• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Systems Manager 在混合多雲端環境中管理節點
您可以使用 AWS Systems Manager 來管理 Amazon Elastic Compute Cloud (EC2) 執行個體和多種non-EC2 機器類型。本節說明帳戶和系統管理員會執行的設定任務,以使用 Systems Manager 管理*[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)*環境中的非 EC2 機器。完成這些步驟後,管理員授予許可的使用者 AWS 帳戶 可以使用 Systems Manager 來設定和管理其組織的non-EC2 機器。
任何已設定為搭配 Systems Manager 使用的機器都稱為*受管節點*。
**注意**
您可以使用用於其他非 EC2 機器的混合啟用步驟,將邊緣裝置登錄為受管節點。這些類型的邊緣裝置包括 AWS IoT 裝置和裝置以外的 AWS IoT 裝置。使用本節所述程序來設定這些類型的邊緣裝置。
Systems Manager 也支援使用 AWS IoT Greengrass Core 軟體的邊緣裝置。 AWS IoT Greengrass 核心裝置的設定程序和需求與邊緣裝置以外的 AWS IoT 和 AWS 邊緣裝置不同。如需註冊 AWS IoT Greengrass 裝置以搭配 Systems Manager 使用的資訊,請參閱 [使用 Systems Manager 管理邊緣裝置](systems-manager-setting-up-edge-devices.md)。
Systems Manager 混合多雲端環境不支援非 EC2 macOS 機器。
如果您計劃使用 Systems Manager 來管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,或在混合多雲端環境中同時使用 Amazon EC2 執行個體和非 EC2 機器,請先遵照 [使用 Systems Manager 管理 EC2 執行個體](systems-manager-setting-up-ec2.md) 中的步驟操作。
設定 Systems Manager 的混合多雲端環境後,您可執行以下操作:
+ 建立一致且安全的方式,使用相同的工具或指令碼,從相同的位置遠端管理您的混合多雲端環境中的工作負載。
+ 使用 AWS Identity and Access Management (IAM) 集中控制可在機器上執行的動作。
+ 透過檢視 AWS CloudTrail中記錄的 API 活動,集中稽核在機器中執行的操作。
如需使用 CloudTrail 監控 Systems Manager 動作的相關資訊,請參閱[使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。
+ 透過設定 Amazon EventBridge 和 Amazon Simple Notification Service (Amazon SNS) 以傳送有關服務執行成功的通知,進而集中管理監控。
如需使用 EventBridge 監控 Systems Manager 事件的相關資訊,請參閱[使用 Amazon EventBridge 監控 Systems Manager](monitoring-eventbridge-events.md)。
**關於受管節點**
完成如本節所述為 Systems Manager 設定non-EC2 機器後,混合啟用的機器會列在 中 AWS 管理主控台 ,並描述為*受管節點*。在主控台中,混合模式受管節點的 ID 字首為 "mi-",有別於 Amazon EC2 執行個體。Amazon EC2 執行個體 ID 使用字首「i-」。
受管理節點是指針對 Systems Manager 設定的任何機器。以前,受管節點都稱為受管執行個體。術語*執行個體*現在僅指 EC2 執行個體。在此術語變更之前,命令命名為 [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)。
如需詳細資訊,請參閱[使用受管節點](fleet-manager-managed-nodes.md)。
**重要**
強烈建議您避免使用已達生命週期結束 (EOL) 的作業系統版本。包括 在內的作業系統廠商 AWS 通常不會為已達到 EOL 的版本提供安全修補程式或其他更新。繼續使用 EOL 系統可大幅提高無法套用升級的風險,包括安全性修正和其他操作問題。 AWS 不會在已達到 EOL 的作業系統版本上測試 Systems Manager 功能。
**關於執行個體方案**
Systems Manager 為混合多雲端環境中的非 EC2 受管節點提供 standard-instances 方案和 advanced-instances 方案。standard-instances 方案可讓您在每個 AWS 區域的每個 AWS 帳戶 中最多登錄 1,000 部啟用混合模式的機器。如果您需要在單一帳戶和區域中登錄 1,000 部以上的非 EC2 機器,則請使用 advanced-instances 方案。進階執行個體也可讓您使用 連線到non-EC2 機器 AWS Systems Manager Session Manager。 Session Manager提供受管節點的互動式 shell 存取。
如需詳細資訊,請參閱[設定執行個體方案](fleet-manager-configure-instance-tiers.md)。
**Topics**
+ [在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)
+ [建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)
+ [在混合 Linux 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-linux.md)
+ [在混合 Windows Server 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md)
# 在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色
[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中Non-EC2 (Amazon Elastic Compute Cloud) 機器需要 AWS Identity and Access Management (IAM) 服務角色才能與服務通訊 AWS Systems Manager 。該角色將 AWS Security Token Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信任授予給 Systems Manager 服務。您只需要為每個 AWS 帳戶建立一次適用於混合多雲端環境的服務角色。不過,如果混合多雲端環境中的機器需要不同的許可,則您可以選擇為不同的混合式啟用建立多個服務角色。
