Membuat asosiasi yang menjalankan MOF file - AWS Systems Manager
Menggunakan Amazon S3 untuk menyimpan artifactMenyelesaikan kredensi dalam file MOFMenggunakan token dalam MOF filePrasyarat untuk membuat asosiasi yang menjalankan file MOFMembuat asosiasi yang menjalankan MOF fileMemecahkan masalah saat membuat asosiasi yang menjalankan file MOFMelihat detail kepatuhan DSC sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat asosiasi yang menjalankan MOF file

Anda dapat menjalankan file Managed Object Format (MOF) untuk menerapkan status yang diinginkan pada node yang dikelola Windows Server denganState Manager, kemampuan AWS Systems Manager, dengan menggunakan AWS-ApplyDSCMofs SSM dokumen. Dokumen AWS-ApplyDSCMofs memiliki dua mode eksekusi. Dengan mode pertama, Anda dapat mengonfigurasi asosiasi untuk memindai dan melaporkan jika node yang dikelola berada dalam keadaan yang diinginkan yang ditentukan dalam MOF file yang ditentukan. Dalam mode kedua, Anda dapat menjalankan MOF file dan mengubah konfigurasi node Anda berdasarkan sumber daya dan nilainya yang ditentukan dalam MOF file. AWS-ApplyDSCMofsDokumen ini memungkinkan Anda mengunduh dan menjalankan file MOF konfigurasi dari Amazon Simple Storage Service (Amazon S3), share lokal, atau dari situs web aman dengan domain. HTTPS

State Managermencatat dan melaporkan status setiap eksekusi MOF file selama setiap proses asosiasi. State Managerjuga melaporkan output dari setiap eksekusi MOF file sebagai peristiwa kepatuhan yang dapat Anda lihat di halaman AWS Systems Manager Kepatuhan.

MOFeksekusi file dibangun pada Windows Desired PowerShell State Configuration (PowerShell DSC). PowerShell DSCadalah platform deklaratif yang digunakan untuk konfigurasi, penyebaran, dan manajemen sistem Windows. PowerShell DSCmemungkinkan administrator untuk menjelaskan, dalam dokumen teks sederhana yang disebut DSC konfigurasi, bagaimana mereka ingin server dikonfigurasi. PowerShell DSCKonfigurasi adalah PowerShell skrip khusus yang menyatakan apa yang harus dilakukan, tetapi bukan bagaimana melakukannya. Menjalankan konfigurasi menghasilkan MOF file. MOFFile dapat diterapkan ke satu atau lebih server untuk mencapai konfigurasi yang diinginkan untuk server tersebut. PowerShell DSCsumber daya melakukan pekerjaan aktual menegakkan konfigurasi. Untuk informasi selengkapnya, lihat Ikhtisar Konfigurasi Status PowerShell yang Diinginkan Windows.

Menggunakan Amazon S3 untuk menyimpan artifact

Jika Anda menggunakan Amazon S3 untuk menyimpan PowerShell modul, MOF file, laporan kepatuhan, atau laporan status, maka peran AWS Identity and Access Management (IAM) yang digunakan oleh AWS Systems Manager SSM Agent harus memiliki GetObject dan ListBucket izin di bucket. Jika Anda tidak memberikan izin ini, sistem akan menampilkan kesalahan Akses Ditolak. Di bawah ini adalah informasi penting tentang menyimpan artefak di Amazon S3.

  • Jika bucket berbeda Akun AWS, buat kebijakan sumber daya bucket yang memberikan akun (atau IAM peran) GetObject dan ListBucket izin.

  • Jika Anda ingin menggunakan DSC sumber daya khusus, Anda dapat mengunduh sumber daya ini dari bucket Amazon S3. Anda juga dapat menginstalnya secara otomatis dari PowerShell galeri.

  • Jika Anda menggunakan Amazon S3 sebagai sumber modul, unggah modul sebagai file Zip dalam format peka huruf besar/kecil berikut: ModuleName_ModuleVersion.zip. Misalnya: MyModule _1.0.0.zip.

  • Semua file harus berada dalam root bucket. Struktur folder tidak didukung.

