister-hybrid-nodes.md).

**Topics**
+ [Verwenden von AWS-Managementkonsole , um eine Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager zu erstellen](#create-managed-node-activation-console)
+ [Verwenden Sie die Befehlszeile zum Erstellen einer Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager](#create-managed-node-activation-command-line)

## Verwenden von AWS-Managementkonsole , um eine Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager zu erstellen
<a name="create-managed-node-activation-console"></a>

**So erstellen Sie eine Aktivierung für einen verwalteten Knoten**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Hybrid Activations**.

1. Wählen Sie **Create activation** aus.

   –oder–

   Wenn Sie in der aktuellen Version zum ersten Mal auf **Hybrid-Aktivierungen** zugreifen AWS-Region, wählen Sie **Create an Activations**. 

1. (Optional) Geben Sie für **Aktivierungs-Beschreibung** eine Beschreibung für diese Aktivierung ein. Wir empfehlen, eine Beschreibung einzugeben, wenn Sie eine große Anzahl von Servern aktivieren möchten und VMs.

1. Geben Sie **unter Instanzlimit** die Gesamtzahl der Knoten an, bei denen Sie sich im AWS Rahmen dieser Aktivierung registrieren möchten. Der Standardwert ist 1 Instance.

1. Wählen Sie für die **IAM-Rolle** eine Servicerollenoption aus, die es Ihren Servern ermöglicht, mit ihnen AWS Systems Manager in der Cloud VMs zu kommunizieren:
   + **Option 1**: Wählen Sie **Verwenden Sie die vom System erstellte Standardrolle**, um eine Rolle und verwaltete Richtlinie zu verwenden, die von AWS bereitgestellt wird. 
   + **Option 2**: Wählen Sie **Select an existing custom IAM role that has the required permissions** (Vorhandene benutzerdefinierte IAM Rolle auswählen) aus, um die optionale benutzerdefinierte Rolle zu verwenden, die Sie zuvor erstellt haben. Diese Rolle muss über eine Vertrauensbeziehungsrichtlinie verfügen, die `"Service": "ssm.amazonaws.com"` angibt. Wenn Ihre IAM-Rolle dieses Prinzip in einer Vertrauensbeziehungsrichtlinie nicht angibt, wird die folgende Fehlermeldung angezeigt:

     ```
     An error occurred (ValidationException) when calling the CreateActivation
                                         operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole
     ```

     Weitere Informationen zum Erstellen dieser Rolle finden Sie unter [Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle](hybrid-multicloud-service-role.md). 

1. Geben Sie im Feld **Activation expiry date** (Aktivierungsablaufdatum) ein Ablaufdatum für die Aktivierung an. Das Verfallsdatum muss in der Zukunft liegen - jedoch nicht mehr als 30 Tage. Der Standardwert beträgt 24 Stunden.
**Anmerkung**  
Wenn Sie nach dem Ablaufdatum weitere verwaltete Knoten registrieren möchten, müssen Sie eine neue Aktivierung erstellen. Das Verfallsdatum wirkt sich nicht auf registrierte und ausgeführte Knoten aus.

1. (Optional) Geben Sie für das Feld **Default instance name** (Standard-Instance-Name) einen identifizierenden Namenswert an, der für alle verwalteten Knoten angezeigt werden soll, die dieser Aktivierung zugeordnet sind. 

1. Wählen Sie **Create activation** aus. Der Systems Manager gibt den Aktivierungscode und die ID sofort an die Konsole zurück. 

## Verwenden Sie die Befehlszeile zum Erstellen einer Aktivierung für die Registrierung verwalteter Knoten bei Systems Manager
<a name="create-managed-node-activation-command-line"></a>

Das folgende Verfahren beschreibt, wie Sie AWS Command Line Interface (AWS CLI) (unter Linux oderWindows Server) verwenden oder eine verwaltete Knotenaktivierung erstellen. AWS -Tools für PowerShell 

**So erstellen Sie eine Aktivierung**

1. Installieren und konfigurieren Sie das AWS CLI oder das AWS -Tools für PowerShell, falls Sie das noch nicht getan haben.

   Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [Installieren des AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Führen Sie den folgenden Befehl aus, um eine Aktivierung zu erstellen.
**Anmerkung**  
Ersetzen Sie den Befehl im folgenden Befehl *region* durch Ihre eigenen Informationen. Eine Liste der unterstützten *region* Werte finden Sie in der Spalte **Region** der [Systems Manager Manager-Dienstendpunkte](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in der *Allgemeine Amazon Web Services-Referenz*.
Die Rolle, die Sie für den *iam-role* Parameter angeben, muss über eine Vertrauensstellungsrichtlinie verfügen, die Folgendes festlegt`"Service": "ssm.amazonaws.com"`. Wenn Ihre AWS Identity and Access Management (IAM-) Rolle dieses Prinzip nicht in einer Vertrauensstellungsrichtlinie spezifiziert, erhalten Sie die folgende Fehlermeldung:  

     ```
     An error occurred (ValidationException) when calling the CreateActivation
                                             operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole
     ```
Weitere Informationen zum Erstellen dieser Rolle finden Sie unter [Erstellen Sie die für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderliche IAM-Servicerolle](hybrid-multicloud-service-role.md). 
Geben Sie für `--expiration-date` ein Datum im Zeitstempel-Format an, z. B. `"2021-07-07T00:00:00"`, wenn der Aktivierungscode abläuft. Sie können ein Datum bis zu 30 Tage im Voraus angeben. Wenn Sie kein Ablaufdatum angeben, läuft der Aktivierungscode innerhalb von 24 Stunden ab.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-activation \
       --default-instance-name name \
       --iam-role iam-service-role-name \
       --registration-limit number-of-managed-instances \
       --region region \
       --expiration-date "timestamp" \\  
       --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-activation ^
       --default-instance-name name ^
       --iam-role iam-service-role-name ^
       --registration-limit number-of-managed-instances ^
       --region region ^
       --expiration-date "timestamp" ^
       --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
   ```

------
#### [ PowerShell ]

   ```
   New-SSMActivation -DefaultInstanceName name `
       -IamRole iam-service-role-name `
       -RegistrationLimit number-of-managed-instances `
       –Region region `
       -ExpirationDate "timestamp" `
       -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}
   ```

------

   Ein Beispiel.

------
#### [ Linux & macOS ]

   ```
   aws ssm create-activation \
       --default-instance-name MyWebServers \
       --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
       --registration-limit 10 \
       --region us-east-2 \
       --expiration-date "2021-07-07T00:00:00" \
       --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
   ```

------
#### [ Windows ]

   ```
   aws ssm create-activation ^
       --default-instance-name MyWebServers ^
       --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
       --registration-limit 10 ^
       --region us-east-2 ^
       --expiration-date "2021-07-07T00:00:00" ^
       --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
   ```

------
#### [ PowerShell ]

   ```
   New-SSMActivation -DefaultInstanceName MyWebServers `
       -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
       -RegistrationLimit 10 `
       –Region us-east-2 `
       -ExpirationDate "2021-07-07T00:00:00" `
       -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}
   ```

------

   Wenn die Aktivierung erfolgreich erstellt wurde, gibt das System sofort einen Aktivierungscode und eine Aktivierungs-ID zurück.

# Installation von SSM Agent auf hybriden Linux-Knoten
<a name="hybrid-multicloud-ssm-agent-install-linux"></a>

