Découvrez les détails techniques du SSM Agent - AWS Systems Manager
Comportement des informations d'identification SSM Agent version 3.2.x.xSSM AgentPriorité des informations d'identification de l'Configuration SSM Agent pour une utilisation avec la norme fédérale de traitement de l'information (FIPS)À propos du compte local ssm-userSSM Agent et le Instance Metadata Service (IMDS)Garder SSM Agent up-to-dateS’assurer que le répertoire d’installation SSM Agent ne soit pas modifié, déplacé ou suppriméSSM Agentmises à jour continues par Régions AWSCommunications de l'SSM Agent avec des compartiments S3 gérés par AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Découvrez les détails techniques du SSM Agent

Utilisez les informations de cette rubrique pour vous aider à implémenter AWS Systems Manager Agent (SSM Agent) et à comprendre le fonctionnement de l'agent.

Comportement des informations d'identification SSM Agent version 3.2.x.x

SSM Agent stocke un ensemble d'informations d'identification temporaires dans /var/lib/amazon/ssm/credentials (pour Linux et macOS) ou %PROGRAMFILES%\Amazon\SSM\credentials (pour Windows Server) lorsqu'une instance est intégrée à l'aide de la configuration de gestion d'hôte par défaut dans Quick Setup. Les informations d'identification temporaires disposent des autorisations que vous spécifiez pour le IAM rôle que vous avez choisi pour la configuration de gestion d'hôte par défaut. Sous Linux, seul le compte root peut accéder à ces informations d'identification. ActivéWindows Server, seuls le SYSTEM compte et les administrateurs locaux peuvent accéder à ces informations d'identification.

SSM AgentPriorité des informations d'identification de l'

Cette rubrique décrit des informations importantes sur la façon dont l'SSM Agent est autorisé à exécuter des actions sur vos ressources.

Note

La prise en charge des appareils de périphérie est légèrement différente. Vous devez configurer vos appareils Edge pour utiliser le logiciel AWS IoT Greengrass Core, configurer un rôle de service AWS Identity and Access Management (IAM) et déployer sur vos appareils SSM Agent à l'aide de AWS IoT Greengrass. Pour de plus amples informations, veuillez consulter Gestion des appareils de pointe avec Systems Manager.

Lorsqu'il SSM Agent est installé sur une machine, il nécessite des autorisations pour communiquer avec le service Systems Manager. Sur les instances Amazon Elastic Compute Cloud (AmazonEC2), ces autorisations sont fournies dans un profil d'instance attaché à l'instance. Sur une machine autre que la EC2 machine, obtient SSM Agent normalement les autorisations nécessaires à partir du fichier d'informations d'identification partagé, situé à l'emplacement /root/.aws/credentials (Linux etmacOS) ou %USERPROFILE%\.aws\credentials (Windows Server). Les autorisations nécessaires sont ajoutées à ce fichier durant le processus d'activation hybride.

Dans de rares cas, cependant, des autorisations peuvent être ajoutées à une machine, à un plus grand nombre d'emplacements que ceux où SSM Agent vérifie les autorisations pour exécuter ses tâches.

Supposons, par exemple, que vous ayez configuré une EC2 instance pour qu'elle soit gérée par Systems Manager. Cette configuration inclut l'attachement d'un profil d'instance. Mais vous décidez ensuite d'utiliser cette instance pour les tâches de développeur ou d'utilisateur final, et d'installer l' AWS Command Line Interface (AWS CLI) par-dessus. Dans ce cas, des autorisations supplémentaires sont ajoutées à un fichier d'informations d'identification sur l'instance.

Lorsque vous exécutez une commande Systems Manager sur l'instance, l'SSM Agent peut tenter d'utiliser des informations d'identification différentes de celles que vous pensez qu'il va utiliser, par exemple à partir d'un fichier d'informations d'identification et non d'un profil d'instance. Cela est dû au fait que l'SSM Agent recherche les informations d'identification dans l'ordre prescrit pour la chaîne de fournisseur d'informations d'identification par défaut.

