Solución de problemas de disponibilidad de nodos administrados - AWS Systems Manager
Solución 1: comprobar que el SSM Agent está instalado y ejecutándose en el nodo administradoSolución 2: comprobar que se ha especificado un perfil de instancias de IAM para la instancia (solo instancias de EC2)Solución 3: verificar la conectividad de los puntos de enlace de servicioSolución 4: verificar la compatibilidad con el sistema operativo de destinoSolución 5: verificar que está trabajando en la misma Región de AWS que la instancia de Amazon EC2Solución 6: comprobar la configuración del proxy que aplicó a SSM Agent en el nodo administradoSolución 7: instalar un certificado TLS en instancias administradas

Solución de problemas de disponibilidad de nodos administrados

Para varias capacidades de AWS Systems Manager, como Run Command, Distributor y Session Manager, puede elegir seleccionar de forma manual los nodos administrados en los que desea ejecutar la operación. En estos casos, después de especificar que desea elegir los nodos de forma manual, se muestra una lista de los nodos administrados donde puede ejecutar la operación.

Este tema proporciona información para ayudarlo a diagnosticar por qué un nodo administrado que ha confirmado que se está ejecutando no está incluido en las listas de nodos administrados de Systems Manager.

Para que Systems Manager administre un nodo y dicho nodo esté disponible en las listas de nodos administrados, debe cumplir tres requisitos:

  • SSM Agent debe estar instalado y ejecutándose en el nodo con un sistema operativo compatible.

    nota

    Algunas Amazon Machine Images (AMIs) administradas de AWS están configuradas para lanzar instancias con SSM Agent preinstalado. (También puede configurar una AMI personalizada para la preinstalación de SSM Agent.) Para obtener más información, consulte Búsqueda de AMIs con SSM Agent preinstalado.

  • Para las instancias de Amazon Elastic Compute Cloud (Amazon EC2), debe adjuntar un perfil de instancias de AWS Identity and Access Management (IAM) a la instancia. El perfil de instancias permite que la instancia se comunique con el servicio de Systems Manager. Si no asigna un perfil de instancias a la instancia, lo registra mediante una activación híbrida, lo que no es un escenario común.

  • SSM Agent debe poder conectarse a un punto de enlace de Systems Manager para registrarse en el servicio. A partir de entonces, el nodo administrado debe estar disponible para el servicio, lo que se confirma mediante el envío de una señal cada cinco minutos para verificar el estado de la instancia.

  • Cuando el estado de un nodo administrado sea Connection Lost durante al menos 30 días, es posible que el nodo deje de aparecer en la lista de la consola de Fleet Manager. Para que vuelva a aparecer en la lista, se debe resolver el problema que haya provocado la pérdida de conexión.

Después de verificar que se está ejecutando un nodo administrado, puede utilizar el siguiente comando para verificar si SSM Agent se ha registrado correctamente con el servicio de Systems Manager. Este comando no devuelve resultados hasta que se haya realizado un registro correcto.

Linux & macOS
aws ssm describe-instance-associations-status \
    --instance-id instance-id
Windows
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
PowerShell
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id

Si el registro se realizó correctamente y el nodo administrado ahora está disponible para las operaciones de Systems Manager, el comando devuelve resultados similares a los siguientes.

{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}

Si el registro aún no se ha completado o no se ejecuta de manera correcta, el comando devuelve resultados similares a los siguientes:

{
    "InstanceAssociationStatusInfos": []
}

Si el comando no devuelve resultados después de 5 minutos, utilice la siguiente información para que lo ayude a solucionar problemas con los nodos administrados.

Temas

Solución 1: comprobar que el SSM Agent está instalado y ejecutándose en el nodo administrado

Asegúrese de que la versión más reciente de SSM Agent está instalada y ejecutándose en el nodo administrado.

Para determinar si SSM Agent está instalado y ejecutándose en un nodo administrado, consulte Verificación del estado de SSM Agent e inicio del agente.

Para instalar o reinstalar SSM Agent en un nodo administrado, consulte los siguientes temas:

Solución 2: comprobar que se ha especificado un perfil de instancias de IAM para la instancia (solo instancias de EC2)

Para instancias de Amazon Elastic Compute Cloud (Amazon EC2), compruebe que la instancia está configurada con un perfil de instancias de AWS Identity and Access Management (IAM) que permite que la instancia se comunique con la API de Systems Manager. Verifique también que su usuario tenga una política de confianza de IAM que le permita comunicarse con la API de Systems Manager.

nota

Los servidores locales, los dispositivos de borde y las máquinas virtuales utilizan un rol de servicio de IAM en lugar de un perfil de instancias. Para obtener más información, consulte Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube.

Para determinar si un perfil de instancias con los permisos necesarios está adjuntado a una instancia de EC2

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Elija la instancia que desea verificar para un perfil de instancias.

  4. En la pestaña Descripción en el panel inferior, busque Rol de IAM y elija el nombre del rol.

  5. En la página Resumen del rol para el perfil de instancia, en la pestaña Permisos, asegúrese de que AmazonSSMManagedInstanceCore se encuentre en la lista de Políticas de permisos.