In diesem Thema wird die Installation AWS Systems Manager SSM Agent auf Linux-Computern ohne EC2 (Amazon Elastic Compute Cloud) in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) beschrieben. Informationen zum Installieren von SSM Agent auf EC2-Instances für Linux finden Sie unter [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Linux](manually-install-ssm-agent-linux.md).

Bevor Sie beginnen, suchen Sie den Aktivierungscode und die Aktivierungs-ID, die Sie während der Hybrid-Aktivierung generiert haben, wie unter [Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren](hybrid-activation-managed-nodes.md) beschrieben. Sie geben den Code und die ID in den folgenden Schritten an.

**So installieren Sie SSM Agent auf Nicht-EC2-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung**

1. Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.

1. Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die `http_proxy` oder `https_proxy`-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.

   Geben Sie für einen HTTP-Proxy-Server die folgenden Befehle in der Befehlszeile ein:

   ```
   export http_proxy=http://hostname:port
   export https_proxy=http://hostname:port
   ```

   Geben Sie für einen HTTPS-Proxy-Server die folgenden Befehle in der Befehlszeile ein:

   ```
   export http_proxy=http://hostname:port
   export https_proxy=https://hostname:port
   ```

1. Kopieren Sie einen der folgenden Befehlsblöcke und fügen Sie ihn in SSH ein. Ersetzen Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID, die während des Hybrid-Aktivierungsprozesses generiert wurden, sowie durch die ID der Datei, von der AWS-Region Sie herunterladen SSM Agent möchten, und drücken Sie dann auf. `Enter`
**Wichtig**  
Beachten Sie die folgenden wichtigen Details:  
Mit `ssm-setup-cli` für Nicht-EC2-Installationen wird die Sicherheit Ihrer Systems-Manager-Installation und -Konfiguration erhöht.
`sudo` ist nicht erforderlich, wenn Sie ein Stammbenutzer sind.
Laden Sie es `ssm-setup-cli` von dem Ort herunter AWS-Region , an dem Ihre Hybrid-Aktivierung erstellt wurde.
`ssm-setup-cli` unterstützt eine `manifest-url`-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies.
Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für `ssm-setup-cli`. `ssm-setup-cli`sollte nicht separat für die zukünftige Verwendung aufbewahrt werden.
Sie können das [hier](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_linux.sh) bereitgestellte Skript verwenden, um die Signatur von `ssm-setup-cli` zu überprüfen.

   *region*steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. `us-east-2` für die Region USA Ost (Ohio). Eine Liste der unterstützten *region* Werte finden Sie in der Spalte **Region** der [Systems Manager Manager-Dienstendpunkte](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in der *Allgemeine Amazon Web Services-Referenz*.

   `ssm-setup-cli` enthält zusätzlich die folgenden Optionen:
   + `version` – Gültige Werte sind `latest` und `stable`.
   + `downgrade` – Erlaubt, dass SSM Agent auf eine ältere Version zurückgesetzt wird. Geben Sie `true` an, um eine frühere Version des Agenten zu installieren.
   + `skip-signature-validation` – Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.

## Amazon Linux 2, RHEL 7.x und Oracle Linux
<a name="cent-7"></a>

```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```

## RHEL 8.x
<a name="cent-8"></a>

```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```

## Debian Server
<a name="deb"></a>

```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```

## Ubuntu Server
<a name="ubu"></a>
+ **Verwenden von .deb-Paketen**

  ```
  mkdir /tmp/ssm
  curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
  sudo chmod +x /tmp/ssm/ssm-setup-cli
  sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
  ```
+ **Verwenden von Snap-Paketen**

  Sie müssen keine URL für den Download angeben, da der `snap`-Befehl den Agenten automatisch aus dem [Snap App Store](https://snapcraft.io/amazon-ssm-agent) unter [https://snapcraft.io](https://snapcraft.io) herunterlädt.

