Creación de asociaciones que ejecutan archivos MOF - AWS Systems Manager
Uso de Amazon S3 para almacenar artefactosResolución de credenciales en archivos MOFUso de tokens en archivos MOFRequisitos previos para la creación de asociaciones que ejecutan archivos MOFCreación de una asociación que ejecuta archivos MOFSolución de problemas al crear asociaciones que ejecutan archivos MOFVisualización de los detalles de cumplimiento de recursos de DSC

Creación de asociaciones que ejecutan archivos MOF

Puede ejecutar archivos Managed Object Format (MOF) para aplicar un estado deseado en nodos administrados de Windows Server con State Manager, una capacidad de AWS Systems Manager, mediante el documento AWS-ApplyDSCMofs de SSM. El documento AWS-ApplyDSCMofs cuenta con dos modos de ejecución. En el primer modo, puede configurar la asociación para analizar e informar si los nodos administrados se encuentran en el estado deseado definido en los archivos MOF especificados. En el segundo, puede ejecutar los archivos MOF y cambiar la configuración de los nodos en función de los recursos y sus valores definidos en los archivos MOF. El documento AWS-ApplyDSCMofs le permite descargar y ejecutar los archivos de configuración MOF desde Amazon Simple Storage Service (Amazon S3), un recurso compartido o un sitio web seguro con un dominio HTTPS.

State Manager registra e informa del estado de cada archivo MOF durante cada ejecución de asociación. State Manager también informa de la salida de cada ejecución de archivo MOF como un evento de conformidad que puede ver en la página Conformidad de AWS Systems Manager.

La ejecución de archivos MOF se basa en Windows PowerShell Desired State Configuration (PowerShell DSC). PowerShell DSC es una plataforma declarativa que se utiliza para la configuración, la implementación y la administración de los sistemas Windows. PowerShell DSC permite a los administradores describir, en documentos de texto sencillo llamados "configuraciones de DSC", cómo desean configurar un servidor. Una configuración de PowerShell DSC es un script de PowerShell especializado que indica qué es lo que se debe hacer, pero no cómo. La ejecución de la configuración produce un archivo MOF. El archivo MOF se puede aplicar a uno o varios servidores para lograr la configuración deseada para esos servidores. Los recursos de PowerShell DSC realizan la tarea de aplicar la configuración. Para obtener más información, consulte Windows PowerShell Desired State Configuration Overview.

Uso de Amazon S3 para almacenar artefactos

Si utiliza Amazon S3 para almacenar los módulos de PowerShell, archivos MOF, informes de conformidad o informes de estado, el rol de AWS Identity and Access Management (IAM) que utiliza SSM Agent de AWS Systems Manager debe tener permisos ListBucket y GetObject en el bucket. Si no proporciona estos permisos, el sistema devuelve un errorAcceso denegado. Aquí hay información importante sobre el almacenamiento de artefactos en Amazon S3.

  • Si el bucket está en otra Cuenta de AWS, cree una política de recursos de bucket que concede a la cuenta (o al rol de IAM) los permisos GetObject y ListBucket.

  • Si desea utilizar recursos de DSC personalizados, puede descargar estos recursos desde un bucket de Amazon S3. También puede instalarlos automáticamente desde la galería de PowerShell.

  • Si utiliza Amazon S3 como fuente del módulo, cargue el módulo como un archivo Zip que distingue entre mayúsculas y minúsculas en el siguiente formato: ModuleName_ModuleVersion.zip. Por ejemplo: MiMódulo_1.0.0.zip.

  • Todos los archivos deben estar en la raíz del bucket. Las estructuras de carpeta no son compatibles.

Resolución de credenciales en archivos MOF

Las credenciales se resuelven mediante AWS Secrets Manager o AWS Systems Manager Parameter Store. Esto permite configurar la rotación de credenciales automática. Esto también le permite a DSC propagar automáticamente las credenciales a los servidores sin tener que volver a implementar los archivos MOF.