下列處理程序說明如何使用 Systems Manager 主控台或您慣用的命令列工具來建立所需的服務角色。
## 使用 AWS 管理主控台 為 Systems Manager 混合啟用建立 IAM 服務角色
按照下列程序為混合式啟用建立服務角色。此處理程序針對 Systems Manager 核心功能使用 `AmazonSSMManagedInstanceCore` 政策。視您的使用案例而定,您可能需要將其他政策新增至服務角色,讓內部部署機器能夠存取其他 Systems Manager 工具或 AWS 服務。例如,如果無法存取所需的 AWS 受管 Amazon Simple Storage Service (Amazon S3) 儲存貯體,Patch Manager修補操作會失敗。
**建立 服務角色 (主控台)**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Select trusted entity** (選擇信任的實體),請執行以下選項:
1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。
1. 針對**其他的使用案例 AWS 服務**,選擇 **Systems Manager**。
1. 選擇 **Systems Manager**。
下圖反白顯示了 Systems Manager 選項的位置。
![\[Systems Manager 是使用案例的選項之一。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. 選擇**下一步**。
1. 在 **Add permissions** (新增許可) 頁面上,執行以下作業:
+ 使用 **Search** (搜尋) 欄位,找出 **AmazonSSMManagedInstanceCore** 政策。選取其名稱旁的核取方塊,如下圖所示。
![\[核取方塊是在 AmazonSSMManagedInstanceCore 資料列中選取。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**注意**
即使您搜尋其他政策,主控台仍會保留您的選取項目。
+ 如果您在程序 [(選用) 建立 S3 儲存貯體存取的自訂政策](setup-instance-permissions.md#instance-profile-custom-s3-policy) 中已建立自訂 S3 儲存貯體政策,請搜尋它並選取名稱旁的核取方塊。
+ 如果您計劃將non-EC2 機器加入由 管理的 Active Directory Directory Service,請搜尋 **AmazonSSMDirectoryServiceAccess**,然後選取其名稱旁的核取方塊。
+ 若您計劃使用 Eventbridge 或 CloudWatch Logs 來管理或監控您的受管節點,請搜尋 **CloudWatchAgentServerPolicy**,然後選取其名稱旁邊的核取方塊。
1. 選擇**下一步**。
1. 針對**角色名稱**,為您的新 IAM 角色輸入名稱 (例如 **SSMServerRole**)。
**注意**
請記下角色名稱。當您註冊您想要使用 Systems Manager 管理的新機器時,將選擇此角色。
1. (選用) 對於**描述**,更新此 IAM 服務角色的描述。
1. (選用) 針對 **Tags** (標籤),新增一個或多個標籤鍵值組來組織、追蹤或控制對此角色的存取。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
## 使用 AWS CLI 為 Systems Manager 混合啟用建立 IAM 服務角色
按照下列程序為混合式啟用建立服務角色。此處理程序針對 Systems Manager 核心功能使用 `AmazonSSMManagedInstanceCore` 政策。視您的使用案例而定,您可能需要將其他政策新增至服務角色,讓[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 機器能夠存取其他工具或 AWS 服務。
**S3 儲存貯體政策要求**
在下列任一案例中,您必須先為 Amazon Simple Storage Service (Amazon S3) 儲存貯體建立自訂 IAM 許可政策,才能完成此程序:
+ **案例 1**:您使用 VPC 端點將 VPC 私下連線至支援的 AWS 服務 和採用 技術的 VPC 端點服務 AWS PrivateLink。
+ **案例 2** – 您計劃在 Systems Manager 操作過程中使用您建立的 Amazon S3 儲存貯體,例如將 Run Command 命令或 Session Manager 工作階段的輸出存放到 S3 儲存貯體。在繼續進行之前,請先遵循[為執行個體設定檔建立一個自訂 S3 儲存貯體政策](setup-instance-permissions.md#instance-profile-custom-s3-policy)中的步驟。該主題中的 S3 儲存貯體政策相關資訊也適用於您的服務角色。
------
#### [ AWS CLI ]
**建立適用於混合多雲端環境的 IAM 服務角色 (AWS CLI)**
1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請安裝並設定 。
如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。請務必在您建立混合啟用的 ARN AWS 區域 中指定 AWS 帳戶 和 。使用您的資訊取代帳戶 ID 和區域的*預留位置的值*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:111122223333:*"
}
}
}
]
}
```
------
1. 開啟 AWS CLI,並在您建立 JSON 檔案的目錄中執行 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) 命令來建立服務角色。此範例會建立名稱為 `SSMServiceRole` 的角色。如果您想要的話,可以選擇其他名稱。
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
```