Menyelesaikan kredensi dalam file MOF

Kredensial diselesaikan dengan menggunakan AWS Secrets Manager atau AWS Systems Manager Parameter Store. Hal ini mengizinkan Anda untuk mengatur rotasi kredensial otomatis. Hal ini juga memungkinkan DSC untuk secara otomatis menyebarkan kredensil ke server Anda tanpa redeploying. MOFs

Untuk menggunakan AWS Secrets Manager rahasia dalam konfigurasi, buat PSCredential objek di mana Username adalah SecretId atau Rahasia rahasia ARN yang berisi kredensi. Anda dapat menentukan nilai apa pun untuk kata sandi. Nilai diabaikan. Berikut adalah contohnya.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Kompilasi Anda MOF menggunakan PsAllowPlaintextPassword pengaturan dalam data konfigurasi. Hal ini boleh karena kredensialnya hanya berisi label.

Di Secrets Manager, pastikan bahwa node memiliki GetSecretValue akses dalam Kebijakan IAM Terkelola, dan secara opsional dalam Kebijakan Sumber Daya Rahasia jika ada. Untuk bekerja denganDSC, rahasianya harus dalam format berikut.

{ 'Username': 'a_name', 'Password': 'a_password' }

Rahasianya dapat memiliki properti lain (misalnya, properti yang digunakan untuk rotasi), tetapi setidaknya harus memiliki properti nama pengguna dan kata sandi.

Kami menyarankan Anda menggunakan metode rotasi multi-pengguna, di mana Anda memiliki dua nama pengguna dan kata sandi yang berbeda, dan AWS Lambda fungsi rotasi membalik di antara keduanya. Metode ini mengizinkan Anda untuk memiliki beberapa akun aktif sekaligus menghilangkan risiko mengunci pengguna selama rotasi.

Menggunakan token dalam MOF file

Token memberi Anda kemampuan untuk memodifikasi nilai properti sumber daya MOFsetelah dikompilasi. Ini memungkinkan Anda untuk menggunakan kembali MOF file umum di beberapa server yang memerlukan konfigurasi serupa.

Substitusi token hanya bekerja untuk Atribut Sumber Daya jenis String. Namun, jika sumber daya Anda memiliki properti CIM node bersarang, itu juga menyelesaikan token dari String properti di node tersebut. CIM Anda tidak dapat menggunakan substitusi token untuk angka atau larik.

Misalnya, pertimbangkan skenario di mana Anda menggunakan xComputerManagement sumber daya dan Anda ingin mengganti nama komputer menggunakanDSC. Biasanya Anda memerlukan MOF file khusus untuk mesin itu. Namun, dengan dukungan token, Anda dapat membuat satu MOF file dan menerapkannya ke semua node Anda. Di ComputerName properti, alih-alih membuat hardcoding nama komputer ke dalamMOF, Anda dapat menggunakan token jenis Tag Instance. Nilai diselesaikan selama MOF penguraian. Lihat contoh berikut ini.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Anda kemudian menetapkan tag pada node terkelola di konsol Systems Manager, atau tag Amazon Elastic Compute Cloud (AmazonEC2) di EC2 konsol Amazon. Saat Anda menjalankan dokumen, skrip menggantikan token {tag:ComputerName} untuk nilai tag instance.

Anda juga dapat menggabungkan beberapa tag ke properti tunggal, seperti yang ditunjukkan dalam contoh berikut.

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Ada lima jenis token yang dapat Anda gunakan:

  • tag: Amazon EC2 atau tag node terkelola.

  • tagb64: Ini sama dengan tag, tetapi sistem menggunakan base64 untuk memecahkan kode nilainya. Hal ini memungkinkan Anda untuk menggunakan karakter khusus dalam nilai tag.

  • env: Variabel Resolves Environment.

  • ssm: Parameter Store nilai. Hanya tipe String dan Secure String yang didukung.

  • tagssm: Ini sama dengan tag, tetapi jika tag tidak disetel pada node, sistem mencoba untuk menyelesaikan nilai dari parameter Systems Manager dengan nama yang sama. Ini berguna dalam situasi ketika Anda menginginkan 'nilai global default' tetapi Anda ingin dapat menggantinya pada satu node (misalnya, penerapan satu kotak).

