• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 在 Systems Manager 中诊断和修复非托管 Amazon EC2 实例
<a name="remediating-unmanaged-instances"></a>

为帮助使用 Systems Manager 管理 Amazon Elastic Compute Cloud（Amazon EC2）实例，您可以使用 Systems Manager 统一控制台执行以下操作：

1. 运行手动或计划的诊断过程来确定您的账户或组织中的哪些 EC2 实例当前未由 Systems Manager 管理。

1. 确定导致 Systems Manager 无法接管实例管理的网络问题或其他问题。

1. 运行一个自动化执行来自动修复问题，或访问信息来帮助您手动解决问题。

使用以下主题中的信息来帮助您诊断和修复导致 Systems Manager 无法管理您的 EC2 实例的问题。

## Systems Manager 如何统计“非托管 EC2 实例问题”列表中受影响的节点
<a name="unmanaged-instance-scan-count"></a>

**非托管 EC2 实例问题**选项卡上报告为非托管的节点数量代表在诊断扫描时具有以下任何状态值的实例总数：
+ `Running`
+ `Stopped`
+ `Stopping`

此数字在**问题摘要**区域中被报告为**受影响的节点**。在下图中，当前未由 Systems Manager 管理的受影响的节点数量为 `40`。

![\[“问题摘要”区域在诊断和修复页面中显示 40 个受影响的节点\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/2-unmanaged-EC2-instance-count.png)


与**查看节点见解**页面上的非托管 EC2 实例报告不同，此 EC2 实例计数不是动态的。它代表上次报告的诊断扫描期间进行的调查发现，显示为**扫描时间**值。因此，我们建议定期对非托管 EC2 实例运行诊断扫描，以便此报告的受影响节点数量保持最新状态。

有关**查看节点见解**页面上非托管式实例计数的信息，请参阅[查看节点见解](review-node-insights.md)主题中的[什么是非托管式实例？](review-node-insights.md#unmanaged-instance-definition)。

**Topics**
+ [Systems Manager 如何统计“非托管 EC2 实例问题”列表中受影响的节点](#unmanaged-instance-scan-count)
+ [可诊断的非托管 EC2 实例问题类别](diagnosing-ec2-category-types.md)
+ [对非托管 EC2 实例运行诊断和可选修复](running-diagnosis-execution-ec2.md)
+ [为非托管 EC2 实例安排定期扫描](schedule-recurring-ec2-diagnosis.md)

# 可诊断的非托管 EC2 实例问题类别
<a name="diagnosing-ec2-category-types"></a>

本主题列出了 EC2 管理问题的主要类别以及每个类别中 Systems Manager 可帮助您诊断并修复的具体问题。请注意，对于某些问题，Systems Manager 可识别问题，但不能提供自动修正措施。在这些情况下，Systems Manager 控制台会将您引导到帮助您手动解决问题的信息。

诊断过程会根据每组 EC2 实例所属的虚拟私有云（VPC）一次检查这些实例。

**Topics**
+ [问题类别：安全组配置和 HTTPS 通信](#unmanaged-ec2-issue-security-groups)
+ [问题类别：DNS 或 DNS 主机名配置](#unmanaged-ec2-issue-dns-configuration)
+ [问题类别：VPC 端点配置](#unmanaged-ec2-issue-vpc-endpoint-configuration)
+ [问题类别：网络 ACL 配置](#unmanaged-ec2-issue-nacl-configuration)

## 问题类别：安全组配置和 HTTPS 通信
<a name="unmanaged-ec2-issue-security-groups"></a>

诊断操作可能发现 SSM Agent 无法通过 HTTPS 与 Systems Manager 服务进行通信。在这些情况下，您可以选择执行一个自动化运行手册来尝试更新附加到实例的安全组。

**注意**  
有时，Systems Manager 可能无法自动修复这些问题，然而您可以手动编辑受影响的安全组。

**支持的问题类型**
+ **实例安全组**：端口 443 不允许出站流量
+ **`ssm` VPC 端点的安全组**：端口 443 不允许入站流量
+ **`ssmmessages` VPC 端点的安全组**：端口 443 不允许入站流量
+ **`ec2messages` VPC 端点的安全组**：端口 443 不允许入站流量

有关更多信息，请参阅 [验证端点安全组的入口规则](troubleshooting-ssm-agent.md#agent-ts-ingress-egress-rules)主题中的 [排除 SSM Agent 问题](troubleshooting-ssm-agent.md)。