------
1. 如下執行 [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) 命令,以允許您剛建立的服務角色建立工作階段字符。工作階段字符可讓受管節點具有使用 Systems Manager 執行命令的許可。
**注意**
您在混合多雲端環境中為受管節點的服務描述檔新增的政策,與用於為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立執行個體設定檔的政策相同。如需有關下列命令中所用 AWS 政策的詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許受管節點使用 AWS Systems Manager 服務核心功能。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
------
如果您已為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令,以允許 AWS Systems Manager 代理程式 (SSM Agent) 存取您在政策中指定的儲存貯體。使用您的 AWS 帳戶 ID 和儲存貯體名稱取代 *account-id* 和 *amzn-s3-demo-bucket*。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
```
------
(選用) 執行下列命令,SSM Agent以允許 Directory Service 代表您存取 ,讓受管節點加入網域的請求。只有在您將節點加入 Microsoft AD 目錄時,服務角色才需要此政策。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
------
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的受管節點上執行。此命令可讓您讀取節點的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務設定檔才需要此政策。
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
#### [ Tools for PowerShell ]
**建立適用於混合多雲端環境的 IAM 服務角色 (AWS Tools for Windows PowerShell)**
1. 如果您尚未安裝並設定 AWS Tools for PowerShell (Tools for Windows PowerShell)。
如需相關資訊,請參閱[安裝 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。請務必在您建立混合啟用的 ARN AWS 區域 中指定 AWS 帳戶 和 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. 在管理模式下開啟 PowerShell,並在您建立 JSON 檔案的目錄中如下所示執行 [New-IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html),以建立服務角色。此範例會建立名稱為 `SSMServiceRole` 的角色。如果您想要的話,可以選擇其他名稱。
```
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
1. 如下使用 [Register-IAMRolePolicy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html),以允許您建立的服務角色建立工作階段字符。工作階段字符可讓受管節點具有使用 Systems Manager 執行命令的許可。
**注意**
您在混合多雲端環境中為受管節點的服務描述檔新增的政策,與用於為 EC2 執行個體建立執行個體設定檔的政策相同。如需下列命令中使用的 AWS 政策詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許受管節點使用 AWS Systems Manager 服務核心功能。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
若您為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令以允許 SSM Agent 存取您在政策中指定的儲存貯體。將 *account-id* 和 *my-bucket-policy-name* 取代為您的 AWS 帳戶 ID 和儲存貯體名稱。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
```
(選用) 執行下列命令,SSM Agent以允許 Directory Service 代表您存取 ,讓受管節點加入網域的請求。只有在您將節點加入 Microsoft AD 目錄時,服務角色才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的受管節點上執行。此命令可讓您讀取節點的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務設定檔才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
繼續進行[建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)。
# 建立混合啟用,以向 Systems Manager 註冊節點
若要在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中將 Amazon Elastic Compute Cloud (EC2) 執行個體以外的機器設定為的受管節點,您可以建立並套用*混合啟用*。成功完成啟用之後,您會在主控台頁面頂部的*立即*收到啟用代碼和啟用 ID。當您在混合多雲端環境non-EC2 機器 AWS Systems Manager SSM Agent上安裝 時,您可以指定此程式碼和 ID 組合。代碼和 ID 可讓您從受管節點中安全地存取 Systems Manager 服務。
**重要**
Systems Manager 會立即將啟用代碼和 ID 傳回主控台或命令視窗,視您如何建立啟用而定。複製此資訊,並將其存放在安全的地方。如果您離開主控台或關閉命令視窗,您可能會遺失此資訊。如果您遺失此資訊,您必須建立新的啟用。