Berikut adalah Parameter Store contoh yang menggunakan jenis ssm token. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Token memainkan peran penting dalam mengurangi kode redundan dengan membuat MOF file generik dan dapat digunakan kembali. Jika Anda dapat menghindari MOF file khusus server, maka tidak perlu layanan bangunan. MOF Layanan MOF bangunan meningkatkan biaya, memperlambat waktu penyediaan, dan meningkatkan risiko penyimpangan konfigurasi antara node yang dikelompokkan karena versi modul yang berbeda yang diinstal pada server build ketika mereka dikompilasi. MOFs

Prasyarat untuk membuat asosiasi yang menjalankan file MOF

Sebelum Anda membuat asosiasi yang menjalankan MOF file, verifikasi bahwa node terkelola Anda telah menginstal prasyarat berikut:

Membuat asosiasi yang menjalankan MOF file

Untuk membuat asosiasi yang menjalankan MOF file

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih State Manager.

  3. Pilih State Manager, lalu pilih Buat asosiasi.

  4. Di bidang Nama, tentukan nama. Ini opsional, tetapi direkomendasikan. Sebuah nama dapat membantu Anda memahami tujuan dari asosiasi ketika Anda membuatnya. Spasi tidak diperbolehkan dalam nama.

  5. Di daftar Dokumen, pilih AWS-ApplyDSCMofs.

  6. Di bagian Parameter, tentukan pilihan Anda untuk parameter input yang diperlukan dan opsional.

    1. Mofs To Apply: Tentukan satu atau beberapa MOF file yang akan dijalankan saat asosiasi ini berjalan. Gunakan koma untuk memisahkan daftar MOF file. Anda dapat menentukan opsi berikut untuk mencari MOF file.

      • Nama bucket Amazon S3. Nama bucket harus menggunakan huruf kecil. Tentukan informasi ini dengan menggunakan format berikut.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Jika Anda ingin menentukan Wilayah AWS, maka gunakan format berikut.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Situs web yang aman. Tentukan informasi ini dengan menggunakan format berikut.

        https://domain_name/MOF_file_name.mof

        Ini contohnya.

        https://www.example.com/TestMOF.mof

      • Sistem file pada berbagi lokal. Tentukan informasi ini dengan menggunakan format berikut.

        \server_name\shared_folder_name\MOF_file_name.mof

        Ini contohnya.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Jalur Layanan: (Opsional) Jalur layanan adalah prefiks bucket Amazon S3 di mana Anda ingin menulis laporan dan informasi status. Atau, jalur layanan adalah jalur untuk tag Parameter Store berbasis parameter. Saat menyelesaikan tag berbasis parameter, sistem menggunakan {ssm:% %/ servicePathparameter_name} untuk menyuntikkan servicePath nilai ke dalam nama parameter. Misalnya, jika jalur layanan Anda adalah "WebServers/Produksi" maka sistem menyelesaikan parameter sebagai: /Production/ WebServersparameter_name. Ini berguna ketika Anda menjalankan beberapa lingkungan di akun yang sama.

    3. Laporkan Nama Bucket: (Opsional) Masukkan nama bucket Amazon S3 di mana Anda ingin menulis data kepatuhan. Laporan disimpan dalam bucket ini dalam JSON format.

      catatan

      Anda dapat mengawali nama bucket dengan Wilayah tempat bucket berada. Berikut ini contohnya: yMOFBucket US-Barat-2:m. Jika Anda menggunakan proxy untuk titik akhir Amazon S3 di Wilayah tertentu yang tidak menyertakan us-east-1, awali nama bucket dengan Wilayah. Jika nama bucket tidak diawali, maka secara otomatis menemukan Wilayah bucket dengan menggunakan titik akhir us-east-1.

    4. Mode Operasi Mof: Pilih State Manager perilaku saat menjalankan AWS-ApplyDSCMofsasosiasi:

      • Terapkan: Konfigurasi node yang benar yang tidak sesuai.

