Erstellen von Zuordnungen, die MOF-Dateien ausführen - AWS Systems Manager
Verwenden von Amazon S3 zum Speichern von ArtefaktenAuflösen von Anmeldeinformationen in MOF-DateienVerwenden von Token in MOF-DateienVoraussetzungen zum Erstellen von Zuordnungen, die MOF-Dateien ausführenErstellen einer Zuordnung, die MOF-Dateien ausführtProblembehandlung bei der Erstellung von Zuordnungen, die MOF-Dateien ausführenAnzeigen von Details zur DSC-Ressourcen-Compliance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Zuordnungen, die MOF-Dateien ausführen

Sie können MOF-Dateien (Managed Object Format) ausführen, um einen gewünschten Status auf verwalteten Windows Server-Knoten zu erzwingen State Manager, ein Tool in AWS Systems Manager, mithilfe des AWS-ApplyDSCMofs SSM-Dokuments. Das AWS-ApplyDSCMofs-Dokument weist zwei Ausführungsmodi auf. Mit dem ersten Modus können Sie die Assoziation so konfigurieren, dass sie die verwalteten Knoten scannt und meldet, wenn sie den in den MOF-Dateien definierten gewünschten Status aufweisen. Im zweiten Modus können Sie die MOF-Dateien ausführen und die Konfiguration Ihrer Knoten basierend auf den Ressourcen und ihren in den MOF-Dateien definierten Werten ändern. Mit dem AWS-ApplyDSCMofs-Dokument können Sie MOF-Konfigurationsdateien von Amazon Simple Storage Service (Amazon S3), einem lokal freigegebenen Verzeichnis, oder einer sicheren Website mit einer HTTPS-Domain herunterladen und ausführen.

State Manager protokolliert und meldet den Status der Ausführung jeder MOF-Datei bei jedem Zuordnungslauf. State Manager meldet außerdem die Ausgabe jeder MOF-Dateiausführung als Konformitätsereignis, das Sie auf der AWS Systems Manager Compliance-Seite einsehen können.

Die Ausführung von MOF-Dateien basiert auf der Windows PowerShell Desired State Configuration (PowerShell DSC). PowerShell DSC ist eine deklarative Plattform, die für die Konfiguration, Bereitstellung und Verwaltung von Windows-Systemen verwendet wird. PowerShell DSC ermöglicht es Administratoren, in einfachen Textdokumenten, den sogenannten DSC-Konfigurationen, zu beschreiben, wie ein Server konfiguriert werden soll. Eine PowerShell DSC-Konfiguration ist ein spezielles PowerShell Skript, das angibt, was zu tun ist, aber nicht, wie es zu tun ist. Bei der Ausführung der Konfiguration wird eine MOF-Datei erzeugt. Die MOF-Datei kann auf einen oder mehrere Server angewendet werden, um die gewünschte Konfiguration für diese Server zu erreichen. PowerShell DSC-Ressourcen übernehmen die eigentliche Aufgabe der Erzwingung der Konfiguration. Weitere Informationen finden Sie unter Übersicht über die Konfiguration des PowerShell gewünschten Windows-Zustands.

Verwenden von Amazon S3 zum Speichern von Artefakten

Wenn Sie Amazon S3 verwenden, um PowerShell Module, MOF-Dateien, Compliance-Berichte oder Statusberichte zu speichern, dann ist die AWS Identity and Access Management (IAM) -Rolle von AWS Systems Manager SSM Agent muss über ListBucket Berechtigungen für GetObject den Bucket verfügen. Ohne diese Berechtigungen gibt das System einen Zugriff verweigert Fehler zurück. Unten finden Sie wichtige Informationen zum Speichern von Artefakten in Amazon S3.

  • Wenn sich der Bucket in einem anderen Bucket befindet AWS-Konto, erstellen Sie eine Bucket-Ressourcenrichtlinie, die dem Konto (oder der IAM-Rolle) GetObject und ListBucket Berechtigungen gewährt.

  • Wenn Sie benutzerdefinierte DSC-Ressourcen verwenden möchten, können Sie diese Ressourcen aus einem Amazon S3-Bucket herunterladen. Sie können sie auch automatisch aus der PowerShell Galerie installieren.

  • Wenn Sie Amazon S3 als Modulquelle verwenden, laden Sie das Modul als Zip-Datei im folgenden Format mit Groß- und Kleinschreibung hoch: ModuleName _ ModuleVersion .zip. Zum Beispiel: _1.0.0.zip MyModule.

  • Alle Dateien müssen im sich im Stammverzeichnis des Buckets befinden. Ordnerstrukturen werden nicht unterstützt.

Auflösen von Anmeldeinformationen in MOF-Dateien

Anmeldeinformationen werden mithilfe von AWS Secrets Manager oder AWS Systems Manager Parameter Store aufgelöst. Auf diese Weise können Sie eine automatische Rotation der Anmeldeinformationen einrichten. Auf diese Weise kann DSC auch Anmeldeinformationen automatisch an Ihre Server weitergeben, ohne sie erneut bereitstellen zu müssen. MOFs

Um ein AWS Secrets Manager Geheimnis in einer Konfiguration zu verwenden, erstellen Sie ein PSCredential Objekt, bei dem der Benutzername der SecretId oder SecretARN des Geheimnisses ist, das die Anmeldeinformationen enthält. Sie können für das Passwort einen beliebigen Wert angeben. Der Wert wird ignoriert. Im Folgenden sehen Sie ein Beispiel.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Kompilieren Sie Ihr MOF mithilfe der PsAllowPlaintextPassword Einstellung in den Konfigurationsdaten. Dies ist kein besonderes Risiko, weil die Anmeldeinformationen nur einen Bezeichner enthalten.

Stellen Sie in Secrets Manager sicher, dass der Knoten in einer von IAM verwalteten Richtlinie und optional in der Secret Resource Policy, falls vorhanden, GetSecretValue Zugriff hat. Für die Arbeit mit DSC muss das Geheimnis das folgende Format aufweisen.

{ 'Username': 'a_name', 'Password': 'a_password' }

Das Secret kann weitere Eigenschaften (z. B. Eigenschaften für die Rotation) haben, aber es muss mindestens den Benutzernamen und das Passwort enthalten.

Es wird empfohlen, eine Rotationsmethode für mehrere Benutzer zu verwenden, bei der Sie zwei verschiedene Benutzernamen und Kennwörter verwenden und die AWS Lambda Rotationsfunktion zwischen diesen wechselt. Diese Methode ermöglicht Ihnen, mehrere aktive Konten zu haben, ohne in Gefahr zu laufen, dass Benutzer bei einer Rotation ausgesperrt werden.

Verwenden von Token in MOF-Dateien

Token bieten Ihnen die Möglichkeit, Eigenschaftswerte von Ressourcen zu ändern, nachdem die MOF-Datei kompiliert wurde. Auf diese Weise können Sie häufig verwendete MOF-Dateien auf mehreren Servern mit ähnlichen Konfigurationen wiederverwenden.

Die Ersetzung der Token funktioniert nur für Ressourceneigenschaften des Typs String. Wenn Ihre Ressource jedoch eine eingebettete CIM-Knoten-Eigenschaft hat, löst sie auch Token von String-Eigenschaften in diesem CIM-Knoten auf. Sie können die Token-Ersetzung nicht für Zahlen oder Arrays verwenden.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie die xComputerManagement Ressource verwenden und den Computer mithilfe von DSC umbenennen möchten. Normalerweise benötigen Sie eine dedizierte MOF-Datei für diesen Computer. Mit der Token-Unterstützung können Sie eine MOF-Datei erstellen und diese auf alle Ihre Knoten anwenden. Sie können in der ComputerName-Eigenschaft in der MOF-Datei anstelle des festkodierten Computernamens ein Token vom Typ Instance-Tag verwenden. Der Wert wird während beim Parsing der MOF-Datei aufgelöst. Sehen Sie sich das folgende Beispiel an.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Anschließend legen Sie entweder ein Tag für den verwalteten Knoten in der Systems Manager Manager-Konsole oder ein Amazon Elastic Compute Cloud (Amazon EC2) -Tag in der EC2 Amazon-Konsole fest. Wenn Sie das Dokument ausführen, ersetzt das Skript den Wert des Instance-Tags durch das Token {tag:ComputerName}.

Sie können auch mehrere Tags in einer einzigen Eigenschaft kombinieren, wie im folgenden Beispiel gezeigt.

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Es gibt fünf verschiedene Arten von Token, die Sie verwenden können:

  • Tag: Amazon EC2 - oder verwaltete Node-Tags.

  • tagb64: Dies ist das gleiche wie tag, aber das System verwendet base64, um den Wert zu dekodieren. Auf diese Weise können Sie in Tag-Werten Sonderzeichen verwenden.

  • env: Löst Umgebungsvariablen auf.

  • ssm: Parameter Store Werte. Es werden nur die Typen String und Secure String unterstützt.

  • tagssm: Dies ist dasselbe wie Tag, aber wenn das Tag auf dem Knoten nicht festgelegt ist, versucht das System, den Wert aus einem Systems Manager-Parameter mit demselben Namen aufzulösen. Dies ist nützlich, wenn Sie einen „globalen Standardwert“ benötigen, den Sie auf einzelnen Knoten außer Kraft setzen möchten (z. B. bei One-Box-Bereitstellungen).

Hier ist ein Parameter Store Beispiel, das den ssm Token-Typ verwendet. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Token spielen eine wichtige Rolle bei der Reduzierung von redundantem Code, weil MOF-Dateien generisch und wiederverwendbar werden. Wenn Sie serverspezifische MOF-Dateien vermeiden können, benötigen Sie auch keinen Service, um die MOF-Datei zu erstellen. Ein MOF-Building-Service erhöht die Kosten, verlangsamt die Bereitstellungszeit und erhöht das Risiko von Konfigurationsabweichungen zwischen gruppierten Knoten aufgrund unterschiedlicher Modulversionen, die bei der Kompilierung auf dem Build-Server installiert MOFs wurden.

Voraussetzungen zum Erstellen von Zuordnungen, die MOF-Dateien ausführen

Bevor Sie eine Assoziation erstellen, die MOF-Dateien ausführt, überprüfen Sie, ob Ihre verwalteten Knoten die folgenden Voraussetzungen erfüllen:

Erstellen einer Zuordnung, die MOF-Dateien ausführt

So erstellen Sie eine Zuordnung, die MOF-Dateien ausführt

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich State Manager.

  3. Wählen Sie aus.State Manager, und wählen Sie dann Verknüpfung erstellen aus.

  4. Geben Sie im Feld Name einen Namen an. Dies ist zwar optional, wird aber empfohlen. Ein Name kann Ihnen helfen, den Zweck der Zuordnung zu verstehen, nachdem Sie sie erstellt haben. Der Name darf keine Leerzeichen enthalten.

  5. Wählen Sie in der Liste Dokument die Option AWS-ApplyDSCMofs aus.

  6. Geben Sie im Abschnitt Parameters (Parameter) die benötigten Angaben für die erforderlichen und die optionalen Eingabeparameter ein.

    1. Mofs To Apply (Anzuwendende MOF-Dateien): Geben Sie eine oder mehrere MOF-Dateien an, die mit dieser Zuordnung ausgeführt werden sollen. Um eine Liste von MOF-Dateien anzugeben, trennen Sie die Dateinamen mit Kommas. Sie können den Speicherort der MOF-Dateien alternativ wie folgt angeben:

      • Eine Amazon S3-Bucket-Bezeichnung. Bucketnamen müssen Kleinbuchstaben angegeben werden. Geben Sie diese Informationen in dem folgenden Format an.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Wenn Sie eine angeben möchten AWS-Region, verwenden Sie das folgende Format.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Eine sichere Website. Geben Sie diese Informationen in dem folgenden Format an.

        https://domain_name/MOF_file_name.mof

        Ein Beispiel.

        https://www.example.com/TestMOF.mof

      • Ein Dateisystem auf einer lokalen Freigabe. Geben Sie diese Informationen in dem folgenden Format an.

        \server_name\shared_folder_name\MOF_file_name.mof

        Ein Beispiel.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Service-Pfad): (Optional) Ein Service-Pfad ist entweder das Präfix eines Amazon S3-Buckets, in den Sie Berichte und Statusinformationen schreiben möchten, Oder ein Dienstpfad ist ein Pfad für Parameter Store parameterbasierte Tags. Bei der Auflösung parameterbasierter Tags verwendet das System {ssm: %ServicePath%/parameter_name}, um den ServicePath-Wert in den Parameternamen einzufügen. Zum Beispiel, WebServers/Production" then the systems resolves the parameter as: WebServers/Production wenn parameter_name Ihr Dienstpfad "/ist. Dies ist nützlich, wenn Sie in einem Konto mehrere Umgebungen ausführen.

    3. Report Bucket Name (Bucket-Name für Berichte): (Optional) Geben Sie den Namen eines Amazon S3-Buckets ein, in den Sie Compliance-Daten schreiben möchten. Berichte werden in diesem Bucket im JSON-Format gespeichert.

      Anmerkung

      Sie können dem Bucketnamen ein Präfix voranstellen, um die Region anzugeben, in der sich der Bucket befindet. Hier ist ein Beispiel: US-West-2:MYMOFBucket. Wenn Sie einen Proxy für Amazon S3-Endpunkte in einer bestimmten Region verwenden, die us-east-1 nicht enthält, stellen Sie dem Bucket-Namen eine Region voran. Wenn dem Bucketname kein Präfix vorangestellt ist, wird die Bucketregion unter Verwendung des Endpunkts us-east-1 automatisch erkannt.

    4. MOF-Betriebsmodus: Wählen State Manager Verhalten beim Ausführen der AWS-ApplyDSCMofsAssoziation:

      • Apply (Anwenden): Korrigiert Knoten-Konfigurationen, die nicht konform sind.

      • ReportOnly: Korrigieren Sie keine Knotenkonfigurationen, sondern protokollieren Sie stattdessen alle Konformitätsdaten und melden Sie Knoten, die nicht konform sind.

    5. Status Bucket Name (Bucket-Name für Status): (Optional) Geben Sie den Namen eines Amazon S3-Buckets ein, in den Sie den MOF-Ausführungsstatus schreiben möchten. Diese Statusberichte sind Singleton-Zusammenfassungen des letzten Compliance-Laufs eines Knotens. Dies bedeutet, dass der Bericht überschrieben wird, wenn die Zuordnung das nächste Mal MOF-Dateien ausführt.

      Anmerkung

      Sie können dem Bucketnamen ein Präfix voranstellen, um die Region anzugeben, in der sich der Bucket befindet. Ein Beispiel: us-west-2:amzn-s3-demo-bucket. Wenn Sie einen Proxy für Amazon S3-Endpunkte in einer bestimmten Region verwenden, die us-east-1 nicht enthält, stellen Sie dem Bucket-Namen eine Region voran. Wenn dem Bucketname kein Präfix vorangestellt ist, wird die Bucketregion unter Verwendung des Endpunkts us-east-1 automatisch erkannt.

    6. Name des Quell-Buckets für das Modul: (Optional) Geben Sie den Namen eines Amazon S3 S3-Buckets ein, der PowerShell Moduldateien enthält. Wenn Sie None (Keine) angeben, wählen Sie True (Wahr) für die nächste Option, Allow PS Gallery Module Source.

      Anmerkung

      Sie können dem Bucketnamen ein Präfix voranstellen, um die Region anzugeben, in der sich der Bucket befindet. Ein Beispiel: us-west-2:amzn-s3-demo-bucket. Wenn Sie einen Proxy für Amazon S3-Endpunkte in einer bestimmten Region verwenden, die us-east-1 nicht enthält, stellen Sie dem Bucket-Namen eine Region voran. Wenn dem Bucketname kein Präfix vorangestellt ist, wird die Bucketregion unter Verwendung des Endpunkts us-east-1 automatisch erkannt.

    7. Quelle des PS Gallery-Moduls zulassen: (Optional) Wählen Sie True, um PowerShell Module von https://www.powershellgallery.com/herunterzuladen. Wenn Sie Falsch wählen, geben Sie eine Quelle für die vorherige Option an ModuleSourceBucketName.

    8. Proxy-URI: (Optional) Verwenden Sie diese Option, um MOF-Dateien von einem Proxy-Server herunterzuladen.

    9. Reboot Behavior (Neustart-Verhalten): (Optional) Geben Sie eine der folgenden Neustart-Verhaltensweisen an, wenn die Ausführung Ihrer MOF-Datei einen Neustart erfordert:

      • AfterMof: Startet den Knoten neu, nachdem alle MOF-Ausführungen abgeschlossen sind. Selbst wenn mehrere MOF-Ausführungen einen Neustart anfordern, wartet das System mit dem Neustart, bis alle MOF-Ausführungen abgeschlossen sind.

      • Immediately (Sofort): Startet den Knoten neu, sobald eine MOF-Ausführung dies anfordert. Wenn mehrere MOF-Dateien ausgeführt werden, die einen Neustart anfordern, wird der Knoten mehrmals neu gestartet.

      • Never (Nie): Knoten werden selbst dann nicht neu gestartet, wenn die MOF-Ausführung explizit einen Neustart anfordert.

    10. Use Computer Name For Reporting (Computername für Berichte verwenden): (Optional) Aktivieren Sie diese Option, um in gemeldeten Compliance-Informationen den Namen des Computers aufzuführen. Der Standardwert ist false (falsch). Das bedeutet, dass das System bei der Meldung von Compliance-Informationen die Knoten-ID verwendet.

