• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Melakukan tugas manajemen node dengan AWS Systems Manager
Topik berikut menjelaskan cara menyelesaikan tugas node umum menggunakan AWS Systems Manager konsol terpadu untuk AWS Organizations organisasi dan tunggal Akun AWS.
**Topics**
+ [Meninjau wawasan node](review-node-insights.md)
+ [Menjelajahi node](view-aggregated-node-details.md)
+ [Just-in-time akses node menggunakan Systems Manager](systems-manager-just-in-time-node-access.md)
+ [Mendiagnosis dan memulihkan](diagnose-and-remediate.md)
+ [Menyesuaikan pengaturan Systems Manager](settings-overview.md)
# Meninjau wawasan node
Anda dapat memperoleh wawasan tentang status keseluruhan node terkelola dan EC2 instans yang tidak dikelola di organisasi atau akun Anda dengan menggunakan konsol Systems Manager terpadu.
Systems Manager memberikan gambaran visual ke node dan EC2 instance terkelola yang belum dikelola oleh Systems Manager. (Node terkelola adalah mesin apa pun yang dikonfigurasi untuk digunakan dengan Systems Manager di [lingkungan hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types). Untuk informasi tentang jenis mesin yang didukung, lihat[Jenis alat berat yang didukung di lingkungan hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types).)
Ikhtisar ini disediakan melalui kotak laporan individual, yang disebut *widget*, yang menampilkan diagram lingkaran interaktif dan grafik lainnya.
**Sebelum Anda mulai**
Untuk meninjau wawasan node, Anda harus terlebih dahulu memasukkan organisasi atau akun Anda ke konsol Systems Manager terpadu. Untuk informasi selengkapnya, lihat [Menyiapkan AWS Systems Manager](systems-manager-setting-up-console.md).
Setelah melakukan onboarding, buka [konsol Systems Manager](https://console.aws.amazon.com/systems-manager/explorer) dan pilih **Tinjau wawasan node**.
Gambar berikut menunjukkan kotak laporan individual, yang disebut *widget*, yang tersedia di halaman **wawasan simpul Tinjauan**.
![\[Data node ditampilkan pada halaman wawasan node Systems Manager Review\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/SYS2-Dashboard-Nodes.png)
Layar mendukung widget yang memberi Anda informasi berikut.
**Ringkasan simpul**
Menunjukkan berapa banyak EC2 instance di organisasi atau akun Anda yang saat ini tidak dikelola node, dan berapa banyak node terkelola dalam armada organisasi atau akun Anda.
**Apa itu instance yang tidak dikelola?**
Saat Anda menghentikan EC2 instance terkelola, instans tersebut dilaporkan sebagai “Tidak Dikelola” di konsol Systems Manager. Ini adalah perilaku yang diharapkan karena SSM Agent tidak memiliki koneksi aktif ke layanan.
Ini berbeda dari bagaimana AWS Config mendefinisikan sebuah instance sebagai tidak dikelola. Jika sebuah instance saat ini dihentikan, AWS Config laporkan status instans terakhir kali koneksi “detak jantung” dibuat antara SSM Agent pada instance dan layanan Systems Manager.
Saat instans dimulai ulang, instans secara otomatis tersambung kembali ke layanan Systems Manager, dan statusnya di konsol terpadu dikembalikan ke “Dikelola” dalam waktu lima menit. Tidak diperlukan intervensi manual, dan semua konfigurasi Systems Manager untuk instans dipertahankan selama Stop/Start siklus.
Namun, jika instance masih tidak dilaporkan sebagai “Dikelola” beberapa menit setelah memulai, instance kemungkinan tidak dikonfigurasi dengan benar untuk manajemen Systems Manager. Dalam hal ini, kami merekomendasikan menjalankan diagnosis untuk mengidentifikasi mengapa instance tetap dalam keadaan tidak terkelola. Untuk informasi selengkapnya, lihat [Mendiagnosis dan memulihkan instans Amazon EC2 yang tidak terkelola di Systems Manager](remediating-unmanaged-instances.md).
Jika pemindaian diagnostik tidak dapat menentukan masalah, lihat topik berikut untuk memverifikasi bahwa persyaratan untukSSM Agent, AWS Identity and Access Management (IAM) peran, dan prasyarat Systems Manager semuanya telah terpenuhi:
+ [Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md)
+ [Konfigurasikan izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md)
+ [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md)
**Jenis simpul terkelola**
Menunjukkan berapa banyak node terkelola dalam armada Anda adalah EC2 instance dan berapa banyak jenis server lainnya, termasuk server di tempat Anda sendiri (server lokal), perangkat AWS IoT Greengrass inti, AWS IoT dan perangkat AWS non-edge, dan mesin virtual (VMs), termasuk VMs di lingkungan cloud lainnya. Anda dapat mengarahkan kursor ke grafik **tipe Node** untuk mengakses tautan ke detail selengkapnya di halaman **Jelajahi node**.
Untuk informasi selengkapnya tentang AWS dukungan untuk lingkungan hybrid dan multicloud, lihat [AWS Solusi untuk Hybrid dan](https://aws.amazon.com/hybrid-multicloud/) Multicloud.
**SSM Agentversi**
Memberikan informasi tentang instalasi AWS Systems Manager Agen (SSM Agent) di armada Anda. SSM Agentadalah perangkat lunak Amazon yang berjalan pada node terkelola Anda. SSM Agentmemungkinkan Systems Manager untuk memperbarui, mengelola, dan mengkonfigurasi sumber daya ini. Agen memproses permintaan dari layanan Systems Manager di AWS Cloud, dan kemudian menjalankannya seperti yang ditentukan dalam permintaan.
Untuk node terkelola di armada Anda, widget ini melaporkan SSM Agent versi di armada Anda, dari yang terbaru hingga yang terlama. Anda dapat mengarahkan kursor ke grafik **SSM Agentversi** untuk mengakses tautan ke detail selengkapnya di halaman **Jelajahi node**.
Untuk informasi selengkapnya tentang SSM Agent, lihat [Bekerja dengan SSM Agent](ssm-agent.md).
**Sistem operasi node terkelola**
Memberikan rincian persentase setiap sistem operasi pada node terkelola di armada Anda. Anda dapat mengarahkan kursor ke **Node terkelola oleh grafik sistem operasi** untuk mengakses tautan ke detail selengkapnya di halaman **Jelajahi node**.
Anda dapat menyesuaikan tata letak widget pada halaman **wawasan simpul Tinjauan** dengan menggunakan drag-and-drop kemampuan, dan dengan menghapus dan menambahkan widget ke layar.
Gunakan informasi dalam topik berikut untuk membantu Anda bekerja dengan widget wawasan node Systems Manager.
**Topics**
+ [Menambahkan atau menghapus widget dari halaman **wawasan simpul Tinjauan**](review-node-insights-add-and-remove-widgets.md)
+ [Menata ulang widget di halaman wawasan simpul **Tinjauan**](review-node-insights-rearrange-widgets.md)
# Menambahkan atau menghapus widget dari halaman **wawasan simpul Tinjauan**
Anda dapat menyesuaikan tata letak di halaman **wawasan node Systems Manager Review** dengan menambahkan dan menghapus widget.
**catatan**
Secara default, halaman menampilkan semua widget yang tersedia.
**Untuk menambah atau menghapus widget dari halaman **wawasan simpul Tinjauan****
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di navigasi kiri, pilih **Tinjau wawasan simpul**.
1. Untuk menghapus widget dari layar, lakukan hal berikut:
1. Pilih menu More options (![\[The More options menu\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/more-options-menu-widgets.png)) untuk widget.
1. Pilih **Hapus widget**.
1. Untuk menambahkan widget ke layar, lakukan hal berikut:
1. Pilih **Tambahkan widget**.
1. Di panel **Tambahkan widget**, klik dan tahan pegangan seret (![\[The drag handle\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) widget untuk ditambahkan ke tampilan.
1. Seret widget dan jatuhkan ke panel utama.
# Menata ulang widget di halaman wawasan simpul **Tinjauan**
Anda dapat menyesuaikan tata letak di halaman **wawasan simpul Tinjauan** dengan mengatur ulang widget.
**Untuk mengatur ulang widget di halaman wawasan **simpul Tinjauan****
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Tinjau wawasan simpul**.
1. Untuk menyesuaikan tata letak widget, pilih widget yang ingin Anda pindahkan. Klik dan tahan pegangan seret (![\[The drag handle\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) widget lalu seret ke lokasi barunya.
1. Ulangi proses ini untuk setiap widget yang ingin Anda ubah posisinya.
Jika Anda memutuskan bahwa Anda tidak menyukai tata letak baru, pilih **Reset ke tata letak default** untuk memindahkan semua widget kembali ke lokasi aslinya.
# Menjelajahi node
Anda dapat menggunakan halaman **Jelajahi node** di Systems Manager untuk meninjau detail node terkelola di organisasi atau akun Anda sesuai dengan kriteria yang Anda tentukan dalam filter. Anda juga dapat menggunakan integrasi Systems Manager dengan Amazon Q Developer (Amazon Q), solusi AI AWS generatif, untuk mencari menggunakan petunjuk teks.
**Sebelum Anda mulai**
Untuk menggunakan fitur **Jelajahi node**, Anda harus terlebih dahulu mengonboard organisasi atau akun Anda ke konsol Systems Manager terpadu. Untuk informasi selengkapnya, lihat [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md).
Setelah onboarding, buka [konsol Systems Manager](https://console.aws.amazon.com/systems-manager/) dan pilih **Jelajahi node**.
**catatan**
Jika Anda telah membuat indeks agregator untuk Resource Explorer di Wilayah yang berbeda dari Region asal Anda, Systems Manager mendemotasi indeks saat ini. Kemudian, Systems Manager mempromosikan indeks lokal di Wilayah asal Anda sebagai indeks agregator baru. Selama waktu ini, hanya node untuk Wilayah rumah Anda yang ditampilkan. Proses ini bisa memakan waktu hingga 24 jam untuk menyelesaikannya.
**Topics**
+ [Menjelajahi node menggunakan filter konsol](view-aggregated-node-details-console.md)
+ [Menjelajahi node menggunakan petunjuk teks di Amazon Q](view-aggregated-node-details-Q.md)
+ [Melihat detail node individual dan mengambil tindakan pada node](node-detail-actions.md)
+ [Mengunduh atau mengekspor laporan node terkelola](explore-nodes-download-report.md)
+ [Mengelola konten dan tampilan laporan node](explore-nodes-manage-report-display.md)
# Menjelajahi node menggunakan filter konsol
Di konsol Systems Manager, Anda kemudian dapat mengelompokkan node terkelola sesuai dengan tampilan berikut:
------
#### [ All nodes (No filter) ]
Daftar semua node terkelola di organisasi atau akun Anda.
![\[Daftar node terkelola di halaman Jelajahi node\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/2-explore-nodes-managed-nodes.png)
------
#### [ Node types ]
Menyediakan tab untuk melihat data secara terpisah untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan jenis mesin lainnya, termasuk server di lokasi Anda sendiri (server lokal AWS IoT Greengrass ), AWS IoT perangkat inti, dan perangkat AWS non-edge, dan VMs mesin virtual (), termasuk di lingkungan cloud lainnya. VMs
![\[Daftar node terkelola pada tab tipe node\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/2-explore-nodes-node-types.png)
------
#### [ Operating systems ]
Menyediakan tab untuk setiap jenis sistem operasi di organisasi atau akun Anda, seperti **Amazon Linux** dan **Pusat Data Microsoft Windows Server 2022.** Pada setiap tab, Anda dapat memfilter daftar lebih lanjut dengan memilih hanya versi tertentu dari sistem operasi, seperti *Amazon Linux 2* dan *Amazon Linux 2023*.
![\[Daftar node terkelola pada tab OS\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/2-explore-nodes-operating-system.png)
------
#### [ SSM Agent versions ]
Menyediakan tab untuk setiap versi yang SSM Agent diinstal pada node terkelola di armada Anda. Di setiap tab, Anda dapat memfilter daftar lebih lanjut dengan memilih hanya sistem operasi tertentu, seperti **Amazon Linux** dan **Pusat Data Microsoft Windows Server 2022**.
![\[Daftar node terkelola pada tab agen\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/2-explore-nodes-agent-versions.png)
------
Selain itu, untuk masing-masing tampilan ini, Anda dapat lebih menyempurnakan daftar node yang dilaporkan dengan memilih untuk melihat hanya node untuk properti tertentu, seperti status node, Akun AWS ID, ID unit organisasi, dan banyak lagi.
Anda dapat menyesuaikan tampilan laporan dengan memilih kolom data yang tersedia yang ditampilkan di halaman **Jelajahi node**. Anda juga dapat mengunduh laporan dalam `CSV` atau `JSON` format, atau mengekspor laporan ke Amazon S3 dalam `CSV` format.
**Topics**
+ [Memilih tampilan filter untuk ringkasan node terkelola](explore-nodes-filter-view.md)
# Memilih tampilan filter untuk ringkasan node terkelola
Halaman **Jelajahi node** di Systems Manager memungkinkan Anda melihat data agregat tentang armada Anda sesuai dengan sejumlah tampilan filter yang tersedia.
**Untuk memilih tampilan filter untuk ringkasan node terkelola**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Jelajahi node**.
1. Untuk **tampilan Filter**, pilih salah satu opsi filter dan secara opsional lebih lanjut menyempurnakan laporan:
+ **Node terkelola** - Di kotak pencarian (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), Anda dapat memilih properti dan pembatas, seperti. `Node type = Managed EC2 instances`
+ **Sistem operasi** — Dalam daftar **versi sistem operasi Filter**, Anda dapat memilih nomor versi OS. Di kotak search (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), Anda dapat memilih properti dan pembatas, seperti. `Node type = Managed EC2 instances`
+ **SSM Agentversi** — Dalam daftar **Sistem operasi Filter**, Anda dapat memilih nama OS. Di kotak search (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), Anda dapat memilih properti dan pembatas, seperti. `Node type = Managed EC2 instances`
+ **Jenis node** — Dalam daftar **Sistem Operasi Filter**, Anda dapat memilih nama OS. Di kotak search (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), Anda dapat memilih properti dan pembatas, seperti. `Node type = Managed EC2 instances`
Setelah memfilter daftar secara opsional, Anda dapat melihat detail tentang node terkelola tertentu dengan memilih ID-nya di kolom **ID Node**. Dari tampilan terperinci itu, Anda dapat melakukan sejumlah tindakan pada node.
# Menjelajahi node menggunakan petunjuk teks di Amazon Q
Menggunakan integrasi Systems Manager dengan Amazon Q Developer, Anda dapat menggunakan prompt teks untuk melihat informasi yang dibuat oleh AI generatif tentang node terkelola Anda.
Amazon Q Developer adalah asisten percakapan bertenaga AI generatif yang dapat membantu Anda memahami, membangun, memperluas, dan mengoperasikan aplikasi. AWS Untuk mempercepat pembangunan Anda AWS, model yang mendukung Amazon Q ditambah dengan AWS konten berkualitas tinggi untuk menghasilkan jawaban yang lebih lengkap, dapat ditindaklanjuti, dan direferensikan. Untuk informasi selengkapnya, lihat [Apa itu Pengembang Amazon Q?](https://docs.aws.amazon.com/amazonq/latest/aws-builder-use-ug/what-is.html) di *Panduan Pengguna Pengembang Amazon Q*.
Integrasi antara Systems Manager dan Amazon Q memungkinkan Anda dengan cepat mendapatkan visibilitas dan kontrol atas lingkungan besar Akun AWS dan terdistribusi di beberapa Wilayah. Anda dapat menggunakan kueri bahasa alami untuk mencari data node dengan cepat, dan kemudian mengidentifikasi masalah dan mengambil tindakan lebih cepat.
Saat Anda mengajukan pertanyaan bahasa alami tentang node terkelola atau instans terkelola, Amazon Q menggunakan `ListNodes` tindakan Systems Manager dan membuat filter berdasarkan input tekstual Anda untuk mengambil hasil.
Misalnya, katakan bahwa Anda memberikan Amazon Q prompt berikut:
**List my managed nodes running Red Hat Enterprise Linux 9.2**
Amazon Q menentukan filter apa yang akan disertakan dalam permintaan, dan kemudian menjalankan kueri yang mirip dengan berikut ini:
```
aws ssm list-nodes \
--filters Key=PlatformName,Values='Red Hat Enterprise Linux',Type=Equal Key=PlatformVersion,Values=9.2,Type=Equal
```
Amazon Q kemudian membuat laporan tentang Red Hat Enterprise Linux instans di akun Anda, mencantumkan informasi seperti jumlah instans, instans IDs, dan Wilayah mereka.
Anda juga dapat melihat ringkasan JSON dari setiap detail instans, serta membuka tautan untuk melihat seluruh daftar instans EC2 atau node terkelola di halaman node Systems Manager **Explore**. **Node Jelajahi** menampilkan hasil yang sesuai dengan kriteria filter yang Anda sertakan dalam prompt Anda. Dari sana, Anda dapat mengubah atau memperbaiki filter untuk permintaan Anda, seperti yang dijelaskan dalam[Menjelajahi node](view-aggregated-node-details.md).
**Topics**
+ [Belajar membuat petunjuk yang efektif untuk menanyakan Amazon Q tentang armada Anda](view-aggregated-node-details-Q-prompts.md)
+ [Menjelajahi node terkelola menggunakan Amazon Q](explore-managed-nodes-using-Q.md)
# Belajar membuat petunjuk yang efektif untuk menanyakan Amazon Q tentang armada Anda
Semakin baik kualitas pertanyaan, atau prompt, yang Anda berikan ke Amazon Q, semakin baik hasilnya.
**Kiat untuk permintaan kueri**
Ingatlah tips berikut saat menanyakan Amazon Q tentang armada Anda:
1. Untuk membantu meningkatkan akurasi hasil Anda, gunakan istilah “node terkelola” dan “instance terkelola” di prompt Anda, bukan hanya “node” dan “instance”.
1. Untuk menanyakan hasil di beberapa akun yang merupakan bagian dari *organisasi*, seperti yang dikonfigurasi AWS Organizations, Anda harus masuk ke akun administrator yang didelegasikan di Wilayah beranda yang ditunjuk.
1. Di akun administrator yang didelegasikan, gunakan istilah untuk membantu Amazon Q memahami bahwa Anda menanyakan tentang node dan instance di seluruh organisasi dengan secara khusus menggunakan istilah seperti “di organisasi saya” atau “di akun saya 123456789012".
**Topics**
+ [Contoh pertanyaan untuk Amazon Q](#sample-questions-Q)
+ [Nama dan versi sistem operasi yang didukung untuk permintaan](#supported-os-names-Q)
## Contoh pertanyaan untuk Amazon Q
Dalam tabel berikut, kami memberikan contoh pertanyaan yang menunjukkan beberapa cara Anda dapat membuat kueri Amazon Q yang menghasilkan hasil yang lebih baik.