Para utilizar un secreto de AWS Secrets Manager en una configuración, cree un objeto PSCredential donde el nombre de usuario sean los valores de SecretId o SecretARN del secreto que contiene la credencial. Puede especificar cualquier valor del contraseña. El valor se omite. A continuación se muestra un ejemplo.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Compile los archivos usando la configuración MOF PsAllowPlaintextPassword en los datos de configuración. Esto es correcto, ya que la credencial solo contiene una etiqueta.

En Secrets Manager, asegúrese de que el nodo tenga acceso a GetSecretValue en una política administrada de IAM y, de forma opcional, en la política de recursos de secretos si existe. Para trabajar con DSC, el secreto debe tener el siguiente formato.

{ 'Username': 'a_name', 'Password': 'a_password' }

El secreto puede tener otras propiedades (por ejemplo, las propiedades utilizadas para rotación), pero debe tener, como mínimo, el nombre de usuario y la contraseña.

Es recomendable que utilice un método de rotación de varios usuarios, donde tenga dos nombres de usuario y contraseñas diferentes, y la función de AWS Lambda de rotación cambia entre ellos. Este método permite varias cuentas activas al mismo tiempo, lo que elimina el riesgo de bloquear usuarios durante la rotación.

Uso de tokens en archivos MOF

Los tokens le ofrecen la posibilidad de modificar valores de propiedades de recursos después de compilar los MOF. Esto le permite volver a utilizar los archivos MOF comunes en varios servidores que requieren configuraciones similares.

La sustitución de tokens solo funciona para las propiedades de recursos de tipo String. Sin embargo, si el recurso tiene una propiedad de nodo CIM anidada, también resuelve tokens de propiedades String en ese nodo CIM. No se puede utilizar la sustitución de tokens para numerales o matrices.

Por ejemplo, considere un escenario en el que utiliza el recurso xComputerManagement y desea cambiar el nombre del equipo con DSC. Normalmente, necesitaría un archivo MOF dedicado para esa máquina. Sin embargo, gracias a la compatibilidad con token, puede crear un solo archivo MOF y aplicarlo a todos los nodos. En la propiedad ComputerName, en lugar de codificar de forma rígida el nombre del equipo en el MOF, puede utilizar un token de tipo de etiqueta de instancia. El valor se resuelve durante el análisis de MOF. Consulte el siguiente ejemplo.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

A continuación, configure una etiqueta en el nodo administrado en la consola de Systems Manager o una etiqueta de Amazon Elastic Compute Cloud (Amazon EC2) en la consola de Amazon EC2. Al ejecutar el documento, el script sustituye el token {tag:ComputerName} por el valor de la etiqueta de instancia.

También puede combinar varias etiquetas en una sola propiedad, como se muestra en el ejemplo siguiente.

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Hay cinco tipos diferentes de tokens que puede utilizar:

  • tag: etiquetas de los nodos administrados o Amazon EC2.

  • tagb64: igual que tag, pero el sistema usa base64 para descodificar el valor. Esto le permite utilizar caracteres especiales en los valores de etiqueta.

  • env: resuelve las variables de entorno.

  • ssm: valores de Parameter Store. Solo se admiten los tipos String y SecureString.

  • tagssm: igual que tag, pero si la etiqueta no se ha establecido en el nodo, el sistema intenta resolver el valor de un parámetro de Systems Manager con el mismo nombre. Esto resulta útil en situaciones en las que desea un valor global predeterminado, pero quiere poder anularlo en un solo nodo (por ejemplo, las implementaciones únicas).

A continuación, se muestra un ejemplo de Parameter Store que utiliza el tipo de token ssm. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Los tokens desempeñan un papel importante a la hora de reducir el código redundante haciendo que los archivos MOF sean genéricos y reutilizables. Si puede evitar el archivo MOF específico de servidor, no tendrá que usar un servicio de creación de MOF. Un servicio de creación de MOF aumenta los costos, disminuye el tiempo de aprovisionamiento y aumenta el riesgo de desviaciones de configuración entre nodos agrupados debido a que se instalan diferentes versiones del módulo en el servidor de compilación cuando se compilan los MOF.

