Création d'associations qui exécutent des fichiers MOF - AWS Systems Manager
Utilisation d'Amazon S3 pour stocker les artefactsRésolution des informations d'identification dans les fichiers MOFUtilisation de jetons dans les fichiers MOFConditions préalables à la création d’associations qui exécutent des fichiers MOFCréation d'une association qui exécute des fichiers MOFRésolution des problèmes lors de la création d’associations qui exécutent des fichiers MOFAffichage des détails de conformité des ressources DSC

Création d'associations qui exécutent des fichiers MOF

Vous pouvez exécuter des fichiers MOF (Managed Object Format) pour appliquer un état souhaité aux nœuds gérés de Windows Server avec State Manager, une des fonctionnalités de AWS Systems Manager, en utilisant le document SSM AWS-ApplyDSCMofs. Le document AWS-ApplyDSCMofs a deux modes d'exécution. Avec le premier mode, vous pouvez configurer l'association pour analyser et indiquer si les nœuds gérés sont dans l'état souhaité défini dans les fichiers MOF spécifiés. Dans le second mode, vous pouvez exécuter les fichiers MOF et modifier la configuration de vos nœuds basés sur les ressources et leurs valeurs définies dans les fichiers MOF. Le document AWS-ApplyDSCMofs vous permet de télécharger et d'exécuter des fichiers de configuration MOF à partir d'Amazon Simple Storage Service (Amazon S3), d'un partage local ou d'un site web sécurisé avec un domaine HTTPS.

State Manager journalise et signale le statut de chaque exécution de fichier MOF au cours de chaque exécution d'association. State Manager signale également la sortie de chaque exécution de fichier MOF en tant qu'événement de conformité que vous pouvez afficher sur la page de conformité AWS Systems Manager.

L'exécution d'un fichier MOF est basée sur Windows PowerShell DSC (PowerShell Desired State Configuration). PowerShell DSC est une plateforme déclarative utilisée pour la configuration, le déploiement et la gestion de systèmes Windows. PowerShell DSC permet aux administrateurs de décrire comment un serveur doit être configuré dans des documents texte simples appelés configurations DSC. Une configuration PowerShell DSC est un script PowerShell spécialisé qui indique ce qu'il faut faire, mais pas comment procéder. L'exécution de la configuration génère un fichier MOF. Le fichier MOF peuvent être appliqué à un ou plusieurs serveurs afin de réaliser la configuration souhaitée pour ces serveurs. Les ressources PowerShell DSC se chargent d'appliquer la configuration. Pour plus d'informations, consultez Présentation de la configuration de l'état souhaité de Windows PowerShell.

Utilisation d'Amazon S3 pour stocker les artefacts

Si vous utilisez Amazon S3 pour stocker des modules PowerShell, des fichiers MOF, des rapports de conformité, ou des rapports de statut, le rôle AWS Identity and Access Management (IAM) utilisé par l'SSM Agent AWS Systems Manager doit avoir les autorisations GetObject et ListBucket sur le compartiment. Si vous ne fournissez pas ces autorisations, le système renvoie une erreur Accès refusé. Voici des informations importantes sur le stockage d'artefacts dans Amazon S3.

  • Si le compartiment se trouve dans un autre Compte AWS, vous devez créer une politique de ressource de compartiment qui accorde au compte (ou au rôle IAM) les autorisations GetObject et ListBucket.

  • Si vous voulez utiliser des ressources DSC personnalisées, vous pouvez les télécharger à partir d'un compartiment Amazon S3. Vous pouvez également les installer automatiquement à partir de la galerie PowerShell.

  • Si vous utilisez Amazon S3 comme module source, vous devez charger le module en tant que fichier .zip dans le format sensible à la casse suivant : NomModule_VersionModule.zip. Par exemple : MonModule_1.0.0.zip.

  • Tous les fichiers doivent se trouver dans le compartiment racine. Les structures de dossier ne sont pas prises en charge.

Résolution des informations d'identification dans les fichiers MOF

Les informations d'identification sont résolues en utilisant AWS Secrets Manager ou AWS Systems Manager Parameter Store. Cela vous permet de configurer la rotation automatique des informations d'identification. Cela permet également à DSC de propager automatiquement des informations d'identification vers vos serveurs sans redéployer des fichiers MOF.