**關於啟用過期**
*啟用過期*是一個時段,您可以在這個時段中向 Systems Manager 註冊內部部署機器。過期的啟用不會對您先前向 Systems Manager 註冊的伺服器或虛擬機器產生任何影響。若啟用過期,您便無法使用該特定啟用向 Systems Manager 註冊更多伺服器或虛擬機器。您只能建立新的環境。
您之前註冊的每個內部部署伺服器和虛擬機器仍會註冊為 Systems Manager 受管節點,直到您明確將其取消註冊為止。您可以透過下列方式,取消註冊非 EC2 受管節點:
+ 在 Systems Manager 主控台的 Fleet Manager 中使用**受管節點**索引標籤
+ 使用 AWS CLI 命令 [https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)
+ 使用 API 動作 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)。
如需詳細資訊,請參閱下列主題
+ [取消註冊並重新註冊受管節點 (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister)
+ [取消註冊並重新註冊受管節點 (Windows Server)](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister)
**關於受管節點**
受管節點是針對 設定的任何機器 AWS Systems Manager。 AWS Systems Manager 支援 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、邊緣裝置和內部部署伺服器或 VMs,包括其他雲端環境中VMs。以前,受管節點都稱為受管執行個體。術語*執行個體*現在僅指 EC2 執行個體。在此術語變更之前,命令命名為 [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)。
**關於啟用標籤**
如果您使用 AWS Command Line Interface (AWS CLI) 或 建立啟用 AWS Tools for Windows PowerShell,則可以指定標籤。標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。以下是在美國東部 (俄亥俄) 區域,在包含選用標籤的本機 Linux 機器上執行 AWS CLI 的範例命令。
```
aws ssm create-activation \
--default-instance-name MyWebServers \
--description "Activation for Finance department webservers" \
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
--registration-limit 10 \
--region us-east-2 \
--tags "Key=Department,Value=Finance"
```
若您在建立啟用時指定標籤,那些標籤便會在您啟用它們時自動指派給您的受管節點。
您無法將標籤新增到現有的啟用,或是從現有的啟用刪除標籤。若您不希望使用啟用將標籤自動指派給您的現場部署伺服器和 VM,您可以稍後再為他們新增標籤。具體而言,您可以在內部部署伺服器和虛擬機器首次連線到 Systems Manager 後,為它們新增標籤。在它們連線後,便會被指派受管節點 ID,並在 Systems Manager 主控台中列出,其 ID 也會加上 "mi-" 字首。
**注意**
若您使用 Systems Manager 主控台建立啟用,則無法為其指派標籤。您必須使用 AWS CLI 或 Tools for Windows PowerShell 來建立它。
如果您不想再使用 Systems Manager 來管理內部部署伺服器或虛擬機器 (VM),您可以將其取消註冊。如需相關資訊,請參閱[取消註冊混合多雲端環境中的受管節點](fleet-manager-deregister-hybrid-nodes.md)。
**Topics**
+ [使用 AWS 管理主控台 建立啟用,以向 Systems Manager 註冊受管節點](#create-managed-node-activation-console)
+ [使用命令列建立啟用,以向 Systems Manager 註冊受管節點](#create-managed-node-activation-command-line)
## 使用 AWS 管理主控台 建立啟用,以向 Systems Manager 註冊受管節點
**建立受管節點啟用**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Hybrid Activations** (混合啟用)。
1. 選擇**建立啟用**。
-或-
如果您在目前 中第一次存取**混合啟用** AWS 區域,請選擇**建立啟用**。
1. (選用) 在 **Activation description** (啟用描述),輸入此啟用的描述。如果您計劃啟用大量伺服器和虛擬機器,則建議您輸入描述。
1. 針對**執行個體限制**,指定您要 AWS 在此啟用過程中向 註冊的節點總數。預設值為 1 個執行個體。
1. 對於 ** IAM 角色**,請選擇服務角色選項,讓您的伺服器和 VMs 在雲端 AWS Systems Manager 中與 通訊:
+ **選項 1**:選擇 **Use the default role created by the system** (使用系統建立的預設角色) 來使用 AWS提供的角色及受管理政策。
+ **選項 2**:選擇 **Select an existing custom IAM role that has the required permissions** (選取具有所需許可的現有自訂 IAM 角色),以使用您先前建立的選用自訂角色。此角色必須擁有可指定 `"Service": "ssm.amazonaws.com"` 的信任關係政策。如果您的 IAM 角色未在信任關係政策中指定此準則,您會收到下列錯誤:
```
An error occurred (ValidationException) when calling the CreateActivation
operation: Not existing role: arn:aws:iam:::role/SSMRole
```
如需建立此角色的詳細資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
1. 在 **Activation expiry date** (啟用過期日),指定啟用的過期日期。過期日期必須為未來的日期,不能超過 30 天。預設值為 24 小時。
