Étape 1 : Exécution des conditions Session Manager prérequises - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Exécution des conditions Session Manager prérequises

Avant d'utiliser Session Manager, vérifiez que votre environnement respecte les conditions requises suivantes.

Conditions préalables requises Session Manager
Exigence Description

Systèmes d’exploitation pris en charge

Session Managerprend en charge la connexion aux instances Amazon Elastic Compute Cloud (AmazonEC2), ainsi qu'aux instances non EC2 machines de votre environnement hybride et multicloud qui utilisent le niveau d'instances avancées.

Session Manager prend en charge les versions de système d'exploitation suivantes :

Note

Session Managerprend en charge les EC2 instances, les appareils de périphérie, les serveurs locaux et les machines virtuelles (VMs) dans votre environnement hybride et multicloud qui utilisent le niveau d'instances avancées. Pour de plus amples informations, sur les instances avancées, veuillez consulter Configuration des niveaux d'instance.

Linux et macOS

Session Managerprend en charge toutes les versions de Linux et macOS qui sont prises en charge par AWS Systems Manager. Pour plus d’informations, veuillez consulter Systèmes d'exploitation et types de machines pris en charge.

Windows

Session Manager prend en charge Windows Server 2012 via Windows Server 2022.

Note

Microsoft Windows Server 2016 Nano n'est pas pris en charge.

SSM Agent

Au minimum, AWS Systems Manager SSM Agent la version 2.3.68.0 ou ultérieure doit être installée sur les nœuds gérés auxquels vous souhaitez vous connecter via des sessions.

Pour utiliser l'option permettant de chiffrer les données de session à l'aide d'une clé créée dans AWS Key Management Service (AWS KMS), la version 2.3.539.0 ou ultérieure de SSM Agent doit être installée sur le nœud géré.

Pour utiliser des profils de shell dans une session, SSM Agent version 3.0.161.0 ou version ultérieure doit être installé sur le nœud géré.

Pour démarrer une redirection de Session Manager port ou une SSH session, SSM Agent la version 3.0.222.0 ou ultérieure doit être installée sur le nœud géré.

Pour diffuser des données de session à l'aide d'Amazon CloudWatch Logs, SSM Agent la version 3.0.284.0 ou ultérieure doit être installée sur le nœud géré.

Pour en savoir plus sur la façon de déterminer le numéro de version exécuté sur une instance, consultez Vérification du numéro de version de l'SSM Agent. Pour plus d'informations sur l'installation manuelle ou la mise à jour automatique de SSM Agent, veuillez consulter Utilisation de l’option SSM Agent.

À propos du compte ssm-user

A partir de la version 2.3.50.0 de SSM Agent, l'agent crée un compte utilisateur sur le nœud géré, avec des autorisations racine ou administrateur, nommé ssm-user. (Sur les versions antérieures à 2.3.612.0, le compte est créé lorsque SSM Agent démarre ou redémarre. Sur la version 2.3.612.0, et ultérieure, ssm-user est créé la première fois qu'une session démarre sur le nœud géré.) Les sessions sont lancées à l'aide des informations d'identification administratives de ce compte utilisateur. Pour obtenir des informations sur la limitation du contrôle administratif pour ce compte, veuillez consulter Désactiver ou activer les autorisations administratives du compte ssm-user.

ssm-user sur les contrôleurs de domaine Windows Server

Depuis la version 2.3.612.0 de SSM Agent, le compte ssm-user n'est plus créé automatiquement sur les nœuds gérés qui sont utilisés en tant que contrôleurs de domaine Windows Server. Pour utiliser Session Manager sur une machine Windows Server fonctionnant comme contrôleur de domaine, vous devez créer le compte ssm-user manuellement, s'il n'est pas déjà présent, et affecter des autorisations d'administrateur de domaine à l'utilisateur. Sur Windows Server, SSM Agent définit un nouveau mot de passe pour le compte ssm-user chaque fois qu'une session commence, ce qui signifie que vous n'avez pas besoin de spécifier un mot de passe lors de la création du compte.

Connectivité aux points de terminaison

Les nœuds gérés auxquels vous vous connectez doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • messages ec2.region.amazonaws.com

  • ssm.region.amazonaws.com

  • messages sms.region.amazonaws.com

Pour plus d’informations, consultez les rubriques suivantes :

Vous pouvez également vous connecter aux points de terminaison requis à l'aide de points de terminaison d'interface. Pour de plus amples informations, veuillez consulter Étape 6 (facultative) : Utiliser AWS PrivateLink pour configurer un point de terminaison de VPC pour Session Manager.

AWS CLI

(Facultatif) Si vous utilisez le AWS Command Line Interface (AWS CLI) pour démarrer vos sessions (au lieu d'utiliser la AWS Systems Manager console ou la EC2 console Amazon), la version 1.16.12 ou ultérieure CLI doit être installée sur votre machine locale.

Vous pouvez appeler aws --version pour vérifier la version.

Si vous devez installer ou mettre à niveau leCLI, consultez la section Installation du AWS Command Line Interface dans le guide de AWS Command Line Interface l'utilisateur.

Important

Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatisation des mises à jour de l'SSM Agent. Abonnez-vous à la page des notes de SSM Agent publication GitHub pour recevoir des notifications concernant les SSM Agent mises à jour.

De plus, pour utiliser le CLI pour gérer vos nœudsSession Manager, vous devez d'abord installer le Session Manager plugin sur votre machine locale. Pour plus d’informations, veuillez consulter Installez le Session Manager plugin pour AWS CLI.

Activation du niveau d'instances avancées (environnements hybrides et multicloud)

Pour vous connecter à des utilisateurs qui n'utilisent pas de EC2 machinesSession Manager, vous devez activer le niveau d'instances avancées dans le Compte AWS et dans Région AWS lequel vous créez des activations hybrides pour enregistrer des EC2 non-machines en tant que nœuds gérés. L'utilisation du niveau d'instance avancé est facturée. Pour plus d'informations sur le niveau d'instances avancées, consultez Configuration des niveaux d'instance.

Vérifier les autorisations des rôles de IAM service (environnements hybrides et multicloud)

Les nœuds activés par hybride utilisent le rôle de service AWS Identity and Access Management (IAM) spécifié lors de l'activation hybride pour communiquer avec les opérations de Systems ManagerAPI. Cette fonction du service doit contenir les autorisations requises pour se connecter à vos machines hybrides et multicloud à l'aide de Session Manager. Si votre rôle de service contient la politique AWS géréeAmazonSSMManagedInstanceCore, les autorisations requises pour Session Manager sont déjà fournies.

Si vous constatez que le rôle de service ne contient pas les autorisations requises, vous devez désenregistrer l'instance gérée et l'enregistrer avec une nouvelle activation hybride utilisant un rôle de IAM service doté des autorisations requises. Pour plus d'informations sur l'annulation de l'enregistrement d'instances gérées, consultez Annulation de l'enregistrement de nœuds gérés dans un environnement hybride et multicloud. Pour plus d'informations sur la création de IAM politiques avec Session Manager des autorisations, consultez Étape 2 : Vérifier ou ajouter des autorisations d'instance pour Session Manager.