    11. Turn on Verbose Logging (Verbose-Protokollierung aktivieren): (Optional) Wir empfehlen, die Verbose-Protokollierung zu aktivieren, wenn Sie MOF-Dateien zum ersten Mal bereitstellen.

      Wichtig

      Wenn diese Option aktiviert ist, schreibt die ausführliche Protokollierung mehr Daten in Ihren Amazon S3-Bucket als die Standardprotokollierung für die Zuordnungsausführung. Dies kann dazu führen, dass die Leistung beeinträchtigt wird und etwas höhere Speichergebühren für Amazon S3 anfallen. Um diese Probleme beim Speichern großer Datenvolumen abzumildern, empfehlen wir, die Lebenszyklusrichtlinien für Ihren Amazon S3-Bucket zu aktivieren. Weitere Informationen finden Sie unter Wie erstelle ich eine Lebenszyklus-Richtlinie für einen S3-Bucket? im Benutzerhandbuch zu Amazon Simple Storage Service.

    12. Turn on Debug Logging (Debug-Protokollierung aktivieren): (Optional) Es wird empfohlen, die Debug-Protokollierung zu aktivieren, um MOF-Fehler zu beheben. Wir empfehlen außerdem, diese Option bei normaler Nutzung zu deaktivieren.

      Wichtig

      Wenn diese Option aktiviert ist, schreibt die Debug-Protokollierung mehr Daten in Ihren Amazon S3-Bucket als die Standardprotokollierung für die Zuordnungsausführung. Dies kann dazu führen, dass die Leistung beeinträchtigt wird und etwas höhere Speichergebühren für Amazon S3 anfallen. Um diese Probleme beim Speichern großer Datenvolumen abzumildern, empfehlen wir, die Lebenszyklusrichtlinien für Ihren Amazon S3-Bucket zu aktivieren. Weitere Informationen finden Sie unter Wie erstelle ich eine Lebenszyklus-Richtlinie für einen S3-Bucket? im Benutzerhandbuch zu Amazon Simple Storage Service.

    13. Compliance Type (Compliance-Typ): (Optional) Geben Sie den Compliance-Typ für die Meldung von Compliance-Informationen an. Der Standard-Compliance-Typ lautet Custom:DSC. Wenn Sie mehrere Zuordnungen erstellen, die MOF-Dateien ausführen, müssen Sie für jede Zuordnung einen anderen Compliance-Typ angeben. Wenn Sie dies nicht tun, überschreiben die zusätzlichen Zuordnungen mit Custom:DSC jeweils die bereits zusammengestellten Compliance-Daten.

    14. Pre Reboot Script (Skript vor dem Neustart): (Optional) Geben Sie ein Skript an, das ausgeführt werden soll, wenn die Konfiguration einen Neustart anfordert. Das Skript wird vor dem Neustart ausgeführt. Das Skript muss aus einer einzelnen Zeile bestehen. Trennen Sie zusätzliche Zeilen mithilfe von Semikolons.

  7. Wählen Sie im Abschnitt Targets (Ziele) entweder Specifying tags (Angaben von Tags) oder Manually Selecting Instance (Manuelles Auswählen einer Instance) aus. Wenn Sie die Zielressourcen mithilfe von Tags ausgewählt haben, geben Sie einen Tag-Schlüssel und den Tag-Wert in die entsprechenden Felder ein. Weitere Informationen zur Verwendung von Zielen finden Sie unter Grundlegendes zu Zielen und Ratenkontrollen in State Manager Verbände.

  8. Wählen Sie im Abschnitt Zeitplan angeben entweder Nach Zeitplan oder Kein Zeitplan aus. Wenn Sie On Schedule (Nach Zeitplan) auswählen, verwenden Sie die verfügbaren Schaltflächen zum Erstellen eines cron- oder rate-Zeitplans für die Zuordnung.

  9. Führen Sie im Abschnitt Advanced options (Erweiterte Optionen) Folgendes durch:

    • Wählen Sie unter Compliance severity (Compliance -Schweregrad), einen Schweregrad für die Zuordnung aus. In den Compliance-Berichten finden Sie Informationen dazu, ob die Zuordnung konform ist, zusammen mit dem Schweregrad, den Sie hier angeben. Weitere Informationen finden Sie unter Informationen State Manager Einhaltung gesetzlicher Vorschriften.

