Creación de una activación híbrida para registrar nodos con Systems Manager - AWS Systems Manager

Creación de una activación híbrida para registrar nodos con Systems Manager

Para configurar equipos distintos a las instancias de Amazon Elastic Compute Cloud (EC2) como nodos administrados para un entorno híbrido y multinube, cree y aplique una activación híbrida. Después de completar correctamente la activación, recibirá inmediatamente un código y un ID de activación en la parte superior de la página de la consola. Puede especificar esta combinación de código e ID cuando instale AWS Systems Manager SSM Agent en equipos que no sean de EC2 para su entorno híbrido y multinube. La combinación de código e ID proporciona un acceso seguro al servicio de Systems Manager desde sus nodos administrados.

importante

Systems Manager regresa inmediatamente el código e ID de activación a la consola o la ventana de comandos, en función de cómo haya creado la activación. Copie esta información y guárdela en un lugar seguro. Si sale de la consola o cierra la ventana de comandos, podría perder esta información. Si la pierde, debe crear una nueva activación.

Acerca del vencimiento de la activación

Un vencimiento de la activación es un intervalo de tiempo en el que se pueden registrar máquinas locales en Systems Manager. Una activación que ha vencido no tiene ningún impacto en los servidores ni en las máquinas virtuales que haya registrado en Systems Manager. Si una activación ha vencido, no se podrán registrar más servidores ni máquinas virtuales en Systems Manager mediante esa activación específica. Solo es necesario crear una nueva.

Cada servidor y máquina virtual en las instalaciones que ya haya registrado permanecen registrados como un nodo administrado de Systems Manager hasta que anule el registro explícitamente. Puede anular el registro de un nodo administrado en la pestaña Nodos administrados en Fleet Manager en la consola de Systems Manager, mediante el comando de la AWS CLI deregister-managed-instance o la llamada a la API DeregisterManagedInstance.

Acerca de los nodos administrados

Un nodo administrado es cualquier máquina configurada para AWS Systems Manager. AWS Systems Manager admite instancias de Amazon Elastic Compute Cloud (Amazon EC2), dispositivos periféricos y servidores o VM en las instalaciones, incluidas VM de otros entornos en la nube. Anteriormente, todos los nodos administrados se denominaban instancias administradas. El término instancia ahora refiere únicamente a las instancias de EC2. El comando deregister-managed-instance se nombró antes de este cambio de terminología.

Acerca de las etiquetas de activación

Si crea una activación mediante la AWS Command Line Interface (AWS CLI) o las AWS Tools for Windows PowerShell, puede especificar etiquetas. Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno. Este es un comando de la AWS CLI de ejemplo que se puede ejecutar en un equipo Linux local que incluye etiquetas opcionales.

aws ssm create-activation \ --default-instance-name MyWebServers \ --description "Activation for Finance department webservers" \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --tags "Key=Department,Value=Finance"

Si especifica etiquetas al crear una activación, esas etiquetas se asignarán automáticamente a sus nodos administrados cuando los active.

No se pueden añadir ni eliminar etiquetas de una activación existente. Si no desea asignar etiquetas automáticamente a sus servidores y máquinas virtuales locales mediante una activación, puede añadirles etiquetas más adelante. En concreto, puede etiquetar los servidores locales y las máquinas virtuales después de que se conecten a Systems Manager por primera vez. Después de conectarse, se les asigna un ID de nodo administrado que se muestra en la consola de Systems Manager con un ID que lleva el prefijo “mi-”.

nota

No puede asignar etiquetas a una activación si se crea mediante la consola de Systems Manager. Para crearla, utilice la AWS CLI o Tools for Windows PowerShell.

Si ya no desea administrar un servidor local o una máquina virtual mediante Systems Manager, puede anular el registro. Para obtener más información, consulte Anulación del registro de nodos administrados en un entorno híbrido y multinube.

Uso de la AWS Management Console para crear una activación para registrar nodos administrados con Systems Manager

Para crear una activación de nodo administrado
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Hybrid Activations (Activaciones híbridas).

  3. Elija Create activation (Crear activación).

    -o bien-

    Si va a acceder a Hybrid Activations (Activaciones híbridas) por primera vez en la Región de AWS actual, elijaCreate an Activation (Crear una activación).

  4. (Opcional) En el campo Activation description (Descripción de la activación), ingrese una descripción para esta activación. Le recomendamos que ingrese una descripción si tiene previsto activar un gran número de servidores y máquinas virtuales.