Note

Sous Linux et macOS, l'SSM Agent s'exécute en tant qu'utilisateur racine. Par conséquent, les variables d'environnement et le fichier d'informations d'identification que SSM Agent recherche dans ce processus sont ceux de l'utilisateur root uniquement (/root/.aws/credentials). SSM Agent n'examine pas les variables d'environnement ou le fichier d'informations d'identification d'autres utilisateurs sur l'instance lorsqu'il recherche des informations d'identification.

La chaîne de fournisseur par défaut recherche des informations d'identification dans cet ordre :

  1. Variables d'environnement, si elles sont configurées (AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY).

  2. Fichier d'informations d'identification partagées ($HOME/.aws/credentials pour Linux et macOS ou %USERPROFILE%\.aws\credentialspour Windows Server) avec les autorisations fournies, par exemple, par une activation hybride ou une installation de la AWS CLI .

  3. Un rôle AWS Identity and Access Management (IAM) pour les tâches s'il existe une application utilisant une définition ou une RunTask API opération de tâche Amazon Elastic Container Service (AmazonECS).

  4. Un profil d'instance attaché à une EC2 instance Amazon.

  5. IAMRôle choisi pour la configuration de gestion d'hôte par défaut.

Pour plus d'informations, consultez les rubriques connexes suivantes :

Configuration SSM Agent pour une utilisation avec la norme fédérale de traitement de l'information (FIPS)

Si vous devez utiliser Systems Manager avec des modules cryptographiques validés par le Federal Information Processing Standard (FIPS) 140-3, vous pouvez configurer l' AWS Systems Manager Agent (SSM Agent) pour qu'il utilise les FIPS points de terminaison dans les régions prises en charge.

Pour configurer la connexion SSM Agent à FIPS 140 à 3 points de terminaison

  1. Connectez-vous à votre nœud géré.

  2. Accédez au répertoire qui contient le amazon-ssm-agent.json fichier :

    • Linux : /etc/amazon/ssm/

    • macOS: /opt/aws/ssm/

    • Windows Server: C:\Program Files\Amazon\SSM\

  3. Ouvrez le fichier nommé amazon-ssm-agent.json pour le modifier.

    Astuce

    Si aucun amazon-ssm-agent.json fichier n'existe encore, copiez le contenu amazon-ssm-agent.json.template de dans un nouveau fichier nomméamazon-ssm-agent.json. Enregistrez amazon-ssm-agent.json dans le même répertoire que amazon-ssm-agent.json.template.

  4. Ajoutez le contenu suivant au fichier. Remplacez le region valeurs d'espace réservé avec le code de région approprié pour votre partition :

    {
    ---Existing file content, if any---
    "Mds": {
        "Endpoint": "ec2messages-fips.region.amazonaws.com",
    },
    "Ssm": {
        "Endpoint": "ssm-fips.region.amazonaws.com",
    },
    "Mgs": {
        "Endpoint": "ssmmessages-fips.region.amazonaws.com",
        "Region": "region"
    },
    "S3": {
        "Endpoint": "s3-fips.dualstack.region.amazonaws.com",
        "Region": region"
    },
    "Kms": {
        "Endpoint": "kms-fips.region.amazonaws.com"
    }
}

    Les régions prises en charge sont les suivantes :

    • us-east-1pour la région de l'est des États-Unis (Virginie du Nord)

    • us-east-2pour la région USA Est (Ohio)

    • us-west-1pour la région de l'ouest des États-Unis (Californie du Nord)

    • us-west-2pour la région USA Ouest (Oregon)

    • ca-west-1pour la région du Canada Ouest (Calgary)

  5. Enregistrez le fichier et redémarrezSSM Agent.

Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.

Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour obtenir la up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configuration dans le amazon-ssm-agent référentiel dans GitHub.

Pour plus d'informations sur la AWS prise en charge deFIPS, voir Federal Information Processing Standard (FIPS) 140-3.