  10. Konfigurieren Sie im Bereich Rate Control die Optionen für die Ausführung State Manager Verknüpfungen innerhalb der gesamten Flotte verwalteter Knoten. Weitere Informationen zu diesen Optionen finden Sie unter Grundlegendes zu Zielen und Ratenkontrollen in State Manager Verbände.

    Wählen Sie im Abschnitt Gleichzeitigkeit eine Option aus:

    • Wählen Sie Ziele aus, um eine absolute Anzahl von Zielen einzugeben, die die Zuordnung gleichzeitig ausführen können.

    • Wählen Sie Prozentsatz aus, um einen Prozentsatz der Ziele anzugeben, die die Zuordnung gleichzeitig ausführen können.

    Wählen Sie im Abschnitt Fehlerschwellenwert eine Option aus:

    • Wählen Sie Fehler, um eine absolute Anzahl der zuvor zulässigen Fehler einzugeben State Manager beendet die Ausführung von Verknüpfungen auf zusätzlichen Zielen.

    • Wählen Sie Prozentsatz, um einen Prozentsatz der zuvor zulässigen Fehler einzugeben State Manager beendet die Ausführung von Verknüpfungen auf zusätzlichen Zielen.

  11. (Optional) Wenn Sie im Abschnitt Ausgabeoptionen die Befehlsausgabe in einer Datei speichern möchten, aktivieren Sie das Kontrollkästchen Schreiben der Ausgabe in S3 aktivieren. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.

    Anmerkung

    Die S3-Berechtigungen zum Schreiben von Daten in einen S3-Bucket sind die Berechtigungen des dem verwalteten Knoten zugewiesenen Instance-Profils und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Instance-Berechtigungen für Systems Manager konfigurieren oder Eine IAM-Servicerolle für eine Hybrid-Umgebung erstellen. Wenn sich der angegebene S3-Bucket in einem anderen befindet, stellen Sie außerdem sicher AWS-Konto, dass das Instanzprofil oder die IAM-Dienstrolle, die dem verwalteten Knoten zugeordnet sind, über die erforderlichen Berechtigungen verfügt, um in diesen Bucket zu schreiben.

  12. Wählen Sie Zuordnung erstellen.

State Manager erstellt die Zuordnung und führt sie sofort auf den angegebenen Knoten oder Zielen aus. Nach der ersten Ausführung wird die Zuordnung gemäß dem festgelegten Zeitplan und entsprechend den folgenden Regeln in Intervallen ausgeführt:

  • State Manager führt Verknüpfungen auf Knoten aus, die zu Beginn des Intervalls online sind, und überspringt Offline-Knoten.

  • State Manager versucht, die Zuordnung während eines Intervalls auf allen konfigurierten Knoten auszuführen.

  • Wenn eine Assoziation während eines Intervalls nicht ausgeführt wird (weil beispielsweise ein Parallelitätswert die Anzahl der Knoten begrenzt hat, die die Zuordnung gleichzeitig verarbeiten könnten), State Manager versucht, die Assoziation im nächsten Intervall auszuführen.

  • State Manager zeichnet den Verlauf aller übersprungenen Intervalle auf. Sie können den Verlauf auf der Registerkarte Execution History (Ausführungsverlauf) anzeigen.

Anmerkung

Das AWS-ApplyDSCMofs ist ein Systems Manager Befehlsdokument. Das bedeutet, dass Sie dieses Dokument auch ausführen können, indem Sie Run Command, ein Tool in AWS Systems Manager. Weitere Informationen finden Sie unter AWS Systems Manager Run Command.

Problembehandlung bei der Erstellung von Zuordnungen, die MOF-Dateien ausführen

Dieser Abschnitt enthält Informationen zur Unterstützung bei der Behebung von Problemen, die möglicherweise beim Erstellen von Zuordnungen zur Ausführung von MOF-Dateien auftreten.

Aktivieren der erweiterten Protokollierung

Aktivieren Sie als ersten Schritt zur Fehlerbehebung die erweiterte Protokollierung. Führen Sie dazu die folgenden Schritte aus:

  1. Stellen Sie sicher, dass die Zuordnung so konfiguriert ist, dass sie Befehlsausgaben entweder in Amazon S3 oder Amazon CloudWatch Logs (CloudWatch) schreibt.

  2. Setzen Sie den Parameter Enable Verbose Logging auf „True“ fest.

  3. Setzen Sie den Parameter Enable Debug Logging auf „True“ fest.

Wenn die Verbose- und die Debug-Protokollierung aktiviert ist, enthält die Stdout-Ausgabedatei Details über die Skriptausführung. Diese Ausgabedatei kann Sie bei der Suche, an welcher Stelle das Skript fehlgeschlagen ist, unterstützen. Die Stderr-Ausgabedatei enthält Fehler, die während der Skriptausführung aufgetreten sind.

