• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Systems Manager
下列主題說明如何為 AWS Organizations 組織和單一 AWS 帳戶設定統一的 AWS Systems Manager 主控台。
**Topics**
+ [設定 Systems Manager 主控台存取](systems-manager-setting-up-console-access.md)
+ [為組織設定 Systems Manager 統一主控台](systems-manager-setting-up-organizations.md)
+ [針對單一帳戶和區域設定 Systems Manager 統一主控台](systems-manager-setting-up-single-account-region.md)
+ [停用 Systems Manager 統一主控台](systems-manager-disable-integrated-console.md)
# 設定 Systems Manager 主控台存取
若要 AWS Systems Manager 在 中使用 AWS 管理主控台,您必須設定正確的許可。
如需如何建立 AWS Identity and Access Management 政策並將其連接至 IAM 身分的詳細資訊,請參閱《[IAM 使用者指南》中的建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) **
## Systems Manager 加入政策
您可以建立類似下列範例所示的 IAM 政策,並將政策連接至 IAM 身分。此政策授予加入和設定 Systems Manager 所需的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm-quicksetup`:允許主體存取所有 AWS Systems Manager 快速設定 動作。
+ `ssm`:允許主體存取 Systems Manager Automation 和 Resource Explorer。
+ `organizations` – 允許主體在 中讀取組織的結構 AWS Organizations,並在以組織身分加入 Systems Manager 時管理委派管理員。
+ `cloudformation`:允許主體管理其 Quick Setup 堆疊。
+ `iam`:允許主體管理 Systems Manager 加入所需的 IAM 角色和政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupActions",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "SsmReadOnly",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:ListDocuments",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks"
],
"Resource": "*"
},
{
"Sid": "SsmDocument",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
"arn:aws:ssm:*:*:document/AWS-EnableExplorer"
]
},
{
"Sid": "SsmEnableExplorer",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:*:*:document/AWS-EnableExplorer",
"arn:aws:ssm:*:*:automation-execution/*"
]
},
{
"Sid": "SsmExplorerRds",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "OrgsAdministration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"member.org.stacksets.cloudformation.amazonaws.com",
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CfnReadOnly",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:ListStackSets",
"cloudformation:DescribeOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "OrgCfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ActivateOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "CfnStackActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStackEvents",
"cloudformation:GetTemplate",
"cloudformation:RollbackStack",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*"
]
},
{
"Sid": "CfnStackSetActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackInstances",