Kami juga memberikan contoh filter yang akan diterapkan Amazon Q saat menjalankan [ListNodes](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListNodes.html)perintah, yang dihasilkan dari konten prompt Anda.
| Contoh pertanyaan bahasa alami | Filter terapan Amazon Q |
| --- | --- |
| Show me my Windows managed nodes. | PlatformType = Windows
|
| List my managed instances in account 123456789012. | AccountId = 123456789012
|
| Show me all managed nodes running Amazon Linux 2 across my organization. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| Show me all managed instances running Microsoft Windows Server 2019 Datacenter in my organization. | PlatformName = Microsoft Windows Server 2019 Datacenter
|
| Can you show me all managed nodes with SSM Agent version 3.3.1142.0? | AgentType = amazon-ssm-agent
AgentVersion = 3.3.1142.0
|
| List all Amazon Linux 2 managed instances in account 123456789012 that have SSM Agent version 3.3.1230.0. | PlatformName = Amazon Linux
PlatformVersion = 2
AccountId = 123456789012
AgentType = amazon-ssm-agent
AgentVersion = 3.3.1230.0
|
| What Microsoft Windows Server 2012 R2 Enterprise managed nodes are running in the eu-central-1 region across my entire organization? | PlatformName = Microsoft Windows Server 2012 R2 Enterprise
Region = eu-central-1
|
| Show me all managed instances running Red Hat Linux 7 in ou-d6ty-gxdma6vm. | PlatformName = RHEL Linux
PlatformVersion = 7
OrganizationalUnitId = ou-d6ty-gxdma6vm
|
| What Ubuntu managed instances are in account 123456789012? | PlatformName = Ubuntu
AccountId = 123456789012
|
| List my Linux managed instances. | PlatformType = Linux
|
| Find my macOS managed nodes. | PlatformType = macOS
|
| Show me all versions of Amazon Linux managed nodes in my org. | PlatformName = Amazon Linux
|
| List managed nodes running Amazon Linux 2. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| List the managed nodes with Ubuntu 16.04 in account 123456789012. | PlatformName = Ubuntu
PlatformVersion = 16.04
AccountId = 123456789012
|
| Find all managed nodes that have an SSM Agent version that is not 3.3.987.0. | AgentType = amazon-ssm-agent
AgentVersion != 3.3.987.0
|
| List all managed instances that are not running a Linux operating system. | PlatformType != Linux
|
## Nama dan versi sistem operasi yang didukung untuk permintaan
Saat Anda menanyakan Amazon Q tentang node terkelola di akun Anda, akan sangat membantu jika Anda memberikan nama sistem operasi seperti yang diberi label di Systems Manager. Anda juga dapat memberikan nomor versi untuk lebih mempersempit hasil Anda. Misalnya, seperti yang ditunjukkan dalam tabel berikut, Anda dapat meminta hasil secara khusus tentang**macOS 14.5**,**Microsoft Windows Server 2019 Datacenter**, dan**AlmaLinux 9.2 through 9.4**, untuk menyebutkan beberapa contoh saja.
Daftar ini mungkin tidak lengkap dan ditawarkan sebagai contoh saja.
**macOS**
| Nama platform | Nomor versi |
| --- | --- |
| macOS | 13.2, 13.4, 13.7, 14.1, 14.5, 14.6.1, 15.0 |
**Windows**
| Rilis | Nomor versi |
| --- | --- |
| Pusat Data Microsoft Windows Server 2012 R2 | 6.3.9600 |
| Microsoft Windows Server 2012 R2 Standar | 6.3.9600 |
| Microsoft Windows Server 2012 Standar | 6.2.9200 |
| Pusat Data Microsoft Windows Server 2016 | N/A |
| Microsoft Windows Server 2016 Standar | 10.0.14393 |
| Pusat Data Microsoft Windows Server 2019 | N/A |
| Standar Microsoft Windows Server 2019 | N/A |
| Pusat Data Microsoft Windows Server 2022 | N/A |
| Standar Microsoft Windows Server 2022 | 10.0.20348 |
**Linux**
| Nama platform | Nomor versi |
| --- | --- |
| AlmaLinux | 8.10, 9.2, 9.3, 9.4 |
| Amazon Linux 2 | 2.0 dan lebih besar |
| Amazon Linux 2023 | 2023.0.20230315.0 dan lebih besar |
| BottleRocket | 1.14.3, 1.16.1, 1.18.0, 1.19.1, 1.19.2, 1.19.5, 1.20.0, 1.20.1, 1.20.2, 1.20.3, 1.20.5, 1.21.1, 1.23.0, 1.24.0, 1.24.1, 1.25.0, 1.26.1, |
| CentOS Stream | 9 |
| Debian GNU/Linux | 11-12 |
| Server Linux Oracle | 7.8, 8.2, 8.3, 8.8, 8.9, 8.10, 9.4 |
| Red Hat Enterprise Linux | 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.2, 9.3, 9.4 |
| Red Hat Enterprise LinuxServer | 17.3, 7.6, 7.7, 7.8,7.9 |
| Rocky Linux | 8.6, 8.7, 8.8, 8.9, 8.10, 9.1, 9.2, 9.3, 9.4 |
| Ubuntu Server | 16.04, 18.04, 20.04, 22.04, 24.04 |
# Menjelajahi node terkelola menggunakan Amazon Q
Integrasi Systems Manager dengan Amazon Q Developer memungkinkan Anda mengajukan pertanyaan tentang node terkelola di armada Anda dari Konsol Manajemen AWS mana saja di mana antarmuka Amazon Q tersedia.
Untuk informasi selengkapnya tentang berinteraksi dengan Amazon Q, lihat [Mengobrol dengan Pengembang Amazon Q AWS](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/chat-with-q.html) di *Panduan Pengguna Pengembang Amazon Q*.
**Untuk menjelajahi node terkelola menggunakan Amazon Q**
1. Dari mana saja di Konsol Manajemen AWS, pilih ikon Amazon Q (![\[The Amazon Q icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/q-icon-white.png)).
1. Di bidang prompt di bagian bawah panel Amazon Q, ajukan pertanyaan tentang node terkelola di akun atau organisasi Anda.
**Tip**
Untuk tips membuat petunjuk yang efektif, tinjau informasinya di[Belajar membuat petunjuk yang efektif untuk menanyakan Amazon Q tentang armada Anda](view-aggregated-node-details-Q-prompts.md).
1. Periksa informasi tentang node tertentu, atau pilih **Open AWS Systems Manager console** untuk melanjutkan penjelajahan.
# Melihat detail node individual dan mengambil tindakan pada node
Dari daftar di halaman **Jelajahi node** di Systems Manager, Anda dapat memilih node individual untuk melihat detail komprehensif tentang mesin atau melakukan berbagai tindakan pada node. Halaman **Umum** di halaman detail menyajikan informasi komprehensif tentang node.
**Untuk melihat detail node individual dan mengambil tindakan pada node**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Jelajahi node**.
1. (Opsional) Ikuti langkah-langkah [Memilih tampilan filter untuk ringkasan node terkelola](explore-nodes-filter-view.md) untuk menyempurnakan daftar node terkelola yang ditampilkan untuk organisasi atau akun Anda.
1. Di kolom **Node ID**, pilih ID yang ditautkan dari sebuah node.
1. Untuk melihat detail selengkapnya tentang node, di navigasi kiri, di daftar **Properti**, pilih properti untuk melihat informasi selengkapnya tentang:
+ **Tag** - Lihat daftar tag yang diterapkan ke node. Anda juga dapat menambahkan atau menghapus tag.
+ **Inventaris** — Pilih jenis inventaris, seperti **AWS: Aplikasi** atau **AWS: Jaringan**, untuk melihat detail inventaris untuk node.
+ **Asosiasi** — Lihat detail tentang semua State Manager asosiasi yang diterapkan ke node, termasuk detail seperti status dan nama dokumen SSM terkait.
+ **Patch** — Lihat informasi ringkasan tentang patch dan status patch untuk node.
+ **Kepatuhan konfigurasi** — Lihat detail kepatuhan untuk node, seperti status kepatuhan dan tingkat keparahan masalah kepatuhan.
Untuk informasi selengkapnya tentang detail pada tab, lihat[Apa itu konsol terpadu?](systems-manager-unified-console.md).
1. Untuk mengambil tindakan pada node, gunakan opsi berikut di menu **tindakan Node**:
**catatan**
Tindakan ini hanya tersedia untuk node terkelola di Akun AWS dan Wilayah tempat Anda bekerja saat ini. Untuk node terkelola yang mungkin memiliki akses ke akun atau Wilayah lain, Anda dapat mengakses daftar **Properti**.
+ **Connect, Mulai sesi terminal** — Connect ke node menggunakan[AWS Systems Manager Session Manager](session-manager.md).
+ **Alat**
+ **Lihat sistem file** - Jelajahi isi struktur direktori node. Tambahkan, ganti nama, dan hapus direktori. Potong atau salin dan tempel file.
+ **Lihat penghitung kinerja** - Lihat informasi kinerja tentang node seperti pemanfaatan CPU, lalu lintas jaringan, dan jenis pemanfaatan lainnya.
+ **Proses terkelola** — Melihat informasi tentang penggunaan sumber daya pada node. Mulai atau hentikan proses pada node.
+ **Kelola pengguna dan grup** — Lihat, tambahkan, atau hapus akun pengguna dan grup pengguna di node.
+ **Jalankan perintah run** — Gunakan [AWS Systems Manager Run Command](run-command.md) untuk mengelola konfigurasi node. Run Commandmenggunakan [dokumen Systems Manager](documents.md) untuk melakukan perubahan sesuai permintaan seperti memperbarui aplikasi atau menjalankan skrip shell Linux dan perintah Windows PowerShell .
+ **Patch node** — Gunakan fitur **Patch sekarang** [AWS Systems Manager Patch Manager](patch-manager.md) untuk menjalankan operasi patching sesuai permintaan pada node dari konsol.
**catatan**
Tugas sebelumnya juga dapat dimulai dari menu **Tools** di navigasi kiri.
+ **Pengaturan simpul**
+ **Tambahkan tag** - Terapkan pasangan nilai kunci tag tambahan ke node.
+ **Setel ulang kata sandi pengguna node** - Tetapkan kata sandi baru untuk pengguna tertentu pada node.
+ **Ubah peran IAM** — Ubah peran IAM yang terkait dengan node. Buat peran IAM baru untuk dilampirkan ke node.
# Mengunduh atau mengekspor laporan node terkelola
Anda dapat menggunakan fitur Systems Manager **Jelajahi node** untuk melihat daftar node terkelola yang difilter atau tidak difilter untuk AWS organisasi atau akun Anda di konsol Systems Manager. Untuk kasus di mana Anda ingin melihat data secara offline atau memprosesnya di aplikasi lain, Anda dapat menyimpan laporan sebagai `JSON` file `CSV` atau.
Bergantung pada ukuran laporan, Anda diminta untuk mengunduh laporan ke mesin lokal atau mengekspornya ke bucket Amazon S3. Laporan disimpan ke bucket S3 dalam `CSV` format saja.
**Untuk mengunduh atau mengekspor laporan node terkelola**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Jelajahi node**.
1. (Opsional) Ikuti langkah-langkah [Memilih tampilan filter untuk ringkasan node terkelola](explore-nodes-filter-view.md) untuk menyempurnakan daftar node terkelola yang ditampilkan untuk organisasi atau akun Anda.
1. Pilih **Laporkan** (![\[The download report icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/download-arrow-icon.png)).
1. Jika kotak dialog **Unduh laporan** ditampilkan, lakukan hal berikut:
1. Untuk **nama File**, masukkan nama untuk file tersebut. Sebaiknya tentukan nama yang mewakili ruang lingkup laporan, seperti `all-organization-nodes` atau`ec2-instances-out-of-date-agent`.
1. Untuk **kolom Termasuk**, tentukan apakah akan menyertakan kolom untuk semua detail node yang tersedia, atau hanya yang Anda pilih untuk tampilan Anda saat ini.
**Tip**
Untuk informasi tentang mengelola kolom di tampilan laporan, lihat[Mengelola konten dan tampilan laporan node](explore-nodes-manage-report-display.md).
1. Untuk **format File**, pilih **CSV** atau **JSON**, tergantung pada bagaimana Anda akan menggunakan file tersebut.
1. Untuk **judul Spreadsheet**, untuk menyertakan baris judul kolom dalam `CSV` file, pilih **Sertakan baris nama kolom.**
1. Pilih **Unduh**.
Laporan disimpan ke lokasi unduhan default sesuai dengan pengaturan browser Anda.
1. Jika kotak dialog **Ekspor ke Amazon S3** ditampilkan, lakukan hal berikut:
1. Untuk **URI S3**, masukkan URI untuk bucket untuk mengekspor laporan.
**Tip**
**Untuk melihat daftar bucket Anda di konsol Amazon S3, pilih Lihat.** Untuk memilih dari daftar bucket di akun Anda, pilih **Browse S3**.
1. Untuk **metode Otorisasi**, tentukan peran layanan yang akan digunakan untuk memberikan izin untuk mengekspor laporan ke bucket.
Jika Anda memilih untuk membiarkan Systems Manager membuat peran untuk Anda, itu menyediakan semua izin dan pernyataan kepercayaan yang diperlukan untuk operasi.
Jika Anda ingin menggunakan atau membuat peran Anda sendiri, peran tersebut harus menyertakan izin dan pernyataan kepercayaan yang diperlukan. Untuk informasi lebih lanjut tentang pembuatan peran, lihat [Membuat peran layanan khusus untuk mengekspor laporan diagnosis ke S3](create-s3-export-role.md).
1. Pilih **Kirim**.
# Membuat peran layanan khusus untuk mengekspor laporan diagnosis ke S3
Saat melihat daftar node terkelola yang difilter atau tidak difilter untuk AWS organisasi atau akun Anda di halaman **node Jelajahi** Manajer Sistem, Anda dapat mengekspor daftar sebagai laporan ke bucket Amazon S3 sebagai `CSV` file.
Untuk melakukannya, Anda harus menentukan peran layanan dengan izin dan kebijakan kepercayaan yang diperlukan untuk operasi. Anda dapat memilih Systems Manager untuk membuat peran bagi Anda selama proses mengunduh laporan. Secara opsional, Anda dapat membuat peran dan kebijakan yang diperlukan sendiri.
**Untuk membuat peran layanan kustom untuk mengekspor laporan diagnosis ke S3**
1. Ikuti langkah-langkah dalam [Membuat kebijakan menggunakan editor JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) di *Panduan Pengguna IAM*.
+ Gunakan yang berikut ini untuk konten kebijakan, pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:ListNodes"
],
"Resource": "*"
}
]
}
```
------
+ Beri nama kebijakan untuk membantu Anda mengenalinya dengan mudah di langkah berikutnya.
1. Ikuti langkah-langkah dalam [Membuat peran IAM menggunakan kebijakan kepercayaan kustom (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
+ Untuk langkah 4, masukkan kebijakan kepercayaan berikut, pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. Untuk langkah 10, pilih **Langkah 2: Tambahkan izin** dan pilih nama kebijakan yang Anda buat di langkah sebelumnya.
Setelah Anda membuat peran, Anda dapat memilihnya saat mengikuti langkah-langkah di[Mengunduh atau mengekspor laporan node terkelola](explore-nodes-download-report.md).
# Mengelola konten dan tampilan laporan node
Anda dapat menggunakan fitur Systems Manager **Jelajahi node** untuk melihat daftar node terkelola yang difilter atau tidak difilter untuk AWS organisasi atau akun Anda di konsol Systems Manager. Anda dapat memilih dari lebih dari selusin bidang untuk disertakan dalam daftar node Anda, seperti **ID Node**, **nama sistem operasi**, **Wilayah**, dan banyak lagi. Anda juga dapat menyusun ulang kolom untuk daftar dan laporan Anda dan mengubah cara daftar ditampilkan di konsol.
**Untuk mengelola konten dan tampilan laporan node**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Jelajahi node**.
1. Di area **Node**, pilih ikon roda gigi preferensi (![\[The preferences gear icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/preferences-icon.png)).
1. Di kotak dialog **Preferensi**, lakukan hal berikut:
1. Untuk **ukuran Halaman**, pilih berapa banyak baris yang disertakan dalam setiap tampilan tampilan konsol, **10**, **25**, atau **50**.
1. Untuk **garis Bungkus**, pilih kotak untuk menampilkan semua konten sel dalam lebar kolom yang tersedia.
1. Untuk **baris bergaris**, pilih kotak untuk menampilkan baris bergantian latar belakang yang jelas dan diarsir.
1. Untuk **Pilih konten yang terlihat**, lakukan hal berikut:
+ Mengaktifkan atau menonaktifkan kolom individual untuk tampilan daftar dan laporan Anda.
+ Untuk mengubah urutan kolom, klik dan tahan pegangan seret (![\[The drag handle\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) dari nama kolom dan seret ke atas atau ke bawah dalam daftar.
1. Pilih **Konfirmasi**.
# Just-in-time akses node menggunakan Systems Manager
Systems Manager membantu Anda meningkatkan keamanan node Anda dengan mendukung *just-in-time*akses. Just-in-timeakses node memungkinkan pengguna untuk meminta akses sementara, terikat waktu ke node yang dapat Anda setujui hanya ketika akses benar-benar diperlukan. Ini menghilangkan kebutuhan untuk menyediakan akses jangka panjang ke node yang dikelola oleh kebijakan IAM. Selain itu, Systems Manager menyediakan rekaman sesi untuk sesi RDP ke Windows Server node untuk membantu Anda memenuhi persyaratan kepatuhan, melakukan analisis akar penyebab, dan banyak lagi. Untuk menggunakan akses just-in-time node, Anda harus mengatur konsol Systems Manager terpadu.
Dengan akses just-in-time node, Anda membuat kebijakan IAM granular untuk memastikan hanya pengguna yang Anda izinkan yang dapat mengirimkan permintaan akses ke node Anda. Kemudian Anda membuat *kebijakan persetujuan* yang menentukan persetujuan yang diperlukan untuk terhubung ke node Anda. Untuk akses just-in-time node, ada kebijakan *persetujuan otomatis* dan kebijakan *persetujuan manual*. Kebijakan persetujuan otomatis menentukan node mana yang dapat dihubungkan oleh pengguna secara otomatis. Kebijakan persetujuan manual menentukan jumlah dan tingkat persetujuan manual yang harus disediakan untuk mengakses node yang Anda tentukan. Selain itu, Anda dapat membuat *kebijakan akses penolakan*. Kebijakan deny-access secara eksplisit mencegah persetujuan otomatis permintaan akses ke node yang Anda tentukan. Kebijakan akses penolakan berlaku untuk semua akun dalam suatu AWS Organizations organisasi. Persetujuan otomatis dan kebijakan persetujuan manual hanya berlaku untuk Akun AWS dan di Wilayah AWS mana kebijakan tersebut dibuat.
Ketika pengguna mencoba untuk terhubung ke node, mereka diminta untuk memasukkan alasan untuk mengakses node. Kemudian kebijakan persetujuan Anda dievaluasi. Bergantung pada kebijakan Anda, pengguna terhubung secara otomatis ke node target atau Systems Manager secara otomatis membuat permintaan persetujuan manual atas nama pemohon. Pemberi persetujuan yang ditentukan dalam kebijakan persetujuan manual yang berlaku untuk node kemudian diberi tahu tentang permintaan akses, dan dapat menyetujui atau menolak permintaan tersebut. Pemberi persetujuan dan pemohon dapat diberitahukan melalui email, atau melalui Amazon Q Developer dalam integrasi aplikasi obrolan dengan Slack atau Microsoft Teams. Systems Manager hanya memberikan akses ke node yang diminta ketika pemberi persetujuan yang ditentukan memberikan semua persetujuan yang diperlukan. Setelah semua persetujuan yang diperlukan diterima, pengguna dapat memulai sesi sebanyak mungkin ke node yang diperlukan selama durasi jendela akses yang ditentukan dalam kebijakan persetujuan. Systems Manager tidak secara otomatis menghentikan sesi akses just-in-time node. Sebagai praktik terbaik, tentukan nilai untuk *durasi sesi maksimum dan preferensi sesi* *batas waktu sesi idle*. Preferensi ini mencegah pengguna tetap terhubung ke node di luar jendela akses yang disetujui.