  Unter Ubuntu Server 20.04, 18.04 und 16.04 LTS werden SSM Agent-Installationsdateien, einschließlich Agentenbinär- und Konfigurationsdateien, im folgenden Verzeichnis gespeichert: `/snap/amazon-ssm-agent/current/`. Wenn Sie Änderungen an einer Konfigurationsdatei in diesem Verzeichnis vornehmen, müssen Sie dies Datei aus dem Verzeichnis `/snap` in das Verzeichnis `/etc/amazon/ssm/` kopieren. Protokoll- und Bibliotheksdateien wurden nicht geändert (`/var/lib/amazon/ssm`, `/var/log/amazon/ssm`).

  ```
  sudo snap install amazon-ssm-agent --classic
  sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
  sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" 
  sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
  ```
**Wichtig**  
Der *Kandidat*-Kanal im Snap Store enthält die neueste Version von SSM Agent; nicht den stabilen Kanal. Wenn Sie SSM Agent-Versionsinformationen auf dem Kandidatenkanal nachverfolgen möchten, führen Sie den folgenden Befehl auf Ihren von Ubuntu Server verwalteten 18.04- und 16.04-LTS-64-Bit-Knoten aus.  

  ```
  sudo snap switch --channel=candidate amazon-ssm-agent
  ```

Der Befehl lädt SSM Agent herunter und installiert es auf der hybrid-aktivierten Maschine in Ihrer Hybrid- und Multi-Cloud-Umgebung. Der Befehl stoppt den SSM Agent und registriert die Maschine beim Systems Manager-Service. Die Maschine ist nun ein verwalteter Knoten. Für Systems Manager konfigurierte Amazon-EC2-Instances sind ebenfalls verwaltete Knoten. In der Systems-Manager-Konsole werden Ihre hybrid-aktivierten Knoten jedoch von Amazon-EC2-Instances mit dem Präfix „mi-“ unterschieden.

Fahren Sie fort mit [Installation von SSM Agent auf hybriden Windows Server-Knoten](hybrid-multicloud-ssm-agent-install-windows.md).

## Automatische Drehung des privaten Schlüssels einrichten
<a name="ssm-agent-hybrid-private-key-rotation-linux"></a>

Um Ihre Sicherheitslage zu stärken, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass der private Schlüssel für Ihre Hybrid- und Multi-Cloud-Umgebung automatisch rotiert wird. Sie können auf dieses Feature zugreifen, indem Sie SSM Agent-Version 3.0.1031.0 oder höher verwenden. Aktivieren Sie dieses Feature wie folgt.

**Um SSM Agent zu konfigurieren, um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren**

1. Navigieren Sie zu `/etc/amazon/ssm/` auf einem Linux-Computer oder zu `C:\Program Files\Amazon\SSM` für einen Windows-Computer.

1. Kopieren Sie den Inhalt von `amazon-ssm-agent.json.template` in eine neue Datei namens `amazon-ssm-agent.json`. Speichern Sie `amazon-ssm-agent.json` in demselben Verzeichnis, in dem sich `amazon-ssm-agent.json.template` befindet.

1. Suchen Sie `Profile`, `KeyAutoRotateDays`. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben. 

1. Starten Sie SSM Agent neu.

Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.

Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter [Definitionen von Konfigurationseigenschaften](https://github.com/aws/amazon-ssm-agent#config-property-definitions). 

## Abmelden und Neuregistrieren eines verwalteten Knotens (Linux)
<a name="systems-manager-install-managed-linux-deregister-reregister"></a>

Sie können die Registrierung eines hybridaktivierten verwalteten Knotens aufheben, indem Sie den [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)API-Vorgang entweder über Tools für Windows AWS CLI oder über Tools for Windows aufrufen. PowerShell Hier sehen Sie ein Beispiel für einen CLI-Befehl:

`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`

Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den `IdentityConsumptionOrder`-Schlüssel aus der `amazon-ssm-agent.json`-Datei. Dann führen Sie je nach Installationstyp einen der folgenden Befehle aus.