## 问题类别：DNS 或 DNS 主机名配置
<a name="unmanaged-ec2-issue-dns-configuration"></a>

诊断操作可能发现没有为 VPC 正确配置域名系统 (DNS) 或 DNS 主机名。在这些情况下，您可以选择执行一个自动化运行手册来尝试启用受影响 VPC 的 `enableDnsSupport` 和 `enableDnsHostnames` 属性。

**支持的问题类型**
+ VPC 中已禁用 DNS 支持。
+ VPC 中已禁用 DNS 主机名。

有关更多信息，请参阅 [验证 VPC DNS 相关属性](troubleshooting-ssm-agent.md#agent-ts-dns-attributes)主题中的 [排除 SSM Agent 问题](troubleshooting-ssm-agent.md)。

## 问题类别：VPC 端点配置
<a name="unmanaged-ec2-issue-vpc-endpoint-configuration"></a>

诊断操作可能发现没有为 VPC 正确配置 VPC 端点。

如果 SSM Agent 所需的 VPC 端点不存在，则 Systems Manager 会尝试执行一个自动化运行手册来创建 VPC 端点，并将它们与每个相关区域性可用区（AZ）中的一个子网关联。如果所需的 VPC 端点存在，但没有与发现问题的子网相关联，则运行手册会将 VPC 端点关联到受影响的子网。

**注意**  
Systems Manager 不支持修复所有配置错误的 VPC 端点问题。在这些情况下，Systems Manager 会将您引导到手动修复说明，而不是运行自动化运行手册。

**支持的问题类型**
+ 未找到 PrivateLink 的 `ssm.region.amazonaws.com` 端点。
+ 未找到 PrivateLink 的 `ssmmessages.region.amazonaws.com` 端点。
+ 未找到 PrivateLink 的 `ec2messages.region.amazonaws.com` 端点。

**可诊断的问题类型**  
Systems Manager 可以诊断下面的问题类型，但目前没有可用于修复其问题的运行手册。您可以手动编辑您的配置以解决这些问题。
+ 实例的子网未连接到 `ssm.region.amazonaws.com` 端点。
+ 实例的子网未连接到 `ssmmessages.region.amazonaws.com` 端点。
+ 实例的子网未连接到 `ec2messages.region.amazonaws.com` 端点。

有关更多信息，请参阅 [验证您的 VPC 配置](troubleshooting-ssm-agent.md#agent-ts-vpc-configuration)主题中的 [排除 SSM Agent 问题](troubleshooting-ssm-agent.md)。

## 问题类别：网络 ACL 配置
<a name="unmanaged-ec2-issue-nacl-configuration"></a>

诊断操作可能会发现没有为 VPC 正确配置网络访问控制列表（NACL），从而阻止了 Systems Manager 通信所需的必要流量。NACL 是无状态的，因此出站和入站规则都必须允许 Systems Manager 流量。

Systems Manager 可以识别 NACL 配置问题并提供手动修复指导。

**支持的问题类型**
+ **实例子网 NACL**：不允许通过端口 443 向 Systems Manager 端点发送出站流量
+ **实例子网 NACL**：Systems Manager 响应不允许通过临时端口（1024-65535）接收入站流量

**可诊断的问题类型**  
Systems Manager 可以诊断下面的 NACL 配置问题，但是需要手动修复：
+ 实例的子网 NACL 会阻止发往 Systems Manager 端点的出站 HTTPS（端口 443）流量
+ 实例的子网 NACL 会阻止 Systems Manager 响应所需的入站临时端口流量（1024-65535）

有关更多信息，请参阅 [SSM Agent 故障排除](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)和[您的 VPC 的自定义网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/custom-network-acl.html#nacl-ephemeral-ports)。

# 对非托管 EC2 实例运行诊断和可选修复
<a name="running-diagnosis-execution-ec2"></a>

使用以下过程来诊断可能导致 Systems Manager 无法管理您的 EC2 实例的网络相关问题和 VPC 相关问题。

该诊断操作可以检测下面类型的问题，并将其分组到一起：
+ **网络配置问题**：可能导致 EC2 实例无法与云中的 Systems Manager 服务进行通信的网络问题类型。这些问题可能有修复操作。有关网络配置问题的更多信息，请参阅[可诊断的非托管 EC2 实例问题类别](diagnosing-ec2-category-types.md)。
+ **未识别的问题**：诊断操作无法确定 EC2 实例不能与云中的 Systems Manager 服务进行通信的原因的情况的调查发现列表。

**对非托管 EC2 实例运行诊断和修复**

1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)，打开 AWS Systems Manager 控制台。