      • ReportOnly: Jangan perbaiki konfigurasi node, tetapi catat semua data kepatuhan dan laporkan node yang tidak sesuai.

    5. Nama Bucket Status: (Opsional) Masukkan nama bucket Amazon S3 tempat Anda ingin menulis informasi status MOF eksekusi. Laporan status ini adalah ringkasan tunggal dari kepatuhan terbaru dari sebuah node. Ini berarti bahwa laporan akan ditimpa saat asosiasi menjalankan MOF file berikutnya.

      catatan

      Anda dapat mengawali nama bucket dengan Wilayah tempat bucket berada. Inilah contohnya: us-west-2:amzn-s3-demo-bucket. Jika Anda menggunakan proxy untuk titik akhir Amazon S3 di Wilayah tertentu yang tidak menyertakan us-east-1, awali nama bucket dengan Wilayah. Jika nama bucket tidak diawali, maka bucket secara otomatis menemukan Wilayah bucket menggunakan titik akhir us-east-1.

    6. Nama Bucket Sumber Modul: (Opsional) Masukkan nama bucket Amazon S3 yang berisi file PowerShell modul. Jika Anda menentukan Tidak ada, pilih Benar untuk opsi berikutnya, Izinkan Sumber Modul Galeri PS.

      catatan

      Anda dapat mengawali nama bucket dengan Wilayah tempat bucket berada. Inilah contohnya: us-west-2:amzn-s3-demo-bucket. Jika Anda menggunakan proxy untuk titik akhir Amazon S3 di Wilayah tertentu yang tidak menyertakan us-east-1, awali nama bucket dengan Wilayah. Jika nama bucket tidak diawali, maka bucket secara otomatis menemukan Wilayah bucket menggunakan titik akhir us-east-1.

    7. Izinkan Sumber Modul Galeri PS: (Opsional) Pilih Benar untuk mengunduh PowerShell modul dari https://www.powershellgallery.com/. Jika Anda memilih False, tentukan sumber untuk opsi sebelumnya, ModuleSourceBucketName.

    8. Uri Proxy: (Opsional) Gunakan opsi ini untuk mengunduh MOF file dari server proxy.

    9. Perilaku Reboot: (Opsional) Tentukan salah satu perilaku reboot berikut jika eksekusi MOF file Anda memerlukan reboot:

      • AfterMof: Reboot node setelah semua MOF eksekusi selesai. Bahkan jika beberapa MOF eksekusi meminta reboot, sistem menunggu sampai semua MOF eksekusi selesai untuk reboot.

      • Segera: Reboot node setiap kali MOF eksekusi memintanya. Jika menjalankan beberapa MOF file yang meminta reboot, maka node di-reboot beberapa kali.

      • Never: Node tidak di-boot ulang, bahkan jika MOF eksekusi secara eksplisit meminta reboot.

    10. Menggunakan Nama Komputer Untuk Melapor: (Opsional) Aktifkan opsi ini untuk menggunakan nama komputer saat melaporkan informasi kepatuhan. Nilai default adalah false, yang berarti bahwa sistem menggunakan ID node saat melaporkan informasi kepatuhan.

    11. Aktifkan Verbose Logging: (Opsional) Kami menyarankan Anda mengaktifkan pencatatan verbose saat menerapkan MOF file untuk pertama kalinya.

      penting

      Bila diizinkan, pencatatan verbose menulis lebih banyak data ke bucket Amazon S3 Anda daripada pencatatan eksekusi asosiasi standar. Hal ini mungkin mengakibatkan performa yang lebih lambat dan biaya penyimpanan yang lebih tinggi untuk Amazon S3. Untuk mengurangi masalah ukuran penyimpanan, kami sarankan Anda mengaktifkan kebijakan siklus hidup pada bucket Amazon S3 Anda. Untuk informasi selengkapnya, lihat Bagaimana Cara Membuat Kebijakan Siklus Hidup untuk Bucket S3? di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

    12. Aktifkan Debug Logging: (Opsional) Kami menyarankan Anda mengaktifkan debug logging untuk memecahkan masalah MOF kegagalan. Kami juga menyarankan Anda untuk menonaktifkan opsi ini untuk penggunaan normal.