Auf Ubuntu Server-Knoten, auf denen SSM Agent mithilfe von Snap-Paketen installiert wurde:

```
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear
```

In allen anderen Linux-Installationen:

```
amazon-ssm-agent -register -clear
```

**Anmerkung**  
Sie können einen lokalen Server, ein Edge-Gerät oder eine VM mit demselben Aktivierungscode und derselben ID erneut registrieren, solange Sie das Instance-Limit für den angegebenen Aktivierungscode und die angegebene ID nicht erreicht haben. Sie können das Instance-Limit für einen Aktivierungscode und eine Aktivierungs-ID überprüfen, indem Sie in der AWS CLI die [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API aufrufen. Nachdem Sie den Befehl ausgeführt haben, stellen Sie sicher, dass der Wert für `RegistrationCount` nicht über `RegistrationLimit` liegt. Wenn der Wert über dem Limit liegt, müssen Sie einen anderen Aktivierungscode und eine andere Aktivierungs-ID verwenden.

**So registrieren Sie einen verwalteten Knoten auf einer Nicht-EC2-Linux-Maschine neu**

1. Verbinden Sie sich mit Ihrer Maschine.

1. Führen Sie den folgenden Befehl aus. Stellen Sie sicher, dass Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID ersetzen, die generiert wurden, als Sie eine Aktivierung für einen verwalteten Knoten erstellt haben, sowie durch die Kennung der Region, aus der Sie den SSM Agent herunterladen möchten.

   ```
   echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region
   ```

## Problembehebung bei der SSM Agent-Installation auf Nicht-EC2-Linux-Maschinen
<a name="systems-manager-install-managed-linux-troubleshooting"></a>

Nutzen Sie die folgenden Informationen, um Probleme bei der Installation von SSM Agent auf hybrid-aktivierten Linux-Maschinen in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) zu beheben.

### DeliveryTimedOut Sie erhalten eine Fehlermeldung
<a name="systems-manager-install-managed-linux-troubleshooting-delivery-timed-out"></a>

**Problem**: Wenn Sie eine Maschine in einer Maschine AWS-Konto als verwalteten Knoten für eine separate Maschine konfigurieren AWS-Konto, erhalten Sie `DeliveryTimedOut` nach der Ausführung die Befehle zur Installation SSM Agent auf dem Zielcomputer.

**Lösung**: `DeliveryTimedOut` ist der erwartete Antwortcode für dieses Szenario. Der Befehl zum Installieren von SSM Agent auf dem Zielknoten ändert die Knoten-ID des Quellknotens. Da sich die Knoten-ID geändert hat, kann der Quellknoten dem Zielknoten nicht antworten, dass der Befehl bei der Ausführung fehlgeschlagen, abgeschlossen oder abgelaufen ist.

### Knotenzuordnungen können nicht geladen werden
<a name="systems-manager-install-managed-linux-troubleshooting-associations"></a>

**Problem**: Nach dem Ausführen der Installationsbefehle wird der folgende Fehler im SSM Agent in den Fehlerprotokollen angezeigt:

`Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match`

Sie sehen diesen Fehler, wenn die Computer-ID bei einem Neustart nicht beibehalten wird.

**Lösung**: Um dieses Problem zu lösen, führen Sie den folgenden Befehl aus. Dieser Befehl zwingt, dass die Computer-ID bei einem Neustart beibehalten wird.

```
umount /etc/machine-id
systemd-machine-id-setup
```

# Installation von SSM Agent auf hybriden Windows Server-Knoten
<a name="hybrid-multicloud-ssm-agent-install-windows"></a>

In diesem Thema wird die Installation AWS Systems Manager SSM Agent auf Windows Server Maschinen in einer [Hybrid- und Multicloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) beschrieben. Weitere Informationen zum Installieren von SSM Agent auf einer EC2-Instance für Windows Server finden Sie unter [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server](manually-install-ssm-agent-windows.md).

Bevor Sie beginnen, suchen Sie den Aktivierungscode und die Aktivierungs-ID, die Sie während der Hybrid-Aktivierung generiert haben, wie unter [Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren](hybrid-activation-managed-nodes.md) beschrieben. Sie geben den Code und die ID in den folgenden Schritten an.