Pour utiliser un secret AWS Secrets Manager dans une configuration, créez un objet PSCredential où le nom d'utilisateur est la valeur de SecretId ou de SecretARN du secret contenant les informations d'identification. Vous pouvez spécifier n'importe quelle valeur pour le mot de passe. La valeur est ignorée. Voici un exemple.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Compilez votre fichier MOF à l'aide du paramètre PsAllowPlaintextPassword dans les données de configuration. Cette opération ne pose pas de problème, car les informations d'identification contiennent uniquement une étiquette.

Dans Secrets Manager, vérifiez que le nœud a accès GetSecretValue dans une politique gérée IAM, et dans la politique de ressources du secret s'il en existe une. Pour fonctionner avec DSC, le secret doit être au format suivant.

{ 'Username': 'a_name', 'Password': 'a_password' }

Le secret peut avoir d'autres propriétés (par exemple, des propriétés utilisées pour la rotation), mais il doit comporter au moins le nom d'utilisateur et le mot de passe.

Nous vous recommandons d'utiliser une méthode de rotation multi-utilisateur, avec laquelle vous avez deux noms d'utilisateur et deux mots de passe différents, la fonction AWS Lambda effectuant une rotation entre eux. Cette méthode vous permet d'avoir plusieurs comptes actifs tout en éliminant le risque de bloquer un utilisateur pendant la rotation.

Utilisation de jetons dans les fichiers MOF

Les jetons vous permettent de modifier des valeurs de propriété de ressource après que le fichier MOF a été compilé. Cela vous permet de réutiliser des fichiers MOF courants sur plusieurs serveurs qui nécessitent des configurations similaires.

La substitution de jeton ne fonctionne que pour les propriétés de ressource de type String. Toutefois, si votre ressource comporte une propriété de nœud CIM imbriquée, elle résout également les jetons CIM à partir des propriétés String dans ce nœud CIM. Vous ne pouvez pas utiliser la substitution de jeton pour des nombres ou des tableaux.

Par exemple, imaginez que vous utilisez la ressource xComputerManagement et que vous souhaitez renommer l'ordinateur à l'aide de DSC. Normalement, vous avez besoin d'un fichier MOF dédié pour cette machine. Cependant, avec la prise en charge des jetons, vous pouvez créer un seul fichier MOF et l'appliquer à tous vos nœuds. Dans la propriété ComputerName, au lieu de coder en dur le nom d'ordinateur dans le fichier MOF, vous pouvez utiliser un jeton de type balise (Tag) d'instance. La valeur est résolue lors de l'analyse du fichier MOF. Consultez l'exemple suivant.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Vous définissez ensuite une identification sur le nœud géré dans la console Systems Manager, ou une identification Amazon Elastic Compute Cloud (Amazon EC2) dans la console Amazon EC2. Lorsque vous exécutez le document, le script substitue le jeton {tag:ComputerName} à la valeur de la balise d'instance.

Vous pouvez également combiner plusieurs balises dans une seule propriété, tel qu'illustré dans l'exemple suivant :

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Vous pouvez utiliser cinq types de jetons différents :

  • identification : identifications Amazon EC2 ou de nœud géré.

  • tagb64 : Identique à tag, mais le système utilise base64 pour décoder la valeur. Cela vous permet d'utiliser des caractères spéciaux dans des valeurs de balise.

  • env : Résout des variables d'environnement.

  • ssm : valeurs Parameter Store. Seuls les types String et Secure String sont pris en charge.

  • tagssm : identique à tag, mais si l'identification n'est pas définie sur le nœud, le système tente de résoudre la valeur à partir d'un paramètre Systems Manager avec le même nom. Cela s'avère utile dans des situations où vous souhaitez disposer d'une « valeur globale par défaut », mais pouvoir la remplacer sur un seul nœud (par exemple, pour des déploiements « one-box »).

