Installation SSM Agent sur hybride Windows Server nœuds - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Installation SSM Agent sur hybride Windows Server nœuds

Cette rubrique décrit comment installer SSM Agent on Windows Server machines pour un environnement hybride et multicloud. Si vous envisagez d'utiliser des machines autres que EC2 Linux dans un environnement hybride et multicloud, reportez-vous à l'étape précédente. Installation SSM Agent sur des nœuds Linux hybrides

Important

Cette procédure concerne les machines autres que EC2 (Amazon Elastic Compute Cloud) dans un environnement hybride et multicloud. Pour télécharger et installer SSM Agent sur une EC2 instance pour Windows Server, voir Installation et désinstallation manuelles SSM Agent sur EC2 des instances pour Windows Server.

Avant de commencer, recherchez le code d'activation et l'ID d'activation qui vous ont été envoyés à la fin de l'activation hybride, plus haut dans la rubrique Créez une activation hybride pour enregistrer les nœuds auprès de Systems Manager. Vous indiquez le code et l'ID dans la procédure suivante.

Pour installer SSM Agent sur les non EC2 Windows Server machines dans un environnement hybride et multicloud
  1. Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.

  2. Si vous utilisez un HTTPS proxy HTTP ou, vous devez définir les variables d'https_proxyenvironnement http_proxy or dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.

    Pour un serveur HTTP proxy, définissez cette variable :

    http_proxy=http://hostname:port https_proxy=http://hostname:port

    Pour un serveur HTTPS proxy, définissez cette variable :

    http_proxy=http://hostname:port https_proxy=https://hostname:port
  3. Ouvrir Windows PowerShell en mode élevé (administratif).

  4. Copiez et collez le bloc de commande suivant dans Windows PowerShell. Remplacez chacun example resource placeholder avec vos propres informations. Par exemple, le code d'activation et l'identifiant d'activation générés lorsque vous créez une activation hybride, et avec l'identifiant du que Région AWS vous souhaitez télécharger SSM Agent à partir de.

    Note

    Prenez note des informations importantes suivantes :

    • ssm-setup-cli prend en charge une option manifest-url qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige.

    • Vous pouvez utiliser le script fourni ici pour valider la signature dessm-setup-cli.

    • Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour ssm-setup-cli. ssm-setup-cli ne doit pas être stocké séparément pour une utilisation ultérieure.

    region représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour une liste des produits pris en charge region valeurs, voir la colonne Region dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    De plus, ssm-setup-cli inclut les options suivantes :

    • version : les valeurs valides sont latest et stable.

    • downgrade : rétablit une version antérieure de l’agent.

    • skip-signature-validation : ignore la validation de signature lors du téléchargement et de l’installation de l’agent.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12' $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region" Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'" $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region" Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
  5. Appuyez sur Enter.

Note

Si la commande échoue, vérifiez que vous utilisez la dernière version de AWS Tools for PowerShell.

La commande exécute les opérations suivantes :

  • Téléchargements et installations SSM Agent sur la machine.

  • Enregistre la machine avec le service Systems Manager.

  • Renvoie à la demande une réponse semblable à ce qui suit :

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    d-----       07/07/2018   8:07 PM                ssm
    {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
    
    Status      : Running
    Name        : AmazonSSMAgent
    DisplayName : Amazon SSM Agent

La machine est désormais un nœud géré. Ces nœuds gérés sont à présent identifiés avec le préfixe « mi- ». Vous pouvez consulter les nœuds gérés sur la page des nœuds gérés dans Fleet Manager, en utilisant la AWS CLI commande describe-instance-information, ou en utilisant la API commande DescribeInstanceInformation.

Configuration de la rotation automatique de la clé privée

Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager l'agent (SSM Agent) pour faire automatiquement pivoter la clé privée dans un environnement hybride et multicloud. Vous pouvez accéder à cette fonctionnalité à l'aide de SSM Agent version 3.0.1031.0 ou ultérieure. Procédez comme suit pour activer cette fonction.

Pour configurer SSM Agent pour faire pivoter la clé privée pour un environnement hybride et multicloud
  1. Accédez à /etc/amazon/ssm/ sur une machine Linux ou C:\Program Files\Amazon\SSM pour Windows Server machine.

  2. Copiez le contenu de amazon-ssm-agent.json.template vers un nouveau fichier appelé amazon-ssm-agent.json. Enregistrez amazon-ssm-agent.json dans le même répertoire que amazon-ssm-agent.json.template.

  3. Recherchez Profile, KeyAutoRotateDays. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée.

  4. Redémarrer SSM Agent.

Chaque fois que vous modifiez la configuration, redémarrez SSM Agent.

Vous pouvez personnaliser d'autres fonctionnalités de SSM Agent en utilisant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configuration.

Désenregistrer et réenregistrer un nœud géré

Vous pouvez désenregistrer un nœud géré en appelant l'DeregisterManagedInstanceAPIopération depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de CLI commande :

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé IdentityConsumptionOrder du fichier amazon-ssm-agent.json. Ensuite, exécutez la commande suivante :

amazon-ssm-agent -register -clear

Vous pouvez réenregistrer une machine après avoir annulé son enregistrement. Procédez comme suit pour réenregistrer une machine sous forme de nœud géré. Une fois la procédure terminée, votre nœud géré s'affiche à nouveau dans la liste des nœuds gérés.

Pour réenregistrer un nœud géré sur un Windows Server machine hybride
  1. Connectez-vous à votre machine.

  2. Exécutez la commande suivante. Assurez-vous de remplacer les valeurs d'espace réservé par le code d'activation et l'identifiant d'activation générés lorsque vous créez une activation hybride, ainsi que par l'identifiant de la région dans laquelle vous souhaitez télécharger le SSM Agent à partir de.

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"