Installieren SSM Agent kein Hybrid Windows Server Knoten - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Installieren SSM Agent kein Hybrid Windows Server Knoten

In diesem Thema wird die Installation beschrieben SSM Agent on Windows Server Maschinen für eine Hybrid- und Multi-Cloud-Umgebung. Wenn Sie beabsichtigen, Maschinen, die nicht zu EC2 Linux gehören, in einer Hybrid- und Multicloud-Umgebung zu verwenden, finden Sie weitere Informationen im vorherigen Schritt. Installieren SSM Agent auf hybriden Linux-Knoten

Wichtig

Dieses Verfahren gilt für Maschinen, die nicht EC2 (Amazon Elastic Compute Cloud) sind, in Hybrid- und Multi-Cloud-Umgebungen. Zum Herunterladen und Installieren SSM Agent auf einer EC2 Instanz für Windows Server, finden Sie unter Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für Windows Server.

Bevor Sie beginnen, finden Sie den Aktivierungscode und die Aktivierungs-ID, die Sie nach Abschluss der Hybrid-Aktivierung unter Erstellen Sie eine Hybridaktivierung, um Knoten bei Systems Manager zu registrieren erhalten haben. Sie geben den Code und die ID in den folgenden Schritten an.

Um zu installieren SSM Agent auf nicht- EC2 Windows Server Maschinen in einer Hybrid- und Multi-Cloud-Umgebung
  1. Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.

  2. Wenn Sie einen HTTP HTTPS OR-Proxy verwenden, müssen Sie die https_proxy Umgebungsvariablen http_proxy oder in der aktuellen Shell-Sitzung festlegen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.

    Für einen HTTP Proxyserver legen Sie diese Variable fest:

    http_proxy=http://hostname:port https_proxy=http://hostname:port

    Für einen HTTPS Proxyserver legen Sie diese Variable fest:

    http_proxy=http://hostname:port https_proxy=https://hostname:port
  3. Öffnen Windows PowerShell im erhöhten (administrativen) Modus.

  4. Kopieren Sie den folgenden Befehlsblock und fügen Sie ihn ein Windows PowerShell. Ersetze jeden example resource placeholder mit Ihren eigenen Informationen. Zum Beispiel der Aktivierungscode und die Aktivierungs-ID, die bei der Erstellung einer Hybrid-Aktivierung generiert wurden, sowie die ID der Datei, die AWS-Region Sie herunterladen möchten SSM Agent von.

    Anmerkung

    Beachten Sie die folgenden wichtigen Details:

    • ssm-setup-cli unterstützt eine manifest-url-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies.

    • Sie können das hier bereitgestellte Skript verwenden, um die Signatur von zu überprüfenssm-setup-cli.

    • Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für ssm-setup-cli. ssm-setup-clisollte nicht separat für die zukünftige Verwendung aufbewahrt werden.

    region stellt den Bezeichner für eine Region dar AWS Systems Manager, die von AWS-Region unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

    ssm-setup-cli enthält zusätzlich die folgenden Optionen:

    • version – Gültige Werte sind latest und stable.

    • downgrade – Setzt den Agenten auf eine frühere Version zurück.

    • skip-signature-validation – Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12' $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region" Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'" $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region" Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
  5. Drücken Sie Enter.

Anmerkung

Schlägt der Befehl fehl, stellen Sie sicher, dass Sie die neueste Version von AWS Tools for PowerShell ausführen.

Der Befehl hat folgende Auswirkungen:

  • Lädt herunter und installiert SSM Agent auf die Maschine.

  • Registriert den Computer beim Systems Manager Service.

  • Gibt eine Antwort auf die Anfrage zurück, die der folgenden ähnlich ist:

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    d-----       07/07/2018   8:07 PM                ssm
    {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
    
    Status      : Running
    Name        : AmazonSSMAgent
    DisplayName : Amazon SSM Agent

Die Maschine ist nun ein verwalteter Knoten. Diese verwalteten Knoten werden jetzt mit dem Präfix "mi-" gekennzeichnet. Sie können verwaltete Knoten auf der Seite Verwaltete Knoten in anzeigen Fleet Manager, indem Sie den AWS CLI Befehl verwenden describe-instance-information, oder mithilfe des API Befehls DescribeInstanceInformation.

Automatische Drehung des privaten Schlüssels einrichten

Um Ihren Sicherheitsstatus zu verbessern, können Sie den AWS Systems Manager Agenten konfigurieren (SSM Agent), um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung automatisch zu rotieren. Sie können auf diese Funktion zugreifen, indem Sie SSM Agent Version 3.0.1031.0 oder höher. Aktivieren Sie dieses Feature wie folgt.

Um zu konfigurieren SSM Agent um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren
  1. Navigieren Sie zu /etc/amazon/ssm/ auf einem Linux-Computer oder C:\Program Files\Amazon\SSM zu einem Windows Server Maschine.

  2. Kopieren Sie den Inhalt von amazon-ssm-agent.json.template in eine neue Datei namens amazon-ssm-agent.json. Speichern Sie amazon-ssm-agent.json in demselben Verzeichnis, in dem sich amazon-ssm-agent.json.template befindet.

  3. Suchen Sie Profile, KeyAutoRotateDays. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben.

  4. Neustart SSM Agent.

Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent.

Sie können andere Funktionen von anpassen SSM Agent mit demselben Verfahren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter Definitionen von Konfigurationseigenschaften.

Deregistrierung und Neuregistrierung eines verwalteten Knotens

Sie können die Registrierung eines verwalteten Knotens aufheben, indem Sie den DeregisterManagedInstanceAPIVorgang entweder über Tools für Windows AWS CLI oder über Tools für Windows aufrufen. PowerShell Hier ist ein Beispielbefehl: CLI

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den IdentityConsumptionOrder-Schlüssel aus der amazon-ssm-agent.json-Datei. Führen Sie anschließend den folgenden Befehl aus:

amazon-ssm-agent -register -clear

Sie können eine Maschine neu registrieren, nachdem Sie sie abgemeldet haben. Gehen Sie wie folgt vor, um eine Maschine erneut als verwalteten Knoten zu registrieren. Nachdem Sie das Verfahren abgeschlossen haben, wird Ihr verwalteter Knoten erneut in der Liste der verwalteten Knoten angezeigt.

Um einen verwalteten Knoten auf einem neu zu registrieren Windows Server Hybrid-Maschine
  1. Verbinden Sie sich mit Ihrer Maschine.

  2. Führen Sie den folgenden Befehl aus. Achten Sie darauf, die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID zu ersetzen, die bei der Erstellung einer Hybrid-Aktivierung generiert wurden, sowie durch die Kennung der Region, die Sie herunterladen möchten SSM Agent von.

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"