Voici un exemple Parameter Store qui utilise le type de jeton ssm. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Les jetons jouent un rôle important pour la réduction du code redondant en rendant les fichiers MOF génériques et réutilisables. Si vous pouvez éviter les fichiers MOF spécifiques à un serveur, vous n'avez pas besoin d'un service de génération de fichier MOF. Un service de génération de fichier MOF augmente les coûts, les délais d'allocation et les risques de dérive de configuration entre des nœuds regroupés à cause de l'installation de versions de module différentes sur le serveur de développement lors de la compilation de leurs fichiers MOF.

Conditions préalables à la création d’associations qui exécutent des fichiers MOF

Avant de créer une association qui exécute des fichiers MOF, vérifiez que vos nœuds gérés ont les prérequis suivants installés :

Création d'une association qui exécute des fichiers MOF

Pour créer une association qui exécute des fichiers MOF

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez State Manager.

  3. Sélectionnez State Manager, puis Create association (Créer une association).

  4. Dans le champ Nom, spécifiez un nom. Cette action est facultative, mais recommandée. Un nom peut vous aider à comprendre quel était l'objectif de l'association quand vous avez créée celle-ci. Les espaces ne sont pas autorisés dans le nom.

  5. Dans la liste Document, sélectionnez AWS-ApplyDSCMofs.

  6. Dans la section Parameters (Paramètres), spécifiez vos choix pour les paramètres d'entrée obligatoires et facultatifs.

    1. Mofs To Apply (Fichiers MOF à appliquer) : spécifiez un ou plusieurs fichiers MOF à exécuter lors de l'exécution de cette association. Utilisez des virgules pour séparer les fichiers MOF dans une liste. Vous pouvez spécifier les options suivantes pour localiser un fichier MOF.

      • Nom de compartiment Amazon S3. Les noms de compartiment doivent utiliser des lettres minuscules. Spécifiez cette information à l'aide du format suivant.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Si vous voulez spécifier une Région AWS, utilisez le format suivant.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Un site web sécurisé. Spécifiez cette information à l'aide du format suivant.

        https://domain_name/MOF_file_name.mof

        Voici un exemple.

        https://www.example.com/TestMOF.mof

      • Un système de fichiers sur un partage local. Spécifiez cette information à l'aide du format suivant.

        \server_name\shared_folder_name\MOF_file_name.mof

        Voici un exemple.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Chemin d'accès au service) : (Facultatif) Un chemin d'accès au service est un préfixe d'un compartiment Amazon S3 dans lequel vous voulez écrire des rapports et des informations de statut. Ou, un chemin d'accès au service est un chemin pour des balises basées sur des paramètres Parameter Store. Lors de la résolution des balises basées sur des paramètres, le système utilise {ssm:%servicePath%/nom_paramètre pour injecter la valeur de servicePath dans le nom de paramètre. Par exemple, si le chemin d'accès au service est « WebServers/Production », les systèmes résout le paramètre comme suit : WebServers/Production/nom_paramètre. Cela s'avère utile lorsque vous exécutez plusieurs environnements dans le même compte.

    3. Report Bucket Name (Nom du compartiment des rapports) : (Facultatif) Saisissez le nom d'un compartiment Amazon S3 dans lequel vous voulez écrire les données de conformité. Les rapports sont enregistrés dans ce compartiment au format JSON.

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:MyMOFBucket. Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    4. Mof Operation Mode (Mode d'opération MOF) : sélectionnez le comportement State Manager lors de l'exécution de l'association AWS-ApplyDSCMofs :

      • Apply (Appliquer) : corriger les configurations de nœuds qui ne sont pas conformes.

      • ReportOnly (Rapport uniquement) : ne pas corriger les configurations de nœuds, mais journaliser toutes les données de conformité et signaler les nœuds qui ne sont pas conformes.

    5. Status Bucket Name (Statut du compartiment des rapports) : (Facultatif) Entrez le nom d'un compartiment Amazon S3 dans lequel vous voulez écrire les informations de statut d'exécution de fichier MOF. Ces rapports de statut sont des résumés de singleton de la dernière exécution de conformité d'un nœud. Cela signifie que le rapport est remplacé la fois suivante où l'association exécute des fichiers MOF.