Sebaiknya gunakan kombinasi kebijakan persetujuan untuk membantu Anda mengamankan node dengan data yang lebih penting sekaligus memungkinkan pengguna untuk terhubung ke node yang kurang kritis tanpa intervensi. Misalnya, Anda dapat meminta persetujuan manual untuk permintaan akses ke node database, dan sesi persetujuan otomatis ke node tingkat presentasi yang tidak persisten.
Systems Manager mendukung akses just-in-time node untuk pengguna yang terfederasi dengan IAM Identity Center atau IAM. Ketika pengguna federasi mengirimkan permintaan akses, mereka menentukan node target, dan alasan untuk perlu terhubung ke node. Systems Manager membandingkan identitas pengguna dengan parameter yang ditentukan dalam kebijakan persetujuan organisasi Anda. Ketika kondisi kebijakan persetujuan otomatis terpenuhi, atau pemberi persetujuan secara manual memberikan persetujuan, pemohon dapat terhubung ke node target. Ketika pengguna mencoba untuk terhubung ke node yang disetujui, Systems Manager membuat dan menggunakan token sementara untuk membuat sesi.
Karena layanan Systems Manager menangani autentikasi untuk permintaan akses dan membuat sesi, Anda tidak perlu menggunakan kebijakan IAM untuk mengelola akses ke node Anda. Dengan menggunakan akses just-in-time node, Systems Manager membantu organisasi Anda bergerak lebih dekat ke nol hak istimewa berdiri karena Anda hanya perlu mengizinkan pengguna untuk membuat permintaan akses alih-alih mengizinkan mereka untuk memulai sesi dengan izin persisten ke node Anda. Untuk membantu Anda memenuhi persyaratan kepatuhan, Systems Manager mempertahankan semua permintaan akses selama 1 tahun. Systems Manager juga memancarkan EventBridge peristiwa untuk akses just-in-time node untuk permintaan akses yang gagal dan pembaruan status untuk mengakses permintaan persetujuan manual. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md).
**Topics**
+ [Menyiapkan just-in-time akses dengan Systems Manager](systems-manager-just-in-time-node-access-setting-up.md)
+ [Memulai sesi akses just-in-time node](systems-manager-just-in-time-node-access-start-session.md)
+ [Mengelola permintaan just-in-time akses](systems-manager-just-in-time-node-access-manage-requests.md)
+ [Pindah ke akses just-in-time node dari Session Manager](systems-manager-just-in-time-node-access-moving-from-session-manager.md)
+ [Menonaktifkan just-in-time akses dengan Systems Manager](systems-manager-just-in-time-node-access-disable.md)
+ [Just-in-time akses node pertanyaan yang sering diajukan](just-in-time-node-access-faq.md)
# Menyiapkan just-in-time akses dengan Systems Manager
Menyiapkan akses just-in-time node dengan Systems Manager melibatkan beberapa langkah. Pertama, Anda memilih *target* di mana Anda ingin mengatur akses just-in-time node. Target terdiri dari unit AWS Organizations organisasi (OUs) dan Wilayah AWS. Secara default, target yang sama yang Anda pilih saat menyiapkan konsol Systems Manager terpadu dipilih untuk akses just-in-time node. Anda dapat memilih untuk mengatur akses just-in-time node untuk semua target yang sama, atau subset target yang Anda tentukan saat menyiapkan konsol Systems Manager terpadu. Menambahkan target baru yang tidak dipilih saat Anda menyiapkan konsol Systems Manager terpadu tidak didukung.
Selanjutnya Anda akan membuat *kebijakan persetujuan* untuk menentukan kapan koneksi node memerlukan persetujuan manual dan secara otomatis disetujui. Kebijakan persetujuan dikelola oleh setiap akun di organisasi Anda. Anda juga dapat membagikan kebijakan dari akun administrator yang didelegasikan untuk secara eksplisit menolak persetujuan otomatis koneksi ke node tertentu.
**catatan**
Menyiapkan akses just-in-time node tidak memengaruhi kebijakan atau preferensi IAM yang sudah ada yang telah Anda konfigurasikanSession Manager. Anda harus menghapus izin untuk tindakan `StartSession` API dari kebijakan IAM Anda untuk memastikan bahwa hanya akses just-in-time node yang digunakan ketika pengguna mencoba untuk terhubung ke node Anda. Setelah menyiapkan akses just-in-time node, sebaiknya uji kebijakan persetujuan Anda dengan subset pengguna dan node untuk memverifikasi kebijakan Anda berfungsi sesuai keinginan sebelum menghapus izin. Session Manager
**Dukungan autentikasi**
Perhatikan detail berikut tentang dukungan otentikasi yang digunakan untuk akses just-in-time node:
+ Just-in-time akses node tidak mendukung jenis otentikasi Single Sign-On saat menghubungkan ke Windows Server instance dengan Remote Desktop.
+ Hanya AWS Security Token Service (AWS STS) kredenal keamanan `AssumeRole` sementara yang didukung. Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna IAM*:
+
+ [Kredensi keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Membandingkan AWS STS kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)
+ [Meminta kredensi keamanan sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)
Kebijakan IAM berikut menguraikan izin yang diperlukan untuk mengelola dan memungkinkan pengguna membuat permintaan akses just-in-time node ke node dengan Systems Manager. Setelah memverifikasi bahwa Anda memiliki izin yang diperlukan untuk menggunakan akses just-in-time node dengan Systems Manager, Anda dapat melanjutkan proses pengaturan. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
## Kebijakan IAM untuk mengaktifkan akses node just-in-time
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:CreateConfigurationManager",
"ssm-quicksetup:DeleteConfigurationManager",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:GetServiceSettings",
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:ListTagsForResource",
"ssm-quicksetup:TagResource",
"ssm-quicksetup:UntagResource",
"ssm-quicksetup:UpdateConfigurationDefinition",
"ssm-quicksetup:UpdateConfigurationManager",
"ssm-quicksetup:UpdateServiceSettings"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Sid": "StackSetOperations",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-JITNA*:*"
]
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "SSMAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/AWS-EnableExplorer",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Sid": "SSMAssociationPermissions",
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:association/*"
},
{
"Sid": "SSMResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "ListResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:ListResourceDataSync"
],
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Sid": "CreateStackSetsServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-JustInTimeAccessDenyAccessOrgPolicy"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "IdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## Kebijakan IAM untuk mengonfigurasi akses node just-in-time
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/SSM-JustInTimeAccessTokenRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"justintimeaccess.ssm.amazonaws.com"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerPreferencesOperation",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "Session"
}
}
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:TerminateSession"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:UpdateConnectionRecordingPreferences",
"ssm-guiconnect:GetConnectionRecordingPreferences",
"ssm-guiconnect:DeleteConnectionRecordingPreferences"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingKmsOperation",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"StringLike": {
"kms:ViaService": "ssm-guiconnect.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowFleetManagerOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
},
{
"Sid": "SNSTopicManagement",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:SSM-JITNA*"
]
},
{
"Sid": "SNSListTopics",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "EventBridgeRuleManagement",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:us-east-1::rule/SSM-JITNA*"
]
},
{
"Sid": "ChatbotSlackManagement",
"Effect": "Allow",
"Action": [
"chatbot:CreateSlackChannelConfiguration",
"chatbot:UpdateSlackChannelConfiguration",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:DescribeSlackWorkspaces",
"chatbot:DeleteSlackChannelConfiguration",
"chatbot:RedeemSlackOauthCode",
"chatbot:DeleteSlackWorkspaceAuthorization",
"chatbot:GetSlackOauthParameters"
],
"Resource": "*"
},
{
"Sid": "ChatbotTeamsManagement",
"Effect": "Allow",
"Action": [
"chatbot:ListMicrosoftTeamsChannelConfigurations",
"chatbot:CreateMicrosoftTeamsChannelConfiguration",
"chatbot:UpdateMicrosoftTeamsChannelConfiguration",
"chatbot:ListMicrosoftTeamsConfiguredTeams",
"chatbot:DeleteMicrosoftTeamsChannelConfiguration",
"chatbot:RedeemMicrosoftTeamsOauthCode",
"chatbot:DeleteMicrosoftTeamsConfiguredTeam",
"chatbot:GetMicrosoftTeamsOauthParameters",
"chatbot:TagResource"
],
"Resource": "*"
},
{
"Sid": "SSMEmailSettings",
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:GetServiceSetting"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/email-role-mapping",
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/enabled-email-notifications"
]
},
{
"Sid": "AllowViewingJitnaCloudWatchMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/SSM/JustInTimeAccess"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "ManualPolicy",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"ssm:GetServiceSetting",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SessionPreference",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AllowIamListForKMS",
"Effect": "Allow",
"Action": [
"iam:ListUsers"
],
"Resource": "arn:aws:iam::111122223333:user/*"
},
{
"Sid": "KMSPermission",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:ListAliases",
"kms:CreateAlias"
],
"Resource": "*"
},
{
"Sid": "KMSCreateKey",
"Effect": "Allow",
"Action": [
"kms:CreateKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"SystemsManagerJustInTimeNodeAccessManaged"
]
}
}
},
{
"Sid": "AllowIamRoleForChatbotAction",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"chatbot.amazonaws.com"
]
}
}
},
{
"Sid": "AllowIamServiceRoleForChat",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/management.chatbot.amazonaws.com/AWSServiceRoleForAWSChatbot"
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:111122223333:log-group::log-stream:"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"identitystore:DescribeGroup",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
## Kebijakan IAM untuk persetujuan permintaan akses
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessRequestDescriptions",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowGetSpecificAccessRequest",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:opsitem/*"
},
{
"Sid": "AllowApprovalRejectionSignal",
"Effect": "Allow",
"Action": [
"ssm:SendAutomationSignal"
],
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## Kebijakan IAM untuk pengguna akses just-in-time node
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowJITNAOperations",
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken"
],
"Resource": "*"
},
{
"Sid": "AllowOpsItemCreationAndRetrieval",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "AllowListAccessRequests",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents",
"ssm:DescribeSessions"
],
"Resource": "*"
},
{
"Sid": "RequestManualApprovals",
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "ManualApprovalPolicy"
}
}
},
{
"Sid": "StartManualApprovalsAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*"
},
{
"Sid": "CancelAccessRequestManualApproval",
"Effect": "Allow",
"Action": "ssm:StopAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "DescribeEC2Instances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "AllowListSSMManagedNodesAndTags",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "AllowRDPOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:ListConnections",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesReadOnly",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "ExploreNodes",
"Effect": "Allow",
"Action": [
"ssm:ListNodesSummary",
"ssm:ListNodes",
"ssm:DescribeInstanceProperties"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**catatan**
Untuk membatasi akses ke operasi API yang membuat, memperbarui, atau menghapus kebijakan persetujuan, gunakan kunci `ssm:DocumentType` kondisi untuk jenis `AutoApprovalPolicy` dan `ManualApprovalPolicy ` dokumen. Operasi `StartAccessRequest` dan `GetAccessToken` API tidak mendukung kunci konteks global berikut:
`aws:SourceVpc`
`aws:SourceVpce`
`aws:VpcSourceIp`
`aws:UserAgent`
`aws:MultiFactorAuthPresent`
Untuk informasi selengkapnya tentang kunci konteks kondisi untuk Systems Manager, lihat [Kunci kondisi untuk AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) *Referensi Otorisasi Layanan*.
Prosedur berikut menjelaskan cara menyelesaikan langkah pengaturan pertama untuk akses just-in-time node.
**Untuk mengatur akses just-in-time node**
1. Masuk ke akun administrator yang didelegasikan Systems Manager untuk organisasi Anda.
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **akses Just-in-time node** di panel navigasi.
1. Pilih **Aktifkan pengalaman baru**.
1. Pilih Wilayah tempat Anda ingin mengaktifkan akses just-in-time node. Secara default, Wilayah yang sama yang Anda pilih saat menyiapkan konsol Systems Manager terpadu dipilih untuk akses just-in-time node. Memilih Wilayah baru yang tidak dipilih saat Anda menyiapkan konsol Systems Manager terpadu tidak didukung.
1. Pilih **Aktifkan akses just-in-time node**.
Tidak ada biaya untuk menggunakan akses just-in-time node selama 30 hari setelah mengaktifkan fitur. Setelah masa percobaan 30 hari, ada biaya untuk menggunakan akses just-in-time node. Untuk informasi selengkapnya, lihat [ Harga AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
# Buat kebijakan persetujuan untuk node Anda
Kebijakan persetujuan menentukan persetujuan apa yang dibutuhkan pengguna untuk mengakses node. Karena akses just-in-time node menghilangkan kebutuhan akan izin jangka panjang ke node melalui kebijakan IAM, Anda harus membuat kebijakan persetujuan untuk mengizinkan akses ke node Anda. Jika tidak ada kebijakan persetujuan yang berlaku untuk node, pengguna tidak dapat meminta akses ke node.
Dalam akses just-in-time node, ada tiga jenis kebijakan. *Jenis kebijakan adalah *persetujuan otomatis*, *akses penolakan*, dan persetujuan manual.*
**Just-in-time tipe kebijakan akses node**
+ Kebijakan persetujuan otomatis menentukan node mana yang dapat dihubungkan pengguna secara otomatis.
+ Kebijakan persetujuan manual menentukan jumlah dan tingkat persetujuan manual yang harus disediakan untuk mengakses node yang Anda tentukan.
+ Kebijakan deny-access secara eksplisit mencegah persetujuan otomatis permintaan akses ke node yang Anda tentukan.
Kebijakan akses penolakan berlaku untuk semua akun dalam suatu AWS Organizations organisasi. Misalnya, Anda dapat secara eksplisit menolak persetujuan otomatis untuk `Intern` grup ke node yang ditandai dengan kunci. `Production` Persetujuan otomatis dan kebijakan persetujuan manual hanya berlaku untuk Akun AWS dan Wilayah AWS tempat pembuatannya. Setiap akun anggota di organisasi Anda mengelola kebijakan persetujuan mereka sendiri. Kebijakan persetujuan dievaluasi dengan urutan sebagai berikut:
1. Akses tolak
1. Persetujuan otomatis
1. Manual
Meskipun Anda hanya dapat memiliki satu kebijakan akses penolakan per organisasi, dan satu kebijakan persetujuan otomatis per akun dan Wilayah, Anda mungkin akan memiliki beberapa kebijakan persetujuan manual di akun. Saat mengevaluasi kebijakan persetujuan manual, akses just-in-time node selalu mendukung kebijakan yang lebih spesifik untuk sebuah node. Kebijakan persetujuan manual dievaluasi dengan urutan sebagai berikut:
1. Tandai target spesifik
1. Semua node menargetkan
Misalnya, Anda memiliki node yang ditandai dengan `Demo` kunci. Di akun yang sama, Anda memiliki kebijakan persetujuan manual yang menargetkan semua node dan memerlukan satu persetujuan dari satu tingkat. Anda juga memiliki kebijakan persetujuan manual yang memerlukan dua persetujuan dari dua level untuk node yang ditandai dengan kunci. `Demo` Systems Manager menerapkan kebijakan yang menargetkan `Demo` tag ke node karena lebih spesifik daripada kebijakan yang menargetkan semua node. Ini memungkinkan Anda membuat kebijakan umum untuk semua node di akun Anda, memastikan pengguna dapat mengirimkan permintaan akses sambil memungkinkan Anda membuat kebijakan yang lebih terperinci sesuai kebutuhan.
Bergantung pada organisasi Anda, mungkin ada beberapa tag yang diterapkan ke node Anda. Dalam skenario ini, jika beberapa kebijakan persetujuan manual berlaku untuk node, permintaan akses gagal. Misalnya, sebuah node ditandai dengan `Database` kunci `Production` and. Di akun yang sama, Anda memiliki kebijakan persetujuan manual yang berlaku untuk node yang ditandai dengan `Production` kunci dan kebijakan persetujuan manual lainnya yang berlaku untuk node yang ditandai dengan kunci. `Database` Hal ini mengakibatkan konflik untuk node yang ditandai dengan kedua kunci dan permintaan akses gagal. Systems Manager mengarahkan pengguna ke permintaan yang gagal. Di sana, mereka dapat melihat detail tentang kebijakan dan tag yang bertentangan sehingga mereka dapat membuat penyesuaian yang diperlukan jika mereka memiliki izin yang diperlukan. Jika tidak, mereka dapat memberi tahu kolega di organisasi mereka dengan izin yang diperlukan untuk mengubah kebijakan. Konflik kebijakan yang mengakibatkan permintaan akses gagal memancarkan EventBridge peristiwa yang memungkinkan Anda fleksibilitas dalam membangun alur kerja respons Anda sendiri. Selain itu, Systems Manager mengirimkan pemberitahuan email untuk konflik kebijakan yang mengakibatkan permintaan akses gagal ke penerima yang Anda tentukan. Untuk informasi selengkapnya tentang mengonfigurasi notifikasi email untuk konflik kebijakan, lihat[Konfigurasikan notifikasi untuk permintaan just-in-time akses](systems-manager-just-in-time-node-access-notifications.md).
Dalam *kebijakan akses penolakan*, Anda menggunakan bahasa kebijakan Cedar untuk menentukan node mana yang secara eksplisit tidak dapat tersambung secara otomatis oleh pengguna di organisasi Anda. Kebijakan ini dibuat dan dibagikan dari akun administrator yang didelegasikan untuk organisasi Anda. Kebijakan deny-access menggantikan semua kebijakan persetujuan otomatis. Anda hanya dapat memiliki satu kebijakan akses penolakan per organisasi.
Dalam kebijakan *persetujuan otomatis*, Anda menggunakan bahasa kebijakan Cedar untuk menentukan pengguna mana yang dapat secara otomatis terhubung ke node yang ditentukan tanpa persetujuan manual. Durasi akses untuk permintaan akses yang disetujui secara otomatis adalah 1 jam. Nilai ini tidak dapat diubah. Anda hanya dapat memiliki satu kebijakan persetujuan otomatis per akun dan Wilayah.
Dalam kebijakan persetujuan *manual*, Anda menentukan durasi akses, berapa banyak tingkat persetujuan yang diperlukan, jumlah pemberi persetujuan yang diperlukan per level, dan node yang dapat mereka setujui untuk permintaan just-in-time akses. Durasi akses untuk kebijakan persetujuan manual harus antara 1 dan 336 jam. Jika Anda menentukan beberapa tingkat persetujuan, persetujuan untuk permintaan akses memproses satu tingkat pada satu waktu. Ini berarti semua persetujuan yang Anda perlukan untuk satu tingkat harus diberikan sebelum proses persetujuan pindah ke tingkat berikutnya. Jika Anda menentukan beberapa tag dalam kebijakan persetujuan manual, mereka dievaluasi sebagai `or` pernyataan bukan `and` pernyataan. Misalnya, jika Anda membuat kebijakan persetujuan manual yang menyertakan tag `Application` `Web``Test`, dan kebijakan tersebut berlaku untuk setiap node yang ditandai dengan salah satu kunci tersebut. Kebijakan ini tidak hanya berlaku untuk node yang ditandai dengan ketiga kunci.
Sebaiknya gunakan kombinasi kebijakan manual dengan kebijakan persetujuan otomatis untuk membantu Anda mengamankan node dengan data yang lebih penting sekaligus memungkinkan pengguna untuk terhubung ke node yang kurang kritis tanpa intervensi. Misalnya, Anda dapat meminta persetujuan manual untuk permintaan akses ke node database, dan sesi persetujuan otomatis ke node tingkat presentasi non-persisten.