Häufige Probleme beim Erstellen von Zuordnungen, die MOF-Dateien ausführen

Dieser Abschnitt enthält Informationen über häufige Probleme, die beim Erstellen von Zuordnungen für die Ausführung von MOF-Dateien auftreten können, sowie Schritte, um diese Probleme zu beheben.

Meine MOF-Datei wurde nicht angewendet.

Wenn State Manager konnte die Zuordnung nicht auf Ihre Knoten anwenden. Überprüfen Sie dann zunächst die Stderr-Ausgabedatei. Diese Datei kann Ihnen helfen, die Ursache des Problems zu verstehen. Überprüfen Sie auch Folgendes:

  • Der Knoten hat die erforderlichen Zugriffsberechtigungen für alle mit der MOF-Datei verbundenen Amazon S3-Buckets. Das heißt:

    • s3: GetObject Berechtigungen: Dies ist für MOF-Dateien in privaten Amazon S3 S3-Buckets und benutzerdefinierte Module in Amazon S3 S3-Buckets erforderlich.

    • s3: PutObject Berechtigung: Dies ist erforderlich, um Compliance-Berichte und den Compliance-Status in Amazon S3 S3-Buckets zu schreiben.

  • Wenn Sie Tags verwenden, stellen Sie sicher, dass der Knoten die erforderliche IAM-Richtlinie hat. Die Verwendung von Tags erfordert, dass die Instance-IAM-Rolle über eine Richtlinie verfügt, die die Aktionen ec2:DescribeInstances und ssm:ListTagsForResource ermöglicht.

  • Stellen Sie sicher, dass dem Knoten die erwarteten Tags oder SSM-Parameter zugewiesen wurden.

  • Stellen Sie sicher, dass alle Tags und SSM-Parameter richtig geschrieben sind.

  • Versuchen Sie, die MOF-Datei lokal auf dem Knoten auszuführen, um sicherzustellen, dass kein Problem bei der MOF-Datei selbst vorliegt.

Meine MOF-Datei schien fehlzuschlagen, aber die Systems Manager-Ausführung war erfolgreich.

Wenn das Dokument AWS-ApplyDSCMofs erfolgreich ausgeführt wurde, wird der Systems Manager-Ausführungsstatus als Success (Erfolg) angezeigt. Dieser Status sagt nichts über den Compliance-Status Ihres Knotens, gemessen an den Konfigurationsanforderungen in der MOF-Datei, aus. Um den Compliance-Status Ihrer Knoten anzuzeigen, zeigen Sie die Compliance-Berichte an. Sie können einen JSON-Bericht im Amazon S3-Bericht-Bucket anzeigen. Das gilt für Run Command and State Manager Hinrichtungen. Ebenfalls für State Manager, können Sie Konformitätsdetails auf der Compliance-Seite von Systems Manager einsehen.

In der Stderr-Ausgabedatei finden sich Hinweise, dass bei dem Versuch, den Service zu erreichen, ein Fehler bei der Namensauflösung aufgetreten ist.

Dieser Fehler weist darauf hin, dass das Skript einen Remoteservice nicht erreichen kann. In den meisten Fällen dürfte das Skript Probleme haben, Amazon S3 zu erreichen. Dieses Problem tritt am häufigsten auf, wenn das Skript versucht, Compliance-Berichte oder den Compliance-Status in den Amazon S3-Bucket zu schreiben, der in den Dokumentparametern angegeben ist. In der Regel tritt dieser Fehler auf, wenn eine Datenverarbeitungsumgebung eine Firewall oder einen transparenten Proxy mit einer Zulassungsliste verwendet. So beheben Sie dieses Problem

  • Verwenden Sie die regionsspezifische Bucket-Syntax für alle Amazon S3-Bucket-Parameter. Beispiel: Die Mofs to Apply-Parameter sollten in dem folgenden Format angegeben werden:

    s3:: bucket-regionbucket-name: mof-file-name .mof.