1. 在导航窗格中，选择**诊断并修复**。

1. 选择**非托管 EC2 实例问题**选项卡。

1. 在**问题摘要**部分，选择**运行新诊断**。

   –或者–

   如果这是您第一次诊断非托管 EC2 问题，请在**诊断非托管 EC2 实例**部分中选择**执行**。
**提示**  
在诊断运行时，选择**查看进度**或**查看执行**以监控执行的当前状态。有关更多信息，请参阅 [在 Systems Manager 中查看修正的执行进度和历史记录](diagnose-and-remediate-execution-history.md)。

1. 在诊断完成后，请执行下面的操作：
   + 对于**未识别的问题**部分中报告的任何问题，请选择**了解更多**链接以获取有关解决问题的信息。
   + 对于**网络配置问题**部分中报告的问题，请继续下一步。

1. 在调查发现类型列表中，在**推荐**列中，对于特定问题选择链接，例如 **2 条推荐**。

1. 在打开的**推荐**窗格中，从可用的缓解措施中进行选择：
   + **了解更多**：打开一个主题，其中包含有关如何手动解决问题的信息。
   + **查看运行手册**：打开一个窗格，其中包含有关您可以执行以便解决 EC2 实例问题的自动化运行手册的信息，以及用于生成运行手册将执行的操作的*预览*的选项。继续执行下一步。

1. 在运行手册窗格中，执行下面的操作：

   1. 对于**文档描述**，请查看内容，其中概述了运行手册可以采取哪些操作来修复非托管 EC2 实例问题。选择**查看步骤**以预览运行手册将采取的各个操作。

   1. 对于**目标**，请执行以下操作：
      + 如果要管理某组织的修复，对于**账户**，请指定此运行手册是针对所有账户，还是仅针对您选择的部分账户。
      + 对于**区域**，请指定此运行手册是针对您的账户或组织中的所有 AWS 区域，还是仅针对您选择的部分区域。

   1. 对于**运行手册预览**，请仔细查看信息。此信息说明了当您选择执行运行手册时的范围和影响。
**注意**  
选择执行运行手册将会产生费用。请仔细查看预览信息，然后再决定是否继续。

      **运行手册预览**内容提供以下信息：
      + 运行手册操作将在多少个区域中发生。
      + （仅限 Organizations）操作将在多少个组织单位 (OU) 中运行。
      + 将要采取的操作类型以及每种操作的数量。

        操作类型包括：
        + **变异**：运行手册步骤将通过创建、修改或删除资源的操作对目标进行更改。
        + **非变异**：运行手册步骤将检索有关资源的数据，但是不对其进行更改。此类别通常包括 `Describe*`、`List*`、`Get*` 和类似的只读 API 操作。
        + **未确定**：未确定的步骤将调用由另一个编排服务（如 AWS Lambda、AWS Step Functions 或 AWS Systems Manager Run Command）运行的执行。未确定的步骤也可能会调用第三方 API。Systems Manager Automation 不知道编排流程或第三方 API 执行的结果，因此步骤的结果尚未确定。

   1. 此时，您可以选择以下操作之一：
      + 停止，不要执行运行手册。
      + 选择**执行**以使用您已经选择的选项运行运行手册。

   如果选择运行该操作，请选择**查看进度**或**查看执行**以监控执行的当前状态。有关更多信息，请参阅 [在 Systems Manager 中查看修正的执行进度和历史记录](diagnose-and-remediate-execution-history.md)。

# 为非托管 EC2 实例安排定期扫描
<a name="schedule-recurring-ec2-diagnosis"></a>

您可以对您的账户或组织中由于各种配置问题而 Systems Manager 无法管理的 Amazon EC2 实例运行按需扫描。您还可以安排此扫描定期自动进行。

**为非托管 EC2 实例安排定期扫描**

1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)，打开 AWS Systems Manager 控制台。

1. 在导航窗格中，选择**诊断并修复**。

1. 选择**非托管 EC2 实例问题**选项卡。

1. 在**诊断非托管 EC2 实例**部分中，启用**安排定期诊断**。

1. 对于**诊断频率**，选择每天运行一次还是每周运行一次诊断。

1. （可选）对于**开始时间**，以 24 小时格式输入诊断开始的时间。例如，对于晚上 8:15，请输入 **20:15**。

   您输入的时间是您当前当地时区的时间。

   如果未指定时间，则诊断扫描将立即运行。Systems Manager 还会安排扫描在未来的当前时间运行。如果指定了时间，则 Systems Manager 会等待在指定的时间运行诊断扫描。

1. 选择**执行**。诊断会立即运行，但也会按照您指定的计划运行。