Prosedur berikut menjelaskan cara membuat kebijakan persetujuan untuk akses just-in-time node.
**Topics**
+ [Membuat kebijakan persetujuan manual untuk akses just-in-time node](systems-manager-just-in-time-node-access-create-manual-policies.md)
+ [Struktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan](auto-approval-deny-access-policy-statement-structure.md)
+ [Membuat kebijakan persetujuan otomatis untuk akses just-in-time node](systems-manager-just-in-time-node-access-create-auto-approval-policies.md)
+ [Membuat kebijakan deny-access untuk just-in-time akses node](systems-manager-just-in-time-node-access-create-deny-access-policies.md)
+ [Membuat kebijakan persetujuan untuk akses just-in-time node dengan Amazon Q](systems-manager-just-in-time-node-access-create-approval-policies-q-ide-cli.md)
# Membuat kebijakan persetujuan manual untuk akses just-in-time node
Prosedur berikut menjelaskan cara membuat kebijakan persetujuan manual. Systems Manager memungkinkan Anda membuat hingga 50 kebijakan persetujuan manual per Akun AWS dan Wilayah AWS.
**Untuk membuat kebijakan persetujuan manual**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Kelola akses node** di panel navigasi.
1. Di bagian **Rincian kebijakan** langkah **Membuat kebijakan persetujuan manual**, masukkan nama dan deskripsi untuk kebijakan persetujuan.
1. Masukkan nilai untuk **durasi Akses**. Ini adalah jumlah maksimum waktu pengguna dapat memulai sesi ke node setelah permintaan akses disetujui. Nilainya harus antara 1 dan 336 jam.
1. Di bagian **Target Node**, masukkan pasangan nilai kunci tag yang terkait dengan node yang ingin diterapkan kebijakan tersebut. Jika tidak ada tag yang ditentukan dalam kebijakan yang terkait dengan node, kebijakan tidak akan diterapkan ke node.
1. Di bagian **Access request approvers**, masukkan pengguna atau grup yang Anda inginkan untuk dapat menyetujui permintaan akses ke target node dalam kebijakan. Persetujuan permintaan akses dapat berupa pengguna dan grup Pusat Identitas IAM atau peran IAM. Anda dapat menentukan hingga 5 pemberi persetujuan per level, dan hingga 5 level pemberi persetujuan.
1. Pilih **Buat kebijakan persetujuan manual**.
# Struktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan
Tabel berikut menunjukkan struktur kebijakan persetujuan otomatis dan penolakan akses.
| Komponen | Sintaksis |
| --- | --- |
| efek | `permit \| forbid` |
| cakupan | `(principal, action, resource)` |
| klausa kondisi | when {
principal or resource has attribute name
}; |
## Komponen kebijakan
Kebijakan persetujuan otomatis atau penolakan akses berisi komponen-komponen berikut:
+ **Efek** - Baik `permit` (izinkan) atau `forbid` (tolak) akses.
+ **Lingkup** — Prinsip, tindakan, dan sumber daya yang efeknya berlaku. Anda dapat membiarkan ruang lingkup di Cedar tidak terdefinisi dengan tidak mengidentifikasi prinsip, tindakan, atau sumber daya tertentu. Dalam hal ini, kebijakan berlaku untuk semua prinsip, tindakan, dan sumber daya yang mungkin. Untuk akses just-in-time node, `action` selalu`AWS::SSM::Action::"getTokenForInstanceAccess"`.
+ **Klausul kondisi** — Konteks di mana efek berlaku.
## Komentar
Anda dapat memasukkan komentar dalam kebijakan Anda. Komentar didefinisikan sebagai baris yang dimulai dengan `//` dan diakhiri dengan karakter baris baru.
Contoh berikut menunjukkan komentar dalam kebijakan.
```
// Allows users in the Engineering group from the Platform org to automatically connect to nodes tagged with Engineering and Production keys.
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
```
## Beberapa klausa
Anda dapat menggunakan lebih dari satu klausa kondisi dalam pernyataan kebijakan menggunakan `&&` operator.
```
// Allow access if node has tag where the tag key is Environment
// & tag value is Development
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Development"
};
```
## Karakter yang dipesan
Contoh berikut menunjukkan cara menulis kebijakan jika properti context menggunakan `:` (titik koma), yang merupakan karakter cadangan dalam bahasa kebijakan.
```
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
}
```
Untuk contoh tambahan, lihat [Contoh pernyataan kebijakan](#policy-statement-examples).
## Just-in-time skema akses simpul
Berikut ini adalah skema Cedar untuk akses just-in-time node.
```
namespace AWS::EC2 {
entity Instance tags String;
}
namespace AWS::IdentityStore {
entity Group;
entity User in [Group] {
employeeNumber?: String,
costCenter?: String,
organization?: String,
division?: String,
};
}
namespace AWS::IAM {
entity Role;
type AuthorizationContext = {
principalTags: PrincipalTags,
};
entity PrincipalTags tags String;
}
namespace AWS::SSM {
entity ManagedInstance tags String;
action "getTokenForInstanceAccess" appliesTo {
principal: [AWS::IdentityStore::User],
resource: [AWS::EC2::Instance, AWS::SSM::ManagedInstance],
context: {
"iam": AWS::IAM::AuthorizationContext
}
};
}
```
## Operator bawaan
Saat membuat konteks kebijakan persetujuan otomatis atau penolakan akses menggunakan berbagai kondisi, Anda dapat menggunakan `&&` operator untuk menambahkan kondisi tambahan. Ada juga banyak operator bawaan lainnya yang dapat Anda gunakan untuk menambahkan kekuatan ekspresif tambahan pada kondisi kebijakan Anda. Tabel berikut berisi semua operator bawaan untuk referensi.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/auto-approval-deny-access-policy-statement-structure.html)
## Contoh pernyataan kebijakan
Berikut ini adalah contoh pernyataan kebijakan.
```
// Users assuming IAM roles with a principal tag of "Elevated" can automatically access nodes tagged with the "Environment" key when the value equals "prod"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify IAM role principal tag
context.iam.principalTags.getTag("AccessLevel") == "Elevated" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "prod"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "prod"
};
```
```
// Identity Center users in the "Contractor" division can automatically access nodes tagged with the "Environment" key when the value equals "dev"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify that the user is part of the "Contractor" division
principal.division == "Contractor" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "dev"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "dev"
};
```
```
// Identity Center users in a specified group can automatically access nodes tagged with the "Environment" key when the value equals "Production"
permit(principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::getTokenForInstanceAccess,
resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Production"
};
```
# Membuat kebijakan persetujuan otomatis untuk akses just-in-time node
Kebijakan persetujuan otomatis menggunakan bahasa kebijakan Cedar untuk menentukan pengguna mana yang dapat secara otomatis terhubung ke node yang ditentukan tanpa persetujuan manual. Kebijakan persetujuan otomatis berisi beberapa `permit` pernyataan yang menentukan dan. `principal` `resource` Setiap pernyataan menyertakan `when` klausa yang mendefinisikan kondisi untuk persetujuan otomatis.
Berikut ini adalah contoh kebijakan persetujuan otomatis.
```
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};
```
Prosedur berikut menjelaskan cara membuat kebijakan persetujuan otomatis untuk akses just-in-time node. Durasi akses untuk permintaan akses yang disetujui secara otomatis adalah 1 jam. Nilai ini tidak dapat diubah. Anda hanya dapat memiliki satu kebijakan persetujuan otomatis per Akun AWS dan Wilayah AWS. Untuk informasi selengkapnya tentang cara membuat pernyataan kebijakan, lihat[Struktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan](auto-approval-deny-access-policy-statement-structure.md).
**Untuk membuat kebijakan persetujuan otomatis**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Kelola akses node** di panel navigasi.
1. Di tab **Kebijakan persetujuan**, pilih **Buat kebijakan persetujuan otomatis**.
1. Masukkan pernyataan kebijakan Anda untuk kebijakan persetujuan otomatis di bagian **Pernyataan kebijakan**. Anda dapat menggunakan **pernyataan Sampel** yang disediakan untuk membantu Anda membuat kebijakan.
1. Pilih **Buat kebijakan persetujuan otomatis**.
# Membuat kebijakan deny-access untuk just-in-time akses node
Kebijakan akses penolakan menggunakan bahasa kebijakan Cedar untuk menentukan node mana yang tidak dapat terhubung secara otomatis tanpa persetujuan manual. Kebijakan deny-access berisi beberapa `forbid` pernyataan yang menentukan dan. `principal` `resource` Setiap pernyataan menyertakan `when` klausa yang mendefinisikan kondisi untuk secara eksplisit menolak persetujuan otomatis.
Berikut ini adalah contoh kebijakan deny-access.
```
forbid (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```
Prosedur berikut menjelaskan cara membuat kebijakan deny-access untuk akses just-in-time node. Untuk informasi selengkapnya tentang cara membuat pernyataan kebijakan, lihat[Struktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan](auto-approval-deny-access-policy-statement-structure.md).
**catatan**
Perhatikan informasi berikut.
Anda dapat membuat kebijakan akses penolakan saat masuk ke akun AWS Manajemen atau akun administrator yang didelegasikan. AWS Organizations Organisasi Anda hanya dapat memiliki satu kebijakan akses penolakan.
Just-in-time akses node menggunakan AWS Resource Access Manager (AWS RAM) untuk membagikan kebijakan akses penolakan Anda dengan akun anggota di organisasi Anda. Jika Anda ingin membagikan kebijakan akses penolakan Anda dengan akun anggota di organisasi Anda, pembagian sumber daya harus diaktifkan dari akun manajemen organisasi Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan berbagi sumber daya AWS Organizations di dalam](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) *Panduan AWS RAM Pengguna*.
**Untuk membuat kebijakan akses penolakan**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Kelola akses node** di panel navigasi.
1. Di tab **Kebijakan persetujuan**, pilih **Buat kebijakan akses penolakan**.
1. Masukkan pernyataan kebijakan Anda untuk kebijakan akses penolakan di bagian **Pernyataan kebijakan**. Anda dapat menggunakan **pernyataan Sampel** yang disediakan untuk membantu Anda membuat kebijakan.
1. Pilih **Buat kebijakan akses penolakan**.
# Membuat kebijakan persetujuan untuk akses just-in-time node dengan Amazon Q
Menggunakan Amazon Q Developer untuk baris perintah memberikan panduan dan dukungan di berbagai aspek pengembangan perangkat lunak. Untuk akses just-in-time node, Amazon Q membantu Anda membuat kebijakan persetujuan dengan membuat dan memperbarui kode untuk kebijakan, menganalisis pernyataan kebijakan, dan banyak lagi. Informasi berikut menjelaskan cara membuat kebijakan persetujuan menggunakan Amazon Q untuk baris perintah.
## Identifikasi kasus penggunaan Anda
Langkah pertama dalam membuat kebijakan persetujuan adalah dengan jelas mendefinisikan kasus penggunaan Anda. Misalnya, di organisasi Anda, Anda mungkin ingin secara otomatis menyetujui permintaan akses ke node dengan `Environment:Testing` tag. Anda mungkin juga ingin secara eksplisit menolak persetujuan otomatis ke node dengan `Environment:Production` tag jika ID karyawan dimulai dengan. `TEMP` Untuk node dengan `Tier:Database` tag, Anda mungkin ingin meminta dua tingkat persetujuan manual.
Dalam skenario apa pun, Anda mungkin lebih memilih satu kebijakan atau kondisi, daripada yang lain. Oleh karena itu, kami menyarankan Anda untuk mendefinisikan dengan jelas perilaku kebijakan yang ingin Anda tentukan pernyataan mana yang paling sesuai dengan kasus penggunaan dan preferensi Anda.
## Siapkan lingkungan pengembangan Anda
Instal Amazon Q untuk baris perintah di mana Anda ingin mengembangkan kebijakan persetujuan Anda. Untuk informasi tentang menginstal Amazon Q untuk baris perintah, lihat [Menginstal Amazon Q untuk baris perintah](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html) di *Panduan Pengguna Pengembang Amazon Q*.
Kami juga merekomendasikan menginstal server MCP untuk AWS dokumentasi. Server MCP ini menghubungkan Amazon Q untuk baris perintah ke sumber daya dokumentasi terkini. Untuk informasi tentang menggunakan MCP dengan Amazon Q untuk baris perintah, lihat [Menggunakan MCP dengan Pengembang Amazon Q di Panduan Pengguna Pengembang](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-mcp.html) *Amazon Q*.
Untuk informasi selengkapnya tentang server MCP AWS Dokumentasi, lihat [AWS Dokumentasi MCP](https://awslabs.github.io/mcp/servers/aws-documentation-mcp-server/) Server.
Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI.](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
## Mengembangkan konten kebijakan persetujuan
Dengan kasus penggunaan yang teridentifikasi dan pengaturan lingkungan, Anda siap mengembangkan konten untuk kebijakan Anda. Kasus penggunaan dan preferensi Anda sebagian besar akan menentukan jenis kebijakan persetujuan dan pernyataan yang Anda gunakan.
Jika Anda tidak yakin cara menggunakan kebijakan tertentu atau memerlukan informasi lebih lanjut tentang skema untuk kebijakan, lihat [Buat kebijakan persetujuan untuk node Anda](systems-manager-just-in-time-node-access-approval-policies.md) dan topik berikutnya. Topik-topik ini menjelaskan secara rinci bagaimana kebijakan dievaluasi dan memberikan pernyataan contoh kerja.
Prosedur berikut menjelaskan cara membuat kebijakan persetujuan dengan Amazon Q untuk baris perintah.
**catatan**
Pengembang Amazon Q menggunakan AI generatif. Anda mungkin perlu memverifikasi tanggapan. Lihat [Kebijakan AI yang AWS Bertanggung](https://aws.amazon.com/ai/responsible-ai/policy/) Jawab.
**Untuk membuat kebijakan persetujuan menggunakan Amazon Q untuk baris perintah**
1. Buka terminal Anda dan mulai sesi dengan Amazon Q.
```
$ q chat
```
1. Masukkan prompt dan jelaskan jenis pernyataan kebijakan yang ingin Anda buat. Misalnya, menggunakan skenario sebelumnya untuk kebijakan persetujuan, Anda dapat memasukkan prompt berikut:
```
Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.
```
1. Memasukkan prompt contoh ini menghasilkan output berikut:
```
Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
Here's the Cedar policy statement:
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Testing"
};
This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators
The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.
```
1. Rekatkan pernyataan kebijakan ke file Cedar baru untuk memvalidasi sintaks. Anda juga dapat memvalidasi pernyataan menggunakan taman bermain [Cedar](https://www.cedarpolicy.com/en/playground).
1. Setelah memvalidasi pernyataan, simpan file Cedar.
1. Dari terminal Anda, jalankan AWS CLI perintah berikut untuk membuat dokumen SSM menggunakan konten kebijakan Anda. Sebelum menggunakan kebijakan persetujuan di lingkungan produksi, uji kebijakan persetujuan Anda dengan subset identitas dan node di dan. Akun AWS Wilayah AWS
**catatan**
Untuk kebijakan persetujuan otomatis, nama dokumen harus`SSM-JustInTimeAccessAutoApprovalPolicy`. Hanya ada satu kebijakan persetujuan otomatis per Akun AWS dan Wilayah AWS. Untuk kebijakan akses penolakan, nama dokumen harus. `SSM-JustInTimeAccessDenyAccessOrgPolicy` Hanya ada satu kebijakan akses penolakan per AWS Organizations organisasi, dan kebijakan tersebut harus dibuat di akun administrator yang didelegasikan untuk Systems Manager. Kendala penamaan untuk kebijakan persetujuan manual sama dengan dokumen SSM lainnya. Untuk informasi selengkapnya, lihat [CreateDocument](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateDocument.html#systemsmanager-CreateDocument-request-Name).
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/policyContent.cedar \
--name "SSM-JustInTimeAccessAutoApprovalPolicy" \
--document-type "AutoApproval"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\policyContent.cedar ^
--name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
--document-type "AutoApproval"
```
------
#### [ PowerShell ]
```
$cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
-Content $cedar `
-Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
-DocumentType "AutoApproval"
```
------
# Perbarui preferensi sesi akses just-in-time node
Dengan akses just-in-time node, Anda dapat menentukan sesi umum dan preferensi logging di masing-masing Akun AWS dan Wilayah AWS di organisasi Anda. Atau, Anda dapat menggunakan CloudFormation StackSets untuk membuat dokumen preferensi sesi di beberapa akun dan Wilayah untuk membantu Anda memiliki preferensi sesi yang konsisten. Untuk informasi tentang skema untuk dokumen preferensi sesi, lihat[Skema dokumen sesi](session-manager-schema.md).
Untuk tujuan pencatatan, sebaiknya gunakan opsi streaming dengan Amazon CloudWatch Logs. Fitur ini memungkinkan Anda untuk mengirim aliran terus menerus log data sesi ke CloudWatch Log. Detail penting, seperti perintah yang dijalankan pengguna dalam sesi, ID pengguna yang menjalankan perintah, dan stempel waktu saat data sesi dialirkan ke CloudWatch Log, disertakan saat streaming data sesi. Saat streaming data sesi, log diformat JSON untuk membantu Anda berintegrasi dengan solusi log Anda yang ada.
Systems Manager tidak secara otomatis menghentikan sesi akses just-in-time node. Sebagai praktik terbaik, tentukan nilai untuk *durasi sesi maksimum dan pengaturan* *batas waktu sesi idle*. Menggunakan pengaturan ini membantu Anda mencegah pengguna tetap terhubung ke node lebih lama dari jendela waktu yang disetujui dalam permintaan akses. Prosedur berikut menjelaskan cara memperbarui preferensi sesi untuk akses just-in-time node.
**penting**
Anda harus menandai AWS KMS kunci yang digunakan untuk Session Manager enkripsi dan perekaman RDP dalam akses just-in-time node dengan kunci tag `SystemsManagerJustInTimeNodeAccessManaged` dan nilai tag. `true`
Untuk informasi tentang menandai kunci KMS, lihat [Tag AWS KMS di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) *Pengembang*.
**Untuk memperbarui preferensi sesi**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **Preferensi sesi**, pilih **Edit**.
1. Perbarui preferensi umum dan pencatatan sesuai kebutuhan dan pilih **Simpan**.
# Konfigurasikan notifikasi untuk permintaan just-in-time akses
Anda dapat mengonfigurasi Systems Manager untuk mengirim notifikasi saat pengguna membuat permintaan akses just-in-time node ke alamat email, atau klien obrolan, untuk pemberi persetujuan dan pemohon. Notifikasi berisi alasan permintaan akses yang disediakan oleh pemohon, Akun AWS, Wilayah AWS, status permintaan, dan ID dari node target. Saat ini, Systems Manager mendukung klien Slack dan Microsoft Teams melalui integrasi dengan Amazon Q Developer dalam aplikasi obrolan. Saat menggunakan notifikasi melalui klien obrolan, pemberi persetujuan permintaan akses dapat berinteraksi langsung dengan permintaan akses. Ini menghilangkan kebutuhan untuk masuk ke konsol untuk mengambil tindakan atas permintaan akses.
**Sebelum Anda mulai**
Sebelum Anda mengonfigurasi klien obrolan untuk pemberitahuan akses just-in-time node, perhatikan persyaratan berikut:
+ Jika Anda menggunakan peran IAM untuk mengelola identitas pengguna di akun Anda, Anda harus secara manual mengaitkan alamat email pemberi persetujuan atau pemohon yang ingin Anda kirimi notifikasi dengan peran terkait. Jika tidak, penerima yang dituju tidak dapat diberi tahu melalui email.