**So installieren Sie SSM Agent auf Nicht-EC2-Windows Server-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung**

1. Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.

1. Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die `http_proxy` oder `https_proxy`-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.

   Legen Sie für einen HTTP-Proxyserver folgende Variable fest:

   ```
   http_proxy=http://hostname:port
   https_proxy=http://hostname:port
   ```

   Legen Sie für einen HTTPS-Proxyserver folgende Variable fest:

   ```
   http_proxy=http://hostname:port
   https_proxy=https://hostname:port
   ```

   Konfigurieren Sie für PowerShell die INet Win-Proxyeinstellungen:

   ```
   [System.Net.WebRequest]::DefaultWebProxy
   
   $proxyServer = "http://hostname:port"
   $proxyBypass = "169.254.169.254"
   $WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)
   
   [System.Net.WebRequest]::DefaultWebProxy = $WebProxy
   ```
**Anmerkung**  
Für den PowerShell Betrieb ist eine INet Win-Proxykonfiguration erforderlich. Weitere Informationen finden Sie unter [SSM Agent-Proxy-Einstellungen und Systems Manager-Services](configure-proxy-ssm-agent-windows.md#ssm-agent-proxy-services).

1. Öffnen Sie Windows PowerShell im erweiterten (Verwaltungs-)Modus.

1. Kopieren Sie den folgenden Befehlsblock in Windows PowerShell. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen. Zum Beispiel der Aktivierungscode und die Aktivierungs-ID, die generiert wurden, wenn Sie eine Hybrid-Aktivierung erstellen, zusammen mit der ID der Datei, SSM Agent von der AWS-Region Sie herunterladen möchten.
**Wichtig**  
Beachten Sie die folgenden wichtigen Details:  
Mit `ssm-setup-cli` für Nicht-EC2-Installationen wird die Sicherheit Ihrer Systems-Manager-Installation und -Konfiguration erhöht.
`ssm-setup-cli` unterstützt eine `manifest-url`-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies.
Sie können das [hier](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_windows.ps1) bereitgestellte Skript verwenden, um die Signatur von `ssm-setup-cli` zu überprüfen.
Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für `ssm-setup-cli`. `ssm-setup-cli`sollte nicht separat für die zukünftige Verwendung aufbewahrt werden.

   *region*steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. `us-east-2` für die Region USA Ost (Ohio). Eine Liste der unterstützten *region* Werte finden Sie in der Spalte **Region** der [Systems Manager Manager-Dienstendpunkte](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in der *Allgemeine Amazon Web Services-Referenz*.

   `ssm-setup-cli` enthält zusätzlich die folgenden Optionen:
   + `version` – Gültige Werte sind `latest` und `stable`.
   + `downgrade` – Setzt den Agenten auf eine frühere Version zurück.
   + `skip-signature-validation` – Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.

------
#### [ 64-bit ]

   ```
   [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
   $code = "activation-code"
   $id = "activation-id"
   $region = "us-east-1"
   $dir = $env:TEMP + "\ssm"
   New-Item -ItemType directory -Path $dir -Force
   cd $dir
   (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
   ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
   Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
   Get-Service -Name "AmazonSSMAgent"
   ```

------

1. Drücken Sie `Enter`.

**Anmerkung**  
Wenn der Befehl fehlschlägt, überprüfen Sie, ob Sie die neueste Version von AWS -Tools für PowerShell verwenden.