Requisitos previos para la creación de asociaciones que ejecutan archivos MOF

Antes de crear una asociación que ejecuta archivos MOF, compruebe que los nodos administrados tienen los siguientes requisitos previos instalados:

Creación de una asociación que ejecuta archivos MOF

Para crear una asociación que ejecuta archivos MOF

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija State Manager.

  3. Elija State Manager y, a continuación, Create association (Crear asociación).

  4. Escriba un nombre en el campo Nombre. Esto es opcional, pero recomendable. Un nombre puede ayudarle a entender el objetivo de la asociación cuando la creó. No se permiten espacios en el nombre.

  5. En la lista Document (Documento), elija AWS-ApplyDSCMofs.

  6. En la sección Parameters (Parámetros), especifique los parámetros de entrada opcionales y obligatorios.

    1. Mofs To Apply (MOF a aplicar): especifique uno o varios archivos MOF que se ejecutarán cuando se ejecute esta asociación. Use comas para separar una lista de archivos MOF. Puede especificar las siguientes opciones para encontrar el archivo MOF.

      • Un nombre bucket de Amazon S3. Los nombres de bucket deben utilizar letras en minúscula. Especifique esta información mediante el siguiente formato.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Si desea especificar una Región de AWS, utilice el siguiente formato.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Un sitio web seguro. Especifique esta información mediante el siguiente formato.

        https://domain_name/MOF_file_name.mof

        A continuación se muestra un ejemplo.

        https://www.example.com/TestMOF.mof

      • Un sistema de archivos en un recurso compartido. Especifique esta información mediante el siguiente formato.

        \server_name\shared_folder_name\MOF_file_name.mof

        A continuación se muestra un ejemplo.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Ruta de servicio): una ruta de servicio es un prefijo de bucket de Amazon S3 en la que desea escribir informes y la información de estado (opcional). Una ruta de servicio es una ruta de las etiquetas basadas en parámetros de Parameter Store. Al resolver etiquetas basadas en parámetros, el sistema utiliza {ssm:%servicePath%/parameter_name} para inyectar el valor de servicePath en el nombre del parámetro. Por ejemplo, si la ruta de servicio es "WebServers/Production", los sistemas resuelven el parámetro como: WebServers/Production/parameter_name. Esto es útil para cuando se ejecutan varios entornos en la misma cuenta.

    3. Report Bucket Name (Nombre del bucket de informes): ingrese el nombre de un bucket de Amazon S3 en el que desea escribir datos de conformidad (opcional). Los informes se guardan en este bucket en formato JSON.

      nota

      Puede incluir la región en la que se encuentre el bucket como prefijo del nombre del bucket. A continuación, se muestra un ejemplo: us-west-2:MyMOFBucket. Si utiliza un proxy para puntos de enlace de Amazon S3 en una región específica que no incluya us-east-1, incluya como prefijo el nombre del bucket con una región. Si el nombre del bucket no es el prefijo, se detecta automáticamente la región del bucket utilizando el punto de enlace us-east-1.

    4. Mof Operation Mode (Modo de funcionamiento de MOF): elija el comportamiento de State Manager cuando se ejecute la asociación AWS-ApplyDSCMofs:

      • Apply (Aplicar): corrige las configuraciones de nodos que no son conformes.

      • ReportOnly: no corrige las configuraciones de nodos, sino que registra todos los datos de conformidad e informa de los nodos que no son conformes.

    5. Status Bucket Name (Nombre del bucket de estado): ingrese el nombre de un bucket de Amazon S3 en el que desea escribir información de estado de ejecución de MOF (opcional). Estos informes de estado son resúmenes de singleton de la ejecución de conformidad más reciente de un nodo. Esto significa que el informe se sobrescribirá la próxima vez que la asociación ejecute archivos MOF.

      nota

      Puede incluir la región en la que se encuentre el bucket como prefijo del nombre del bucket. A continuación se muestra un ejemplo: us-west-2:amzn-s3-demo-bucket Si utiliza un proxy para puntos de enlace de Amazon S3 en una región específica que no incluya us-east-1, incluya como prefijo el nombre del bucket con una región. Si el nombre del bucket no es el prefijo, se detecta automáticamente la región del bucket utilizando el punto de enlace us-east-1.

