Étape 1 : Terminer Session Manager Conditions préalables de la   - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Terminer Session Manager Conditions préalables de la  

Avant d'utiliser Session Manager, assurez-vous que votre environnement répond aux exigences suivantes.

Session Manager Conditions préalables de la  
Exigence Description

Systèmes d’exploitation pris en charge

Session Manager prend en charge la connexion aux instances Amazon Elastic Compute Cloud (Amazon EC2), ainsi qu'aux instances non EC2 machines de votre environnement hybride et multicloud qui utilisent le niveau d'instances avancées.

Session Manager prend en charge les versions de système d'exploitation suivantes :

Note

Session Manager prend en charge les EC2 instances, les appareils de périphérie, les serveurs locaux et les machines virtuelles (VMs) dans votre environnement hybride et multicloud qui utilisent le niveau d'instances avancées. Pour de plus amples informations, sur les instances avancées, veuillez consulter Configuration des niveaux d'instance.

Linux et macOS

Session Manager supporte toutes les versions de Linux and macOS qui sont pris en charge par AWS Systems Manager. Pour plus d’informations, veuillez consulter Systèmes d'exploitation et types de machines pris en charge.

Windows

Session Manager appuis Windows Server 2012 jusqu'à Windows Server 2022.

Note

Microsoft Windows Server Le Nano 2016 n'est pas pris en charge.

SSM Agent

Au minimum, AWS Systems Manager SSM Agent la version 2.3.68.0 ou ultérieure doit être installée sur les nœuds gérés auxquels vous souhaitez vous connecter via des sessions.

Pour utiliser l'option permettant de chiffrer les données de session à l'aide d'une clé créée dans AWS Key Management Service (AWS KMS), version 2.3.539.0 ou ultérieure de SSM Agent doit être installé sur le nœud géré.

Pour utiliser des profils shell dans une session, SSM Agent la version 3.0.161.0 ou ultérieure doit être installée sur le nœud géré.

Pour démarrer un Session Manager redirection de port ou session SSH, SSM Agent la version 3.0.222.0 ou ultérieure doit être installée sur le nœud géré.

Pour diffuser les données de session à l'aide d'Amazon CloudWatch Logs, SSM Agent la version 3.0.284.0 ou ultérieure doit être installée sur le nœud géré.

Pour en savoir plus sur la façon de déterminer le numéro de version exécuté sur une instance, consultez En vérifiant le SSM Agent numéro de version. Pour plus d'informations sur l'installation manuelle ou la mise à jour automatique SSM Agent, voir Utilisation de l’option SSM Agent.

À propos du compte ssm-user

À partir de la version 2.3.50.0 de SSM Agent, l'agent crée un compte utilisateur sur le nœud géré, avec des autorisations root ou administrateur, appeléssm-user. (Sur les versions antérieures à 2.3.612.0, le compte est créé lorsque SSM Agent démarre ou redémarre. Dans les versions 2.3.612.0 et ultérieures, ssm-user il est créé la première fois qu'une session démarre sur le nœud géré.) Les sessions sont lancées à l'aide des informations d'identification administratives de ce compte utilisateur. Pour obtenir des informations sur la limitation du contrôle administratif pour ce compte, veuillez consulter Désactiver ou activer les autorisations administratives du compte ssm-user.

ssm-user activé Windows Server contrôleurs de domaine

Commençant par SSM Agent version 2.3.612.0, le ssm-user compte n'est pas créé automatiquement sur les nœuds gérés utilisés comme Windows Server contrôleurs de domaine. Pour utiliser Session Manager sur un Windows Server la machine étant utilisée comme contrôleur de domaine, vous devez créer le ssm-user compte manuellement s'il n'est pas déjà présent et attribuer des autorisations d'administrateur de domaine à l'utilisateur. Activé Windows Server, SSM Agent définit un nouveau mot de passe pour le ssm-user compte chaque fois qu'une session démarre, de sorte que vous n'avez pas besoin de spécifier un mot de passe lors de la création du compte.

Connectivité aux points de terminaison

Les nœuds gérés que vous connectez doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • messages ec2. region.amazonaws.com

  • ssm. region.amazonaws.com

  • messages sms. region.amazonaws.com

Pour plus d’informations, consultez les rubriques suivantes :

Vous pouvez également vous connecter aux points de terminaison requis à l'aide de points de terminaison d'interface. Pour de plus amples informations, veuillez consulter Étape 6 (facultative) : Utiliser AWS PrivateLink pour configurer un point de terminaison de VPC pour Session Manager.

AWS CLI

(Facultatif) Si vous utilisez le AWS Command Line Interface (AWS CLI) pour démarrer vos sessions (au lieu d'utiliser la AWS Systems Manager console ou la EC2 console Amazon), la version 1.16.12 ou ultérieure de la CLI doit être installée sur votre machine locale.

Vous pouvez appeler aws --version pour vérifier la version.

Si vous devez installer ou mettre à niveau la CLI, reportez-vous à la section Installation de la AWS Command Line Interface dans le guide de AWS Command Line Interface l'utilisateur.

Important

Une version mise à jour de SSM Agent est publié chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées à des outils existants. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser les différents outils et fonctionnalités de Systems Manager. Pour cette raison, nous vous recommandons d'automatiser le processus de conservation SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatiser les mises à jour de SSM Agent. Abonnez-vous au SSM AgentPage des notes de publication sur GitHub pour recevoir des notifications concernant SSM Agent mises à jour.

En outre, pour utiliser la CLI pour gérer vos nœuds avec Session Manager, vous devez d'abord installer le Session Manager plugin sur votre machine locale. Pour plus d’informations, veuillez consulter Installation du plug-in Session Manager pour l'AWS CLI.

Activation du niveau d'instances avancées (environnements hybrides et multicloud)

Pour vous connecter à des appareils autres que EC2 des machines à l'aide de Session Manager, vous devez activer le niveau d'instances avancées dans le Compte AWS et dans Région AWS lequel vous créez des activations hybrides pour enregistrer des EC2 non-machines en tant que nœuds gérés. L'utilisation du niveau d'instance avancé est facturée. Pour plus d'informations sur le niveau d'instances avancées, consultez Configuration des niveaux d'instance.

Vérification des autorisations de fonction du service IAM (environnements hybrides et multicloud)

Les nœuds activés par hybride utilisent le rôle de service AWS Identity and Access Management (IAM) spécifié lors de l'activation hybride pour communiquer avec les opérations de l'API Systems Manager. Ce rôle de service doit contenir les autorisations requises pour se connecter à vos machines hybrides et multicloud à l'aide de Session Manager. Si votre rôle de service contient la politique AWS géréeAmazonSSMManagedInstanceCore, les autorisations requises pour Session Manager sont déjà fournis.

Si vous constatez que la fonction de service ne contient pas les autorisations requises, vous devez désenregistrer l'instance gérée et l'enregistrer auprès d'une nouvelle activation hybride utilisant une fonction de service IAM avec les autorisations requises. Pour plus d'informations sur l'annulation de l'enregistrement d'instances gérées, consultez Annulation de l'enregistrement de nœuds gérés dans un environnement hybride et multicloud. Pour plus d'informations sur la création de politiques IAM avec Session Manager autorisations, voir Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager.