Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So installieren Sie den SSM Agent auf Windows Hybridknoten
Dieses Thema beschreibt, wie Sie SSM Agent auf Windows Server-Maschinen für eine Hybrid- und Multi-Cloud-Umgebung installieren. Wenn Sie planen, Nicht-EC2-Linux-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung zu verwenden, lesen Sie den vorherigen Schritt, So installieren Sie das SSM Agent auf Hybrid-Linux-Knoten.
Wichtig
Dieses Verfahren gilt für Nicht-EC2-Maschinen (Amazon Elastic Compute Cloud) in Hybrid- und Multi-Cloud-Umgebungen. Informationen zum Herunterladen und Installieren von SSM Agent auf einer EC2-Instance für Windows Server finden Sie unter Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für Windows Server.
Bevor Sie beginnen, finden Sie den Aktivierungscode und die Aktivierungs-ID, die Sie nach Abschluss der Hybrid-Aktivierung unter Erstellen Sie eine Hybridaktivierung, um Knoten bei Systems Manager zu registrieren erhalten haben. Sie geben den Code und die ID in den folgenden Schritten an.
So installieren Sie SSM Agent auf Nicht-EC2-Windows Server-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung
-
Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.
-
Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die
http_proxy
oderhttps_proxy
-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.Legen Sie für einen HTTP-Proxyserver folgende Variable fest:
http_proxy=http://
hostname
:port
https_proxy=http://hostname
:port
Legen Sie für einen HTTPS-Proxyserver folgende Variable fest:
http_proxy=http://
hostname
:port
https_proxy=https://hostname
:port
-
Öffnen Sie Windows PowerShell im erweiterten (Verwaltungs-)Modus.
-
Kopieren Sie den folgenden Befehlsblock in Windows PowerShell. Ersetzen Sie jeden
Beispiel Platzhalter für Ressourcen
mit Ihren eigenen Informationen. Zum Beispiel der Aktivierungscode und die Aktivierungs-ID, die generiert wurden, wenn Sie eine Hybrid-Aktivierung erstellen, sowie die ID der Datei, von der AWS-Region Sie herunterladen möchten. SSM AgentAnmerkung
Beachten Sie die folgenden wichtigen Details:
-
ssm-setup-cli
unterstützt einemanifest-url
-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies. -
Sie können das hier
bereitgestellte Skript verwenden, um die Signatur von zu überprüfen ssm-setup-cli
. -
Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für
ssm-setup-cli
.ssm-setup-cli
sollte nicht separat für die zukünftige Verwendung aufbewahrt werden.
Region
steht für den Bezeichner für eine Region AWS Systems Manager, die von AWS-Region unterstützt wird, z. B.us-east-2
für die Region USA Ost (Ohio). Eine Liste der unterstütztenRegion
-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.ssm-setup-cli
enthält zusätzlich die folgenden Optionen:-
version
– Gültige Werte sindlatest
undstable
. -
downgrade
– Setzt den Agenten auf eine frühere Version zurück. -
skip-signature-validation
– Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.
-
-
Drücken Sie
Enter
.
Anmerkung
Wenn der Befehl fehlschlägt, stellen Sie sicher, dass Sie die neueste Version von ausführen AWS Tools for PowerShell.
Der Befehl hat folgende Auswirkungen:
-
Lädt SSM Agent herunter und installiert es auf dem Computer.
-
Registriert den Computer beim Systems Manager Service.
-
Gibt eine Antwort auf die Anfrage zurück, die der folgenden ähnlich ist:
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2 Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 07/07/2018 8:07 PM ssm {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"} Status : Running Name : AmazonSSMAgent DisplayName : Amazon SSM Agent
Die Maschine ist nun ein verwalteter Knoten. Diese verwalteten Knoten werden jetzt mit dem Präfix "mi-" gekennzeichnet. Sie können verwaltete Knoten auf der Seite Verwaltete Knoten in anzeigenFleet Manager, indem Sie den AWS CLI Befehl describe-instance-informationoder den API-Befehl verwenden DescribeInstanceInformation.
Automatische Drehung des privaten Schlüssels einrichten
Um Ihre Sicherheitslage zu stärken, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass der private Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung automatisch rotiert wird. Sie können auf dieses Feature zugreifen, indem Sie SSM Agent-Version 3.0.1031.0 oder höher verwenden. Aktivieren Sie dieses Feature wie folgt.
Um SSM Agent zu konfigurieren, um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren
-
Navigieren Sie zu
/etc/amazon/ssm/
auf einem Linux-Computer oder zuC:\Program Files\Amazon\SSM
für einen Windows Server-Computer. -
Kopieren Sie den Inhalt von
amazon-ssm-agent.json.template
in eine neue Datei namensamazon-ssm-agent.json
. Speichern Sieamazon-ssm-agent.json
in demselben Verzeichnis, in dem sichamazon-ssm-agent.json.template
befindet. -
Suchen Sie
Profile
,KeyAutoRotateDays
. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben. -
Starten Sie SSM Agent neu.
Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.
Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter Definitionen von Konfigurationseigenschaften
Deregistrierung und Neuregistrierung eines verwalteten Knotens
Sie können die Registrierung eines verwalteten Knotens aufheben, indem Sie den DeregisterManagedInstanceAPI-Vorgang entweder in den Tools für Windows AWS CLI oder in den Tools für Windows aufrufen. PowerShell Hier sehen Sie ein Beispiel für einen CLI-Befehl:
aws ssm deregister-managed-instance --instance-id
"mi-1234567890"
Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den IdentityConsumptionOrder
-Schlüssel aus der amazon-ssm-agent.json
-Datei. Führen Sie anschließend den folgenden Befehl aus:
amazon-ssm-agent -register -clear
Sie können eine Maschine neu registrieren, nachdem Sie sie abgemeldet haben. Gehen Sie wie folgt vor, um eine Maschine erneut als verwalteten Knoten zu registrieren. Nachdem Sie das Verfahren abgeschlossen haben, wird Ihr verwalteter Knoten erneut in der Liste der verwalteten Knoten angezeigt.
So registrieren Sie einen verwalteten Knoten auf einem Windows-Hybridcomputer neu
-
Verbinden Sie sich mit Ihrer Maschine.
-
Führen Sie den folgenden Befehl aus. Achten Sie darauf, die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID zu ersetzen, die bei der Erstellung einer Hybrid-Aktivierung generiert werden, sowie durch die Kennung der Region, aus der Sie den SSM Agent herunterladen möchten.
'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"