À propos du compte local ssm-user

À partir de la version 2.3.50.0 de l'SSM Agent, l'agent crée un compte utilisateur local appelé ssm-user et l'ajoute au répertoire /etc/sudoers.d (Linux et macOS) ou au groupe Administrateurs (Windows Server). Sur les versions de l'agent antérieures à 2.3.612.0, le compte est créé la première fois que l'SSM Agent démarre ou redémarre après l'installation. Sur la version 2.3.612.0 et version ultérieure, le compte ssm-user est créé la première fois qu'une session est démarrée sur une instance. Il s'ssm-useragit de l'utilisateur du système d'exploitation par défaut lorsqu'une session démarreSession Manager, une fonctionnalité de AWS Systems Manager. Vous pouvez modifier les autorisations de l'utilisateur ssm-user en le déplaçant vers un groupe ayant moins de privilèges ou en modifiant le fichier sudoers. Le compte ssm-user n'est pas supprimé du système lorsque l'SSM Agent est désinstallé.

Sur Windows Server, l'SSM Agent gère la définition d'un nouveau mot de passe pour le compte ssm-user lorsque chaque session commence. Aucun mot de passe n'est défini pour ssm-user sur des instances gérées Linux.

À partir de la version SSM Agent 2.3.612.0, le compte ssm-user n'est pas créé automatiquement sur les ordinateurs Windows Server qui sont utilisés en tant que contrôleurs de domaine. Pour utiliser Session Manager sur un contrôleur de domaine Windows Server, créez le compte ssm-user manuellement, s'il n'existe pas déjà, et affectez les autorisations d'administrateur de domaine à l'utilisateur.

Important

Pour que le compte ssm-user soit créé, le profil d'instance attaché à l'instance doit fournir les autorisations requises. Pour plus d'informations, consultez Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager.

SSM Agent et le Instance Metadata Service (IMDS)

Systems Manager s'appuie sur les métadonnées de l'EC2instance pour fonctionner correctement. Systems Manager peut accéder aux métadonnées d'instance en utilisant la version 1 ou la version 2 d'Instance Metadata Service (IMDSv1 et IMDSv2). Votre instance doit pouvoir accéder à l'IPv4adresse du service de métadonnées d'instance : 169.254.169.254. Pour plus d'informations, consultez la section Métadonnées de l'instance et données utilisateur dans le guide de EC2 l'utilisateur Amazon.

Garder SSM Agent up-to-date

Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatisation des mises à jour de l'SSM Agent. Abonnez-vous à la page des notes de SSM Agent publication GitHub pour recevoir des notifications concernant les SSM Agent mises à jour.

Note

Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatisation des mises à jour de l'SSM Agent. Abonnez-vous à la page des notes de SSM Agent publication GitHub pour recevoir des notifications concernant les SSM Agent mises à jour.

Les Amazon Machine Images (AMIs) qui comprennent l'SSM Agent par défaut peuvent prendre jusqu'à deux semaines pour publier l'AMI mis à jour avec la dernière version de l'SSM Agent. Nous vous recommandons de configurer encore plus fréquemment des mises à jour automatiques de l'SSM Agent.

S’assurer que le répertoire d’installation SSM Agent ne soit pas modifié, déplacé ou supprimé

SSM Agent est installé sur /var/lib/amazon/ssm/ (Linux et macOS) et %PROGRAMFILES%\Amazon\SSM\ (Windows Server). Ces répertoires d'installation contiennent des fichiers et des dossiers critiques utilisés parSSM Agent, tels qu'un fichier d'informations d'identification, des ressources pour la communication entre processus (IPC) et des dossiers d'orchestration. Aucun élément du répertoire d’installation ne doit être modifié, déplacé ou supprimé. Dans le cas contraire, SSM Agent pourrait cesser de fonctionner correctement.