    6. Module Source Bucket Name (Nombre del bucket de origen del módulo): ingrese el nombre de un bucket de Amazon S3 que contiene archivos de módulos de PowerShell (opcional). Si especifica None (Ninguno), elija True (Verdadero) para la siguiente opción, Allow PS Gallery Module Source (Permitir el origen de módulos de la galería de PowerShell).

      nota

      Puede incluir la región en la que se encuentre el bucket como prefijo del nombre del bucket. A continuación se muestra un ejemplo: us-west-2:amzn-s3-demo-bucket Si utiliza un proxy para puntos de enlace de Amazon S3 en una región específica que no incluya us-east-1, incluya como prefijo el nombre del bucket con una región. Si el nombre del bucket no es el prefijo, se detecta automáticamente la región del bucket utilizando el punto de enlace us-east-1.

    7. Allow PS Gallery Module Source (Permitir origen de módulos de la galería de PowerShell): elija Verdadero para descargar los módulos de PowerShell de https://www.powershellgallery.com/ (opcional). Si elige False (Falso), especifique un origen para la opción anterior, ModuleSourceBucketName.

    8. Proxy Uri (URI de proxy): utilice esta opción para descargar archivos MOF desde un servidor proxy (opcional).

    9. Reboot Behavior (Comportamiento de reinicio): especifique uno de los siguientes comportamientos de reinicio si la ejecución de su archivo MOF requiere reiniciar: (opcional)

      • AfterMof: reinicia el nodo una vez que se hayan completado todas las ejecuciones de MOF. Aunque varias ejecuciones de MOF solicitan reinicios, el sistema espera hasta que se hayan completado todas las ejecuciones de MOF para reiniciarse.

      • Immediately (Inmediatamente): reinicia el nodo cada vez que lo solicita una ejecución de MOF. Si se ejecutan varios archivos MOF que solicitan reinicios, los nodos se reinician varias veces.

      • Never (Nunca): los nodos no se reinician, incluso si la ejecución de MOF solicita expresamente un reinicio.

    10. Use Computer Name For Reporting (Utilizar nombre de equipo para informes): habilite esta opción para utilizar el nombre del equipo cuando se crean informes de información de conformidad (opcional). El valor predeterminado es false (falso), lo que significa que el sistema utiliza el ID de nodo cuando se crean informes de conformidad.

    11. Turn on Verbose Logging (Activar registros detallados): le recomendamos activar el registro detallado a la hora de implementar archivos MOF por primera vez (opcional).

      importante

      Cuando se permite, el registro detallado escribe más datos a su bucket de Amazon S3 que con el registro de ejecución de asociaciones estándar. Esto puede reducir el rendimiento y conllevar cargos de almacenamiento superiores en Amazon S3. Para mitigar los problemas de tamaños de almacenamiento, le recomendamos que active las políticas de ciclo de vida en su bucket de Amazon S3. Para obtener más información, consulte How Do I Create a Lifecycle Policy for an S3 Bucket? en la Guía del usuario de Amazon Simple Storage Service.

    12. Turn on Debug Logging (Activar registro de depuración): le recomendamos que active el registro de depuración para solucionar los problemas de errores de MOF (opcional). También le recomendamos que desactive esta opción para hacer un uso normal.

      importante

      Cuando se permite, el registro detallado escribe más datos en su bucket de Amazon S3 que con el registro de ejecución de asociaciones estándar. Esto puede reducir el rendimiento y conllevar cargos de almacenamiento superiores en Amazon S3. Para mitigar los problemas de tamaños de almacenamiento, le recomendamos que active las políticas de ciclo de vida en su bucket de Amazon S3. Para obtener más información, consulte How Do I Create a Lifecycle Policy for an S3 Bucket? en la Guía del usuario de Amazon Simple Storage Service.