**注意**
如果想要在過期日期之後註冊其他的受管節點,您必須建立新的啟用。該過期日期不會影響已經註冊與正在執行的節點。
1. (選用)對於 **Default instance name** (預設執行個體) 欄位,針對此啟用的所有相關受管節點指定要顯示的識別名稱值。
1. 選擇**建立啟用**。Systems Manager 會立即將啟用代碼和 ID 傳回主控台。
## 使用命令列建立啟用,以向 Systems Manager 註冊受管節點
下列程序說明如何使用 AWS Command Line Interface (AWS CLI) (在 Linux 或 上Windows Server) 或 AWS Tools for PowerShell 來建立受管節點啟用。
**建立啟用**
1. AWS Tools for PowerShell如果您尚未安裝和設定 AWS CLI 或 。
如需相關資訊,請參閱[安裝或更新 AWS CLI的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)和[安裝 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 執行以下命令來建立啟用。
**注意**
在下列命令中,用您自己的資訊取代*區域*。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
您為 *iam-role* 參數指定的角色必須擁有可指定 `"Service": "ssm.amazonaws.com"` 的信任關係政策。如果您的 AWS Identity and Access Management (IAM) 角色未在信任關係政策中指定此原則,您會收到下列錯誤:
```
An error occurred (ValidationException) when calling the CreateActivation
operation: Not existing role: arn:aws:iam:::role/SSMRole
```
如需建立此角色的詳細資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。
對於 `--expiration-date`,以時間戳記格式提供日期,例如 `"2021-07-07T00:00:00"`,適用於啟用代碼到期時。您可以在 30 天前指定日期。如果您未提供過期日期,啟用代碼將在 24 小時內過期。
------
#### [ Linux & macOS ]
```
aws ssm create-activation \
--default-instance-name name \
--iam-role iam-service-role-name \
--registration-limit number-of-managed-instances \
--region region \
--expiration-date "timestamp" \\
--tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
```
------
#### [ Windows ]
```
aws ssm create-activation ^
--default-instance-name name ^
--iam-role iam-service-role-name ^
--registration-limit number-of-managed-instances ^
--region region ^
--expiration-date "timestamp" ^
--tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
```
------
#### [ PowerShell ]
```
New-SSMActivation -DefaultInstanceName name `
-IamRole iam-service-role-name `
-RegistrationLimit number-of-managed-instances `
–Region region `
-ExpirationDate "timestamp" `
-Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}
```
------
請見此處範例。
------
#### [ Linux & macOS ]
```
aws ssm create-activation \
--default-instance-name MyWebServers \
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
--registration-limit 10 \
--region us-east-2 \
--expiration-date "2021-07-07T00:00:00" \
--tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
```
------
#### [ Windows ]
```
aws ssm create-activation ^
--default-instance-name MyWebServers ^
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
--registration-limit 10 ^
--region us-east-2 ^
--expiration-date "2021-07-07T00:00:00" ^
--tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
```
------
#### [ PowerShell ]
```
New-SSMActivation -DefaultInstanceName MyWebServers `
-IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
-RegistrationLimit 10 `
–Region us-east-2 `
-ExpirationDate "2021-07-07T00:00:00" `
-Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}
```
------
若成功建立啟用,系統會立即傳回啟用代碼和 ID。