"cloudformation:CreateStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:DeleteStackSet",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStackSet"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Sid": "ValidationReadonlyActions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "IamRolesPoliciesMgmt",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"ArnEquals": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AWSSystemsManagerEnableExplorerExecutionPolicy",
"arn:aws:iam::aws:policy/AWSQuickSetupSSMDeploymentRolePolicy"
]
}
}
},
{
"Sid": "CfnStackSetsSLR",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin",
"arn:aws:iam::*:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM",
"arn:aws:iam::*:role/aws-service-role/accountdiscovery.ssm.amazonaws.com/AWSServiceRoleForAmazonSSM_AccountDiscovery",
"arn:aws:iam::*:role/aws-service-role/ssm-quicksetup.amazonaws.com/AWSServiceRoleForSSMQuickSetup",
"arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
------
## AWS Systems Manager 主控台運算子政策
您可以建立類似下列範例所示的 IAM 政策,並將政策連接至 IAM 身分。此政策授予操作 Systems Manager 所需的完整存取權,以及允許 Systems Manager 執行 Automation 文件進行診斷和修復。
**許可詳細資訊**
此政策包含以下許可。
+ `ssm`:允許主體存取所有 Systems Manager API。
+ `ssm-quicksetup`:允許主體管理其 Quick Setup 組態。
+ `ec2` – 允許 Systems Manager 判斷您的已啟用 AWS 區域 和 Amazon EC2 執行個體狀態。
+ `cloudformation`:允許主體讀取其 Quick Setup 堆疊。
+ `organizations` – 允許主體在 中讀取組織的結構 AWS Organizations,並在以組織身分加入 Systems Manager 時管理委派管理員。
+ `s3`:允許主體列出並取得 Amazon S3 儲存貯體中的物件進行診斷,該診斷是在 Systems Manager 加入程序期間建立的。
+ `iam:PassRole`:允許主體在執行自動化來診斷和修復非受管節點時,將要擔任的角色傳遞給 Systems Manager。
+ `iam:GetRole`:允許主體在 Systems Manager 中作業時取得 Quick Setup 角色的特定角色資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*",
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "AllowEC2DescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Sid": "CfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:ListStackSets",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts"
],
"Resource": "*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowReadS3BucketFromOrganization",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Sid": "AllowReadS3BucketFromSingleAccount",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Sid": "IamReadOnly",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
}
]
}
```
------
## AWS Systems Manager 主控台運算子唯讀政策
您可以建立類似下列範例所示的 IAM 政策,並將政策連接至 IAM 身分。此政策會授予使用 Systems Manager 所需的唯讀存取權。
+ `ssm`:允許主體存取 Systems Manager 唯讀 API。
+ `ssm-quicksetup`:允許主體讀取其 Quick Setup 組態。
+ `cloudformation`:允許主體讀取其 Quick Setup 堆疊。
+ `iam:GetRole`:允許主體在使用 Systems Manager 時取得 Quick Setup 角色的特定角色資訊。