    13. Compliance Type (Tipo de conformidad): especifique el tipo de conformidad que se utilizará al crear informes de información de conformidad (opcional). El valor de conformidad predeterminado es Custom:DSC. Si crea varias asociaciones que ejecutan archivos MOF, asegúrese de especificar un tipo de conformidad distinto para cada asociación. Si no lo hace, cada asociación adicional que utilice Custom:DSC sobrescribe los datos de conformidad existentes.

    14. Pre Reboot Script (Script de reinicio previo): especifique un script a ejecutar si la configuración indica que es necesario reiniciar. El script se ejecuta antes del reinicio. El script debe ser de una sola línea. Separe las líneas adicionales mediante el uso de punto y coma.

  7. En la sección Targets (Destinos), elija Specifying tags (Especificación de etiquetas) o Manually Selecting Instance (Selección manual de la instancia). Si decide seleccionar como destino recursos mediante el uso de etiquetas, introduzca una clave de etiqueta y un valor de etiqueta en los campos correspondientes. Para obtener más información acerca del uso de destinos, consulte Comprensión de los controles de frecuencia y destinos en las asociaciones de State Manager.

  8. En la sección Specify schedule (Especificar programación), elija On Schedule (De forma programada) o No schedule (Sin programación). Si elige On Schedule (De forma programada), utilice los botones proporcionados para crear una programación Cron o Rate para la asociación.

  9. En la sección Advanced options (Opciones avanzadas):

    • En Compliance severity (Gravedad de conformidad), elija un nivel de seguridad para la asociación. Los informes de conformidad indican si el estado de asociación es conforme o no conforme, junto con el nivel de gravedad que se indique aquí. Para obtener más información, consulte Acerca de la conformidad de las asociaciones de State Manager.

  10. En la sección Rate control (Control de frecuencia), configure las opciones para ejecutar asociaciones de State Manager a través de la flota de nodos administrados. Para obtener más información sobre estas opciones, consulte Comprensión de los controles de frecuencia y destinos en las asociaciones de State Manager.

    En la sección Simultaneidad, elija una opción:

    • Elija Targets (Destinos) para introducir un número absoluto de destinos que pueda ejecutar la asociación de forma simultánea.

    • Elija porcentaje para introducir un porcentaje del destino definido que puede ejecutar la asociación de forma simultánea.

    En la sección Umbral de error, elija una opción:

    • Elija errors (errores) para introducir un número absoluto de errores permitidos antes de que State Manager deje de ejecutar asociaciones en más destinos.

    • Elija percentage (porcentaje) para introducir un porcentaje de errores permitidos antes de que State Manager deje de ejecutar asociaciones en más destinos.

  11. (Opcional) En Output options (Opciones de salida), para guardar la salida del comando en un archivo, seleccione el cuadro Enable writing output to S3 (Permitir la escritura de salida en S3). Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.

    nota

    Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancias asignado al nodo administrado, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte Configuración de permisos de instancia requeridos para Systems Manager o Creación de un rol de servicio de IAM para un entorno híbrido. Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, verifique que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

  12. Elija Crear asociación.

State Manager crea y ejecuta inmediatamente la asociación en los nodos o destinos especificados. Después de la ejecución inicial, la asociación se ejecuta en intervalos de acuerdo con la programación que definió y de acuerdo con las reglas siguientes:

  • State Manager ejecuta asociaciones en nodos que estén en línea cuando el intervalo comienza y omite los nodos sin conexión.

  • State Manager intenta ejecutar la asociación en todos los nodos configurados durante un intervalo.

  • Si una asociación no se ejecuta durante un intervalo (porque, por ejemplo, un valor de simultaneidad limita el número de nodos que podría procesar la asociación simultáneamente), State Manager intenta ejecutar la asociación durante el intervalo siguiente.

  • State Manager registra el historial de todos los intervalos omitidos. Puede ver el historial en la pestaña Execution History (Historial de ejecución).

nota

AWS-ApplyDSCMofs es un documento de Systems Manager Command. Esto significa que también puede ejecutar este documento mediante Run Command, una capacidad de AWS Systems Manager. Para obtener más información, consulte AWS Systems Manager Run Command.