SSM Agentmises à jour continues par Régions AWS

Une fois qu'une SSM Agent mise à jour est disponible dans son GitHub référentiel, cela peut prendre jusqu'à deux semaines avant que la version mise à jour ne soit déployée auprès de tous Régions AWS à des moments différents. Pour cette raison, vous pouvez recevoir le message d'erreur « Non pris en charge sur la plate-forme actuelle » ou « Mise amazon-ssm-agent à jour vers une ancienne version, veuillez activer l'autorisation de rétrogradation » lorsque vous tentez de déployer une nouvelle version de SSM Agent dans une région.

Pour déterminer votre version disponible de SSM Agent, vous pouvez exécuter une commande curl.

Pour afficher la version de l'agent disponible dans le compartiment de téléchargement global, exécutez la commande suivante.

curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION

Pour afficher la version de l'agent disponible dans une région spécifique, exécutez la commande suivante en remplaçant region avec la région dans laquelle vous travaillez, par exemple us-east-2 pour la région USA Est (Ohio).

curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION

Vous pouvez aussi ouvrir le fichier VERSION directement dans votre navigateur sans exécuter de commande curl.

Communications de l'SSM Agent avec des compartiments S3 gérés par AWS

Au cours de l'exécution de diverses opérations de Systems Manager, AWS Systems Manager Agent (SSM Agent) accède à un certain nombre de compartiments Amazon Simple Storage Service (Amazon S3). Ces compartiments S3 sont accessibles au public et, par défaut, l'SSM Agent s'y connecte en utilisant des appels HTTP.

Toutefois, si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans le cadre de vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d'instance Amazon Elastic Compute Cloud (AmazonEC2) pour Systems Manager, ou dans un rôle de service pour les EC2 non-machines dans un environnement hybride et multicloud. Sinon, vos ressources ne peuvent pas accéder à ces compartiments publics.

Pour accorder à vos nœuds gérés l'accès à ces compartiments lorsque vous utilisez un VPC point de terminaison, vous devez créer une politique d'autorisation Amazon S3 personnalisée, puis l'associer à votre profil d'instance (pour les EC2 instances) ou à votre rôle de service (pour les nœuds non EC2 gérés).

Pour plus d'informations sur l'utilisation d'un point de terminaison de cloud privé virtuel (VPC) dans vos opérations de Systems Manager, voir Améliorer la sécurité des EC2 instances en utilisant des VPC points de terminaison pour Systems Manager.

Note

Ces autorisations fournissent uniquement l'accès aux compartiments AWS gérés requis parSSM Agent. Elles ne fournissent pas les autorisations qui sont nécessaires pour les autres opérations Amazon S3. Elles ne fournissent pas non plus l'autorisation sur vos propres compartiments S3.

Pour plus d’informations, consultez les rubriques suivantes :

Autorisations de compartiment nécessaires

Le tableau suivant décrit chacun des compartiments S3 auxquels l'SSM Agent peut avoir besoin d'accéder pour des opérations Systems Manager.

Note

region représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour une liste des produits pris en charge region valeurs, voir la colonne Region dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

Autorisations Amazon S3 requises par l'SSM Agent

seau S3 ARN Description

arn:aws:s3:::aws-windows-downloads-region/*

Nécessaire pour certains SSM documents qui ne prennent en charge que les systèmes Windows Server d'exploitation, et d'autres pour le support multiplateforme, tels queAWSEC2-ConfigureSTIG.

arn:aws:s3:::amazon-ssm-region/*

Requise pour la mise à jour des installations de l'SSM Agent. Ces compartiments contiennent les packages d'installation de l'SSM Agent, et l'installation des manifestes qui sont référencés par le document et le plug-in AWS-UpdateSSMAgent. Si ces autorisations ne sont pas fournies, il passe SSM Agent un HTTP appel pour télécharger la mise à jour.

arn:aws:s3:::amazon-ssm-packages-region/*

Nécessaire pour utiliser des versions SSM Agent antérieures à 2.2.45.0 pour exécuter le SSM document. AWS-ConfigureAWSPackage

arn:aws:s3:::region-birdwatcher-prod/*

Permet d'accéder au service de distribution utilisé par la version 2.2.45.0 et les versions ultérieures de l'SSM Agent. Ce service est utilisé pour exécuter le document AWS-ConfigureAWSPackage.