+ `ec2:DescribeRegions`:允許 Systems Manager 判斷已啟用的 AWS 區域。
+ `organizations` – 允許主體在加入 Systems Manager 做為組織 AWS Organizations 時,讀取 中的組織結構。
+ `s3`:允許主體列出及取得在 Systems Manager 加入程序期間建立的 Amazon S3 儲存貯體中的物件。
**許可詳細資訊**
此政策包含以下許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm-quicksetup:List*",
"ssm-quicksetup:Get*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"iam:GetRole",
"ec2:DescribeRegions",
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# 為組織設定 Systems Manager 統一主控台
只需按幾下滑鼠,即可從 AWS 管理主控台 完成 Systems Manager 統一主控台體驗的設定程序。若要為 AWS Organizations 組織設定 Systems Manager,您必須能夠存取您組織的管理帳戶,以及您組織中的另一個帳戶,以做為委派管理員使用。只有在啟用或停用 Systems Manager 時,才需要管理帳戶的存取權。若要管理節點,您應使用委派管理員帳戶。
## 先決條件
管理整個組織的節點時,Systems Manager 會使用各種相依服務來設定和增強統一主控台的功能。因此,Systems Manager 必須啟用受信任的存取,以及註冊下列服務的委派管理員帳戶:
+ AWS CloudFormation - 將 Systems Manager 所需的資源部署至您的帳戶。
+ AWS 資源總管 - 搜尋和篩選您帳戶中的 EC2 執行個體。
+ AWS Systems ManagerExplorer:監控帳戶中為 Systems Manager 部署的資源的運作狀態以及進行故障診斷。
+ AWS Systems ManagerQuick Setup:將 Systems Manager 所需的 Quick Setup 組態部署至帳戶。
開始之前,請確定自己尚未超過任何這些相依服務的委派管理員配額。否則,您無法註冊在啟用 Systems Manager 時所需的委派管理員帳戶。在為組織啟用 Systems Manager 時,組織中的每個帳戶都包含在內。目前沒有將帳戶從設定程序排除的佈建。啟用 Systems Manager 時,您可以選擇 AWS 區域 要包含的 。只能選取目前支援 Systems Manager 整合式主控台的區域。若要進一步了解推出主控台體驗的區域,請參閱[支援的 AWS 區域](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html#regions)。
## 統一主控台資源
Systems Manager 整合式主控台的設定程序會為您完成許多先決條件任務。根據您選擇設定的功能,先決條件任務包括啟用預設主機管理組態,為您的節點提供必要的 IAM 許可等等。以下是 Systems Manager 為統一主控台建立的資源的詳細清單。根據您選擇設定的功能,可能不會建立某些資源。
AWS 資源總管 受管檢視
+ `AWSManagedViewForSSM` – 允許 Systems Manager 存取由資源總管為您的組織編製索引的資源資訊。這些受管檢視只能由 Systems Manager 更新或刪除。這表示如果您要刪除受管檢視或關閉資源總管,您必須停用整合式主控台。如需有關停用整合式主控台的詳細資訊,請參閱[停用 Systems Manager 統一主控台](systems-manager-disable-integrated-console.md)。如需有關受管檢視的詳細資訊,請參閱 *Resource Explorer User Guide* 中的 [AWS Managed Views](https://docs.aws.amazon.com/resource-explorer/latest/userguide/aws-managed-views.html)。
**注意**
如果您已在與主區域不同的區域中建立適用於 Resource Explorer 的彙總工具索引,則 Systems Manager 會降級目前的索引。然後,Systems Manager 會將主區域中的本機索引提高為新的彙總工具索引。在此期間,系統僅會顯示主區域的節點。此程序最長需要 24 小時才能完成。
IAM 角色
+ `RoleForOnboardingAutomation`:允許 Systems Manager 在設定程序期間管理資源。如需有關政策的詳細資訊,請參閱 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)。
+ `RoleForLifecycleManagement`:允許 Lambda 管理設定程序所建立的資源生命週期。如需有關政策的詳細資訊,請參閱 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)。
+ `RoleForAutomation`:Systems Manager Automation 在執行執行手冊時所擔任的服務角色。如需詳細資訊,請參閱[使用主控台建立用於自動化的服務角色](automation-setup-iam.md)。
+ `AWSSSMDiagnosisAdminRole`:管理角色,用來啟動可使用診斷執行手冊的自動化。如需有關政策的詳細資訊,請參閱 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)。