    Ein Beispiel: s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Die Bucketnamen für Berichte, Statusinformationen und Modulquellen sollten in dem folgenden Format angegeben werden.

    bucket-region:. bucket-name Hier ist ein Beispiel: us-west-1:amzn-s3-demo-bucket;

  • Wenn sich das Problem nicht durch Verwendung einer regionsspezifischen Syntax beheben lässt, stellen Sie sicher, dass die Ziel-Knoten in der gewünschten Region auf Simple Storage Service (Amazon S3) zugreifen können. So können Sie dies überprüfen

    1. Suchen Sie den Endpunktnamen für Amazon S3 in der entsprechenden Amazon S3-Region. Weitere Informationen finden Sie unter Amazon-S3-Service-Endpunkte im Allgemeine Amazon Web Services-Referenz.

    2. Melden Sie sich am Ziel-Knoten an und führen Sie den folgenden Ping-Befehl aus.

      ping s3.s3-region.amazonaws.com

      Wenn der Ping-Aufruf fehlgeschlagen ist, bedeutet dies, dass entweder Simple Storage Service (Amazon S3) nicht verfügbar ist, dass eine Firewall bzw. ein transparenter Proxy den Zugriff auf die Simple Storage Service (Amazon S3)-Region blockiert oder dass der Knoten nicht auf das Internet zugreifen kann.

Anzeigen von Details zur DSC-Ressourcen-Compliance

Systems Manager erfasst Compliance-Informationen zu DSC-Ressourcenfehlern im Amazon S3 Status-Bucket, den Sie bei der Ausführung des AWS-ApplyDSCMofs-Dokuments angegeben haben. Die Suche nach Informationen zu DSC-Ressourcenfehlern in einem Amazon S3-Bucket kann zeitaufwendig sein. Stattdessen können Sie diese Informationen auf der Systems Manager-Seite Compliance anzeigen.

Der Bereich Compliance-Ressourcen-Zusammenfassung zeigt die Anzahl der Ressourcen an, die fehlgeschlagen sind. Im folgenden Beispiel ComplianceTypeist das custom:DSC und eine Ressource ist nicht konform.

Anmerkung

custom:DSC ist der Standardwert im Dokument. ComplianceTypeAWS-ApplyDSCMofs Dieser Wert ist anpassbar.

Anzeigen der Anzahl im Bereich Compliance-Ressourcen-Zusammenfassung der Seite Compliance.

Im Abschnitt „Detailübersicht für Ressourcen“ werden Informationen über die AWS Ressource mit der nicht konformen DSC-Ressource angezeigt. Dieser Bereich enthält auch den MOF-Namen, Skript-Ausführungsschritte und (falls zutreffend) den Link View output (Ausgabe anzeigen) zur Ansicht detaillierter Statusinformationen.

Anzeigen von Compliance-Details für einen MOF-Ausführungs-Ressourcenfehler

Der Link View output zeigt die letzten 4.000 Zeichen des detaillierten Status an. Systems Manager beginnt mit der Ausnahme als erstem Element und scannt dann durch die ausführlichen Nachrichten und stellt so viele wie möglich voran, bis das Kontingent von 4.000 Zeichen erreicht wird. Dieser Vorgang zeigt die Protokollmeldungen an, die vor dem Auslösen der Ausnahme ausgegeben wurden. Dabei handelt es sich um die relevantesten Nachrichten für die Fehlerbehebung.

Anzeigen der ausführlichen Ausgabe bei Compliance-Problemen mit MOF-Ressourcen

Weitere Informationen zum Anzeigen von Compliance-Informationen finden Sie unter AWS Systems Manager-Compliance.

Situationen, die die Compliance-Berichterstellung beeinflussen

Wenn das Symbol State Manager Die Zuordnung schlägt fehl, dann werden keine Kompatibilitätsdaten gemeldet. Genauer gesagt, meldet Systems Manager doesn’t keine Compliance-Elemente, wenn eine MOF-Datei nicht verarbeitet werden kann, da die Zuordnungen fehlschlagen. Beispiel: Wenn Systems Manager versucht, eine MOF-Datei von einem Amazon S3-Bucket herunterzuladen, und der Knoten keine Berechtigung zum Zugriff besitzt, schlägt die Zuordnung fehl und es werden keine Compliance-Daten gemeldet.

Wenn eine Ressource in einer zweiten MOF-Datei fehlschlägt, dann meldet Systems Manager Bericht-Compliance-Daten. Beispiel: Wenn ein MOF versucht, eine Datei auf einem nicht vorhandenen Laufwerk zu erstellen, dann meldet Systems Manager Compliance, da das AWS-ApplyDSCMofs-Dokument vollständig verarbeitet werden kann. Dies bedeutet, dass die Zuordnung erfolgreich ausgeführt wird.