  5. En Instance limit (Límite de instancias), especifique el número total de nodos que desea registrar con AWS como parte de esta activación. El valor predeterminado es 1 instancia.

  6. En IAM role (Rol de IAM), elija una opción de rol de servicio que permita que los servidores y las máquinas virtuales se comuniquen con AWS Systems Manager en la nube:

    • Opción 1: elija Use the default role created by the system (Utilizar el rol predeterminado creado por el sistema) para utilizar un rol y una política administrada proporcionada por AWS.

    • Opción 2: elija Select an existing custom IAM role that has the required permissions (Seleccionar un rol de IAM personalizado existente que tenga los permisos requeridos) para utilizar el rol personalizado opcional que ha creado anteriormente. Este rol debe tener una política de relación de confianza que especifique "Service": "ssm.amazonaws.com". Si su rol de IAM no especifica este principio en una política de relación de confianza, recibirá el siguiente error:

      An error occurred (ValidationException) when calling the CreateActivation
                                          operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Para obtener más información sobre la creación de este rol, consulte Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube.

  7. En Activation expiry date (Fecha de vencimiento de la activación), especifique una fecha de vencimiento para la activación. La fecha de vencimiento debe ser en el futuro y no más de 30 días en el futuro. El valor de predeterminado es 24 horas.

    nota

    Si desea registrar nodos administrados adicionales después de la fecha de vencimiento, debe crear una nueva activación. La fecha de vencimiento no afecta los nodos registrados y en ejecución.

  8. (Opcional) En el campo Default instance name (Nombre de instancia predeterminado), especifique un valor de nombre identificativo para mostrarlo en todos los nodos administrados asociados a esta activación.

  9. Elija Create activation (Crear activación). Systems Manager regresa inmediatamente el ID y el código de activación a la consola.

Uso de la línea de comandos para crear una activación para registrar nodos administrados con Systems Manager

En el siguiente procedimiento se describe cómo utilizar la AWS Command Line Interface (AWS CLI) (en Linux o Windows Server) o AWS Tools for PowerShell para crear una activación de nodo administrado.

Para crear una activación
  1. Si aún no lo ha hecho, instale y configure la AWS CLI o las AWS Tools for PowerShell.

    Para obtener información, consulte Instalación o actualización de la última versión de la AWS CLI e Instalación de AWS Tools for PowerShell.

  2. Ejecute el siguiente comando para crear una activación.

    nota
    • En el siguiente comando, reemplace region con su propia información. Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

    • El rol que especifique para el parámetro iam-role debe tener una política de relación de confianza que especifique "Service": "ssm.amazonaws.com". Si su rol de AWS Identity and Access Management (IAM) no especifica este principio en una política de relación de confianza, recibirá el siguiente error:

      An error occurred (ValidationException) when calling the CreateActivation
                                              operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Para obtener más información sobre la creación de este rol, consulte Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube.

    • Para --expiration-date, proporcione una fecha en formato de marca temporal, como "2021-07-07T00:00:00", para cuando el código de activación llegue a su vencimiento. Puede especificar una fecha con hasta 30 días de antelación. Si no proporciona una fecha de vencimiento, el código de activación se vencerá en 24 horas.

    Linux & macOS
    aws ssm create-activation \ --default-instance-name name \ --iam-role iam-service-role-name \ --registration-limit number-of-managed-instances \ --region region \ --expiration-date "timestamp" \\ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^ --default-instance-name name ^ --iam-role iam-service-role-name ^ --registration-limit number-of-managed-instances ^ --region region ^ --expiration-date "timestamp" ^ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name ` -IamRole iam-service-role-name ` -RegistrationLimit number-of-managed-instances ` –Region region ` -ExpirationDate "timestamp" ` -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    A continuación se muestra un ejemplo.

    Linux & macOS
    aws ssm create-activation \ --default-instance-name MyWebServers \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --expiration-date "2021-07-07T00:00:00" \ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^ --default-instance-name MyWebServers ^ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^ --registration-limit 10 ^ --region us-east-2 ^ --expiration-date "2021-07-07T00:00:00" ^ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers ` -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances ` -RegistrationLimit 10 ` –Region us-east-2 ` -ExpirationDate "2021-07-07T00:00:00" ` -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    Si la activación se crea correctamente, el sistema devuelve inmediatamente un código y un ID de activación.