+ `AWSSSMDiagnosisExecutionRole`:診斷執行手冊的自動化執行角色。如需有關政策的詳細資訊,請參閱 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) 和 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)。
+ `AWSSSMRemediationAdminRole`:管理角色,用來啟動可使用修復執行手冊的自動化。如需有關政策的詳細資訊,請參閱 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)。
+ `AWSSSMRemediationExecutionRole`:修復執行手冊的自動化執行角色。如需有關政策的詳細資訊,請參閱 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) 和 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)。
+ `ManagedInstanceCrossAccountManagementRole`:允許 Systems Manager 跨帳戶收集受管節點資訊。
State Manager 關聯
+ `EnableDHMCAssociation`:每天執行一次,確保預設主機管理組態已啟用。
+ `SystemAssociationForEnablingExplorer`:每天執行一次,確保 Explorer 已啟用。Explorer 會用於同步受管節點中的資料。
+ `EnableAREXAssociation` – 每天執行 並確保 AWS 資源總管 已啟用。Resource Explorer 會用於判斷組織中的哪些 Amazon EC2 執行個體不是由 Systems Manager 管理。
+ `SSMAgentUpdateAssociation`:每 14 天執行一次,確保最新的 SSM Agent 可用版本已安裝在受管節點。
+ `SystemAssociationForInventoryCollection`:每 12 小時執行一次,從受管節點收集庫存資料。
S3 儲存貯體
+ `DiagnosisBucket`:存放從診斷執行手冊執行所收集的資料。
Lambda 函式
+ `SSMLifecycleOperatorLambda`:允許主體存取所有 AWS Systems Manager 快速設定 動作。
+ `SSMLifecycleResource`:自訂資源,協助管理設定程序所建立的資源的生命週期。
此外,在設定程序完成後,您可以選取**診斷和修復**節點任務,自動將修正套用至節點 (這些節點未報告為由 Systems Manager 管理)。這可能包括識別問題,例如 Systems Manager 端點的網路連線問題。如需詳細資訊,請參閱[診斷和修復](diagnose-and-remediate.md)。
## 設定整合式主控台
**設定組織的 Systems Manager**
1. 登入組織的管理帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 輸入要註冊為委派管理員的帳戶的 ID。
1. 委派管理員帳戶成功註冊後,請登入剛剛註冊的委派管理員帳戶,再返回 Systems Manager 主控台完成 Systems Manager 的設定。
1. 選取**啟用 Systems Manager**。
1. 在**主區域**區段中,您可以決定希望 Systems Manager 彙總節點資料的區域。根據預設,Systems Manager 會選取您目前使用的區域。若要選擇不同的主區域,請在設定 Systems Manager 之前,將主控台變更為您要使用的區域。節點資料會複寫到組織的帳戶和區域,並存放在主區域中。設定 Systems Manager 後,就無法變更所選擇的區域。若要使用不同的區域作為組織的主區域,您必須停用統一主控台,再次完成設定程序。如果組織使用的是 IAM Identity Center,則必須選取您將 IAM Identity Center 設為主區域的同一個區域。
1. 在**區域**區段中,選取要啟用 Systems Manager 的區域。
1. 在**功能組態**區段中,選擇要為組態啟用的選項:
**啟用預設主機管理組態 (DHMC)**
允許 Systems Manager 設定 DHMC。此功能允許 Systems Manager 使用 IAM 角色,以確保帳戶和區域中的所有 Amazon EC2 執行個體都具有由 Systems Manager 管理的必要許可。您也可以指定漂移修復的頻率。每當使用者對服務或功能進行任何變更,而該變更與透過您的組態所做的選擇衝突時,就會發生組態偏離。Systems Manager 會檢查組態偏離,並嘗試根據您指定的頻率進行修復。您必須指定介於 1 到 31 天之間的值。如果您已在區域中設定 DHMC,Systems Manager 不會變更您先前選取的 IAM 角色。如需有關 DHMC 的詳細資訊,請參閱[使用預設主機管理組態來自動管理 EC2 執行個體](fleet-manager-default-host-management-configuration.md)。
DHMC 可讓您管理 Amazon EC2 執行個體,而無需手動建立 AWS Identity and Access Management (IAM) 執行個體描述檔。建議您選擇此選項,以確保您的 EC2 執行個體具有由 Systems Manager 管理的必要許可。
**啟用庫存中繼資料收集**
可讓 Systems Manager 從節點設定下列中繼資料類型的集合:
+ **AWS 元件** – EC2 驅動程式、代理程式、版本等。
+ **應用程式** – 應用程式名稱、發佈者、版本等。
+ **節點詳細資訊** – 系統名稱、作業系統 (OS) 名稱、作業系統版本、上次啟動時間、DNS、網域、工作團隊、作業系統架構等。
+ **網路組態** – IP 地址、MAC 地址、DNS、閘道、子網路遮罩等。
+ **服務** – 名稱、顯示名稱、狀態、相依服務、服務類型、啟動類型等 (僅限 Windows Server 節點)。
+ **Windows 角色** – 名稱、顯示名稱、路徑、功能類型、安裝狀態等 (僅限 Windows Server 受管節點)。
+ **Windows 更新** – Hotfix ID、安裝人員、安裝日期等 (僅限 Windows Server 節點)。
指定收集庫存的頻率。您必須指定介於 1 到 744 小時之間的值。如需有關庫存 ( AWS Systems Manager中的工具) 的詳細資訊,請參閱 [AWS Systems Manager庫存](systems-manager-inventory.md)。
**啟用自動 Systems Manager (SSM) 代理程式更新**
讓 Systems Manager 依您指定的頻率檢查新版本的代理程式。頻率的值必須介於 1 到 31 天之間。如果有新版本,則 Systems Manager 會自動將受管節點上的代理程式更新為最新發行版本。Systems Manager 不會在尚未存在的執行個體上安裝代理程式。如需有關哪些 AMIs 已預先安裝 SSM Agent 的資訊,請參閱[尋找預先安裝了 SSM Agent的 AMIs](ami-preinstalled-agent.md)。
建議您選擇此選項,以確保節點始終執行最新版本的 SSM Agent。如需 SSM Agent 的詳細資訊,包括如何手動安裝代理程式的資訊。請參閱 [使用 SSM Agent](ssm-agent.md)。
1. 選擇**提交**。
如果組織規模較大,設定 Systems Manager 統一主控台體驗可能需要較長的時間。
# 針對單一帳戶和區域設定 Systems Manager 統一主控台
若要為單一 AWS 區域 設定 Systems Manager 統一主控台體驗 AWS 帳戶 ,您不需要使用 Organizations 或註冊委派管理員帳戶。Systems Manager 主控台體驗的設定程序會為您完成許多先決條件任務。根據您選擇設定的功能,先決條件任務包括啟用預設主機管理組態,為您的節點提供必要的 IAM 許可等等。以下是 Systems Manager 為統一主控台建立的資源的詳細清單。
## 統一主控台資源
根據您選擇設定的功能,可能不會建立某些資源。
IAM 角色
+ `RoleForOnboardingAutomation`:允許 Systems Manager 在設定程序期間管理資源。如需有關政策的詳細資訊,請參閱 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)。
+ `RoleForLifecycleManagement`:允許 Lambda 管理設定程序所建立的資源生命週期。如需有關政策的詳細資訊,請參閱 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)。
+ `RoleForAutomation`:Systems Manager Automation 在執行執行手冊時所擔任的服務角色。如需詳細資訊,請參閱[使用主控台建立用於自動化的服務角色](automation-setup-iam.md)。
+ `AWSSSMDiagnosisAdminRole`:診斷執行手冊的自動化執行角色。如需有關政策的詳細資訊,請參閱 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)。
+ `AWSSSMRemediationAdminRole`:修復執行手冊的自動化執行角色。如需有關政策的詳細資訊,請參閱 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)、[AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 和 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)。
+ `ManagedInstanceCrossAccountManagementRole`:允許 Systems Manager 跨帳戶收集受管節點資訊。
State Manager 關聯
+ `EnableDHMCAssociation`:每天執行一次,確保預設主機管理組態已啟用。
+ `SystemAssociationForEnablingExplorer`:每天執行一次,確保 Explorer 已啟用。Explorer 會用於同步受管節點中的資料。
+ `EnableAREXAssociation` – 每天執行 並確保 AWS 資源總管 已啟用。Resource Explorer 會用於判斷組織中的哪些 Amazon EC2 執行個體不是由 Systems Manager 管理。
+ `SSMAgentUpdateAssociation`:每 14 天執行一次,確保最新的 SSM Agent 可用版本已安裝在受管節點。
+ `SystemAssociationForInventoryCollection`:每 12 小時執行一次,從受管節點收集庫存資料。
S3 儲存貯體
+ `DiagnosisBucket`:存放從診斷執行手冊執行所收集的資料。
Lambda 函式
+ `SSMLifecycleOperatorLambda`:允許主體存取所有 AWS Systems Manager 快速設定 動作。