Solución de problemas al crear asociaciones que ejecutan archivos MOF

Esta sección contiene información para ayudarle a solucionar los problemas que surjan al crear asociaciones que ejecutan archivos MOF.

Activación del registro mejorado

Como primer paso para la solución de problemas, active el registro mejorado. Más concretamente, realice lo siguiente:

  1. Compruebe que la asociación se ha configurado para escribir el resultado del comando en Amazon S3 o los Registros de Amazon CloudWatch (CloudWatch).

  2. Establezca el parámetro Enable Verbose Logging (Habilitar registro detallado) en True.

  3. Establezca el parámetro Enable Debug Logging (Habilitar registro de depuración) en True.

Con el registro de depuración y el detallado activados, el archivo de salida Stdout incluye información detallada acerca de la ejecución de scripts. Este archivo de salida puede ayudarle a identificar donde el script ha producido un error. El archivo de Stderr contiene errores que se produjeron durante la ejecución de scripts.

Problemas comunes al crear asociaciones que ejecutan archivos MOF

Esta sección contiene información sobre problemas comunes que pueden ocurrir al crear asociaciones que ejecutan archivos MOF y los pasos que hay que seguir para solucionar dichos problemas.

Mi MOF no se aplicó.

Si State Manager no pudo aplicar la asociación a los nodos, comience a revisar el archivo de salida Stderr. Este archivo puede ayudarle a entender la causa raíz del problema. Además, compruebe lo siguiente:

  • El nodo tiene los permisos de acceso requeridos a todos los buckets de Simple Storage Service (Amazon S3) relacionados con MOF. En concreto:

    • Permisos s3:GetObject: necesarios para los archivos MOF de buckets de Amazon S3 privados, así como módulos personalizados en buckets de Amazon S3.

    • Permiso s3:PutObject: necesario para escribir los informes de conformidad y el estado de conformidad en los buckets de Amazon S3.

  • Si utiliza etiquetas, asegúrese de que el nodo tenga la política de IAM necesaria. Para usar las etiquetas, el rol de IAM debe tener una política que permita las acciones ec2:DescribeInstances y ssm:ListTagsForResource.

  • Asegúrese de que el nodo tiene las etiquetas esperadas o los parámetros de SSM asignados.

  • Asegúrese de que las etiquetas o los parámetros de SSM no se hayan escrito erróneamente.

  • Pruebe a aplicar el archivo MOF localmente en el nodo para asegurarse de que no hay un problema con el archivo MOF.

Parece que mi MOF tuvo errores, pero Systems Manager se ejecutó correctamente.

Si el documento AWS-ApplyDSCMofs se ha ejecutado correctamente, el estado de ejecución de Systems Manager muestra Success (Correcto). Este estado no refleja el estado de conformidad del nodo en función de los requisitos de configuración del archivo MOF. Para ver el estado de conformidad de los nodos, consulte los informes de conformidad. Puede ver un informe JSON en el bucket de informes de Amazon S3. Esto se aplica tanto a las ejecuciones de Run Command como a las de State Manager. Además, para State Manager, puede ver detalles de conformidad en la página de conformidad de Systems Manager.

Estados de Stderr: error de resolución de nombres tras intentar conectar con el servicio

Este error indica que el script no puede tener acceso a un servicio remoto. Lo más probable es que el script no pueda conectar con Amazon S3. Este problema se produce en la mayoría de los casos cuando el script intenta escribir informes de conformidad o estados de conformidad en el bucket de Amazon S3 facilitado en los parámetros de documentos. Normalmente, este error se produce cuando un entorno informático utiliza un firewall o un proxy transparente que incluya una lista de permitidos. Para resolver este problema, siga estos pasos:

  • Utilice la sintaxis de buckets específica de la región para todos los parámetros de buckets de Amazon S3. Por ejemplo, el parámetro Mofs to Apply (MOF para aplicar) debe tener el siguiente formato:

    s3:región-bucket:nombre-bucket:nombre-archivo-mof.mof.