Der Befehl hat folgende Auswirkungen: 
+ Lädt SSM Agent herunter und installiert es auf dem Computer.
+ Registriert den Computer beim Systems Manager Service.
+ Gibt eine Antwort auf die Anfrage zurück, die der folgenden ähnlich ist:

  ```
      Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
  
  
  Mode                LastWriteTime         Length Name
  ----                -------------         ------ ----
  d-----       07/07/2018   8:07 PM                ssm
  {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
  
  Status      : Running
  Name        : AmazonSSMAgent
  DisplayName : Amazon SSM Agent
  ```

Die Maschine ist nun ein *verwalteter Knoten*. Diese verwalteten Knoten werden jetzt mit dem Präfix „mi-“ gekennzeichnet. Sie können verwaltete Knoten auf der Seite **Verwaltete Knoten** in anzeigenFleet Manager, indem Sie den AWS CLI Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html)oder den API-Befehl [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html)verwenden.

## Automatische Drehung des privaten Schlüssels einrichten
<a name="ssm-agent-hybrid-private-key-rotation-windows"></a>

Um Ihre Sicherheitslage zu stärken, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass der private Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung automatisch rotiert wird. Sie können auf dieses Feature zugreifen, indem Sie SSM Agent-Version 3.0.1031.0 oder höher verwenden. Aktivieren Sie dieses Feature wie folgt.

**Um SSM Agent zu konfigurieren, um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren**

1. Navigieren Sie zu `/etc/amazon/ssm/` auf einem Linux-Computer oder zu `C:\Program Files\Amazon\SSM` für einen Windows Server-Computer.

1. Kopieren Sie den Inhalt von `amazon-ssm-agent.json.template` in eine neue Datei namens `amazon-ssm-agent.json`. Speichern Sie `amazon-ssm-agent.json` in demselben Verzeichnis, in dem sich `amazon-ssm-agent.json.template` befindet.

1. Suchen Sie `Profile`, `KeyAutoRotateDays`. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben. 

1. Starten Sie SSM Agent neu.

Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.

Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter [Definitionen von Konfigurationseigenschaften](https://github.com/aws/amazon-ssm-agent#config-property-definitions). 

## Abmelden und Neuregistrieren eines verwalteten Knotens (Windows Server)
<a name="systems-manager-install-managed-win-deregister-reregister"></a>

Sie können die Registrierung eines verwalteten Knotens aufheben, indem Sie den [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)API-Vorgang entweder in den Tools für Windows AWS CLI oder in den Tools für Windows aufrufen. PowerShell Hier sehen Sie ein Beispiel für einen CLI-Befehl:

`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`

Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den `IdentityConsumptionOrder`-Schlüssel aus der `amazon-ssm-agent.json`-Datei. Führen Sie anschließend den folgenden Befehl aus:

`amazon-ssm-agent -register -clear`

**Anmerkung**  
Sie können einen lokalen Server, ein Edge-Gerät oder eine VM mit demselben Aktivierungscode und derselben ID erneut registrieren, solange Sie das Instance-Limit für den angegebenen Aktivierungscode und die angegebene ID nicht erreicht haben. Sie können das Instance-Limit für einen Aktivierungscode und eine Aktivierungs-ID überprüfen, indem Sie in der AWS CLI die [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API aufrufen. Nachdem Sie den Befehl ausgeführt haben, stellen Sie sicher, dass der Wert für `RegistrationCount` nicht über `RegistrationLimit` liegt. Wenn der Wert über dem Limit liegt, müssen Sie einen anderen Aktivierungscode und eine andere Aktivierungs-ID verwenden.

**So registrieren Sie einen verwalteten Knoten auf einem Windows Server-Hybridcomputer neu**

1. Verbinden Sie sich mit Ihrer Maschine.

1. Führen Sie den folgenden Befehl aus. Achten Sie darauf, die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID zu ersetzen, die bei der Erstellung einer Hybrid-Aktivierung generiert wurden, sowie durch die Kennung der Region, aus der Sie den SSM Agent herunterladen möchten.

   ```
   $dir = $env:TEMP + "\ssm"
   cd $dir
   Start-Process ./ssm-setup-cli.exe -ArgumentList @(
       "-register",
       "-activation-code=$code",
       "-activation-id=$id",
       "-region=$region"
   ) -Wait -NoNewWindow
   ```