Prosedur berikut menjelaskan cara mengkonfigurasi notifikasi untuk permintaan akses just-in-time node.
**Untuk mengkonfigurasi klien obrolan untuk notifikasi akses just-in-time node**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **Obrolan**, pilih **Konfigurasi klien baru**.
1. **Di menu tarik-turun **Pilih jenis klien**, pilih jenis klien obrolan yang ingin Anda konfigurasikan dan pilih Berikutnya.**
1. Anda diminta untuk mengizinkan Pengembang Amazon Q dalam aplikasi obrolan untuk mengakses klien obrolan Anda. Pilih **Izinkan**.
1. Di bagian **Konfigurasi saluran**, masukkan informasi untuk saluran klien obrolan Anda dan pilih jenis notifikasi yang ingin Anda terima.
1. Jika Anda mengonfigurasi notifikasi Slack, undang "@Amazon Q” ke setiap saluran Slack tempat notifikasi sedang dikonfigurasi.
1. Pilih **Konfigurasi saluran**.
**catatan**
Untuk mengizinkan permintaan approving/rejecting akses langsung dari saluran Slack, pastikan peran IAM yang dikonfigurasi dengan saluran Slack memiliki `ssm:SendAutomationSignal` izin dan memiliki kebijakan kepercayaan yang mencakup chatbot:
```
{
"Effect": "Allow",
"Principal": {
"Service": "chatbot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
```
**Untuk mengonfigurasi notifikasi email untuk notifikasi akses just-in-time node**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **Email**, pilih **Edit**.
1. Pilih **Tambahkan email**, pilih **peran IAM** yang ingin Anda kaitkan alamat email secara manual.
1. Masukkan alamat email di bidang **Alamat email**. Setiap kali permintaan akses dibuat yang memerlukan persetujuan dari peran IAM yang Anda tentukan, alamat email yang Anda kaitkan dengan peran tersebut akan diberi tahu.
1. Pilih **Tambahkan alamat email**.
# Merekam koneksi RDP
Just-in-time akses node mencakup kemampuan untuk merekam koneksi RDP yang dibuat ke node AndaWindows Server. Merekam koneksi RDP memerlukan bucket S3 dan AWS Key Management Service (AWS KMS) kunci yang dikelola pelanggan. AWS KMS key Ini digunakan untuk mengenkripsi sementara data rekaman saat itu dihasilkan dan disimpan pada sumber daya Systems Manager. Kunci yang dikelola pelanggan harus berupa kunci simetris dengan penggunaan kunci enkripsi dan dekripsi. Anda dapat menggunakan kunci Multi-wilayah untuk organisasi Anda, atau Anda harus membuat kunci terkelola pelanggan di setiap Wilayah tempat Anda mengaktifkan akses just-in-time node.
Jika Anda telah mengaktifkan enkripsi KMS pada bucket S3 tempat Anda menyimpan rekaman, Anda harus menyediakan akses ke kunci terkelola pelanggan yang digunakan untuk enkripsi bucket ke prinsipal `ssm-guiconnect` layanan. Kunci yang dikelola pelanggan ini bisa berbeda dari yang Anda tentukan dalam pengaturan perekaman, yang harus menyertakan `kms:CreateGrant` izin yang diperlukan untuk membuat koneksi.
## Mengkonfigurasi enkripsi bucket S3 untuk rekaman RDP
Rekaman koneksi Anda disimpan di bucket S3 yang Anda tentukan saat Anda mengaktifkan perekaman RDP.
Jika Anda menggunakan kunci KMS sebagai mekanisme enkripsi default untuk bucket S3 (SSE-KMS), Anda harus mengizinkan akses prinsipal `ssm-guiconnect` layanan untuk `kms:GenerateDataKey` bertindak pada kunci tersebut. Sebaiknya gunakan kunci yang dikelola pelanggan saat menggunakan enkripsi SSE-KMS dengan bucket S3. Ini karena Anda dapat memperbarui kebijakan kunci terkait untuk kunci yang dikelola pelanggan. Anda tidak dapat memperbarui kebijakan utama untuk Kunci yang dikelola AWS.
**penting**
Anda harus menandai AWS KMS kunci yang digunakan untuk Session Manager enkripsi dan perekaman RDP dalam akses just-in-time node dengan kunci tag `SystemsManagerJustInTimeNodeAccessManaged` dan nilai tag. `true`
Untuk informasi tentang menandai kunci KMS, lihat [Tag AWS KMS di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) *Pengembang*.
Gunakan kebijakan kunci terkelola pelanggan berikut untuk mengizinkan akses `ssm-guiconnect` layanan ke kunci KMS untuk penyimpanan S3. Untuk informasi tentang memperbarui kunci terkelola pelanggan, lihat [Mengubah kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) di *Panduan AWS Key Management Service Pengembang*.
Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri:
+ *account-id*mewakili ID dari Akun AWS yang memulai koneksi.
+ *region*mewakili Wilayah AWS tempat bucket S3 berada. (Anda dapat menggunakan `*` jika bucket akan menerima rekaman dari beberapa Wilayah. Contoh:`s3.*.amazonaws.com`.)
**catatan**
Anda dapat menggunakan `aws:SourceOrgID` dalam kebijakan alih-alih `aws:SourceAccount` jika akun tersebut milik organisasi di AWS Organizations.
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## Mengkonfigurasi izin IAM untuk merekam koneksi RDP
Selain izin IAM yang diperlukan untuk akses just-in-time node, pengguna atau peran yang Anda gunakan harus diizinkan izin berikut berdasarkan tugas yang perlu Anda lakukan.
**Izin untuk mengonfigurasi rekaman koneksi**
Untuk mengkonfigurasi rekaman koneksi RDP, izin berikut diperlukan:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**Izin untuk memulai koneksi**
Untuk membuat koneksi RDP dengan akses just-in-time node, izin berikut diperlukan:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**Sebelum Anda mulai**
Untuk menyimpan rekaman koneksi, Anda harus terlebih dahulu membuat bucket S3 dan menambahkan kebijakan bucket berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
(Untuk informasi tentang menambahkan kebijakan bucket, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## Mengaktifkan dan mengonfigurasi rekaman koneksi RDP
Prosedur berikut menjelaskan cara mengaktifkan dan mengkonfigurasi rekaman koneksi RDP.
**Untuk mengaktifkan dan mengkonfigurasi rekaman koneksi RDP**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **perekaman RDP, pilih Aktifkan perekaman** **RDP**.
1. Pilih bucket S3 yang ingin Anda unggah rekaman sesi.
1. Pilih kunci terkelola pelanggan yang ingin Anda gunakan untuk mengenkripsi sementara data rekaman saat dibuat dan disimpan di sumber daya Systems Manager. (Ini bisa menjadi kunci yang dikelola pelanggan yang berbeda dari yang Anda gunakan untuk mengenkripsi bucket.)
1. Pilih **Simpan**.
## Nilai status perekaman koneksi RDP
Nilai status yang valid untuk rekaman koneksi RPD meliputi yang berikut:
+ `Recording`- Koneksi sedang dalam proses perekaman
+ `Processing`- Video sedang diproses setelah koneksi dihentikan.
+ `Finished`- Status terminal yang berhasil: Video rekaman koneksi berhasil diproses dan diunggah ke bucket yang ditentukan.
+ `Failed`- Status terminal gagal. Koneksi tidak berhasil direkam.
+ `ProcessingError`- Satu atau lebih perantara failures/errors terjadi selama pemrosesan video. Penyebab potensial termasuk kegagalan ketergantungan layanan atau izin yang hilang karena kesalahan konfigurasi pada bucket S3 yang ditentukan untuk menyimpan rekaman. Layanan terus mencoba memproses ketika rekaman dalam keadaan ini.
**catatan**
`ProcessingError`dapat menjadi hasil dari kepala `ssm-guiconnect` layanan yang tidak memiliki izin untuk mengunggah objek ke bucket S3 setelah koneksi dibuat. Penyebab potensial lainnya adalah hilangnya izin KMS pada kunci KMS yang digunakan untuk enkripsi bucket S3.
# Memodifikasi target
Ketika Anda mengatur akses just-in-time node, Anda memilih *target* di mana Anda ingin mengatur akses just-in-time node. Target terdiri dari unit AWS Organizations organisasi (OUs) dan Wilayah AWS. Secara default, target yang sama yang Anda pilih saat menyiapkan konsol Systems Manager terpadu dipilih untuk akses just-in-time node. Anda dapat memilih untuk mengatur akses just-in-time node untuk semua target yang sama, atau subset target yang Anda tentukan saat menyiapkan konsol Systems Manager terpadu. Menambahkan target baru yang tidak dipilih saat Anda menyiapkan konsol Systems Manager terpadu tidak didukung. Anda dapat mengubah target yang Anda pilih setelah mengatur akses just-in-time node.
Prosedur berikut menjelaskan cara memodifikasi target untuk akses just-in-time node.
**Untuk memodifikasi target**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **Target**, pilih **Edit**.
1. Pilih **unit Organisasi** dan **Wilayah** tempat Anda ingin menggunakan akses just-in-time node.
1. Pilih **Simpan**.
# Mengubah penyedia identitas
Secara default, akses just-in-time node menggunakan IAM untuk penyedia identitas. Setelah mengaktifkan akses just-in-time node, pelanggan yang menggunakan konsol terpadu dengan organisasi dapat memodifikasi pengaturan ini untuk menggunakan IAM Identity Center. Just-in-timeakses node tidak mendukung Pusat Identitas IAM sebagai penyedia identitas saat disiapkan untuk satu akun dan Wilayah.
Prosedur berikut menjelaskan cara memodifikasi penyedia identitas untuk akses just-in-time node.
**Untuk memodifikasi penyedia identitas**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **Identitas pengguna**, pilih **Edit**.
1. Pilih **Pusat AWS Identitas IAM**.
1. Pilih **Simpan**.
# Memulai sesi akses just-in-time node
Setelah mengaktifkan dan mengatur akses just-in-time node, dan mengonfigurasi preferensi sesi dan notifikasi, pengguna siap untuk memulai sesi akses just-in-time node. Anda dapat memulai sesi menggunakan akses just-in-time node dari konsol Systems Manager atau dari AWS Command Line Interface menggunakan Session Manager plugin. Just-in-timesesi akses node dapat dimulai pada node di akun dan Wilayah yang sama. Prosedur berikut menjelaskan cara memulai sesi dengan akses just-in-time node.
**catatan**
Jika pengguna Anda sebelumnya digunakan Session Manager untuk terhubung ke node, Anda harus menghapus Session Manager izin, misalnya`ssm:StartSession`, dari kebijakan IAM mereka untuk memulai sesi menggunakan akses just-in-time node. Jika tidak, saat menghubungkan ke node mereka akan terus menggunakanSession Manager.
**Untuk memulai sesi dengan akses just-in-time node menggunakan konsol**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Jelajahi node** di panel navigasi.
1. Pilih node yang ingin Anda sambungkan.
1. **Di dropdown **Actions**, pilih Connect.**
Jika kebijakan persetujuan organisasi Anda tidak memungkinkan Anda untuk terhubung secara otomatis ke node, Anda akan diminta untuk mengirimkan permintaan akses. Setelah Anda mengisi informasi yang diminta dan mengirimkan permintaan akses, Anda akan dapat memulai sesi ke node setelah semua persetujuan yang diperlukan diterima.
**Untuk memulai sesi dengan akses just-in-time node menggunakan AWS CLI**
1. Jalankan perintah berikut untuk memulai alur kerja permintaan akses, pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
```
aws ssm start-access-request \
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE
--reason "Troubleshooting networking performance issue"
```
Bergantung pada kebijakan persetujuan organisasi, Anda akan tersambung secara otomatis ke node atau proses persetujuan manual dimulai. Untuk permintaan yang memerlukan persetujuan manual, catat ID permintaan akses yang dikembalikan dalam respons.
1. Tunggu sampai semua persetujuan yang diperlukan diberikan.
1. Setelah semua persetujuan yang diperlukan telah disediakan, jalankan perintah berikut untuk mendapatkan token akses yang berisi kredensi sementara. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws ssm get-access-token \
--access-request-id oi-12345abcdef
```
Perhatikan token akses yang dikembalikan dalam respons.
1. Jalankan perintah berikut untuk menggunakan kredensi sementara di AWS CLI, pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
```
export AWS_SESSION_TOKEN=AQoDYXdzEJr...
```
1. Jalankan perintah berikut untuk memulai sesi ke node, pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
# Mengelola permintaan just-in-time akses
Untuk meningkatkan visibilitas di seluruh organisasi, Systems Manager mereplikasi permintaan akses ke akun administrator yang didelegasikan untuk organisasi Anda. Untuk membantu Anda memenuhi persyaratan kepatuhan, Systems Manager mempertahankan semua permintaan akses selama 1 tahun. Topik berikut menjelaskan cara mengelola permintaan akses just-in-time node. Informasi ini ditujukan untuk persetujuan permintaan akses. Sebelum Anda mulai, kami memuji meninjau kebijakan IAM Anda dan memastikan Anda memiliki izin yang diperlukan untuk mengelola akses node. just-in-time Untuk informasi selengkapnya, lihat [Menyiapkan just-in-time akses dengan Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
**Topics**
+ [Menyetujui dan menolak permintaan akses just-in-time node](systems-manager-just-in-time-node-access-approve-deny-requests.md)
# Menyetujui dan menolak permintaan akses just-in-time node
Persetujuan permintaan akses dapat menyetujui atau menolak permintaan akses just-in-time node dari konsol Systems Manager terpadu atau menggunakan alat baris perintah pilihan Anda. Informasi ini ditujukan untuk persetujuan permintaan akses. Jika Anda tidak memiliki izin yang diperlukan untuk menyetujui atau menolak permintaan akses, hubungi administrator Anda. Prosedur berikut menjelaskan cara menyetujui atau menolak permintaan akses just-in-time node.
**Untuk menyetujui atau menolak permintaan akses just-in-time node menggunakan konsol**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Kelola akses node** di panel navigasi.
1. Pilih tab **Permintaan akses**.
1. Pilih tombol **Permintaan untuk saya**.
1. Pilih kotak centang di sebelah permintaan akses yang ingin Anda setujui atau tolak.
1. Pilih **Setujui** atau **Tolak**.
**Setelah menyetujui permintaan akses, Anda dapat mencabut persetujuan Anda kapan saja dengan memilih Cabut.**
**Untuk menyetujui atau menolak permintaan akses just-in-time node menggunakan baris perintah**
1. Perhatikan ID permintaan akses dari notifikasi. Misalnya, *oi-12345abcdef*.
1. Jalankan perintah berikut untuk mengembalikan detail tentang alur kerja persetujuan permintaan akses, pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
```
aws ssm get-ops-item \
--ops-item-id oi-12345abcdef
```
Perhatikan `automationExecutionId` nilai di `/aws/accessrequest` bidang untuk`OperationalData`. Misalnya, *9231944f-61c6-40be-8bce-8ee2bEXAMPLE*.
1. Jalankan perintah berikut untuk menyetujui atau menolak permintaan akses. Gunakan jenis `Approve` sinyal untuk menyetujui permintaan, dan `Deny` untuk menolak permintaan. Pastikan untuk mengganti *placeholder values* dengan informasi Anda sendiri.
```
aws ssm send-automation-signal \
--automation-execution-id 9231944f-61c6-40be-8bce-8ee2bEXAMPLE \
--signal-type "Approve"
```
# Pindah ke akses just-in-time node dari Session Manager
Saat Anda mengaktifkan akses just-in-time node, Systems Manager tidak membuat perubahan apa pun pada sumber daya yang adaSession Manager. Ini memastikan tidak ada gangguan pada lingkungan Anda yang ada dan pengguna dapat terus memulai sesi saat Anda membuat dan memvalidasi kebijakan persetujuan. Setelah Anda siap untuk menguji kebijakan persetujuan Anda, Anda harus mengubah kebijakan IAM yang ada untuk menyelesaikan transisi ke akses just-in-time node. Ini termasuk menambahkan izin yang diperlukan untuk akses just-in-time node ke identitas, dan menghapus izin untuk operasi `StartSession` API untuk. Session Manager Kami merekomendasikan pengujian kebijakan persetujuan dengan subset identitas dan node dalam dan. Akun AWS Wilayah AWS
Untuk informasi selengkapnya tentang izin yang diperlukan untuk akses just-in-time node, lihat[Menyiapkan just-in-time akses dengan Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
*Untuk informasi selengkapnya tentang memodifikasi dan izin IAM identitas, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*
Berikut ini menjelaskan metode rinci tentang bagaimana Anda dapat pindah ke akses just-in-time node dariSession Manager.
Pindah dari Session Manager ke akses just-in-time node memerlukan perencanaan dan pengujian yang cermat untuk memastikan transisi yang lancar tanpa mengganggu operasi Anda. Bagian berikut menjelaskan bagaimana Anda dapat menyelesaikan proses ini.
## Prasyarat
Sebelum Anda mulai, pastikan Anda telah menyelesaikan tugas-tugas berikut:
+ Siapkan konsol terpadu Systems Manager.
+ Terverifikasi Anda memiliki izin untuk mengubah kebijakan IAM di akun Anda.
+ Mengidentifikasi semua kebijakan dan peran IAM yang saat ini memberikan Session Manager izin.
+ Mendokumentasikan Session Manager konfigurasi Anda saat ini, termasuk preferensi sesi dan pengaturan logging.
## Penilaian
Nilai lingkungan Anda saat ini dan uraikan perilaku persetujuan yang diinginkan dengan menyelesaikan tugas-tugas berikut:
1. **Inventarisasi node Anda** - Identifikasi semua node yang saat ini diakses penggunaSession Manager.
1. **Identifikasi pola akses pengguna** - Dokumentasikan pengguna atau peran mana yang memerlukan akses ke node mana, dan dalam keadaan apa.
1. **Alur kerja persetujuan peta** - Tentukan siapa yang harus menyetujui permintaan akses untuk berbagai jenis node.
1. **Tinjau strategi penandaan** - Pastikan node Anda diberi tag dengan benar untuk mendukung kebijakan persetujuan yang Anda rencanakan.
1. **Audit kebijakan IAM yang ada** - Identifikasi semua kebijakan yang menyertakan Session Manager izin.
## Perencanaan
### Strategi bertahap
Saat berpindah dari akses Session Manager ke just-in-time node, sebaiknya gunakan pendekatan bertahap seperti berikut ini:
1. **Tahap 1: Pengaturan dan konfigurasi** - Aktifkan akses just-in-time node tanpa memodifikasi Session Manager izin yang ada.
1. **Tahap 2: Pengembangan kebijakan** - Membuat dan menguji kebijakan persetujuan untuk node Anda.
1. **Fase 3: Migrasi pilot** - Memodifikasi sekelompok kecil node non-kritis dan pengguna atau peran dari Session Manager ke akses just-in-time node.
1. **Fase 4: Migrasi penuh** - Secara bertahap memigrasikan semua node dan pengguna atau peran yang tersisa.
### Pertimbangan garis waktu
Pertimbangkan faktor-faktor berikut saat membuat timeline Anda untuk berpindah dari Session Manager ke akses just-in-time node:
+ Berikan waktu untuk pelatihan pengguna dan penyesuaian alur kerja persetujuan baru.
+ Jadwalkan migrasi selama periode aktivitas operasional yang lebih rendah.
+ Sertakan waktu buffer untuk pemecahan masalah dan penyesuaian.
+ Rencanakan periode operasi paralel di mana kedua sistem tersedia.
## Langkah-langkah implementasi
### Tahap 1: Pengaturan dan konfigurasi
1. Aktifkan akses just-in-time node di konsol Systems Manager. Untuk langkah mendetail, lihat [Menyiapkan just-in-time akses dengan Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
1. Konfigurasikan preferensi sesi untuk akses just-in-time node agar sesuai dengan Session Manager pengaturan Anda saat ini. Untuk informasi selengkapnya, lihat [Perbarui preferensi sesi akses just-in-time node](systems-manager-just-in-time-node-access-session-preferences.md).
1. Siapkan preferensi notifikasi untuk permintaan akses. Untuk informasi selengkapnya, lihat [Konfigurasikan notifikasi untuk permintaan just-in-time akses](systems-manager-just-in-time-node-access-notifications.md).
1. Jika Anda menggunakan koneksi RDP ke Windows Server node, konfigurasikan perekaman RDP. Untuk informasi selengkapnya, lihat [Merekam koneksi RDP](systems-manager-just-in-time-node-access-rdp-recording.md).
### Tahap 2: Pengembangan kebijakan
1. Buat kebijakan IAM untuk administrator dan pengguna akses just-in-time node.
1. Kembangkan kebijakan persetujuan berdasarkan persyaratan keamanan dan kasus penggunaan Anda.
1. Uji kebijakan Anda di lingkungan non-produksi untuk memastikannya berfungsi seperti yang diharapkan.
### Fase 3: Migrasi pilot
1. Pilih sekelompok kecil pengguna dan node non-kritis untuk pilot.
1. Buat kebijakan IAM baru untuk pengguna pilot yang menyertakan izin akses just-in-time node.
1. Hapus Session Manager izin (`ssm:StartSession`) dari kebijakan IAM pengguna pilot.
1. Latih pengguna pilot pada alur kerja permintaan akses baru.
1. Pantau pilot untuk masalah dan kumpulkan umpan balik.
1. Menyesuaikan kebijakan dan prosedur berdasarkan hasil percontohan.
**Contoh modifikasi kebijakan IAM untuk pengguna percontohan**
Kebijakan asli dengan Session Manager izin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
Kebijakan yang dimodifikasi untuk akses just-in-time node:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
### Fase 4: Migrasi penuh
Kembangkan jadwal untuk memigrasi pengguna dan node yang tersisa dalam batch.
## Metodologi pengujian
Selama proses migrasi, lakukan tes berikut:
+ **Validasi kebijakan** - Verifikasi bahwa kebijakan persetujuan berlaku dengan benar pada node dan pengguna yang dituju.
+ **Alur kerja permintaan akses** - Uji alur kerja lengkap dari permintaan akses ke pembentukan sesi untuk skenario persetujuan otomatis dan persetujuan manual.
+ **Pemberitahuan** - Verifikasi bahwa pemberi persetujuan menerima pemberitahuan melalui saluran yang dikonfigurasi (email, Slack, Microsoft Teams).
+ **Pencatatan dan pemantauan** - Verifikasi bahwa log sesi dan permintaan akses ditangkap dan disimpan dengan benar.
## Praktik terbaik untuk migrasi yang sukses
+ **Berkomunikasi lebih awal dan sering** - Beri tahu pengguna tentang timeline migrasi dan manfaat akses just-in-time node.
+ **Mulailah dengan sistem non-kritis** - Mulailah migrasi dengan lingkungan pengembangan atau pengujian sebelum pindah ke produksi.
+ **Dokumentasikan semuanya** - Simpan catatan terperinci tentang kebijakan persetujuan Anda, perubahan kebijakan IAM, dan pengaturan konfigurasi.
+ **Pantau dan sesuaikan** - Pantau terus permintaan akses dan alur kerja persetujuan, sesuaikan kebijakan sesuai kebutuhan.
+ **Menetapkan tata kelola** - Buat proses untuk meninjau dan memperbarui kebijakan persetujuan secara teratur saat lingkungan Anda berubah.
# Menonaktifkan just-in-time akses dengan Systems Manager
Prosedur berikut menjelaskan cara menonaktifkan akses just-in-time node. Setelah menonaktifkan akses just-in-time node, pengguna di organisasi Anda mungkin tidak dapat terhubung ke node Anda kecuali Anda telah menerapkan metode koneksi lainnya.
**Untuk menonaktifkan akses just-in-time node**
1. Masuk ke akun administrator yang didelegasikan Systems Manager untuk organisasi Anda.
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Di tab **akses Just-in-time node**, pilih **Nonaktifkan**.
# Just-in-time akses node pertanyaan yang sering diajukan
## Bagaimana cara saya pindah dari Session Manager ke akses just-in-time node?
Setelah menyiapkan konsol terpadu dan mengaktifkan akses just-in-time node, Anda harus mengubah kebijakan IAM yang ada untuk menyelesaikan pemindahan ke just-in-time akses node. Ini termasuk menambahkan izin yang diperlukan untuk akses just-in-time node dan menghapus izin untuk operasi `StartSession` API untukSession Manager. Untuk informasi selengkapnya tentang kebijakan IAM untuk akses just-in-time node, lihat[Menyiapkan just-in-time akses dengan Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
## Apakah saya harus mengatur konsol terpadu untuk menggunakan akses just-in-time node?
Ya, menyiapkan konsol terpadu adalah prasyarat untuk akses node. just-in-time Namun, setelah Anda mengatur konsol terpadu dan mengaktifkan akses just-in-time node, ada beberapa metode untuk menghubungkan ke node Anda. Misalnya, Anda dapat memulai sesi akses just-in-time node dari konsol Amazon EC2 dan. AWS CLI Untuk informasi selengkapnya tentang pengaturan konsol terpadu, lihat[Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md).
## Apakah ada biaya yang terkait dengan akses just-in-time node?
Systems Manager menyediakan uji coba gratis 30 hari untuk akses just-in-time node. Setelah uji coba, akses just-in-time node menimbulkan biaya. Untuk informasi selengkapnya, silakan lihat [Harga AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
## Apa prioritas untuk kebijakan persetujuan akses just-in-time node?
Kebijakan persetujuan dievaluasi dengan urutan sebagai berikut:
1. Akses tolak
1. Persetujuan otomatis
1. Manual
## Bagaimana kebijakan persetujuan manual dievaluasi?
Just-in-time akses node selalu mendukung kebijakan yang lebih spesifik untuk sebuah node. Kebijakan persetujuan manual dievaluasi dengan urutan sebagai berikut:
1. Tag target tertentu
1. Semua target node
## Apa yang terjadi jika tidak ada kebijakan persetujuan yang berlaku untuk node?
Untuk terhubung ke node menggunakan akses just-in-time node, kebijakan persetujuan harus diterapkan ke node. Jika tidak ada kebijakan persetujuan yang berlaku untuk node, pengguna tidak dapat meminta akses ke node.
## Bisakah beberapa kebijakan persetujuan menargetkan tag?
Tag hanya dapat ditargetkan sekali dalam kebijakan persetujuan Anda.
## Apa yang terjadi jika beberapa kebijakan persetujuan manual berlaku untuk node sebagai akibat dari tag yang tumpang tindih?
Ketika beberapa kebijakan persetujuan manual berlaku untuk node, ini menghasilkan konflik dan pengguna tidak dapat meminta akses ke node. Ingatlah hal ini saat membuat kebijakan persetujuan manual karena beberapa contoh mungkin memiliki beberapa tag tergantung pada kasus Anda.
## Dapatkah saya menggunakan akses just-in-time node untuk meminta akses dan memulai sesi pada node di seluruh akun dan Wilayah?
Just-in-time akses node mendukung permintaan akses ke dan memulai sesi pada node di akun dan Wilayah yang sama dengan pemohon.
## Dapatkah saya menggunakan akses just-in-time node untuk meminta akses dan memulai sesi pada node yang terdaftar dengan aktivasi hibrida?
Ya, akses just-in-time node mendukung permintaan akses ke dan memulai sesi pada node yang terdaftar dengan aktivasi hibrida. Node harus terdaftar di akun dan Wilayah yang sama dengan pemohon.
# Mendiagnosis dan memulihkan
Menggunakan konsol Systems Manager terpadu, Anda dapat mengidentifikasi masalah di seluruh armada Anda dalam satu operasi diagnosis. Untuk organisasi, Anda kemudian dapat mencoba remediasi pada semua atau hanya memilih target menggunakan satu operasi Otomasi. Untuk organisasi, sebagai administrator akun yang didelegasikan, Anda dapat memilih target di semua akun dan Wilayah. Jika Anda bekerja dalam satu akun, Anda dapat memilih target di satu Wilayah sekaligus.
Systems Manager dapat mendiagnosis dan membantu Anda memulihkan beberapa jenis kegagalan penerapan, serta konfigurasi drifted. Systems Manager juga dapat mengidentifikasi instans Amazon Elastic Compute Cloud (Amazon EC2) di akun atau organisasi Anda yang tidak dapat diperlakukan oleh Systems Manager sebagai node *terkelola*. Proses diagnosis EC2 instans dapat mengidentifikasi masalah yang terkait dengan kesalahan konfigurasi untuk virtual private cloud (VPC), dalam setelan Domain Name Service (DNS), atau dalam grup keamanan Amazon Elastic Compute Cloud (Amazon). EC2
**catatan**
*Systems Manager mendukung EC2 instance dan jenis mesin lainnya dalam lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) sebagai node terkelola.* Untuk menjadi simpul yang dikelola, AWS Systems Manager Agen (SSM Agent) harus diinstal pada mesin, dan Systems Manager harus memiliki izin untuk melakukan tindakan pada mesin.
Misalnya, EC2 izin ini dapat diberikan di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau pada tingkat instans menggunakan profil instance. Untuk informasi selengkapnya, lihat [Konfigurasikan izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md).
Untuk EC2 non-mesin, izin ini diberikan menggunakan peran layanan IAM. Untuk informasi selengkapnya, lihat [Buat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md).
**Sebelum kamu memulai**
Untuk menggunakan fitur **Diagnosa dan remediasi** untuk mendeteksi EC2 instans yang tidak dikelola, Anda harus terlebih dahulu mengonboard organisasi atau akun Anda ke konsol Systems Manager terpadu. Selama proses ini, Anda harus memilih opsi untuk membuat peran IAM dan kebijakan terkelola yang diperlukan untuk operasi ini. Untuk informasi selengkapnya, lihat [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md).
Gunakan topik berikut untuk membantu Anda mengidentifikasi dan memperbaiki jenis umum tertentu dari penerapan gagal, konfigurasi hanyut, dan instance yang tidak dikelola. EC2
**Topics**
+ [Mendiagnosis dan memulihkan penerapan yang gagal](remediating-deployment-issues.md)
+ [Mendiagnosis dan memulihkan konfigurasi hanyut](remediating-configuration-drift.md)
+ [Mendiagnosis dan memulihkan instans Amazon EC2 yang tidak terkelola di Systems Manager](remediating-unmanaged-instances.md)
+ [Jenis dampak remediasi dari tindakan runbook](remediation-impact-type.md)
+ [Melihat kemajuan eksekusi dan riwayat untuk remediasi di Systems Manager](diagnose-and-remediate-execution-history.md)
# Mendiagnosis dan memulihkan penerapan yang gagal
Systems Manager dapat mendiagnosis dan kemudian membantu Anda memulihkan jenis penerapan yang gagal berikut ini:
+ Penyiapan inti untuk akun anggota organisasi
+ Pengaturan inti untuk akun administrator yang didelegasikan
+ Pengaturan inti untuk akun Anda
Gunakan prosedur berikut untuk mencoba memulihkan jenis masalah ini.
**Untuk mendiagnosis dan memulihkan penerapan yang gagal**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Diagnosa dan remediasi**.
1. Pilih tab **Masalah Deployment**.
1. Di bagian **Penerapan gagal**, tinjau daftar temuan untuk penerapan yang gagal.
1. Di kolom **Langkah pengaturan**, pilih nama temuan untuk meninjau detail tambahan tentang masalah tersebut. Misalnya: **Penyiapan inti untuk akun anggota organisasi**.
1. Di halaman detail untuk penerapan yang gagal tersebut, Anda dapat melihat daftar akun dan berapa banyak Wilayah di masing-masing yang mengalami kegagalan penerapan.
1. Pilih ID akun untuk melihat informasi tentang alasan kegagalan di akun tersebut.
1. Di **wilayah Wilayah Gagal**, periksa informasi yang diberikan untuk **alasan Status**. Informasi ini dapat menunjukkan alasan penerapan gagal, yang mungkin memberikan wawasan tentang perubahan konfigurasi yang perlu dilakukan.
1. **Jika Anda ingin mencoba lagi penerapan tanpa membuat perubahan konfigurasi, pilih Redeploy.**
# Mendiagnosis dan memulihkan konfigurasi hanyut
Systems Manager dapat mendiagnosis dan kemudian membantu Anda memulihkan jenis konfigurasi drifted berikut:
+ Penyiapan inti untuk akun anggota organisasi
+ Pengaturan inti untuk akun administrator yang didelegasikan
+ Pengaturan inti untuk akun Anda
Gunakan prosedur berikut untuk mencoba memulihkan jenis konfigurasi drifted ini.
**Untuk mendiagnosis dan memulihkan konfigurasi hanyut**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Diagnosa dan remediasi**.
1. Pilih tab **Masalah Deployment**.
1. Di bagian **Drifted deployment**, tinjau daftar temuan untuk penerapan yang gagal.
-atau-
Untuk menjalankan diagnosis baru, pilih **Detect drift**.
1. Di kolom **Langkah pengaturan**, pilih nama temuan untuk meninjau detail tambahan tentang masalah tersebut. Misalnya: **Penyiapan inti untuk akun anggota organisasi**.
1. Di halaman detail untuk penerapan yang gagal tersebut, Anda dapat melihat daftar akun dan berapa banyak Wilayah di setiap wilayah yang mengalami drift konfigurasi.
1. Pilih ID akun untuk melihat informasi tentang alasan penyimpangan konfigurasi di akun itu.
1. Di area **sumber daya Drifted**, kolom **Resource melaporkan nama sumber** daya yang telah mengalami drift. Kolom **tipe Drift** melaporkan apakah sumber daya dimodifikasi atau dihapus..
1. **Untuk menerapkan ulang konfigurasi yang dimaksud, pilih Redeploy.**
# Mendiagnosis dan memulihkan instans Amazon EC2 yang tidak terkelola di Systems Manager
Untuk membantu mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager, Anda dapat menggunakan konsol Systems Manager terpadu untuk melakukan hal berikut:
1. Jalankan proses diagnosis manual atau terjadwal untuk mengidentifikasi instans EC2 mana di akun atau organisasi Anda yang saat ini tidak dikelola oleh Systems Manager.
1. Identifikasi jaringan atau masalah lain yang mencegah Systems Manager mengambil alih pengelolaan instans.
1. Jalankan eksekusi Otomasi untuk memperbaiki masalah secara otomatis, atau mengakses informasi untuk membantu Anda mengatasi masalah secara manual.
Gunakan informasi dalam topik berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah yang mencegah Systems Manager mengelola instans EC2 Anda.
## Bagaimana Systems Manager menghitung node yang terkena dampak untuk daftar 'Masalah instans EC2 Tidak Dikelola'
Jumlah node yang dilaporkan sebagai tidak dikelola pada tab **Masalah instans EC2 Tidak Dikelola** mewakili jumlah total instance dengan salah satu nilai status berikut pada waktu pemindaian diagnosis:
+ `Running`
+ `Stopped`
+ `Stopping`
Nomor ini dilaporkan sebagai **Node yang Terdampak** di area **ringkasan Masalah**. Pada gambar berikut, jumlah node yang terkena dampak saat ini tidak dikelola oleh Systems Manager adalah`40`.
![\[Area “Ringkasan masalah” yang menunjukkan 40 node yang terkena dampak di halaman Diagnosa dan remedidate\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/2-unmanaged-EC2-instance-count.png)
Berbeda dengan laporan instans EC2 yang tidak dikelola pada halaman **wawasan simpul Tinjauan**, jumlah instans EC2 ini tidak dinamis. Ini mewakili temuan yang dibuat selama pemindaian diagnostik terakhir yang dilaporkan, ditampilkan sebagai nilai **waktu Pemindaian**. Oleh karena itu kami merekomendasikan menjalankan pemindaian diagnostik untuk instans EC2 yang tidak dikelola pada jadwal reguler untuk menjaga jumlah node yang terkena dampak yang dilaporkan ini tetap mutakhir.
Untuk informasi tentang jumlah instans yang tidak dikelola di halaman **Wawasan simpul tinjau**, lihat [Apa itu instance yang tidak](review-node-insights.md#unmanaged-instance-definition) dikelola? dalam topik[Meninjau wawasan node](review-node-insights.md).
**Topics**
+ [Bagaimana Systems Manager menghitung node yang terkena dampak untuk daftar 'Masalah instans EC2 Tidak Dikelola'](#unmanaged-instance-scan-count)
+ [Kategori masalah instans EC2 yang tidak terkelola yang dapat didiagnosis](diagnosing-ec2-category-types.md)
+ [Menjalankan diagnosis dan remediasi opsional untuk instans EC2 yang tidak dikelola](running-diagnosis-execution-ec2.md)
+ [Menjadwalkan pemindaian berulang untuk instans EC2 yang tidak dikelola](schedule-recurring-ec2-diagnosis.md)
# Kategori masalah instans EC2 yang tidak terkelola yang dapat didiagnosis
Topik ini mencantumkan kategori utama masalah manajemen EC2, dan masalah spesifik di setiap kategori, yang Systems Manager dapat membantu Anda mendiagnosis dan memperbaiki. Perhatikan bahwa untuk beberapa masalah, Systems Manager dapat mengidentifikasi masalah, tetapi tidak memberikan remediasi otomatis. Dalam kasus tersebut, konsol Systems Manager mengarahkan Anda ke informasi untuk membantu Anda menyelesaikan masalah secara manual.
Proses diagnosis memeriksa setiap kelompok instans EC2 sekaligus sesuai dengan virtual private cloud (VPC) tempat mereka berada.
**Topics**
+ [Kategori masalah: Konfigurasi grup keamanan dan komunikasi HTTPS](#unmanaged-ec2-issue-security-groups)
+ [Kategori masalah: Konfigurasi nama host DNS atau DNS](#unmanaged-ec2-issue-dns-configuration)
+ [Kategori masalah: Konfigurasi titik akhir VPC](#unmanaged-ec2-issue-vpc-endpoint-configuration)
+ [Kategori masalah: Konfigurasi ACL Jaringan](#unmanaged-ec2-issue-nacl-configuration)
## Kategori masalah: Konfigurasi grup keamanan dan komunikasi HTTPS
Operasi diagnosis mungkin menemukan bahwa SSM Agent tidak dapat berkomunikasi dengan layanan Systems Manager melalui HTTPS. Dalam kasus tersebut, Anda dapat memilih untuk menjalankan runbook Otomasi yang mencoba memperbarui grup keamanan yang dilampirkan ke instance.
**catatan**
Terkadang, Systems Manager mungkin tidak dapat memperbaiki masalah ini secara otomatis, tetapi Anda dapat mengedit grup keamanan yang terpengaruh secara manual.
**Jenis masalah yang didukung**
+ **Grup keamanan instans**: Lalu lintas keluar tidak diizinkan di port 443
+ **`ssm`Grup keamanan titik akhir VPC**: Lalu lintas masuk tidak diizinkan di port 443
+ **`ssmmessages`Grup keamanan titik akhir VPC**: Lalu lintas masuk tidak diizinkan di port 443
+ **`ec2messages`Grup keamanan titik akhir VPC**: Lalu lintas masuk tidak diizinkan di port 443
Untuk informasi selengkapnya, lihat [Verifikasi aturan ingress pada grup keamanan endpoint](troubleshooting-ssm-agent.md#agent-ts-ingress-egress-rules) dalam topik [Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md).