Cette autorisation est nécessaire pour tous Régions AWS sauf pour la région Afrique (Le Cap) (af-south-1) et pour la région Europe (Milan) (eu-south-1).

arn:aws:s3:::aws-ssm-distributor-file-region/*

Permet d'accéder au service de distribution utilisé par la version 2.2.45.0 et les versions ultérieures de l'SSM Agent. Ce service est utilisé pour exécuter le SSM documentAWS-ConfigureAWSPackage.

Cette autorisation est nécessaire uniquement pour la région Afrique (Le Cap) (af-sud-1) et la région Europe (Milan) (eu-sud 1).

arn:aws:s3:::aws-ssm-document-attachments-region/*

Fournit un accès au compartiment S3 contenant les packages pourDistributor, une fonctionnalité de AWS Systems Manager, détenus par AWS.
arn:aws:s3:::aws-ssm-region/* Permet d'accéder au compartiment S3 contenant les modules requis pour une utilisation avec les documents Systems Manager (documents de SSM commande) qui ne contiennent pas de correctifs. olpPar exemple : arn:aws:s3:::aws-ssm-us-east-2/*.

Voici quelques SSM documents couramment utilisés stockés dans ces compartiments.

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

arn:aws:s3:::patch-baseline-snapshot-region/*

-ou-

arn:aws:s3:::patch-baseline-snapshot-region-unique-suffix/*

Fournit l'accès au compartiment S3 contenant les instantanés de référentiel de correctifs. Cela est nécessaire si vous utilisez l'un des documents de SSM commande suivants :

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline(un ancien SSM document)

Les compartiments les plus pris en charge Régions AWS utilisent le format suivant :

arn:aws:s3:::patch-baseline-snapshot-region

Pour certaines régions, un suffixe unique supplémentaire est inclus dans le nom du compartiment. Par exemple, le nom du bucket pour la région du Moyen-Orient (Bahreïn) (me-south-1) est le suivant :

  • patch-baseline-snapshot-me-south-1-uduvl7q8

Pour obtenir la liste complète des noms des compartiments de snapshots de base des correctifs, consultezBuckets contenant des instantanés de référence des correctifs AWS gérés.

Note

Si vous utilisez un pare-feu local et que vous prévoyez d'utiliser Patch Manager, ce pare-feu doit également autoriser l'accès au point de terminaison du référentiel de correctifs approprié.

Pour les nœuds gérés Linux et Windows Server : arn:aws:s3:::aws-patch-manager-region-unique-suffix/*

Pour les EC2 instances Amazon pour macOS : arn:aws:s3:::aws-patchmanager-macos-region-unique-suffix/*

Permet d'accéder au compartiment S3 contenant les documents de SSM commande pour les opérations de correction dansPatch Manager. Chaque nom de compartiment inclut un suffixe unique, par exemple 552881074 pour les compartiments de la région USA Est (Ohio) (us-east-2) :

  • arn:aws:s3:::aws-patch-managerer-us-east-2-552881074/*

  • arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*

SSMdocuments

Voici quelques SSM documents couramment utilisés stockés dans ces compartiments.

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

Pour obtenir la liste complète des compartiments S3 AWS gérés pour les opérations d'application de correctifs, consultez les rubriques suivantes :

Exemple

L'exemple suivant illustre comment fournir l'accès aux compartiments S3 requis pour les opérations Systems Manager dans la région USA Est (Ohio) (us-east-2). Dans la plupart des cas, vous devez fournir ces autorisations de manière explicite dans un profil d'instance ou un rôle de service uniquement lorsque vous utilisez un VPC point de terminaison.

