Créer une activation hybride pour enregistrer des nœuds avec Systems Manager - AWS Systems Manager
Utilisation du AWS Management Console pour créer une activation permettant d'enregistrer des nœuds gérés auprès de Systems ManagerUtilisation de la ligne de commande pour créer une activation permettant d’enregistrer des nœuds gérés avec Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer une activation hybride pour enregistrer des nœuds avec Systems Manager

Pour configurer des machines autres que les instances Amazon Elastic Compute Cloud (EC2) en tant que nœuds gérés pour un environnement hybride et multicloud, vous devez créer et appliquer une activation hybride. Une fois que l'activation a abouti, vous recevez immédiatement un code d'activation et un ID d'activation en haut de la page de la console. Vous spécifiez cette combinaison de code et d'identifiant lors de l'installation AWS Systems Manager SSM Agent sur des machines autres que EC2 des machines pour votre environnement hybride et multicloud. La combinaison code/ID fournit un accès sécurisé au service Systems Manager à partir de vos nœuds gérés.

Important

Systems Manager renvoie immédiatement le code d'activation et l'ID à la console ou la fenêtre de commande, selon la méthode de création de l'activation. Copiez ces informations et stockez-les en lieu sûr. Si vous quittez la console ou fermez la fenêtre de commande, vous risquez de perdre ces informations. Si vous les perdez, vous devrez recréer une activation.

À propos des expirations d'activation

Une expiration d'activation est une fenêtre de temps pendant laquelle vous pouvez enregistrer des machines sur site avec Systems Manager. Une activation expirée n'a aucun impact sur vos serveurs ou sur le VMs fait que vous vous êtes déjà enregistré auprès de Systems Manager. Si une activation expire, vous ne pouvez pas enregistrer d'autres serveurs ou VMs auprès de Systems Manager en utilisant cette activation spécifique. Il vous suffit d'en créer une.

Chaque serveur et chaque VM sur site que vous avez précédemment enregistré(e) reste enregistré(e) comme nœud géré par Systems Manager tant que vous n'aurez pas annulé son enregistrement de manière explicite. Vous pouvez annuler l'enregistrement d'un nœud non EC2 géré de la manière suivante :

Pour plus d'informations, consultez les rubriques suivantes

À propos des nœuds gérés

Un nœud géré est une machine configurée pour AWS Systems Manager. AWS Systems Manager prend en charge les instances Amazon Elastic Compute Cloud (Amazon EC2), les appareils périphériques et les serveurs sur site ou VMs, y compris VMs dans d'autres environnements cloud. Auparavant, les nœuds gérés étaient tous appelés instances gérées. Le terme instance désigne désormais uniquement les EC2 instances. La deregister-managed-instancecommande a été nommée avant ce changement de terminologie.

À propos des balises d'activation

Si vous créez une activation en utilisant le AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell, vous pouvez spécifier des balises. Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Voici un AWS CLI exemple de commande à exécuter dans la région USA Est (Ohio) sur une machine Linux locale qui inclut des balises facultatives.

aws ssm create-activation \
  --default-instance-name MyWebServers \
  --description "Activation for Finance department webservers" \
  --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
  --registration-limit 10 \
  --region us-east-2 \
  --tags "Key=Department,Value=Finance"

Si vous spécifiez des balises lorsque vous créez une activation, ces balises sont automatiquement affectées à vos nœuds gérés lorsque vous les activez.

Vous ne pouvez pas ajouter ou supprimer des balises dans une activation existante. Si vous ne souhaitez pas attribuer automatiquement des balises à vos serveurs locaux à VMs l'aide d'une activation, vous pouvez y ajouter des balises ultérieurement. Plus précisément, vous pouvez étiqueter vos serveurs sur site et VMs après leur première connexion à Systems Manager. Une fois qu'ils se sont connectés, un ID de nœud géré leur est affecté et ils sont répertoriés dans la console Systems Manager avec un ID dont le préfixe est « mi- ».

Note

Vous ne pouvez pas attribuer des balises à une activation si vous la créez à l'aide de la console Systems Manager. Vous devez le créer à l'aide du AWS CLI ou des outils pour Windows PowerShell.

Si vous ne souhaitez plus gérer un serveur local ou une machine virtuelle (VM) à l'aide de Systems Manager, vous pouvez annuler son enregistrement. Pour plus d'informations, consultez Annulation de l'enregistrement de nœuds gérés dans un environnement hybride et multicloud.

Utilisation du AWS Management Console pour créer une activation permettant d'enregistrer des nœuds gérés auprès de Systems Manager

Créer une activation de nœuds gérés

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, choisissez Hybrid Activations (Activations hybrides).

  3. Choisissez Créer une activation.

    -ou-

    Si vous accédez aux activations hybrides pour la première fois actuellement Région AWS, choisissez Créer une activation.

