Menginstal SSM Agent pada hibrida Windows Server simpul - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menginstal SSM Agent pada hibrida Windows Server simpul

Topik ini menjelaskan cara menginstal SSM Agent on Windows Server mesin untuk lingkungan hybrid dan multicloud. Jika Anda berencana untuk menggunakan mesin EC2 non-Linux di lingkungan hybrid dan multicloud, lihat langkah sebelumnya. Menginstal SSM Agent pada node Linux hibrida

penting

Prosedur ini untuk mesin EC2 non-( Amazon Elastic Compute Cloud) di lingkungan hybrid dan multicloud. Untuk mengunduh dan menginstal SSM Agent pada sebuah EC2 contoh untuk Windows Server, lihat Menginstal dan menghapus instalasi secara manual SSM Agent pada EC2 contoh untuk Windows Server.

Sebelum Anda mulai, cari Kode Aktivasi dan ID Aktivasi yang dikirimkan kepada Anda setelah Anda menyelesaikan aktivasi hibrida sebelumnyaBuat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager. Anda menentukan kode dan ID dalam prosedur berikut.

Untuk menginstal SSM Agent pada non- EC2 Windows Server mesin di lingkungan hybrid dan multicloud
  1. Masuk ke server atau VM di lingkungan hybrid dan multicloud Anda.

  2. Jika Anda menggunakan HTTPS proxy HTTP atau, Anda harus mengatur variabel http_proxy atau https_proxy lingkungan dalam sesi shell saat ini. Jika Anda tidak menggunakan proxy, Anda dapat melewati langkah ini.

    Untuk server HTTP proxy, atur variabel ini:

    http_proxy=http://hostname:port https_proxy=http://hostname:port

    Untuk server HTTPS proxy, atur variabel ini:

    http_proxy=http://hostname:port https_proxy=https://hostname:port
  3. Buka Windows PowerShell dalam mode tinggi (administratif).

  4. Salin dan tempel blok perintah berikut ke Windows PowerShell. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri. Misalnya, Kode Aktivasi dan ID Aktivasi yang dihasilkan saat Anda membuat aktivasi hibrida, dan dengan pengenal yang ingin Wilayah AWS Anda unduh SSM Agent dari.

    catatan

    Perhatikan detail penting berikut ini:

    • ssm-setup-climendukung manifest-url opsi yang menentukan sumber dari mana agen diunduh. Jangan tentukan nilai untuk opsi ini kecuali diperlukan oleh organisasi Anda.

    • Anda dapat menggunakan skrip yang disediakan di sini untuk memvalidasi tanda tangan. ssm-setup-cli

    • Saat mendaftarkan instance, hanya gunakan tautan unduhan yang disediakanssm-setup-cli. ssm-setup-cliseharusnya tidak disimpan secara terpisah untuk penggunaan di masa mendatang.

    region mewakili pengenal untuk yang Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Untuk daftar yang didukung region nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services

    Selain itu, ssm-setup-cli termasuk opsi berikut:

    • version- Nilai yang valid adalah latest danstable.

    • downgrade- Mengembalikan agen ke versi sebelumnya.

    • skip-signature-validation- Melewatkan validasi tanda tangan selama pengunduhan dan pemasangan agen.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12' $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region" Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'" $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region" Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
  5. Tekan Enter.

catatan

Jika perintah gagal, verifikasi bahwa Anda menjalankan versi terbaru AWS Tools for PowerShell.

Perintah ini melakukan hal berikut:

  • Mengunduh dan menginstal SSM Agent ke mesin.

  • Mendaftarkan mesin dengan layanan Systems Manager.

  • Mengembalikan tanggapan yang serupa dengan yang berikut:

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    d-----       07/07/2018   8:07 PM                ssm
    {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
    
    Status      : Running
    Name        : AmazonSSMAgent
    DisplayName : Amazon SSM Agent

Mesin sekarang menjadi node terkelola. Node terkelola ini sekarang diidentifikasi dengan awalan “mi-”. Anda dapat melihat node terkelola pada halaman Managed node di Fleet Manager, dengan menggunakan AWS CLI perintah describe-instance-informationatau dengan menggunakan API perintah DescribeInstanceInformation.

Mengatur rotasi otomatis kunci privat

Untuk memperkuat postur keamanan Anda, Anda dapat mengonfigurasi AWS Systems Manager Agen (SSM Agent) untuk secara otomatis memutar kunci pribadi untuk lingkungan hybrid dan multicloud. Anda dapat mengakses fitur ini menggunakan SSM Agent versi 3.0.1031.0 atau yang lebih baru. Hidupkan fitur ini menggunakan prosedur berikut.

Untuk mengkonfigurasi SSM Agent untuk memutar kunci pribadi untuk lingkungan hybrid dan multicloud
  1. Arahkan ke /etc/amazon/ssm/ pada mesin Linux atau C:\Program Files\Amazon\SSM untuk Windows Server mesin.

  2. Salin isi amazon-ssm-agent.json.template ke file baru yang bernama amazon-ssm-agent.json. Simpan amazon-ssm-agent.json di direktori yang sama dimana dengan lokasi amazon-ssm-agent.json.template.

  3. Cari Profile, KeyAutoRotateDays. Masukkan jumlah hari yang Anda inginkan antara rotasi kunci privat otomatis.

  4. Mulai ulang SSM Agent.

Setiap kali Anda mengubah konfigurasi, mulai ulang SSM Agent.

Anda dapat menyesuaikan fitur lain dari SSM Agent menggunakan prosedur yang sama. Untuk up-to-date daftar properti konfigurasi yang tersedia dan nilai defaultnya, lihat Config Property Definitions.

Deregister dan registrasi ulang node terkelola

Anda dapat membatalkan pendaftaran node terkelola dengan memanggil DeregisterManagedInstanceAPIoperasi baik dari AWS CLI atau Tools untuk Windows. PowerShell Berikut adalah contoh CLI perintah:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Untuk menghapus informasi pendaftaran yang tersisa untuk agen, hapus IdentityConsumptionOrder kunci dalam amazon-ssm-agent.json file. Kemudian jalankan perintah berikut:

amazon-ssm-agent -register -clear

Anda dapat mendaftarkan ulang mesin setelah Anda membatalkan pendaftarannya. Gunakan prosedur berikut untuk mendaftarkan ulang mesin sebagai node terkelola. Setelah Anda menyelesaikan prosedur, node terkelola Anda ditampilkan lagi dalam daftar node terkelola.

Untuk mendaftarkan ulang node terkelola pada Windows Server mesin hybrid
  1. Connect ke mesin Anda.

  2. Jalankan perintah berikut. Pastikan untuk mengganti nilai placeholder dengan Kode Aktivasi dan ID Aktivasi yang dihasilkan saat Anda membuat aktivasi hibrida, dan dengan pengenal Wilayah yang ingin Anda unduh SSM Agent dari.

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"