# 在混合 Linux 節點上安裝 SSM Agent
本主題說明如何在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中non-EC2 (Amazon Elastic Compute Cloud) Linux 機器上安裝 AWS Systems Manager SSM Agent 。如需有關在 EC2 Linux 執行個體上安裝 SSM Agent 的資訊,請參閱[在 Linux EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-linux.md)。
開始之前,請找出在混合啟用程序期間產生的啟用代碼和啟用 ID,如[建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)中所述。您需在下列程序中指定代碼和 ID。
**在混合多雲端環境中的非 EC2 機器上安裝 SSM Agent**
1. 登入混合多雲端環境中的伺服器或虛擬機器。
1. 如果您使用 HTTP 或 HTTPS 代理伺服器,則必須在目前的 Shell 工作階段中設定 `http_proxy` 或 `https_proxy` 環境變數。如果您不使用代理伺服器,則可以略過此步驟。
對於 HTTP 代理伺服器,請在命令列輸入下列命令:
```
export http_proxy=http://hostname:port
export https_proxy=http://hostname:port
```
對於 HTTPS 代理伺服器,請在命令列輸入下列命令:
```
export http_proxy=http://hostname:port
export https_proxy=https://hostname:port
```
1. 複製以下其中一個命令區塊並貼到 SSH。將預留位置值取代為混合啟用程序期間產生的啟用碼和啟用 ID,並將 取代為 AWS 區域 您要SSM Agent從中下載的識別符,然後按 `Enter`。
**重要**
請注意以下重要詳細資訊:
對非 EC2 安裝使用 `ssm-setup-cli`,可最大限度地提高 Systems Manager 安裝和組態的安全性。
如果您是根使用者,則不需要 `sudo`。
`ssm-setup-cli` 從與您的混合啟用建立位置 AWS 區域 相同的 下載。
`ssm-setup-cli` 支援用於確定代理程式下載來源的 `manifest-url` 選項。除非您的組織需要,否則請勿為此選項指定值。
註冊執行個體時,請僅使用為 `ssm-setup-cli` 提供的下載連結。`ssm-setup-cli` 不應單獨存放以供日後使用。
您可以使用[此處](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_linux.sh)提供的指令碼來驗證 `ssm-setup-cli` 的簽章。
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
此外,`ssm-setup-cli` 還包括下列選項:
+ `version`:有效值為 `latest` 和 `stable`。
+ `downgrade`:允許 SSM Agent 降級至較早的版本。指定 `true` 以安裝較早版本的代理程式。
+ `skip-signature-validation`:在下載和安裝代理程式期間略過簽章驗證。
## Amazon Linux 2、RHEL 7.x 和 Oracle Linux
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## RHEL 8.x
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## Debian Server
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## Ubuntu Server
+ **使用 .deb 套件**
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
+ **使用 Snap 套件**
您不需要指定 URL 以供下載,因為 `snap` 命令會自動從 [Snap 應用程式商店](https://snapcraft.io/amazon-ssm-agent)下載代理程式,網址為 [https://snapcraft.io](https://snapcraft.io)。
在 Ubuntu Server 20.04、18.04 和 16.04 LTS 上,SSM Agent 安裝程式檔案 (包括 Agent 二進位檔案和組態檔案) 存放在以下目錄中:`/snap/amazon-ssm-agent/current/`。如果您變更此目錄中的任何組態檔案,則必須將這些檔案從 `/snap` 目錄複製到 `/etc/amazon/ssm/` 目錄。日誌和程式庫檔案未變更 (`/var/lib/amazon/ssm`、`/var/log/amazon/ssm`)。
```
sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
```
**重要**
Snap 商店中的*候選*頻道包含最新版本的 SSM Agent,而不是穩定的頻道。如果您想追蹤候選頻道上的 SSM Agent 版本資訊,請在 Ubuntu Server 18.04 和 16.04 LTS 64 位元受管節點上執行下列命令。
```
sudo snap switch --channel=candidate amazon-ssm-agent
```
該命令會下載並安裝 SSM Agent 到混合多雲端環境中的啟用混合模式機器上。該命令會停止 SSM Agent,然後使用 Systems Manager 服務來註冊此機器。此機器現在是受管節點。為 Systems Manager 設定的 Amazon EC2 執行個體也是受管節點。不過,在 Systems Manager 主控台中,啟用混合模式節點的字首為 "mi-",有別於 Amazon EC2 執行個體。
繼續進行[在混合 Windows Server 節點上安裝 SSM Agent](hybrid-multicloud-ssm-agent-install-windows.md)。
## 設定私有金鑰自動輪換
若要強化您的安全狀態,您可以設定 AWS Systems Manager Agent (SSM Agent) 自動輪換混合多雲端環境的私有金鑰。您可以使用 SSM Agent 3.0.1031.0 版或更新版本來存取此功能。使用下列程序開啟此功能。
**設定 SSM Agent 以輪換混合多雲端環境的私有金鑰**
1. 在 Linux 機器中導覽至 `/etc/amazon/ssm/`,或在 Windows 機器中導覽至 `C:\Program Files\Amazon\SSM`。