  4. (Facultatif) Dans le champ Activation description (Description de l'activation), saisissez une description pour cette activation. Nous vous recommandons de saisir une description si vous prévoyez d'activer un grand nombre de serveurs et VMs.

  5. Pour Limite d'instances, spécifiez le nombre total de nœuds auprès desquels vous souhaitez vous enregistrer dans AWS le cadre de cette activation. La valeur par défaut est 1 instance.

  6. Pour le rôle IAM, choisissez une option de rôle de service qui autorise vos serveurs VMs à communiquer AWS Systems Manager dans le cloud :

    • Option 1 : choisissez Use the default role created by the system (Utiliser le rôle par défaut créé par le système) pour utiliser un rôle et une politique gérée fournis par AWS.

    • Option 2 : choisissez Select an existing custom IAM role that has the required permissions (Sélectionner un rôle IAM personnalisé existant ayant les autorisations requises) pour utiliser le rôle personnalisé facultatif que vous avez créé précédemment. Ce rôle doit avoir une politique de relation d'approbation qui spécifie "Service": "ssm.amazonaws.com". Si votre rôle IAM ne spécifie pas ce principe dans une politique de relation d'approbation, l'erreur suivante s'affiche :

      An error occurred (ValidationException) when calling the CreateActivation
                                    operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Pour plus d'informations sur la création de ce rôle, consultez la page Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud.

  7. Dans le champ Activation expiry date (Date d'expiration de l'activation), indiquez une date d'expiration pour l'activation. La date d'expiration doit se situer dans la plage des 30 prochains jours. La valeur par défaut est 24 heures.

    Note

    Si vous souhaitez enregistrer des nœuds gérés supplémentaires après la date d'expiration, vous devez créer une nouvelle activation. La date d'expiration n'a aucun impact sur les nœuds enregistrés et en cours d'exécution.

  8. (Facultatif) Pour le champ Default instance name (Nom de l'instance par défaut), spécifiez une valeur de nom d'identification à afficher pour tous les nœuds gérés associés à cette activation.

  9. Choisissez Créer une activation. Systems Manager renvoie immédiatement le code d'activation et l'ID à la console.

Utilisation de la ligne de commande pour créer une activation permettant d’enregistrer des nœuds gérés avec Systems Manager

La procédure suivante décrit comment utiliser le AWS Command Line Interface (AWS CLI) (sous Linux ou Windows Server) ou Outils AWS pour PowerShell pour créer une activation de nœud géré.

Pour créer une activation

  1. Installez et configurez le AWS CLI ou le Outils AWS pour PowerShell, si ce n'est pas déjà fait.

    Pour plus d'informations, consultez la section Installation ou mise à jour de la version la plus récente de l' AWS CLI et Installation d' Outils AWS pour PowerShell.

  2. Exécutez la commande suivante pour créer une activation.

    Note

    • Dans la commande suivante, remplacez region par vos propres informations. Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    • Le rôle que vous spécifiez pour le iam-role paramètre doit disposer d'une politique de relation de confiance qui spécifie"Service": "ssm.amazonaws.com". Si votre rôle AWS Identity and Access Management (IAM) ne spécifie pas ce principe dans une politique de relation de confiance, le message d'erreur suivant s'affiche :

      An error occurred (ValidationException) when calling the CreateActivation
                                        operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Pour plus d'informations sur la création de ce rôle, consultez la page Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud.

    • Pour --expiration-date, fournissez une date au format horodatage, "2021-07-07T00:00:00" par exemple, pour indiquer la date d'expiration du code d'activation. Vous pouvez spécifier une date jusqu'à 30 jours à l'avance. Si vous ne fournissez pas de date d'expiration, le code d'activation expire sous 24 heures.

    Linux & macOS
    aws ssm create-activation \
    --default-instance-name name \
    --iam-role iam-service-role-name \
    --registration-limit number-of-managed-instances \
    --region region \
    --expiration-date "timestamp" \\  
    --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^
    --default-instance-name name ^
    --iam-role iam-service-role-name ^
    --registration-limit number-of-managed-instances ^
    --region region ^
    --expiration-date "timestamp" ^
    --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name `
    -IamRole iam-service-role-name `
    -RegistrationLimit number-of-managed-instances `
    –Region region `
    -ExpirationDate "timestamp" `
    -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    Voici un exemple.

    Linux & macOS
    aws ssm create-activation \
    --default-instance-name MyWebServers \
    --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
    --registration-limit 10 \
    --region us-east-2 \
    --expiration-date "2021-07-07T00:00:00" \
    --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^
    --default-instance-name MyWebServers ^
    --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
    --registration-limit 10 ^
    --region us-east-2 ^
    --expiration-date "2021-07-07T00:00:00" ^
    --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers `
    -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
    -RegistrationLimit 10 `
    –Region us-east-2 `
    -ExpirationDate "2021-07-07T00:00:00" `
    -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    Si l'activation est créée avec succès, le système renvoie immédiatement un code d'activation et un ID.