Étape 1 : Exécution des conditions Session Manager prérequises - AWS Systems Manager

Étape 1 : Exécution des conditions Session Manager prérequises

Avant d'utiliser Session Manager, vérifiez que votre environnement respecte les conditions requises suivantes.

Conditions préalables requises Session Manager
Exigence Description

Systèmes d’exploitation pris en charge

Session Manager prend en charge la connexion aux instances Amazon Elastic Compute Cloud (Amazon EC2), ainsi qu'aux machines non EC2 de votre environnement hybride et multicloud qui utilisent le niveau d'instances avancées.

Session Manager prend en charge les versions de système d'exploitation suivantes :

Note

Session Manager prend en charge les instances EC2, les appareils de périphérie, les serveurs sur site et les machines virtuelles (VM) de votre environnement hybride et multicloud qui utilisent le niveau d'instances avancées. Pour de plus amples informations, sur les instances avancées, veuillez consulter Configuration des niveaux d'instance.

Linux et macOS

Session Manager prend en charge toutes les versions de Linux et macOS prises en charge par AWS Systems Manager. Pour plus d’informations, veuillez consulter Systèmes d'exploitation et types de machines pris en charge.

Windows

Session Manager prend en charge Windows Server 2012 via Windows Server 2022.

Note

Microsoft Windows Server 2016 Nano n'est pas pris en charge.

SSM Agent

AWS Systems Manager SSM Agent version 2.3.68.0 ou ultérieure doit au moins être installé sur les nœuds gérés auxquels vous souhaitez vous connecter pendant les sessions.

Pour utiliser l'option permettant de chiffrer les données de session à l'aide d'une clé créée dans AWS Key Management Service (AWS KMS), la version 2.3.539.0 ou une version ultérieure de SSM Agent doit être installée sur le nœud géré.

Pour utiliser des profils de shell dans une session, SSM Agent version 3.0.161.0 ou version ultérieure doit être installé sur le nœud géré.

Pour démarrer une session de réacheminement de port Session Manager ou SSH, SSM Agent version 3.0.222.0 ou version ultérieure doit être installé sur le nœud géré.

Pour diffuser des données de session à l'aide d'Amazon CloudWatch Logs, SSM Agent version 3.0.284.0 ou version ultérieure doit être installé sur le nœud géré.

Pour en savoir plus sur la façon de déterminer le numéro de version exécuté sur une instance, consultez Vérification du numéro de version de l'SSM Agent. Pour plus d'informations sur l'installation manuelle ou la mise à jour automatique de SSM Agent, veuillez consulter Utilisation de l’option SSM Agent.

À propos du compte ssm-user

A partir de la version 2.3.50.0 de SSM Agent, l'agent crée un compte utilisateur sur le nœud géré, avec des autorisations racine ou administrateur, nommé ssm-user. (Sur les versions antérieures à 2.3.612.0, le compte est créé lorsque SSM Agent démarre ou redémarre. Sur la version 2.3.612.0, et ultérieure, ssm-user est créé la première fois qu'une session démarre sur le nœud géré.) Les sessions sont lancées à l'aide des informations d'identification administratives de ce compte utilisateur. Pour obtenir des informations sur la limitation du contrôle administratif pour ce compte, veuillez consulter Désactiver ou activer les autorisations administratives du compte ssm-user.

ssm-user sur les contrôleurs de domaine Windows Server

Depuis la version 2.3.612.0 de SSM Agent, le compte ssm-user n'est plus créé automatiquement sur les nœuds gérés qui sont utilisés en tant que contrôleurs de domaine Windows Server. Pour utiliser Session Manager sur une machine Windows Server fonctionnant comme contrôleur de domaine, vous devez créer le compte ssm-user manuellement, s'il n'est pas déjà présent, et affecter des autorisations d'administrateur de domaine à l'utilisateur. Sur Windows Server, SSM Agent définit un nouveau mot de passe pour le compte ssm-user chaque fois qu'une session commence, ce qui signifie que vous n'avez pas besoin de spécifier un mot de passe lors de la création du compte.

Connectivité aux points de terminaison

Les nœuds gérés que vous connectez doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Pour plus d’informations, consultez les rubriques suivantes :

Vous pouvez également vous connecter aux points de terminaison requis à l'aide de points de terminaison d'interface. Pour en savoir plus, consultez Étape 6 (facultative) : Utiliser AWS PrivateLink pour configurer un point de terminaison de VPC pour Session Manager.

AWS CLI

(Facultatif) Si vous utilisez l'AWS Command Line Interface (AWS CLI) pour démarrer vos sessions (au lieu d'utiliser la console AWS Systems Manager ou Amazon EC2), la version 1.16.12 ou ultérieure de la CLI doit être installée sur votre ordinateur local.

Vous pouvez appeler aws --version pour vérifier la version.

Si vous devez installer ou mettre à niveau l'interface de ligne de commande, consultez la page Installer l'AWS Command Line Interface dans le Guide de l'utilisateur AWS Command Line Interface.

Important

Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes du site Web de GitHub pour recevoir des notifications sur les mises à jour de SSM Agent.

En outre, pour utiliser la CLI afin de gérer vos nœuds avec Session Manager, vous devez d'abord installer le plugin Session Manager sur votre machine locale. Pour plus d’informations, veuillez consulter Installation du plug-in Session Manager pour l'AWS CLI.

Activation du niveau d'instances avancées (environnements hybrides et multicloud)

Pour vous connecter à des machines non EC2 à l'aide de Session Manager, vous devez activer le niveau d'instances avancées dans l'Compte AWS et l'Région AWS où vous créez des activations hybrides afin d'enregistrer des machines non EC2 en tant que nœuds gérés. L'utilisation du niveau d'instance avancé est facturée. Pour plus d'informations sur le niveau d'instances avancées, consultez Configuration des niveaux d'instance.

Vérification des autorisations de fonction du service IAM (environnements hybrides et multicloud)

Les nœuds activés par un système hybride utilisent la fonction du service AWS Identity and Access Management (IAM) spécifiée dans l'activation hybride pour communiquer avec les opérations d'API Systems Manager. Cette fonction du service doit contenir les autorisations requises pour se connecter à vos machines hybrides et multicloud à l'aide de Session Manager. Si la fonction du service contient la politique gérée par AWS AmazonSSMManagedInstanceCore, les autorisations requises pour Session Manager sont déjà fournies.

Si vous constatez que la fonction de service ne contient pas les autorisations requises, vous devez désenregistrer l'instance gérée et l'enregistrer auprès d'une nouvelle activation hybride utilisant une fonction de service IAM avec les autorisations requises. Pour plus d'informations sur l'annulation de l'enregistrement d'instances gérées, consultez Annulation de l'enregistrement de nœuds gérés dans un environnement hybride et multicloud. Pour plus d'informations sur la création des politiques IAM avec des autorisations Session Manager, consultez Étape 2 : Vérification ou ajout d'autorisations d'instance pour Session Manager.