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:amzn-s3-demo-bucket Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    6. Module Source Bucket Name (Nom du compartiment source de module) : (facultatif) saisissez le nom d'un compartiment Amazon S3 qui contient les fichiers de module PowerShell. Si vous spécifiez None (Aucun), sélectionnez True (Vrai) pour l'option suivante, Allow PS Gallery Module Source (Autoriser la galerie PS comme source de module).

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:amzn-s3-demo-bucket Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    7. Autoriser PS Gallery Module Source (Autoriser la galerie PS comme source de module) : (Facultatif) Sélectionnez True (Vrai) pour télécharger les modules PowerShell à partir du site https://www.powershellgallery.com/. Si vous sélectionnez False (Faux), spécifiez une source pour l'option précédente, ModuleSourceBucketName.

    8. Proxy Uri (URI du proxy) : (Facultatif) Utilisez cette option pour télécharger les fichiers MOF à partir d'un serveur proxy.

    9. Reboot Behavior (Comportement de redémarrage) : (Facultatif) Spécifiez l'un des comportements de redémarrage suivants si votre exécution de fichier MOF nécessite un redémarrage :

      • AfterMof : redémarre le nœud une fois toutes les exécutions MOF terminées. Même si plusieurs exécutions de fichier MOF demandent un redémarrage, le système attend que toutes les exécutions de fichier MOF soient terminées pour redémarrer.

      • Immediately (Immédiatement) : redémarre le nœud chaque fois qu'une exécution de fichier MOF le demande. Lors de l'exécution de plusieurs fichiers MOF demandant un redémarrage, le nœud est redémarré plusieurs fois.

      • Never (Jamais) : les nœuds ne sont pas redémarrés, même si l'exécution de fichier MOF demande explicitement un redémarrage.

    10. Use Computer Name For Reporting (Utiliser le nom de l'ordinateur pour les rapports) : (facultatif) activez cette option pour utiliser le nom de l'ordinateur lors de la génération des informations des rapports de conformité. La valeur par défaut est false (faux), qui signifie que le système utilise l'ID de nœud lors de la création des rapports de conformité.

    11. Enable Verbose Logging (Activer la journalisation détaillée) : (facultatif) nous vous recommandons d'activer la journalisation détaillée lors du déploiement de fichiers MOF pour la première fois.

      Important

      Lorsqu'elle est activée, la journalisation détaillée écrit plus de données dans votre compartiment Amazon S3 que la journalisation d'exécution d'association standard. Cela peut entraîner un ralentissement des performances et des frais de stockage plus élevés pour Amazon S3. Pour éviter les problèmes de taille de stockage, nous vous recommandons d'activer des politiques de cycle de vie sur le compartiment Amazon S3. Pour de plus amples informations, consultez Comment créer une politique de cycle de vie pour un compartiment S3 ? dans le Guide de l'utilisateur Amazon Simple Storage Service.

    12. Enable Debug Logging (Activer la journalisation de débogage) : (facultatif) nous vous recommandons d'activer la journalisation de débogage pour résoudre les échecs de fichier MOF. Nous vous recommandons également de désactiver cette option pour une utilisation normale.

      Important

      Lorsqu'elle est activée, la journalisation de débogage écrit plus de données dans votre compartiment Amazon S3 que la journalisation d'exécution d'association standard. Cela peut entraîner un ralentissement des performances et des frais de stockage plus élevés pour Amazon S3. Pour éviter les problèmes de taille de stockage, nous vous recommandons d'activer des politiques de cycle de vie sur le compartiment Amazon S3. Pour de plus amples informations, consultez Comment créer une politique de cycle de vie pour un compartiment S3 ? dans le Guide de l'utilisateur Amazon Simple Storage Service.

    13. Compliance Type (Type de conformité) : (Facultatif) Spécifiez le type de conformité à utiliser pour la génération des rapports d'informations de conformité. Le type de conformité par défaut est Custom:DSC. Si vous créez plusieurs associations qui exécutent des fichiers MOF, assurez-vous de spécifier un type de conformité différent pour chaque association. Sinon, chaque association supplémentaire qui utilise Custom:DSC écrase les données de conformité existantes.