      penting

      Bila diizinkan, pencatatan debug menulis lebih banyak data ke bucket Amazon S3 Anda daripada pencatatan eksekusi asosiasi standar. Hal ini mungkin mengakibatkan performa yang lebih lambat dan biaya penyimpanan yang lebih tinggi untuk Amazon S3. Untuk mengurangi masalah ukuran penyimpanan, kami sarankan Anda mengaktifkan kebijakan siklus hidup pada bucket Amazon S3 Anda. Untuk informasi selengkapnya, lihat Bagaimana Cara Membuat Kebijakan Siklus Hidup untuk Bucket S3? di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

    13. Jenis Kepatuhan: (Opsional) Tentukan jenis kepatuhan yang akan digunakan saat melaporkan informasi kepatuhan. Jenis kepatuhan default adalah Custom: DSC. Jika Anda membuat beberapa asosiasi yang menjalankan MOF file, pastikan untuk menentukan jenis kepatuhan yang berbeda untuk setiap asosiasi. Jika tidak, setiap asosiasi tambahan yang menggunakan Custom: DSC menimpa data kepatuhan yang ada.

    14. Skrip Pre Reboot: (Opsional) Tentukan skrip untuk dijalankan jika konfigurasi telah menunjukkan bahwa reboot diperlukan. Skrip berjalan sebelum reboot. Skrip harus satu baris. Pisahkan baris tambahan dengan menggunakan titik koma.

  7. Di bagian Target, pilih Menentukan tag atau Memilih Instans secara Manual. Jika Anda memilih untuk menargetkan sumber daya dengan menggunakan tag, masukkan kunci tag dan nilai tag di bidang yang disediakan. Untuk informasi selengkapnya tentang menggunakan target, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

  8. Di bagian Tentukan jadwal, pilih Sesuai Jadwal atau Tidak ada jadwal. Jika Anda memilih Sesuai Jadwal, gunakan tombol yang disediakan untuk membuat jadwal cron atau rate untuk asosiasi.

  9. Di bagian Opsi lanjutan:

    • Di Keparahan kepatuhan, pilih tingkat keparahan untuk asosiasi. Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat Tentang State Manager kepatuhan asosiasi.

  10. Di bagian Rate control, konfigurasikan opsi untuk menjalankan State Manager asosiasi di seluruh armada node terkelola. Untuk informasi selengkapnya tentang opsi ini, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

    Di bagian Konkurensi, pilih satu opsi:

    • Pilih target untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.

    • Pilih persentase untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.

    Di bagian Batas kesalahan, pilih opsi:

    • Pilih kesalahan untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.

    • Pilih persentase untuk memasukkan persentase kesalahan yang diizinkan sebelum State Manager berhenti menjalankan asosiasi pada target tambahan.

  11. (Opsional) Untuk Opsi output, untuk menyimpan output perintah ke file, pilih kotak Aktifkan output penulisan ke S3. Masukkan nama bucket dan prefiks (folder) di dalam kotak.

    catatan

    Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin dari profil instance yang ditetapkan ke node terkelola, bukan izin IAM pengguna yang melakukan tugas ini. Untuk informasi selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager atau Membuat peran IAM layanan untuk lingkungan hibrid. Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, verifikasi bahwa profil instance atau peran IAM layanan yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

  12. Pilih Buat Asosiasi.

State Managermembuat dan segera menjalankan asosiasi pada node atau target yang ditentukan. Setelah eksekusi awal, asosiasi berjalan dalam interval yang sesuai dengan jadwal yang Anda tetapkan dan sesuai dengan aturan berikut:

  • State Managermenjalankan asosiasi pada node yang online saat interval dimulai dan melewatkan node offline.

  • State Managermencoba untuk menjalankan asosiasi pada semua node yang dikonfigurasi selama interval.

  • Jika asosiasi tidak dijalankan selama interval (karena, misalnya, nilai konkurensi membatasi jumlah node yang dapat memproses asosiasi pada satu waktu), maka State Manager mencoba untuk menjalankan asosiasi selama interval berikutnya.

