• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Systems Manager 管理邊緣裝置
本節說明帳戶和系統管理員為了啟用 AWS IoT Greengrass 核心裝置的組態和管理而執行的設定任務。完成這些任務後,管理員授予許可的使用者 AWS 帳戶 可以使用 AWS Systems Manager 來設定和管理其組織 AWS IoT Greengrass 的核心裝置。
**注意**
SSM Agent macOS和 Windows 10 AWS IoT Greengrass 不支援 的 。您無法使用 Systems Manager 的各種工具來管理和設定使用這些作業系統的邊緣裝置。
Systems Manager 也支援未設定為 AWS IoT Greengrass 核心裝置的邊緣裝置。若要使用 Systems Manager 管理 AWS IoT 核心裝置和非AWS 邊緣裝置,您必須使用混合啟用來設定它們。如需詳細資訊,請參閱[使用 Systems Manager 在混合多雲端環境中管理節點](systems-manager-hybrid-multicloud.md)。
使用 Session Manager 和 Microsoft 應用程式修補您的邊緣裝置,您必須啟用進階執行個體層。如需詳細資訊,請參閱[開啟 advanced-instances 方案](fleet-manager-enable-advanced-instances-tier.md)。
**開始之前**
確認邊緣裝置符合下列需求。
+ 您的邊緣裝置必須符合要求,才能設定為 AWS IoT Greengrass 核心裝置。如需詳細資訊,請參閱《 *AWS IoT Greengrass Version 2 開發人員指南*》中的[設定 AWS IoT Greengrass 核心裝置](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html)。
+ 您的邊緣裝置必須與 AWS Systems Manager 代理程式 () 相容SSM Agent。如需詳細資訊,請參閱[Systems Manager 支援的作業系統](operating-systems-and-machine-types.md#prereqs-operating-systems)。
+ 邊緣裝置必須能與雲端的 Systems Manager 服務進行通訊。Systems Manager 不支援中斷連線的邊緣裝置。
**關於設定邊緣裝置**
設定 Systems Manager AWS IoT Greengrass 的裝置包含下列程序。
**注意**
如需有關SSM Agent從邊緣裝置解除安裝 的資訊,請參閱[《 開發人員指南》中的解除安裝 AWS Systems Manager 代理](https://docs.aws.amazon.com/greengrass/v2/developerguide/uninstall-systems-manager-agent.html)程式。 *AWS IoT Greengrass Version 2 *
## 為邊緣裝置建立 IAM 服務角色
AWS IoT Greengrass 核心裝置需要 AWS Identity and Access Management (IAM) 服務角色才能與 通訊 AWS Systems Manager。角色會將[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)信任授予 Systems Manager 服務 AWS Security Token Service (AWS STS)。您只需要為每個 AWS 帳戶建立一次服務角色。當您設定和部署SSM Agent元件至 AWS IoT Greengrass 裝置時,您會為 `RegistrationRole` 參數指定此角色。如果您在針對[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境設定非 EC2 節點時已建立此角色,則可以略過此步驟。
**注意**
必須在 IAM 中為將在邊緣裝置上使用 Systems Manager 的公司或組織使用者授予呼叫 Systems Manager API 的許可。
**S3 儲存貯體政策要求**
在下列任一案例中,您必須先為 Amazon Simple Storage Service (Amazon S3) 儲存貯體建立自訂 IAM 許可政策,才能完成此程序:
+ **案例 1**:您使用 VPC 端點將 VPC 私下連線至支援的 AWS 服務 和採用 技術的 VPC 端點服務 AWS PrivateLink。
+ **案例 2**:您計劃在 Systems Manager 操作過程中使用您建立的 S3 儲存貯體,例如將 Run Command 命令或 Session Manager 工作階段的輸出儲存到 S3 儲存貯體。在繼續進行之前,請先遵循[為執行個體設定檔建立一個自訂 S3 儲存貯體政策](setup-instance-permissions.md#instance-profile-custom-s3-policy)中的步驟。該主題中的 S3 儲存貯體政策相關資訊也適用於您的服務角色。
**注意**
如果您的裝置受到防火牆保護,且您計劃使用 Patch Manager,則防火牆必須允許存取修補基準端點 `arn:aws:s3:::patch-baseline-snapshot-region/*`。
*region* 代表 AWS 區域 支援的 識別符 AWS Systems Manager,例如`us-east-2`美國東部 (俄亥俄) 區域。如需支援的 *region* 值的清單,請參閱《Amazon Web Services 一般參考》**中 [Systems Manager 服務端點](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)一節的**區域**欄位。
------
#### [ AWS CLI ]
**為 AWS IoT Greengrass 環境建立 IAM 服務角色 (AWS CLI)**
1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請安裝並設定 。
如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。
**注意**
記下名稱。您將在部署SSM Agent到 AWS IoT Greengrass 核心裝置時指定它。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
```
------
1. 開啟 AWS CLI,並在您建立 JSON 檔案的目錄中執行 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) 命令來建立服務角色。將每個*範例資源預留位置*取代為您自己的資訊。
**Linux 與 macOS**
```
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
```
**Windows**
```
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
```
1. 如下執行 [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) 命令,以允許您剛建立的服務角色建立工作階段字符。工作階段字符可讓邊緣裝置具有使用 Systems Manager 執行命令的許可。