## Kategori masalah: Konfigurasi nama host DNS atau DNS
Operasi diagnosis mungkin menemukan bahwa Doman Name System (DNS) atau nama host DNS tidak dikonfigurasi dengan benar untuk VPC. Dalam kasus tersebut, Anda dapat memilih untuk menjalankan runbook Otomasi yang mencoba mengaktifkan `enableDnsSupport` dan `enableDnsHostnames` atribut VPC yang terpengaruh.
**Jenis masalah yang didukung**
+ Dukungan DNS dinonaktifkan di VPC.
+ Nama host DNS dinonaktifkan di VPC.
Untuk informasi selengkapnya, lihat [Verifikasi atribut terkait DNS VPC Anda](troubleshooting-ssm-agent.md#agent-ts-dns-attributes) dalam topik [Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md).
## Kategori masalah: Konfigurasi titik akhir VPC
Operasi diagnosis mungkin menemukan bahwa titik akhir VPC tidak dikonfigurasi dengan benar untuk VPC.
Jika titik akhir VPC yang diperlukan oleh SSM Agent tidak ada, Systems Manager mencoba mengeksekusi runbook Otomasi untuk membuat titik akhir VPC dan mengaitkannya dengan satu subnet di setiap zona ketersediaan regional (AZ) yang relevan. Jika VPC titik akhir yang diperlukan ada tetapi tidak terkait dengan subnet tempat masalah ditemukan, buku runbook mengaitkan titik akhir VPC ke subnet yang terpengaruh.
**catatan**
Systems Manager tidak mendukung perbaikan semua masalah titik akhir VPC yang salah konfigurasi. Dalam kasus tersebut, Systems Manager mengarahkan Anda ke instruksi perbaikan manual alih-alih menjalankan runbook Otomasi.
**Jenis masalah yang didukung**
+ Tidak ada `ssm.region.amazonaws.com` titik akhir untuk PrivateLink ditemukan.
+ Tidak ada `ssmmessages.region.amazonaws.com` titik akhir untuk PrivateLink ditemukan.
+ Tidak ada `ec2messages.region.amazonaws.com` titik akhir untuk PrivateLink ditemukan.
**Jenis masalah yang dapat didiagnosis**
Systems Manager dapat mendiagnosis jenis masalah berikut, tetapi saat ini tidak ada runbook yang tersedia untuk memulihkan masalah mereka. Anda dapat mengedit konfigurasi Anda secara manual untuk masalah ini.
+ Subnet instance tidak dilampirkan ke titik `ssm.region.amazonaws.com` akhir.
+ Subnet instance tidak dilampirkan ke titik `ssmmessages.region.amazonaws.com` akhir.
+ Subnet instance tidak dilampirkan ke titik `ec2messages.region.amazonaws.com` akhir.
Untuk informasi selengkapnya, lihat [Verifikasi konfigurasi VPC Anda](troubleshooting-ssm-agent.md#agent-ts-vpc-configuration) dalam topik [Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md).
## Kategori masalah: Konfigurasi ACL Jaringan
Operasi diagnosis mungkin menemukan bahwa daftar kontrol akses jaringan (NACLs) tidak dikonfigurasi dengan benar untuk VPC, memblokir lalu lintas yang diperlukan untuk komunikasi Systems Manager. NACLs tidak memiliki kewarganegaraan, sehingga aturan keluar dan masuk harus mengizinkan lalu lintas Systems Manager.
Systems Manager dapat mengidentifikasi masalah konfigurasi NACL dan memberikan panduan untuk remediasi manual.
**Jenis masalah yang didukung**
+ **Subnet instance NACL**: Lalu lintas keluar tidak diizinkan pada port 443 ke titik akhir Systems Manager
+ **Subnet instance NACL**: Lalu lintas masuk tidak diperbolehkan pada port sementara (1024-65535) untuk tanggapan Systems Manager
**Jenis masalah yang dapat didiagnosis**
Systems Manager dapat mendiagnosis masalah konfigurasi NACL berikut, tetapi remediasi manual diperlukan:
+ Subnet NACL sebuah instans memblokir lalu lintas HTTPS (port 443) keluar ke titik akhir Systems Manager
+ Subnet NACL sebuah instans memblokir lalu lintas port sementara masuk (1024-65535) yang diperlukan untuk tanggapan Systems Manager
Untuk informasi selengkapnya, lihat [Pemecahan Masalah Agen SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html), dan [Jaringan khusus untuk VPC ACLs Anda](https://docs.aws.amazon.com/vpc/latest/userguide/custom-network-acl.html#nacl-ephemeral-ports).
# Menjalankan diagnosis dan remediasi opsional untuk instans EC2 yang tidak dikelola
Gunakan prosedur berikut untuk mendiagnosis masalah terkait jaringan dan terkait VPC yang mungkin mencegah Systems Manager mengelola instans EC2 Anda.
Operasi diagnosis dapat mendeteksi dan mengelompokkan masalah dari jenis berikut:
+ **Masalah konfigurasi jaringan** — Jenis masalah jaringan yang mungkin mencegah instans EC2 berkomunikasi dengan layanan Systems Manager di cloud. Operasi remediasi mungkin tersedia untuk masalah ini. Untuk informasi selengkapnya tentang masalah konfigurasi jaringan, lihat[Kategori masalah instans EC2 yang tidak terkelola yang dapat didiagnosis](diagnosing-ec2-category-types.md).
+ **Masalah tak dikenal** — Daftar temuan untuk kasus di mana operasi diagnostik tidak dapat menentukan mengapa instans EC2 tidak dapat berkomunikasi dengan layanan Systems Manager di cloud.
**Untuk menjalankan diagnosis dan remediasi untuk instans EC2 yang tidak dikelola**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Diagnosa dan remediasi**.
1. Pilih tab Masalah **instans EC2 yang tidak dikelola**.
1. Di bagian **Ringkasan masalah**, pilih **Jalankan diagnosis baru**.
-atau-
**Jika ini adalah pertama kalinya Anda mendiagnosis masalah EC2 yang tidak dikelola, di bagian **Diagnosa instans EC2 yang tidak dikelola**, pilih Jalankan.**
**Tip**
Saat diagnosis sedang berjalan, pilih **Lihat kemajuan** atau **Lihat eksekusi** untuk memantau status eksekusi saat ini. Untuk informasi selengkapnya, lihat [Melihat kemajuan eksekusi dan riwayat untuk remediasi di Systems Manager](diagnose-and-remediate-execution-history.md).
1. Setelah diagnosis selesai, lakukan hal berikut:
+ Untuk masalah apa pun yang dilaporkan di bagian **Masalah tidak dikenal**, pilih tautan **Pelajari selengkapnya** untuk informasi tentang penyelesaian masalah.
+ Untuk masalah yang dilaporkan di bagian **Masalah konfigurasi jaringan**, lanjutkan dengan langkah berikutnya.
1. Dalam daftar jenis temuan, di kolom **Rekomendasi**, untuk masalah tertentu, pilih tautan, seperti **2 rekomendasi**.
1. Di panel **Rekomendasi** yang terbuka, pilih dari mitigasi yang tersedia:
+ **Pelajari selengkapnya** — Buka topik dengan informasi tentang cara menyelesaikan masalah secara manual.
+ **Lihat runbook** — Buka panel dengan informasi tentang runbook Otomasi yang dapat Anda jalankan untuk menyelesaikan masalah dengan instans EC2 Anda, serta opsi untuk menghasilkan *pratinjau* tindakan yang akan dilakukan runbook. Lanjutkan dengan langkah selanjutnya.
1. Di panel runbook, lakukan hal berikut:
1. Untuk **deskripsi Dokumen**, tinjau konten, yang memberikan ikhtisar tindakan yang dapat dilakukan runbook untuk memulihkan masalah instans EC2 yang tidak terkelola. Pilih **Lihat langkah-langkah** untuk melihat pratinjau tindakan individual yang akan diambil runbook.
1. Untuk **Target**, lakukan langkah berikut:
+ Jika Anda mengelola remediasi untuk organisasi, untuk **Akun**, tentukan apakah runbook ini akan menargetkan semua akun, atau hanya sebagian akun yang Anda pilih.
+ Untuk **Wilayah**, tentukan apakah runbook ini akan menargetkan semua Wilayah AWS di akun atau organisasi Anda, atau hanya sebagian Wilayah yang Anda pilih.
1. Untuk **pratinjau Runbook**, tinjau informasi dengan cermat. Informasi ini menjelaskan apa ruang lingkup dan dampaknya jika Anda memilih untuk menjalankan runbook.
**catatan**
Memilih untuk menjalankan runbook akan dikenakan biaya. Tinjau informasi pratinjau dengan cermat sebelum memutuskan apakah akan melanjutkan.
Konten **pratinjau Runbook** memberikan informasi berikut:
+ Berapa banyak Wilayah tempat operasi runbook akan terjadi.
+ (Organizations only) Berapa banyak unit organisasi (OUs) operasi yang akan dijalankan.
+ Jenis tindakan yang akan diambil, dan berapa banyak dari masing-masing.
Jenis tindakan meliputi:
+ **Mutasi**: Langkah runbook akan membuat perubahan pada target melalui tindakan yang membuat, memodifikasi, atau menghapus sumber daya.
+ **Non-mutasi**: Langkah runbook akan mengambil data tentang sumber daya tetapi tidak membuat perubahan pada mereka. Kategori ini umumnya mencakup`Describe*`,, `List*``Get*`, dan tindakan API hanya-baca serupa.
+ **Undetermined**: Langkah yang belum ditentukan memanggil eksekusi yang dilakukan oleh layanan orkestrasi lain seperti,, atau Run Command. AWS Lambda AWS Step Functions AWS Systems Manager Langkah yang belum ditentukan mungkin juga memanggil API pihak ketiga. Systems Manager Automation tidak mengetahui hasil dari proses orkestrasi atau eksekusi API pihak ketiga, sehingga hasil langkah-langkahnya tidak ditentukan.
1. Pada titik ini, Anda dapat memilih salah satu tindakan berikut:
+ Berhenti dan jangan jalankan runbook.
+ Pilih **Jalankan** untuk menjalankan runbook dengan opsi yang telah Anda pilih.
Jika Anda memilih untuk menjalankan operasi, pilih **Lihat kemajuan** atau **Lihat eksekusi** untuk memantau status eksekusi saat ini. Lihat informasi yang lebih lengkap di [Melihat kemajuan eksekusi dan riwayat untuk remediasi di Systems Manager](diagnose-and-remediate-execution-history.md).
# Menjadwalkan pemindaian berulang untuk instans EC2 yang tidak dikelola
Anda dapat menjalankan pemindaian sesuai permintaan untuk instans Amazon EC2 di akun atau organisasi yang tidak dapat dikelola Systems Manager karena berbagai masalah konfigurasi. Anda juga dapat menjadwalkan pemindaian ini terjadi secara otomatis pada jadwal reguler.
**Untuk menjadwalkan pemindaian berulang untuk instans EC2 yang tidak dikelola**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Diagnosa dan remediasi**.
1. Pilih tab Masalah **instans EC2 yang tidak dikelola**.
1. Di bagian **Diagnosa instans EC2 yang tidak dikelola**, aktifkan **Jadwalkan** diagnosis berulang.
1. Untuk **frekuensi Diagnostik**, pilih apakah akan menjalankan diagnosis sekali sehari atau seminggu sekali.
1. (Opsional) Untuk **Waktu mulai**, masukkan waktu, dalam format 24 jam, agar diagnosis dimulai. Misalnya, untuk 8:15 PM, masukkan**20:15**.
Waktu yang Anda masukkan adalah untuk zona waktu lokal Anda saat ini.
Jika Anda tidak menentukan waktu, pemindaian diagnostik segera berjalan. Systems Manager juga menjadwalkan pemindaian untuk dijalankan di masa depan pada saat ini. Jika Anda menentukan waktu, Systems Manager menunggu untuk menjalankan pemindaian diagnostik pada waktu yang ditentukan.
1. Pilih **Eksekusi**. Diagnosis berjalan segera, tetapi juga akan berjalan sesuai jadwal yang telah Anda tentukan.
# Jenis dampak remediasi dari tindakan runbook
Systems Manager dapat menjalankan operasi diagnosis yang menemukan jenis penerapan yang gagal dan konfigurasi drifted tertentu, serta jenis masalah konfigurasi tertentu yang mencegah Systems Manager mengelola instans EC2. Hasil diagnosis mungkin termasuk rekomendasi untuk runbook Otomasi yang dapat Anda jalankan untuk mencoba memperbaiki masalah. Untuk informasi lebih lanjut tentang operasi diagnosis ini, lihat topik berikut:
+ [Mendiagnosis dan memulihkan penerapan yang gagal](remediating-deployment-issues.md)
+ [Mendiagnosis dan memulihkan konfigurasi hanyut](remediating-configuration-drift.md)
+ [Mendiagnosis dan memulihkan instans Amazon EC2 yang tidak terkelola di Systems Manager](remediating-unmanaged-instances.md)
Ketika Systems Manager mengidentifikasi masalah yang mungkin diperbaiki dengan menjalankan runbook Otomasi pada sumber daya yang terpengaruh, ini akan memberi Anda pratinjau *eksekusi*. Pratinjau eksekusi memberikan informasi tentang *jenis* perubahan yang akan dilakukan eksekusi runbook terhadap target Anda. Informasi ini mencakup berapa banyak dari masing-masing tiga jenis perubahan yang diidentifikasi diagnosis.
Jenis perubahan ini adalah sebagai berikut:
+ `Mutating`: Langkah runbook akan membuat perubahan pada target melalui tindakan yang membuat, memodifikasi, atau menghapus sumber daya.
+ `Non-Mutating`: Langkah runbook akan mengambil data tentang sumber daya tetapi tidak membuat perubahan pada mereka. Kategori ini umumnya mencakup`Describe*`,, `List*``Get*`, dan tindakan API hanya-baca serupa.
+ `Undetermined`Langkah yang belum ditentukan memanggil eksekusi yang dilakukan oleh layanan orkestrasi lain seperti AWS Lambda,, atau AWS Step Functions, alat di. Run Command AWS Systems Manager Langkah yang belum ditentukan mungkin juga memanggil API pihak ketiga atau menjalankan Python PowerShell atau skrip. Systems Manager Automation tidak dapat mendeteksi hasil dari proses orkestrasi atau eksekusi API pihak ketiga, dan karenanya tidak dapat mengevaluasinya. Hasil dari langkah-langkah tersebut harus ditinjau secara manual untuk menentukan dampaknya.
Lihat tabel berikut untuk informasi tentang jenis dampak dari tindakan Otomasi yang didukung.
## Jenis dampak dari tindakan remediasi yang didukung
Tabel menyajikan jenis dampak—bermutasi, tidak bermutasi, dan tidak ditentukan—dari berbagai tindakan yang dapat dimasukkan dalam runbook remediasi.
| Tindakan¹ | Jenis dampak |
| --- | --- |
| aws:menyetujui | Tidak bermutasi |
| aws: assertAwsResource Properti | Tidak bermutasi |
| aws:cabang | Tidak bermutasi |
| aws: changeInstanceState | Bermutasi |
| AWS: CopyImage | Bermutasi |
| AWS: CreateImage | Bermutasi |
| AWS: CreateStack | Bermutasi |
| AWS: CreateTags | Bermutasi |
| AWS: DeleteImage | Bermutasi |
| AWS: DeleteStack | Bermutasi |
| AWS: ExecuteAutomation | Belum ditentukan |
| aws: executeAwsApi | Belum ditentukan |
| AWS: ExecuteScript | Belum ditentukan |
| aws: executeStateMachine | Belum ditentukan |
| aws: invokeLambdaFunction | Belum ditentukan |
| AWS: InvokeWebhook | Belum ditentukan |
| aws:lingkaran | Bervariasi. Tergantung pada tindakan dalam loop. |
| aws:jeda | Tidak bermutasi |
| AWS: runcommand | Belum ditentukan |
| AWS: RunInstances | Bermutasi |
| aws:tidur | Tidak bermutasi |
| AWS: DiperbaruiDapat Diperbarui | Bermutasi |
| aws: waitForAws ResourceProperty | Tidak bermutasi |
¹ Untuk informasi selengkapnya tentang tindakan Otomasi, lihat[Referensi tindakan Otomatisasi Systems Manager](automation-actions.md).
# Melihat kemajuan eksekusi dan riwayat untuk remediasi di Systems Manager
Anda dapat melihat daftar semua operasi remediasi yang sedang berlangsung dan selesai yang dilakukan menggunakan fitur **Diagnosa dan Remediasi** di Systems Manager.
Data dalam daftar riwayat eksekusi melaporkan jenis informasi berikut:
+ Jenis eksekusi, `Diagnosis` atau`Remediation`.
+ Status eksekusi, seperti `Success` atau`Failed`.
+ Waktu eksekusi dimulai dan berakhir.
**Untuk melihat kemajuan eksekusi dan riwayat untuk remediasi**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Diagnosa dan remediasi**.
1. Pilih **Lihat eksekusi.**
**Tip**
Saat eksekusi sedang berjalan, Anda juga dapat memilih **Lihat kemajuan** untuk membuka halaman **Riwayat eksekusi**.
1. (Opsional) Di kotak pencarian (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), masukkan frasa untuk membantu mempersempit daftar eksekusi, seperti **EC2** atau**VPC**.
1. (Opsional) Untuk melihat detail tambahan tentang eksekusi, di kolom **Nama eksekusi**, pilih nama operasi, seperti **AWS- DiagnoseUnmanaged EC2 NetworkIssues**.
Di panel detail, Anda dapat meninjau informasi tentang semua langkah yang dicoba selama operasi, dan tentang semua input dan output untuk eksekusi.
# Menyesuaikan pengaturan Systems Manager
Opsi pada halaman **Pengaturan** mengaktifkan dan mengonfigurasi fitur di konsol terpadu Systems Manager. Opsi yang ditampilkan tergantung pada akun yang Anda masuki dan apakah Anda sudah menyiapkan Systems Manager atau belum.
**catatan**
Opsi pada halaman **Pengaturan** tidak memengaruhi alat Systems Manager (sebelumnya disebut kemampuan).
## Pengaturan pengaturan akun
Jika Systems Manager diaktifkan, dan jika Anda masuk ke akun yang bukan anggota Organizations atau jika administrator yang didelegasikan belum menambahkan akun Organizations Anda ke Systems Manager, halaman **Pengaturan Akun** akan menampilkan opsi untuk **Nonaktifkan Systems Manager**. Menonaktifkan Systems Manager berarti Systems Manager tidak menampilkan konsol terpadu. Semua alat Systems Manager masih berfungsi.
## Pengaturan pengaturan organisasi
Pada tab **Pengaturan Organisasi**, bagian **Home Region** menampilkan yang Wilayah AWS dipilih sebagai Wilayah rumah selama penyiapan. Di lingkungan multi-akun dan Multi-wilayah yang digunakan AWS Organizations, Systems Manager secara otomatis mengumpulkan data node dari semua akun dan Wilayah ke Wilayah asal. Menggabungkan data dengan cara ini memungkinkan Anda untuk melihat data node di seluruh akun dan Wilayah di satu lokasi.
**catatan**
Jika Anda ingin mengubah Wilayah rumah, Anda harus menonaktifkan Systems Manager dan mengaktifkannya lagi. Untuk menonaktifkan Systems Manager, pilih **Nonaktifkan**.