    14. Pre Reboot Script (Script préalable au redémarrage) : (Facultatif) Spécifiez un script à exécuter si la configuration a indiqué qu'un redémarrage était nécessaire. Le script s'exécute avant le redémarrage. Le script doit tenir sur une seule ligne. Séparez les lignes supplémentaires par des points-virgules.

  7. Dans la section Targets (Cibles), sélectionnez Specifying tags (Spécification de balises) ou Manually Selecting Instance (Sélection manuelle des instances). Si vous choisissez de cibler des ressources à l'aide de balises, entrez une clé de balise et une valeur de balise dans les champs fournis. Pour plus d'informations sur l'utilisation des cibles, consultez Comprendre les cibles et les contrôles du taux dans les associations State Manager.

  8. Dans la section Specify schedule (Spécifier le programme), sélectionnez On Schedule (Selon le calendrier) ou No schedule (Pas de calendrier). Si vous sélectionnez On Schedule (Selon le calendrier), utilisez les boutons fournis pour créer un calendrier de type cron ou rate pour l'association.

  9. Dans la section Advanced options (Options avancées) :

    • Dans Compliance severity (Sévérité de conformité), sélectionnez un niveau de sévérité pour l'association. Les rapports de conformité indiquent si l'état de l'association est conforme ou non conforme, ainsi que le niveau de sévérité que vous spécifiez ici. Pour en savoir plus, consultez A propos de la conformité des associations State Manager.

  10. Dans la section Rate control (Contrôle de taux), configurez des options pour l'exécution d'associations State Manager dans un parc de nœuds gérés. Pour plus d'informations sur ces options, consultez Comprendre les cibles et les contrôles du taux dans les associations State Manager.

    Dans la section Simultanéité, sélectionnez une option :

    • Sélectionnez targets (cibles) pour entrer un nombre absolu de cibles pouvant exécuter l'association simultanément.

    • Sélectionnez percentage (pourcentage) pour saisir un pourcentage de l'ensemble de cibles pouvant exécuter l'association simultanément.

    Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

    • Sélectionnez errors (erreurs) pour saisir un nombre absolu d'erreurs autorisées avant que State Manager cesse de d'exécuter des associations sur des cibles supplémentaires.

    • Sélectionnez percentage (pourcentage) pour saisir un pourcentage d'erreurs autorisées avant que State Manager cesse de d'exécuter des associations sur des cibles supplémentaires.

  11. (Facultatif) Dans Output options (Options de sortie), pour enregistrer la sortie de la commande dans un fichier, sélectionnez Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3) Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.

    Note

    Les autorisations S3 qui donnent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections Configurer des autorisations d’instance requises pour Systems Manager et Créer un rôle de service IAM pour un environnement hybride. En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, vérifiez que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

  12. Sélectionnez Create Association (Créer une association).

State Manager crée et exécute immédiatement l'association sur les cibles spécifiées. Après l'exécution initiale, l'association s'exécute à des intervalles selon le programme que vous avez défini et les règles suivantes :

  • State Manager exécute des associations sur les nœuds qui sont en ligne lorsque l'intervalle commence, et ignore les nœuds hors ligne.

  • State Manager tente d'exécuter l'association sur tous les nœuds configurés au cours d'un intervalle.

  • Si une association n'est pas exécutée au cours d'un intervalle (par exemple, parce qu'une valeur de simultanéité a limité par le nombre de nœuds pouvant traiter l'association simultanément), State Manager tente d'exécuter l'association lors du prochain intervalle.

  • State Manager enregistre un historique pour tous les intervalles ignorés. Vous pouvez consulter l'historique dans l'onglet Execution History (Historique d'exécution).

Note

Le AWS-ApplyDSCMofs est un document Command de Systems Manager. Cela signifie que vous pouvez également exécuter ce document en utilisant Run Command, une des fonctionnalités de AWS Systems Manager. Pour en savoir plus, consultez AWS Systems Manager Run Command.