1. 將 `amazon-ssm-agent.json.template` 的內容複製到名為 `amazon-ssm-agent.json` 的新檔案。將 `amazon-ssm-agent.json` 儲存在 `amazon-ssm-agent.json.template` 所在的相同目錄中。
1. 查找 `Profile`、`KeyAutoRotateDays`。輸入您想要的自動私有金鑰輪換之間的天數。
1. 重新啟動 SSM Agent。
每次變更組態時,請重新啟動 SSM Agent。
您可以使用相同的程序來自訂 SSM Agent 的其他功能。如需可用組態屬性及其預設值的最新清單,請參閱[組態屬性定義](https://github.com/aws/amazon-ssm-agent#config-property-definitions)。
## 取消註冊並重新註冊受管節點 (Linux)
您可以從 AWS CLI 或 Tools for Windows PowerShell 呼叫 [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html) API 操作,取消註冊混合啟用的受管節點。以下是範例 CLI 命令:
`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`
若要移除代理程式的剩餘註冊資訊,請移除 `amazon-ssm-agent.json` 檔案中的 `IdentityConsumptionOrder` 索引鍵。接著,根據您的執行個體類型,執行下列其中一個命令。
在使用 Snap 套件安裝 SSM Agent 的 Ubuntu Server 節點上:
```
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear
```
在所有其他 Linux 安裝上:
```
amazon-ssm-agent -register -clear
```
**注意**
只要您尚未達到指定啟用代碼和 ID 的執行個體限制,您就可以使用相同的啟用代碼和 ID,重新註冊內部部署伺服器、邊緣裝置或 VM。您可以使用 AWS CLI呼叫 [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API,來驗證啟用代碼和 ID 的執行個體限制。執行命令後,驗證 `RegistrationCount` 的值是否不超過 `RegistrationLimit`。如果超過,您必須使用其他啟用代碼和 ID。
**在非 EC2 Linux 機器上重新註冊受管節點**
1. 連線至您的機器。
1. 執行下列命令。務必使用您在建立受管節點啟用時產生的啟用代碼和啟用 ID 以及您想要從中下載 SSM Agent 的區域識別碼,取代預留位置的值。
```
echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region
```
## 診斷並解決在 EC2 Linux 機器上安裝 SSM Agent 的問題
使用以下資訊,解決在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的啟用混合模式 Linux 機器上安裝 SSM Agent 的問題。
### 您會收到 DeliveryTimedOut 錯誤
**問題**:將機器設定為個別的 AWS 帳戶 受管節點時 AWS 帳戶,您會在執行要在目標機器SSM Agent上安裝的命令`DeliveryTimedOut`後收到 。
**解決方案**:`DeliveryTimedOut` 是此情況的預期回應代碼。在目標節點上安裝 SSM Agent 的命令會變更來源節點的節點 ID。因為節點 ID 已變更,所以來源節點無法回覆在執行時命令已失敗、已完成或已逾時的目標節點。
### 無法載入節點關聯
**問題**:執行安裝命令之後,您會在 SSM Agent 錯誤日誌中看到下列錯誤:
`Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match`
如果機器 ID 在重新開機後未持續存在,則會看到此錯誤。
**解決方案**:若要解決此問題,請執行下列命令。此命令會強制機器 ID 在重新開機後持續存在。
```
umount /etc/machine-id
systemd-machine-id-setup
```
# 在混合 Windows Server 節點上安裝 SSM Agent
本主題說明如何在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的Windows Server機器上安裝 AWS Systems Manager SSM Agent 。如需在 EC2 執行個體上針對 Windows Server 安裝 SSM Agent,請參閱 [在 Windows Server EC2 執行個體上手動安裝和解除安裝 SSM Agent](manually-install-ssm-agent-windows.md)。
開始之前,請找出在混合啟用程序期間產生的啟用代碼和啟用 ID,如[建立混合啟用,以向 Systems Manager 註冊節點](hybrid-activation-managed-nodes.md)中所述。您需在下列程序中指定代碼和 ID。
**在混合多雲端環境中的非 EC2 Windows Server 機器上安裝 SSM Agent**
1. 登入混合多雲端環境中的伺服器或虛擬機器。
1. 如果您使用 HTTP 或 HTTPS 代理伺服器,則必須在目前的 Shell 工作階段中設定 `http_proxy` 或 `https_proxy` 環境變數。如果您不使用代理伺服器,則可以略過此步驟。
對於 HTTP 代理伺服器,請設定此變數:
```
http_proxy=http://hostname:port
https_proxy=http://hostname:port
```
對於 HTTPS 代理伺服器,請設定此變數:
```
http_proxy=http://hostname:port
https_proxy=https://hostname:port
```
對於 PowerShell,設定 WinINet 代理設定:
```
[System.Net.WebRequest]::DefaultWebProxy
$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)
[System.Net.WebRequest]::DefaultWebProxy = $WebProxy
```
**注意**
PowerShell 操作需要 WinINet 代理組態。如需詳細資訊,請參閱[SSM Agent 代理設定和 Systems Manager 服務](configure-proxy-ssm-agent-windows.md#ssm-agent-proxy-services)。