  • State Managermencatat riwayat untuk semua interval yang dilewati. Anda dapat melihat riwayat di tab Riwayat Eksekusi.

catatan

AWS-ApplyDSCMofs adalah dokumen Perintah Systems Manager. Ini berarti bahwa Anda juga dapat menjalankan dokumen ini dengan menggunakanRun Command, kemampuan AWS Systems Manager. Untuk informasi selengkapnya, lihat AWS Systems Manager Run Command.

Memecahkan masalah saat membuat asosiasi yang menjalankan file MOF

Bagian ini mencakup informasi untuk membantu Anda memecahkan masalah saat membuat asosiasi yang menjalankan MOF file.

Mengaktifkan pencatatan yang ditingkatkan

Sebagai langkah pertama untuk pemecahan masalah, aktifkan pencatatan yang ditingkatkan. Lebih khusus lagi, lakukan hal berikut:

  1. Verifikasi bahwa asosiasi dikonfigurasi untuk menulis output perintah ke Amazon S3 atau Amazon CloudWatch Logs ()CloudWatch.

  2. Atur parameter Aktifkan Pencatatan Verbose ke Betul.

  3. Atur parameter Aktifkan Pencatatan Debug ke Betul.

Dengan pencatatan debug dan verbose diaktifkan, file output Stdout menyertakan rincian tentang eksekusi skrip. File output ini dapat membantu Anda mengidentifikasi di mana skrip gagal. File output Stderr berisi kesalahan yang terjadi selama eksekusi skrip.

Masalah umum saat membuat asosiasi yang menjalankan MOF file

Bagian ini mencakup informasi tentang masalah umum yang dapat terjadi saat membuat asosiasi yang menjalankan MOF file dan langkah-langkah untuk memecahkan masalah ini.

Saya MOF tidak diterapkan

Jika State Manager gagal menerapkan asosiasi ke node Anda, mulailah dengan meninjau file keluaran Stderr. File ini dapat membantu Anda memahami akar dari masalah tersebut. Juga, verifikasikan hal berikut:

  • Node memiliki izin akses yang diperlukan ke semua bucket Amazon MOF S3 terkait. Secara khusus:

    • s3: GetObject izin: Ini diperlukan untuk MOF file dalam bucket Amazon S3 pribadi dan modul khusus di bucket Amazon S3.

    • s3: PutObject izin: Ini diperlukan untuk menulis laporan kepatuhan dan status kepatuhan ke bucket Amazon S3.

  • Jika Anda menggunakan tag, pastikan bahwa node memiliki IAM kebijakan yang diperlukan. Menggunakan tag memerlukan IAM peran instance untuk memiliki kebijakan yang memungkinkan ec2:DescribeInstances dan ssm:ListTagsForResource tindakan.

  • Pastikan bahwa node memiliki tag atau SSM parameter yang diharapkan ditetapkan.

  • Pastikan tag atau SSM parameter tidak salah eja.

  • Coba terapkan MOF secara lokal pada node untuk memastikan tidak ada masalah dengan MOF file itu sendiri.

MOFSepertinya saya gagal, tetapi eksekusi Systems Manager berhasil

Jika dokumen AWS-ApplyDSCMofs berhasil dijalankan, maka status eksekusi Systems Manager menunjukkan Sukses. Status ini tidak mencerminkan status kepatuhan node Anda terhadap persyaratan konfigurasi dalam MOF file. Untuk melihat status kepatuhan node Anda, lihat laporan kepatuhan. Anda dapat melihat JSON laporan di Amazon S3 Report Bucket. Ini berlaku untuk Run Command dan State Manager eksekusi. Selain itu, untukState Manager, Anda dapat melihat detail kepatuhan di halaman Kepatuhan Systems Manager.