Résolution des problèmes lors de la création d’associations qui exécutent des fichiers MOF

Cette section comprend des informations qui vous aideront à résoudre les problèmes liés à la création d'associations qui exécutent des fichiers MOF.

Activation de la journalisation améliorée

Comme première étape du dépannage, activez la journalisation améliorée. Plus précisément, procédez comme suit :

  1. Vérifiez que l'association est configurée pour écrire la sortie de commande dans Amazon S3 ou Amazon CloudWatch Logs (CloudWatch).

  2. Définissez le paramètre Enable Verbose Logging (Activer la journalisation détaillée) sur True.

  3. Définissez le paramètre Enable Debug Logging (Activer la journalisation de débogage) sur True.

Avec la journalisation détaillée et de débogage activée, le fichier de sortie Stdout comprend plus de détails sur l'exécution du script. Ce fichier de sortie peut vous aider à identifier l'endroit où le script a échoué. Le fichier de sortie Stderr contient les erreurs qui se sont produites au cours de l'exécution du script.

Problèmes courants lors de la création d’associations qui exécutent des fichiers MOF

Cette section inclut des informations sur les problèmes courants qui peuvent se produire lorsque vous créez des associations qui exécutent des fichiers MOF. Il comprend également les étapes permettant de résoudre ces problèmes.

Mon fichier MOF n'a pas été appliqué

Si State Manager n'a pas pu appliquer l'association à vos nœuds, commencez par vérifier fichier de sortie Stderr. Ce fichier peut vous aider à comprendre la cause première du problème. Vérifiez également que les points suivants :

  • Le nœud comporte les autorisations d'accès requises à tous les compartiments Simple Storage Service (Amazon S3) liés aux fichiers MOF. En particulier :

    • s3:GetObject permissions (Autorisations s3:GetObject) : ces autorisations sont obligatoires pour les fichiers MOF stockés dans les compartiments Amazon S3 privés, ainsi que pour les modules personnalisés dans les compartiments Amazon S3.

    • s3:PutObject permission (Autorisation s3:PutObject) : cette autorisation est requise pour écrire les rapports de conformité et le statut de conformité dans les compartiments Amazon S3.

  • Si vous utilisez des identifications, assurez-vous que le nœud dispose des politiques IAM requises. L'utilisation de balises nécessite que le rôle IAM d'instance dispose d'une politique autorisant les actions ec2:DescribeInstances et ssm:ListTagsForResource.

  • Assurez-vous que le nœud dispose des identifications attendues ou des paramètres SSM attribués.

  • Assurez-vous que les balises ou les paramètres SSM sont correctement orthographiés.

  • Essayez d'appliquer le fichier MOF localement sur le nœud pour vous assurer que le problème n'est pas lié au fichier MOF lui-même.

Mon fichier MOF semble avoir échoué, mais l'exécution Systems Manager a réussi

Si le document AWS-ApplyDSCMofs s'est exécuté avec succès, le statut d'exécution Systems Manager affiche Success (Réussite). Ce statut ne reflète pas le statut de conformité de votre nœud par rapport aux exigences de configuration figurant dans le fichier MOF. Pour voir le statut de conformité de vos nœuds, consultez les rapports de conformité. Vous pouvez afficher un rapport JSON dans le compartiment des rapports Amazon S3. Cela s'applique aux exécutions Run Command et State Manager. En outre, pour State Manager, vous pouvez afficher les détails de conformité sur la page de conformité Systems Manager.

Stderr spécifie : « Name resolution failure attempting to reach service » (Échec de résolution de nom lors d'une tentative d'accès au service)

Cette erreur indique que le script ne peut pas atteindre un service distant. Il est vraisemblable que le script ne peut pas atteindre Amazon S3. Ce problème se produit le plus souvent lorsque le script tente d'écrire des rapports de conformité ou un statut de conformité dans le compartiment Amazon S3 fourni dans les paramètres du document. En général, cette erreur a lieu lorsqu'un environnement informatique utilise un pare-feu ou un proxy transparent qui inclut une liste d'autorisations. Pour résoudre ce problème :

  • Utilisez la syntaxe de compartiment spécifique à la région pour tous les paramètres de compartiment Amazon S3. Par exemple, le paramètre Mofs To Apply (Fichiers MOF à appliquer) doit être formaté comme suit :

    s3:région-compartiment:nom-compartiment:nom-fichier-mof.mof.