Bagian **Pengaturan Organisasi** menampilkan unit AWS organisasi dan Wilayah AWS dipilih selama penyiapan. Untuk mengubah unit organisasi dan Wilayah mana yang menampilkan data node di Systems Manager, pilih **Edit**. Untuk informasi selengkapnya tentang menyiapkan Systems Manager for Organizations, lihat[Menyiapkan AWS Systems Manager](systems-manager-setting-up-console.md).
## Konfigurasi fitur
Bagian **Konfigurasi fitur** memungkinkan Anda mengaktifkan dan mengonfigurasi kapabilitas Systems Manager utama yang meningkatkan manajemen node di seluruh organisasi Anda. Fitur-fitur ini bekerja sama untuk menyediakan manajemen otomatis, pemantauan kepatuhan, dan pemeliharaan node terkelola Anda.
Anda dapat mengonfigurasi fitur-fitur ini selama penyiapan Systems Manager awal atau memodifikasinya nanti melalui halaman Pengaturan. Setiap fitur dapat diaktifkan atau dinonaktifkan secara independen berdasarkan persyaratan organisasi Anda.
### Konfigurasi Manajemen Host Default
Konfigurasi Manajemen Host Default (DHMC) secara otomatis mengonfigurasi instans Amazon Elastic Compute Cloud (Amazon EC2) di organisasi Anda agar dikelola oleh Systems Manager. Saat diaktifkan, DHMC memastikan bahwa instans EC2 baru dan yang sudah ada memiliki izin dan konfigurasi AWS Identity and Access Management (IAM) yang diperlukan untuk berkomunikasi dengan layanan Systems Manager.
DHMC memberikan manfaat sebagai berikut:
+ **Penetapan peran IAM otomatis** - Memastikan instans EC2 memiliki peran dan kebijakan IAM yang diperlukan untuk berfungsi sebagai node terkelola
+ **Remediasi drift** - Secara otomatis mengoreksi drift konfigurasi ketika instance kehilangan status node terkelola
+ **Orientasi yang disederhanakan** - Mengurangi langkah konfigurasi manual untuk instance baru
+ **Konfigurasi yang konsisten** - Mempertahankan pengaturan seragam di seluruh armada EC2 Anda
#### Mengkonfigurasi frekuensi remediasi drift
Remediasi drift secara otomatis mendeteksi dan mengoreksi ketika instans EC2 kehilangan konfigurasi node terkelolanya. Anda dapat mengonfigurasi seberapa sering Systems Manager memeriksa dan memperbaiki penyimpangan konfigurasi.
**Untuk mengkonfigurasi Konfigurasi Manajemen Host Default**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di bagian **Konfigurasi fitur**, cari **Konfigurasi Manajemen Host Default**.
1. Untuk mengaktifkan DHMC, nyalakan sakelar sakelar.
1. Untuk **frekuensi remediasi Drift**, pilih seberapa sering Anda ingin Systems Manager memeriksa dan memperbaiki penyimpangan konfigurasi:
+ **Harian** - Memeriksa dan memulihkan drift sekali sehari
+ **Mingguan** - Memeriksa dan memulihkan penyimpangan seminggu sekali
+ **Bulanan** - Memeriksa dan memulihkan drift sebulan sekali
1. Pilih **Simpan**.
**catatan**
Saat Anda mengaktifkan DHMC, Systems Manager membuat peran dan kebijakan IAM yang diperlukan di akun Anda. Peran ini memungkinkan instans EC2 untuk berkomunikasi dengan layanan Systems Manager. Untuk informasi selengkapnya tentang peran IAM yang dibuat oleh DHMC, lihat. [Mengelola EC2 instans dengan Systems Manager](systems-manager-setting-up-ec2.md)
### Koleksi metadata inventaris
Pengumpulan metadata inventaris secara otomatis mengumpulkan informasi terperinci tentang node terkelola Anda, termasuk aplikasi yang diinstal, konfigurasi jaringan, pembaruan sistem, dan metadata sistem lainnya. Informasi ini membantu Anda menjaga kepatuhan, melakukan analisis keamanan, dan memahami komposisi infrastruktur Anda.
Pengumpulan inventaris memberikan manfaat sebagai berikut:
+ **Pemantauan kepatuhan** - Lacak perangkat lunak dan konfigurasi yang diinstal untuk pelaporan kepatuhan
+ **Analisis keamanan** - Identifikasi perangkat lunak yang sudah ketinggalan zaman dan potensi kerentanan keamanan
+ **Manajemen aset** - Pertahankan up-to-date inventaris infrastruktur Anda
+ **Kemampuan kueri** - Gunakan data yang dikumpulkan dengan Amazon Q Developer untuk kueri bahasa alami
#### Jenis data inventaris yang dikumpulkan
Saat pengumpulan metadata inventaris diaktifkan, Systems Manager mengumpulkan jenis informasi berikut dari node terkelola Anda:
+ **Aplikasi** - Paket dan aplikasi perangkat lunak yang diinstal
+ **Konfigurasi jaringan** - Antarmuka jaringan, alamat IP, dan pengaturan jaringan
+ **Pembaruan sistem** - Tambalan yang diinstal dan pembaruan yang tersedia
+ **Properti sistem** - Spesifikasi perangkat keras, detail sistem operasi, dan konfigurasi sistem
+ **Layanan** - Menjalankan layanan dan konfigurasinya
#### Mengkonfigurasi frekuensi pengumpulan inventaris
Anda dapat mengonfigurasi seberapa sering Systems Manager mengumpulkan metadata inventaris dari node terkelola. Pengumpulan yang lebih sering memberikan lebih banyak up-to-date informasi tetapi dapat meningkatkan penggunaan AWS layanan.
**Untuk mengonfigurasi koleksi metadata inventaris**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di bagian **Konfigurasi fitur**, cari koleksi **metadata Inventaris**.
1. Untuk mengaktifkan pengumpulan inventaris, nyalakan sakelar sakelar.
1. Untuk **frekuensi Pengumpulan**, pilih seberapa sering Anda ingin Systems Manager mengumpulkan data inventaris:
+ **Harian** - Mengumpulkan data inventaris sekali per hari
+ **Mingguan** - Mengumpulkan data inventaris seminggu sekali
+ **Bulanan** - Mengumpulkan data inventaris sebulan sekali
1. Pilih **Simpan**.
**penting**
Pengumpulan inventaris membutuhkan node terkelola untuk memiliki izin yang diperlukan untuk mengumpulkan informasi sistem. Pastikan node terkelola Anda memiliki peran dan kebijakan IAM yang sesuai. Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat [AWS Systems Manager Inventaris](systems-manager-inventory.md).
### SSM Agentpemutakhiran
SSM AgentPembaruan otomatis memastikan bahwa node terkelola Anda menjalankan versi terbaruSSM Agent. Menjaga agen up-to-date menyediakan akses ke fitur terbaru, peningkatan keamanan, dan perbaikan bug.
SSM Agentpembaruan otomatis memberikan manfaat berikut:
+ **Fitur terbaru** - Akses ke kemampuan dan peningkatan Systems Manager baru
+ **Pembaruan keamanan** - Instalasi otomatis patch dan perbaikan keamanan
+ **Peningkatan keandalan** - Perbaikan bug dan peningkatan stabilitas
+ **Mengurangi pemeliharaan** - Menghilangkan kebutuhan akan pembaruan agen manual
#### Mengkonfigurasi pembaruan agen otomatis
Anda dapat mengonfigurasi seberapa sering Systems Manager memeriksa dan menginstal SSM Agent pembaruan pada node terkelola Anda. Pembaruan rutin membantu memastikan kinerja dan keamanan yang optimal.
**Untuk mengkonfigurasi SSM Agent pembaruan**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di bagian **Konfigurasi fitur**, cari **SSM Agentpembaruan**.
1. Untuk mengaktifkan pembaruan otomatis, nyalakan sakelar sakelar.
1. Untuk **frekuensi Update**, pilih seberapa sering Anda ingin Systems Manager memeriksa dan menginstal pembaruan agen:
+ **Harian** - Memeriksa pembaruan sekali per hari
+ **Mingguan** - Memeriksa pembaruan seminggu sekali
+ **Bulanan** - Memeriksa pembaruan sebulan sekali
1. Pilih **Simpan**.
## Mendiagnosis dan memperbaiki pengaturan
Pengaturan **Diagnosa dan remediasi** menentukan apakah Systems Manager secara otomatis memindai node Anda untuk memastikan node tersebut dapat berkomunikasi dengan Systems Manager. Jika diaktifkan, fitur berjalan secara otomatis sesuai dengan jadwal yang Anda tentukan. Fitur ini mengidentifikasi node mana yang tidak dapat terhubung ke Systems Manager dan alasannya. Fitur ini juga menyediakan runbook yang direkomendasikan untuk memulihkan masalah jaringan dan masalah lain yang mencegah node dikonfigurasi sebagai node terkelola.
### Menjadwalkan pemindaian diagnostik berulang
Systems Manager dapat mendiagnosis dan membantu Anda memulihkan beberapa jenis kegagalan penerapan, serta konfigurasi drifted. *Systems Manager juga dapat mengidentifikasi instans Amazon Elastic Compute Cloud (Amazon EC2) di akun atau organisasi yang tidak dapat diperlakukan oleh Systems Manager sebagai node terkelola.* Proses diagnosis instans EC2 dapat mengidentifikasi masalah yang terkait dengan kesalahan konfigurasi untuk virtual private cloud (VPC), dalam pengaturan Domain Name Service (DNS), atau dalam grup keamanan Amazon Elastic Compute Cloud (Amazon EC2).
Untuk sekadar tugas mengidentifikasi node yang tidak dapat terhubung ke Systems Manager, fitur **Schedule recurring diagnosis** memungkinkan Anda mengotomatiskan pemindaian diagnostik berulang. Pemindaian membantu mengidentifikasi node mana yang tidak dapat terhubung ke Systems Manager dan mengapa. Gunakan prosedur berikut untuk mengaktifkan dan mengkonfigurasi pemindaian diagnostik berulang dari node Anda.
**Untuk menjadwalkan pemindaian diagnostik berulang**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Pengaturan**, lalu pilih tab **Diagnosa dan perbaikan.**
1. Aktifkan opsi **Jadwalkan diagnosis berulang**.
1. Untuk **periode Pemindaian**, pilih seberapa sering Anda ingin pemindaian dijalankan.
1. (Opsional) Untuk **Waktu mulai**, masukkan waktu, dalam format 24 jam, agar diagnosis dimulai. Misalnya, untuk 8:15 PM, masukkan**20:15**.
Waktu yang Anda masukkan adalah untuk zona waktu lokal Anda saat ini.
Jika Anda tidak menentukan waktu, pemindaian diagnostik segera berjalan. Systems Manager juga menjadwalkan pemindaian untuk dijalankan di masa depan pada saat ini. Jika Anda menentukan waktu, Systems Manager menunggu untuk menjalankan pemindaian diagnostik pada waktu yang ditentukan.
1. Pilih **Simpan**.
1. Setelah pemindaian selesai, lihat detailnya dengan memilih **Diagnosa dan remediasi** di navigasi kiri.
Untuk informasi selengkapnya tentang fitur **Diagnosa dan Remediasi**, lihat[Mendiagnosis dan memulihkan](diagnose-and-remediate.md).
### Memperbarui enkripsi bucket S3
Saat Anda menggunakan Systems Manager, Quick Setup akan membuat bucket Amazon Simple Storage Service (Amazon S3) di akun administrator yang didelegasikan untuk penyiapan. AWS Organizations Untuk pengaturan akun tunggal, bucket disimpan di akun yang sedang disiapkan. Bucket ini digunakan untuk menyimpan metadata yang dihasilkan selama pemindaian diagnostik.
Untuk informasi selengkapnya tentang pengaturan konsol Systems Manager terpadu, lihat[Menyiapkan AWS Systems Manager](systems-manager-setting-up-console.md).
Secara default, data Anda di bucket dienkripsi menggunakan kunci AWS Key Management Service (AWS KMS) yang AWS memiliki dan mengelola untuk Anda.
Anda dapat memilih untuk menggunakan AWS KMS kunci yang berbeda untuk enkripsi bucket Anda. Sebagai alternatif lain, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) menggunakan kunci yang dikelola pelanggan (CMK). Untuk informasi, lihat [Bekerja dengan bucket Amazon S3 dan kebijakan bucket untuk Systems Manager](systems-manager-diagnosis-metadata-bucket.md).
**Untuk menggunakan AWS KMS kunci yang berbeda untuk enkripsi bucket S3**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Pengaturan**, lalu pilih tab **Diagnosa dan perbaikan.**
1. Di area **enkripsi bucket Update S3**, pilih **Edit**.
1. Pilih kotak centang **Sesuaikan pengaturan enkripsi (lanjutan)**.
1. Untuk **Pilih AWS KMS kunci**, pilih atau masukkan Nama Sumber Daya Amazon (ARN) dari kunci tersebut.
**Tip**
Untuk membuat kunci baru, pilih **Buat AWS KMS kunci**.
1. Pilih **Simpan**.
# Bekerja dengan bucket Amazon S3 dan kebijakan bucket untuk Systems Manager
Selama [proses orientasi](systems-manager-setting-up-console.md) AWS Systems Manager, Quick Setup buat bucket Amazon Simple Storage Service (Amazon S3) di akun administrator yang didelegasikan untuk penyiapan organisasi. Untuk pengaturan akun tunggal, bucket disimpan di akun yang sedang disiapkan.
Anda dapat menggunakan Systems Manager untuk menjalankan operasi diagnostik pada armada untuk mengidentifikasi kasus penerapan yang gagal dan konfigurasi drifted. Systems Manager juga dapat mendeteksi kasus di mana masalah konfigurasi mencegah Systems Manager mengelola instans EC2 di akun atau organisasi Anda. Hasil operasi diagnostik ini disimpan dalam bucket Amazon S3 ini, yang dilindungi oleh metode enkripsi dan kebijakan bucket S3. Untuk informasi tentang operasi diagnostik yang mengeluarkan data ke bucket ini, lihat[Mendiagnosis dan memulihkan](diagnose-and-remediate.md).
**Mengubah metode enkripsi bucket**
Secara default, bucket S3 menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3).
Sebagai gantinya, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) menggunakan kunci terkelola pelanggan (CMK) sebagai alternatif untuk kunci terkelola Amazon S3, seperti yang dijelaskan di. [Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3](remediate-s3-bucket-encryption.md)
**Isi kebijakan bucket**
Kebijakan bucket mencegah akun anggota dalam suatu organisasi menemukan satu sama lain. Izin baca dan tulis ke bucket hanya diperbolehkan untuk peran diagnosis dan remediasi yang dibuat untuk Systems Manager. Isi dari kebijakan yang dihasilkan sistem ini disajikan dalam. [Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md)
**Awas**
Memodifikasi kebijakan bucket default dapat memungkinkan akun anggota di organisasi untuk menemukan satu sama lain, atau membaca output diagnosis untuk instance di akun lain. Kami merekomendasikan untuk berhati-hati jika Anda memilih untuk mengubah kebijakan ini.
**Topics**
+ [Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3](remediate-s3-bucket-encryption.md)
+ [Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md)
# Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3
Selama proses orientasi untuk konsol Systems Manager terpadu, Quick Setup buat bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) di akun administrator yang didelegasikan. Bucket ini digunakan untuk menyimpan data keluaran diagnosis yang dihasilkan selama eksekusi runbook remediasi. Secara default, bucket menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3).
Anda dapat meninjau konten kebijakan ini di[Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md).
Namun, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) menggunakan kunci terkelola pelanggan (CMK) sebagai alternatif untuk file. AWS KMS key
Selesaikan tugas-tugas berikut untuk mengonfigurasi Systems Manager untuk menggunakan CMK Anda.
## Tugas 1: Tambahkan tag ke CMK yang ada
AWS Systems Manager menggunakan CMK Anda hanya jika ditandai dengan pasangan kunci-nilai berikut:
+ Kunci: `SystemsManagerManaged`
+ Nilai: `true`
Gunakan prosedur berikut untuk menyediakan akses untuk mengenkripsi bucket S3 dengan CMK Anda.
**Untuk menambahkan tag ke CMK yang ada**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Di navigasi kiri, pilih **Kunci yang dikelola pelanggan**.
1. Pilih yang AWS KMS key akan digunakan dengan AWS Systems Manager.
1. Pilih tab **Tag**, lalu pilih **Edit**.
1. Pilih **Tambahkan tanda**.
1. Lakukan hal-hal berikut:
1. Untuk **Kunci tag**, masukkan **SystemsManagerManaged**.
1. Untuk **nilai Tag**, masukkan**true**.
1. Pilih **Simpan**.
## Tugas 2: Ubah kebijakan kunci CMK yang ada
Gunakan prosedur berikut untuk memperbarui [kebijakan kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) CMK Anda untuk mengizinkan AWS Systems Manager peran mengenkripsi bucket S3 atas nama Anda.
**Untuk mengubah kebijakan kunci CMK yang ada**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Di navigasi kiri, pilih **Kunci yang dikelola pelanggan**.
1. Pilih yang AWS KMS key akan digunakan dengan AWS Systems Manager.
1. Di tab **Kebijakan kunci**, pilih **Edit**.
1. Tambahkan pernyataan JSON berikut ke `Statement` bidang, dan ganti *placeholder values* dengan informasi Anda sendiri.
Pastikan Anda menambahkan semua Akun AWS IDs yang ada di dalam organisasi Anda ke AWS Systems Manager dalam bidang. `Principal`
Untuk menemukan nama bucket yang benar di konsol Amazon S3, di akun administrator yang didelegasikan, cari bucket dalam format. `do-not-delete-ssm-operational-account-id-home-region-disambiguator`
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Tip**
Atau, Anda dapat memperbarui kebijakan kunci CMK menggunakan [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) condition key untuk memberikan AWS Systems Manager akses ke CMK Anda.
## Tugas 3: Tentukan CMK di pengaturan Systems Manager
Setelah menyelesaikan dua tugas sebelumnya, gunakan prosedur berikut untuk mengubah enkripsi bucket S3. Perubahan ini memastikan bahwa proses Quick Setup konfigurasi terkait dapat menambahkan izin bagi Systems Manager untuk menerima CMK Anda.
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. **Pada tab **Diagnosa dan remediasi**, di bagian **enkripsi bucket Update S3**, pilih Edit.**
1. Pilih kotak centang **Sesuaikan pengaturan enkripsi (lanjutan)**.
1. Di kotak search (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), pilih ID kunci yang ada, atau tempel ARN dari kunci yang ada.
1. Pilih **Simpan**.
# Kebijakan bucket S3 untuk konsol Systems Manager terpadu
Topik ini mencakup kebijakan bucket Amazon S3 yang dibuat oleh Systems Manager saat Anda menggunakan organisasi atau satu akun ke konsol Systems Manager terpadu.
**Awas**
Memodifikasi kebijakan bucket default dapat memungkinkan akun anggota di organisasi untuk menemukan satu sama lain, atau membaca output diagnosis untuk instance di akun lain. Kami merekomendasikan untuk berhati-hati jika Anda memilih untuk mengubah kebijakan ini.
## Kebijakan bucket Amazon S3 untuk organisasi
Bucket diagnosis dibuat dengan kebijakan bucket default berikut saat melakukan onboarding organisasi ke Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Kebijakan bucket Amazon S3 untuk satu akun
Bucket diagnosis dibuat dengan kebijakan bucket default berikut saat melakukan onboarding satu akun ke Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------