    A continuación se muestra un ejemplo: s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Los nombres de buckets de origen de módulos, estado e informes deben tener el siguiente formato.

    región-bucket:nombre-bucket. A continuación se muestra un ejemplo: us-west-1:amzn-s3-demo-bucket;

  • Si la sintaxis específica de la región no corrige el problema, asegúrese de que los nodos de destino pueden obtener acceso a Simple Storage Service (Amazon S3) en la región deseada. Para comprobar esto:

    1. Busque el nombre del punto de enlace para Amazon S3 en la región de Amazon S3 adecuada. Para obtener más información, consulte Puntos de conexión de Amazon S3 Service en la Referencia general de Amazon Web Services.

    2. Inicie sesión en el nodo de destino y ejecute el siguiente comando de ping.

      ping s3.s3-region.amazonaws.com

      Si el ping no se ejecuta correctamente, significa que Simple Storage Service (Amazon S3) está fuera de servicio, que un firewall/proxy transparente está bloqueando el acceso a la región de Amazon S3 o que el nodo no tiene acceso a Internet.

Visualización de los detalles de cumplimiento de recursos de DSC

Systems Manager capta información de conformidad de los errores de los recursos de DSC en el bucket de estado de Amazon S3 Status Bucket que especificó cuando ejecutó el documento AWS-ApplyDSCMofs. La búsqueda de información acerca de los errores del recurso de DSC en un bucket de Amazon S3 puede llevar tiempo. En su lugar, puede ver esta información en la página Compliance (Conformidad) de Systems Manager.

La sección Compliance resources summary (Resumen de los recursos de cumplimiento muestra una cuenta de los recursos que fallaron. En el siguiente ejemplo, el ComplianceType (Tipo de cumplimiento) es Custom:DSC (Personalizado:DSC) y un recurso no conforme.

nota

Custom:DSC es el valor predeterminado ComplianceType en el documento AWS-ApplyDSCMofs. Este valor se puede personalizar.

Ver recuentos en la sección Compliance resources summary (Resumen de recursos de conformidad) de la página Compliance (Conformidad).

La sección Details overview for resources (Información general de los detalles de los recursos) muestra información sobre el recurso de AWS con el recurso de DSC no conforme. En esta sección también se incluye el nombre de MOF, los pasos de ejecución del script y, si procede, un enlace de View output (Ver salida) para ver la información del estado detallada.

Ver los detalles de cumplimiento para un fallo de recursos de ejecución MOF

El enlace View output (Ver salida) muestra los últimos 4000 caracteres del estado detallado. Systems Manager comienza con la excepción como primer elemento y, a continuación, vuelve a examinar los mensajes detallados y agrega tantos como pueda hasta que alcanza la cuota de 4000 caracteres. Este proceso muestra los mensajes de registros que salieron antes de lanzar la excepción. Estos mensajes son los más importantes para la resolución de errores.

Ver la salida detallada del problema de cumplimiento del recurso MOF

Para obtener más información acerca de cómo ver la información de cumplimiento, consulte Conformidad de AWS Systems Manager.

Situaciones que afectan a los informes del cumplimiento

Si la asociación de State Manager falla, no se notifican datos de cumplimiento. En concreto, si un MOF falla en el procesamiento, Systems Manager no notifica ningún elemento de conformidad ya que las asociaciones fallan. Por ejemplo, si Systems Manager intenta descargar un MOF de un bucket de Simple Storage Service (Amazon S3) para el que el nodo no tiene permiso de acceso, la asociación falla y no se notifican datos de conformidad.

Si un recurso en un segundo MOF falla, Systems Manager notifica los datos de conformidad. Por ejemplo, si un MOF intenta crear un archivo en una unidad que no existe, Systems Manager notifica la conformidad porque el documento de AWS-ApplyDSCMofs se puede procesar completamente, lo que significa que la asociación funciona correctamente.