**注意**
您為邊緣裝置的服務設定檔新增的政策,與用於為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立執行個體設定檔的政策相同。如需有關下列命令中所用 IAM 政策的詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許邊緣裝置使用 AWS Systems Manager 服務核心功能。
**Linux 與 macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
如果您已為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令,以允許 AWS Systems Manager 代理程式 (SSM Agent) 存取您在政策中指定的儲存貯體。將 *account-ID* 和 *my-bucket-policy-name* 取代為您的 AWS 帳戶 ID 和儲存貯體名稱。
**Linux 與 macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name
```
(選用) 執行下列命令以允許 SSM Agent 代表您存取 Directory Service ,以請求從邊緣設置加入網域。只有在您將邊緣裝置加入 Microsoft AD 目錄時,服務角色才需要此政策。
**Linux 與 macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的邊緣裝置上執行。此命令可讓您讀取裝置的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務角色才需要此政策。
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
#### [ Tools for PowerShell ]
**為 AWS IoT Greengrass 環境建立 IAM 服務角色 (AWS Tools for Windows PowerShell)**
1. 如果您尚未安裝並設定 AWS Tools for PowerShell (Tools for Windows PowerShell)。
如需相關資訊,請參閱[安裝 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 在您的本機機器上,使用下列信任政策,建立名稱為 `SSMService-Trust.json` 的文字檔案。請務必將檔案儲存為 `.json` 副檔名。
**注意**
記下名稱。您將在部署SSM Agent到 AWS IoT Greengrass 核心裝置時指定它。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
```
------
1. 在管理模式下開啟 PowerShell,並在您建立 JSON 檔案的目錄中如下所示執行 [New-IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html),以建立服務角色。
```
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
1. 如下使用 [Register-IAMRolePolicy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html),以允許您建立的服務角色建立工作階段字符。工作階段字符可讓邊緣裝置具有使用 Systems Manager 執行命令的許可。
**注意**
您在 AWS IoT Greengrass 環境中為邊緣裝置之服務角色新增的政策,與用於為 EC2 執行個體建立執行個體設定檔的政策相同。如需下列命令中使用的 AWS 政策詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。
(必要) 執行下列命令,以允許邊緣裝置使用 AWS Systems Manager 服務核心功能。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
若您為服務角色建立自訂 S3 儲存貯體政策,請執行下列命令以允許 SSM Agent 存取您在政策中指定的儲存貯體。將 *account-ID* 和 *my-bucket-policy-name* 取代為您的 AWS 帳戶 ID 和儲存貯體名稱。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
(選用) 執行下列命令以允許 SSM Agent 代表您存取 Directory Service ,以請求從邊緣設置加入網域。只有在您將邊緣裝置加入 Microsoft AD 目錄時,服務角色才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(選用) 執行以下命令,以允許 CloudWatch 代理程式在您的邊緣裝置上執行。此命令可讓您讀取裝置的資訊,並將資訊寫入 CloudWatch。只有在使用諸如 Amazon EventBridge 或 Amazon CloudWatch Logs 等服務時,您的服務角色才需要此政策。
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
## 設定 的邊緣裝置 AWS IoT Greengrass
將您的邊緣裝置設定為 AWS IoT Greengrass 核心裝置。設定程序涉及驗證支援的作業系統和系統需求,以及在您的裝置上安裝和設定 AWS IoT Greengrass 核心軟體。如需詳細資訊,請參閱《*AWS IoT Greengrass Version 2 開發人員指南*》中的[設定 AWS IoT Greengrass 核心裝置](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html)。
## 更新 AWS IoT Greengrass 權杖交換角色,並在SSM Agent您的邊緣裝置上安裝
設定和設定 Systems Manager AWS IoT Greengrass 核心裝置的最終步驟需要您更新 AWS IoT Greengrass AWS Identity and Access Management (IAM) 裝置服務角色,也稱為*字符交換角色*,並將 AWS Systems Manager 代理程式 (SSM Agent) 部署至 AWS IoT Greengrass 您的裝置。如需有關這些程序的詳細資訊,請參閱《AWS IoT Greengrass Version 2 開發人員指南》**中的[安裝 AWS Systems Manager Agent](https://docs.aws.amazon.com/greengrass/v2/developerguide/install-systems-manager-agent.html) 一節。
部署SSM Agent至裝置後, AWS IoT Greengrass 會自動向 Systems Manager 註冊您的裝置。不需要額外註冊。您可以開始使用 Systems Manager 工具來存取、管理和設定 AWS IoT Greengrass 您的裝置。
**注意**
邊緣裝置必須能與雲端的 Systems Manager 服務進行通訊。Systems Manager 不支援中斷連線的邊緣裝置。