    Voici un exemple : s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Les noms des compartiments de rapport, de statut et de source de module doivent être formatés comme suit :

    région-compartiment:nom-compartiment. Voici un exemple: us-west-1:amzn-s3-demo-bucket;

  • Si la syntaxe spécifique à la Région ne permet pas de résoudre le problème, assurez-vous que le ou les nœuds ciblés peuvent accéder à Simple Storage Service (Amazon S3) dans la Région souhaitée. Pour vérifier ceci :

    1. Recherchez le nom du point de terminaison pour Amazon S3 dans la région Amazon S3 appropriée. Pour plus d'informations, veuillez consulter la rubrique Points de terminaison de service Amazon S3 dans la Référence générale d'Amazon Web Services.

    2. Connectez-vous au nœud cible et exécutez la commande ping suivante.

      ping s3.s3-region.amazonaws.com

      Si le ping a échoué, cela signifie que Simple Storage Service (Amazon S3) est arrêté, qu'un pare-feu/proxy transparent bloque l'accès à la Région Simple Storage Service (Amazon S3), ou que le nœud ne peut pas accéder à Internet.

Affichage des détails de conformité des ressources DSC

Systems Manager capture les informations de conformité sur les défaillances de ressources DSC dans le Status Bucket (Compartiment de statut) Amazon S3 que vous avez spécifié lorsque vous avez exécuté le document AWS-ApplyDSCMofs. La recherche d'informations sur les défaillances de ressources DSC dans un compartiment Amazon S3 peut prendre du temps. Au lieu de cela, vous pouvez consulter ces informations sur la page Compliance (Conformité) de Systems Manager.

La section Récapitulatif des ressources de conformité affiche le nombre de ressources qui ont échoué. Dans l'exemple suivant, la valeur de ComplianceType est Custom:DSC et une ressource est non conforme.

Note

Custom:DSC est la valeur ComplianceType par défaut dans le document AWS-ApplyDSCMofs. Cette valeur est personnalisable.

Affichage de comptages dans la section Compliance resources summary (Récapitulatif des ressources de conformité) de la page Compliance (Conformité).

La section Details overview for resources (Présentation détaillée des ressources) affiche des informations sur la ressource AWS avec la ressource DSC non conforme. Cette section inclut également le nom MOF, les étapes d'exécution du script et (le cas échéant) un lien View output (Afficher la sortie) pour consulter des informations de statut détaillées.

Affichage des détails de conformité pour une défaillance de ressource d'exécution MOF

Le lien Afficher la sortie affiche les 4 000 derniers caractères du statut détaillé. Systems Manager utilise l'exception comme premier élément, puis analyse les messages détaillés à rebours, et en ajoute le plus possible jusqu'au quota de 4 000 caractères. Ce processus affiche les messages de journal qui ont été générés avant que l'exception soit déclenchée, qui sont les plus pertinents pour la résolution.

Affichage de la sortie détaillée pour un problème de conformité de ressource MOF

Pour de plus amples informations sur la façon d'afficher les informations de conformité, consultez Conformité d'AWS Systems Manager.

Situations qui affectent les rapports de conformité

Si l'association State Manager échoue, aucune donnée de conformité n'est présentée. Plus spécifiquement, si un MOF ne peut pas être traité, Systems Manager ne signale aucun élément de conformité, car les associations échouent. Par exemple, si Systems Manager tente de télécharger un MOF à partir d'un compartiment Simple Storage Service (Amazon S3) auquel le nœud n'est pas autorisé à accéder, l'association échoue et aucune donnée de conformité n'est présentée.

Si une ressource dans un deuxième MOF échoue, Systems Manager génère des donnée de conformité. Par exemple, si un MOF tente de créer un fichier sur un lecteur qui n'existe pas, Systems Manager signale la conformité, car le document AWS-ApplyDSCMofs peut être traité complètement, ce qui signifie que l'association s'exécute avec succès.