Important

Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::aws-ssm-us-east-2/* et n'utilisez pas arn:aws:s3:::aws-ssm-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier bloc Statement pour chaque région.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "s3:GetObject",
                "Resource": [
                    "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                    "arn:aws:s3:::amazon-ssm-us-east-2/*",
                    "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                    "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                    "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                    "arn:aws:s3:::aws-ssm-us-east-2/*",
                    "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*",
                    "arn:aws:s3:::aws-patch-manager-us-east-2-552881074/*",
                    "arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*"
                ]
            }
        ]
    }

Validation des machines activées par un système hybride à l'aide d'une empreinte matérielle

Dans un environnement hybride et multicloud, il SSM Agent collecte un certain nombre d'attributs système (appelés hachage matériel) et utilise ces attributs pour calculer une empreinte digitale. EC2 L'empreinte digitale est une chaîne opaque que l'agent transmet à certains Systems ManagerAPIs. Cette empreinte digitale unique associe l'appelant à un nœud géré et activé par un système hybride particulier. L'agent stocke l'empreinte digitale et le hachage matériel sur le disque local, à un emplacement désigné comme Coffre-fort.

L'agent calcule le hachage matériel et l'empreinte digitale lorsque la machine est enregistrée pour une utilisation avec Systems Manager. Ensuite, l'empreinte digitale est transmise au service Systems Manager lorsque l'agent envoie une commande RegisterManagedInstance.

Plus tard, lors de l'envoi d'une commande RequestManagedInstanceRoleToken, l'agent vérifie l'empreinte digitale et le hachage matériel dans le coffre-fort afin de s'assurer que les attributs de la machine actuelle correspondent au hachage matériel stocké. Si les attributs de la machine actuelle correspondent au hachage matériel stocké dans le coffre-fort, l'agent transmet l'empreinte digitale du coffre-fort à une RegisterManagedInstance, et l'appel est alors considéré comme réussi.

Si les attributs de la machine actuelle ne correspondent pas au hachage matériel stocké, l'SSM Agent calcule une nouvelle empreinte digitale, stocke le nouveau hachage matériel et l'empreinte digitale dans le coffre-fort et transmet la nouvelle empreinte digitale à un RequestManagedInstanceRoleToken. Cela provoque l'échec du RequestManagedInstanceRoleToken, et l'agent ne pourra pas obtenir un jeton de rôle pour se connecter au service Systems Manager.

Cet échec est intégré, et il sert d'étape de vérification pour empêcher que plusieurs nœuds gérés communiquent avec le service Systems Manager en tant que même nœud géré.

Lorsqu'il compare les attributs de la machine actuelle au hachage matériel stocké dans le coffre-fort, l'agent utilise la logique suivante pour déterminer si l'ancien et le nouveau hachages correspondent :

  • Si le SID (identifiant du système/de la machine) est différent, aucune correspondance.

  • Si l'adresse IP est la même, alors ils correspondent.

  • Sinon, le pourcentage d'attributs de la machine qui correspondent est calculé et comparé au seuil de similarité configuré par l'utilisateur pour déterminer s'il y a correspondance.

Le seuil de similarité est stocké dans le coffre-fort, et fait partie du hachage matériel.

Le seuil de similarité peut être défini après qu'une instance a été enregistrée en utilisant une commande semblable à celle qui suit.

Sur les machines Linux :

sudo amazon-ssm-agent -fingerprint -similarityThreshold 1

Sur Windows Server les machines utilisant PowerShell :

cd "C:\Program Files\Amazon\SSM\" `
    .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Important

Si l'un des composants utilisés pour calculer l'empreinte digitale change, cela peut entraîner la mise en veille prolongée de l'agent. Pour éviter cette mise en veille prolongée, définissez le seuil de similitude à une valeur faible, 1 par exemple.

SSM Agent sur GitHub

Le code source de SSM Agent est disponible sur GitHubafin que vous puissiez adapter l'agent à vos besoins. Nous vous conseillons d'envoyer des requêtes d'extraction pour les modifications que vous souhaitez inclure. Toutefois, Amazon Web Services ne fournit pas de support pour l'exécution de copies modifiées de ce logiciel.