+ `SSMLifecycleResource`:自訂資源,協助管理設定程序所建立的資源的生命週期。
此外,在設定程序完成後,您可以選取**診斷和修復**節點任務,自動將修正套用至節點 (這些節點未報告為由 Systems Manager 管理)。這可能包括識別問題,例如 Systems Manager 端點的網路連線問題。
## 設定整合式主控台
**針對單一帳戶和區域設定 Systems Manager**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 選取**啟用 Systems Manager**。
1. 在**功能組態**區段中,選擇要為組態啟用的選項:
**啟用預設主機管理組態 (DHMC)**
允許 Systems Manager 設定 DHMC。此功能允許 Systems Manager 使用 IAM 角色,以確保帳戶和區域中的所有 Amazon EC2 執行個體都具有由 Systems Manager 管理的必要許可。您也可以指定漂移修復的頻率。每當使用者對服務或功能進行任何變更,而該變更與透過您的組態所做的選擇衝突時,就會發生組態偏離。Systems Manager 會檢查組態偏離,並嘗試根據您指定的頻率進行修復。您必須指定介於 1 到 31 天之間的值。如果您已在區域中設定 DHMC,Systems Manager 不會變更您先前選取的 IAM 角色。如需有關 DHMC 的詳細資訊,請參閱[使用預設主機管理組態來自動管理 EC2 執行個體](fleet-manager-default-host-management-configuration.md)。
DHMC 可讓您管理 Amazon EC2 執行個體,而無需手動建立 AWS Identity and Access Management (IAM) 執行個體描述檔。建議您選擇此選項,以確保您的 EC2 執行個體具有由 Systems Manager 管理的必要許可。
**啟用庫存中繼資料收集**
可讓 Systems Manager 從節點設定下列中繼資料類型的集合:
+ **AWS 元件** – EC2 驅動程式、代理程式、版本等。
+ **應用程式** – 應用程式名稱、發佈者、版本等。
+ **節點詳細資訊** – 系統名稱、作業系統 (OS) 名稱、作業系統版本、上次啟動時間、DNS、網域、工作團隊、作業系統架構等。
+ **網路組態** – IP 地址、MAC 地址、DNS、閘道、子網路遮罩等。
+ **服務** – 名稱、顯示名稱、狀態、相依服務、服務類型、啟動類型等 (僅限 Windows Server 節點)。
+ **Windows 角色** – 名稱、顯示名稱、路徑、功能類型、安裝狀態等 (僅限 Windows Server 受管節點)。
+ **Windows 更新** – Hotfix ID、安裝人員、安裝日期等 (僅限 Windows Server 節點)。
指定收集庫存的頻率。您必須指定介於 1 到 744 小時之間的值。如需有關庫存 ( AWS Systems Manager中的工具) 的詳細資訊,請參閱 [AWS Systems Manager庫存](systems-manager-inventory.md)。
**啟用自動 Systems Manager (SSM) 代理程式更新**
讓 Systems Manager 依您指定的頻率檢查新版本的代理程式。頻率的值必須介於 1 到 31 天之間。如果有新版本,則 Systems Manager 會自動將受管節點上的代理程式更新為最新發行版本。Systems Manager 不會在尚未存在的執行個體上安裝代理程式。如需有關哪些 AMIs 已預先安裝 SSM Agent 的資訊,請參閱[尋找預先安裝了 SSM Agent的 AMIs](ami-preinstalled-agent.md)。
建議您選擇此選項,以確保節點始終執行最新版本的 SSM Agent。如需 SSM Agent 的詳細資訊,包括如何手動安裝代理程式的資訊。請參閱 [使用 SSM Agent](ssm-agent.md)。
1. 選擇**提交**。
# 停用 Systems Manager 統一主控台
若要停用組織的 Systems Manager 統一主控台,您需要存取註冊為 Systems Manager 委派管理員的帳戶。登入組織的委派管理員帳戶後,您就可以在統一主控台的**設定**區段中停用組織的設定。停用組織的整合式主控台設定後,Systems Manager 會刪除設定程序期間建立的資源,包括資源總管管理的檢視。停用組織的設定不會撤銷受信任的存取,也不會取消註冊相依服務的委派管理員帳戶。下列程序說明如何停用統一主控台的設定。
**停用 Systems Manager 統一主控台的設定**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中選取**設定**。
1. 選取**停用**。您必須確認是否要停用組織的設定。此動作會刪除為統一主控台建立的資源,且無法復原。
如果您無法存取 Systems Manager 的委派管理員帳戶,而且想要停用統一主控台的設定,您也可以從組織的管理帳戶執行此操作。使用 AWS CLI 或 SDK,呼叫 `DeleteConfigurationManager` API 操作並傳遞您帳戶中組織設定`ManagerArn`的值。用於設定整合式主控台的管理員 ARN 格式如下:
`arn:aws:ssm-quicksetup:account-id:configuration-manager/configuration-manager-id`.
**注意**
如果您不知道 *configuration-manager-id* 的值,請呼叫 `ListConfigurationManagers` API 動作並使用 `AWSQuickSetupType-SSM` 類型篩選結果。