    Si, en su lugar, se utiliza una política personalizada, asegúrese de que proporcione los mismos permisos que AmazonSSMManagedInstanceCore.

    Abrir AmazonSSMManagedInstanceCore en la consola

    Para obtener información sobre otras políticas que se pueden asociar a un perfil de instancia para Systems Manager, consulte Configuración de permisos de instancia requeridos para Systems Manager.

Solución 3: verificar la conectividad de los puntos de enlace de servicio

Compruebe que la instancia tenga conectividad con los puntos de enlace de servicio de Systems Manager. Esta conectividad se proporciona creando y configurando puntos de enlace de la VPC para Systems Manager, o permitiendo el tráfico saliente HTTPS (puerto 443) a los puntos de enlace de servicio.

Para las instancias de Amazon EC2, el punto de conexión de servicio de Systems Manager para la Región de AWS se utiliza para registrar la instancia si la configuración de la nube privada virtual (VPC) permite el tráfico saliente. Sin embargo, si la configuración de la VPC en la que se lanzó la instancia no permite el tráfico saliente y no puede cambiar esta configuración para permitir la conectividad con los puntos de enlace de servicio públicos, configure los puntos de enlace de interfaz para la VPC.

Para obtener más información, consulte Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager.

Solución 4: verificar la compatibilidad con el sistema operativo de destino

Compruebe que la operación que eligió se pueda ejecutar en el tipo de nodo administrado que espera ver en la lista. Algunas operaciones de Systems Manager solo pueden dirigirse a instancias de Windows o a instancias de Linux. Por ejemplo, los documentos de Systems Manager (SSM) AWS-InstallPowerShellModule y AWS-ConfigureCloudWatch solo se puede ejecutar en las instancias de Windows. En la página Ejecutar un comando, si elige cualquiera de estos documentos y selecciona Elegir instancias manualmente, solo se muestran las instancias de Windows que están disponibles para su selección.

Solución 5: verificar que está trabajando en la misma Región de AWS que la instancia de Amazon EC2

Las instancias de Amazon EC2 se crean y están disponibles en Regiones de AWS específicas, como la Región Este de EE. UU. (Ohio) (us-east-2) o la Región Europa (Irlanda) (eu-west-1). Asegúrese de que trabaja en la misma Región de AWS que la instancia de Amazon EC2 con la que desea trabajar. Para obtener más información, consulte Elegir una región en la Introducción a la AWS Management Console.

Solución 6: comprobar la configuración del proxy que aplicó a SSM Agent en el nodo administrado

Verifique que la configuración del proxy que aplicó a SSM Agent en el nodo administrado sea correcta. Si la configuración del proxy es incorrecta, el nodo no puede conectarse a los puntos de conexión de servicio requeridos o es posible que Systems Manager identifique incorrectamente el sistema operativo del nodo administrado. Para obtener más información, consulte Configuración de SSM Agent para utilizar un proxy en nodos de Linux y Configurar el SSM Agent para usar un proxy para las instancias de Windows Server.

Solución 7: instalar un certificado TLS en instancias administradas

Se debe instalar un certificado de Seguridad de la capa de transporte (TLS) en cada instancia administrada que utiliza con AWS Systems Manager. Los Servicios de AWS utilizan estos certificados para cifrar llamadas a otros Servicios de AWS.

Un certificado TLS ya está instalado de forma predeterminada en cada instancia de Amazon EC2 creada a partir de una Amazon Machine Image (AMI). La mayoría de los sistemas operativos modernos incluyen el certificado TLS necesario de las entidades de certificación (CA) de Amazon Trust Services en su almacén de confianza.

Para comprobar si el certificado requerido está instalado en la instancia, ejecute el comando siguiente basado en el sistema operativo de la instancia. Asegúrese de sustituir la parte de la región de la URL con la Región de AWS en la que se encuentra la instancia administrada.

Linux & macOS
curl -L https://ssm.region.amazonaws.com
Windows
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com

El comando debe devolver un error UnknownOperationException. Si en su lugar recibe un mensaje de error SSL/TLS, es posible que el certificado requerido no esté instalado.

Si descubre que los certificados de CA de Amazon Trust Services necesarios no están instalados en sus sistemas operativos principales, en las instancias creadas a partir de AMIs que no han sido suministradas por Amazon o en sus propios servidores locales y máquinas virtuales, debe instalar y permitir un certificado de Amazon Trust Services o usar AWS Certificate Manager (ACM) para crear y administrar certificados para un servicio integrado compatible.

Todas las instancias administradas deben tener instalado uno de los siguientes certificados Transport Layer Security (TLS).

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority - G2

  • Starfield Class 2 Certificate Authority

Para obtener información sobre ACM, consulte la Guía del usuario de AWS Certificate Manager.

Si los certificados de su entorno informático se administran por medio de un objeto de política de grupo (GPO), es posible que tenga que configurar la política de grupo para que incluya uno de estos certificados.

Para obtener más información acerca de los certificados Root y Starfield de Amazon, consulte la publicación del blog How to Prepare for AWS’s Move to Its Own Certificate Authority.