1. 以高階 (管理) 模式開啟 Windows PowerShell。
1. 複製以下命令區塊並貼到 Windows PowerShell。將每個*範例資源預留位置*取代為您自己的資訊。例如,當您建立混合啟用時產生的啟用碼和啟用 ID,以及 AWS 區域 您要SSM Agent從中下載的識別符。
**重要**
請注意以下重要詳細資訊:
對非 EC2 安裝使用 `ssm-setup-cli`,可最大限度地提高 Systems Manager 安裝和組態的安全性。
`ssm-setup-cli` 支援用於確定代理程式下載來源的 `manifest-url` 選項。除非您的組織需要,否則請勿為此選項指定值。
您可以使用[此處](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_windows.ps1)提供的指令碼來驗證 `ssm-setup-cli` 的簽章。
註冊執行個體時,請僅使用為 `ssm-setup-cli` 提供的下載連結。`ssm-setup-cli` 不應單獨存放以供日後使用。
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
此外,`ssm-setup-cli` 還包括下列選項:
+ `version`:有效值為 `latest` 和 `stable`。
+ `downgrade`:將代理程式還原為較早版本。
+ `skip-signature-validation`:在下載和安裝代理程式期間略過簽章驗證。
------
#### [ 64-bit ]
```
[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
```
------
1. 按 `Enter` 鍵。
**注意**
如果命令失敗,請確認您正在執行最新版本的 AWS Tools for PowerShell。
命令會執行下列動作:
+ 將 SSM Agent 下載並安裝到機器上。
+ 向 Systems Manager 服務註冊機器。
+ 傳回類似如下的請求回應:
```
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 07/07/2018 8:07 PM ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
Status : Running
Name : AmazonSSMAgent
DisplayName : Amazon SSM Agent
```
此機器現在是*受管節點*。這些受管節點現在會使用字首 "mi-" 進行標識。您可以使用 AWS CLI 命令 Fleet Manager或使用 API 命令 [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html),在 的**受管節點**頁面上檢視受管節點[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html)。
## 設定私有金鑰自動輪換
若要強化您的安全狀態,您可以設定 AWS Systems Manager Agent (SSM Agent) 自動輪換混合多雲端環境的私有金鑰。您可以使用 SSM Agent 3.0.1031.0 版或更新版本來存取此功能。使用下列程序開啟此功能。
**設定 SSM Agent 以輪換混合多雲端環境的私有金鑰**
1. 在 Linux 機器中導覽至 `/etc/amazon/ssm/`,或在 Windows Server 機器中導覽至 `C:\Program Files\Amazon\SSM`。
1. 將 `amazon-ssm-agent.json.template` 的內容複製到名為 `amazon-ssm-agent.json` 的新檔案。將 `amazon-ssm-agent.json` 儲存在 `amazon-ssm-agent.json.template` 所在的相同目錄中。
1. 查找 `Profile`、`KeyAutoRotateDays`。輸入您想要的自動私有金鑰輪換之間的天數。
1. 重新啟動 SSM Agent。
每次變更組態時,請重新啟動 SSM Agent。
您可以使用相同的程序來自訂 SSM Agent 的其他功能。如需可用組態屬性及其預設值的最新清單,請參閱[組態屬性定義](https://github.com/aws/amazon-ssm-agent#config-property-definitions)。
## 取消註冊並重新註冊受管節點 (Windows Server)
您可以從 AWS CLI 或 Tools for Windows PowerShell 呼叫 [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html) API 操作來取消註冊受管節點。以下是範例 CLI 命令:
`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`
若要移除代理程式的剩餘註冊資訊,請移除 `amazon-ssm-agent.json` 檔案中的 `IdentityConsumptionOrder` 索引鍵。然後執行以下命令:
`amazon-ssm-agent -register -clear`
**注意**
只要您尚未達到指定啟用代碼和 ID 的執行個體限制,您就可以使用相同的啟用代碼和 ID,重新註冊內部部署伺服器、邊緣裝置或 VM。您可以使用 AWS CLI呼叫 [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API,來驗證啟用代碼和 ID 的執行個體限制。執行命令後,驗證 `RegistrationCount` 的值是否不超過 `RegistrationLimit`。如果超過,您必須使用其他啟用代碼和 ID。
**若要在 Windows Server 混合機器中重新註冊受管節點**
1. 連線至您的機器。
1. 執行下列命令。務必使用您在建立混合啟用時產生的啟用代碼和啟用 ID 以及您想要從中下載 SSM Agent 的區域識別碼,取代預留位置的值。
```
$dir = $env:TEMP + "\ssm"
cd $dir
Start-Process ./ssm-setup-cli.exe -ArgumentList @(
"-register",
"-activation-code=$code",
"-activation-id=$id",
"-region=$region"
) -Wait -NoNewWindow
```