Stderr menyatakan: Kegagalan resolusi nama mencoba mencapai layanan

Kesalahan ini menunjukkan bahwa skrip tidak dapat mencapai layanan jarak jauh. Kemungkinan besar, skrip tidak bisa mencapai Amazon S3. Masalah ini paling sering terjadi ketika skrip mencoba untuk menulis laporan kepatuhan atau status kepatuhan untuk bucket Amazon S3 yang disediakan dalam parameter dokumen. Biasanya, kesalahan ini terjadi ketika lingkungan komputasi menggunakan firewall atau proxy transparan yang menyertakan daftar yang diizinkan. Untuk mengatasi masalah ini:

  • Gunakan sintaks bucket khusus Wilayah untuk semua parameter bucket Amazon S3. Misalnya, Mofs untuk Terapkan parameter harus diformat sebagai berikut:

    s3:bucket-region:bucket-name:mof-file-name.mof.

    Ini contohnya: s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Nama bucket Laporan, Status, dan Modul Sumber harus diformat sebagai berikut.

    bucket-region:bucket-name. Berikut ini contohnya: us-west-1:amzn-s3-demo-bucket;

  • Jika sintaks khusus Wilayah tidak memperbaiki masalah, pastikan node yang ditargetkan dapat mengakses Amazon S3 di Wilayah yang diinginkan. Untuk memverifikasi ini:

    1. Cari nama titik akhir untuk Amazon S3 di Wilayah Amazon S3 yang sesuai. Untuk selengkapnya, lihat Titik Akhir Layanan Amazon S3 di. Referensi Umum Amazon Web Services

    2. Masuk ke node target dan jalankan perintah ping berikut.

      ping s3.s3-region.amazonaws.com

      Jika ping gagal, itu berarti Amazon S3 sedang down, atau firewall/proxy transparan memblokir akses ke Wilayah Amazon S3, atau node tidak dapat mengakses internet.

Melihat detail kepatuhan DSC sumber daya

Systems Manager menangkap informasi kepatuhan tentang kegagalan DSC sumber daya di Bucket Status Amazon S3 yang Anda tentukan saat menjalankan AWS-ApplyDSCMofs dokumen. Mencari informasi tentang kegagalan DSC sumber daya di bucket Amazon S3 dapat memakan waktu. Sebaliknya, Anda dapat melihat informasi ini di halaman Kepatuhan Systems Manager.

Bagian Ringkasan sumber daya kepatuhan menampilkan jumlah sumber daya yang gagal. Dalam contoh berikut, ComplianceTypeadalah Custom: DSC dan satu sumber daya tidak sesuai.

catatan

Kustom: DSC adalah ComplianceTypenilai default dalam AWS-ApplyDSCMofs dokumen. Nilai ini dapat disesuaikan.

Melihat jumlah di bagian Ringkasan sumber daya kepatuhan dari halaman Kepatuhan.

Bagian Ikhtisar detail untuk sumber daya menampilkan informasi tentang AWS sumber daya dengan sumber daya yang tidak sesuai. DSC Bagian ini juga mencakup MOF nama, langkah eksekusi skrip, dan (bila berlaku) tautan keluaran Lihat untuk melihat informasi status terperinci.

Melihat detail kepatuhan untuk kegagalan sumber daya MOF eksekusi

Tautan Lihat output menampilkan 4.000 karakter terakhir dari status yang terperinci. Systems Manager dimulai dengan pengecualian sebagai elemen pertama, dan kemudian memindai kembali melalui pesan verbose dan menambahkan sebanyak mungkin sampai mencapai kuota karakter 4.000. Proses ini menampilkan pesan log yang dikeluarkan sebelum pengecualian diluncurkan, yang merupakan pesan yang paling relevan untuk pemecahan masalah.

Melihat keluaran terperinci untuk masalah kepatuhan MOF sumber daya

Untuk informasi tentang cara melihat informasi kepatuhan, lihat AWS Systems Manager Kepatuhan.

Situasi yang mempengaruhi pelaporan kepatuhan

Jika State Manager asosiasi gagal, maka tidak ada data kepatuhan yang dilaporkan. Lebih khusus lagi, jika MOF gagal diproses, Systems Manager tidak melaporkan item kepatuhan apa pun karena asosiasi gagal. Misalnya, jika Systems Manager mencoba mengunduh bucket Amazon S3 MOF dari Amazon S3 yang tidak memiliki izin untuk diakses oleh node, maka asosiasi gagal dan tidak ada data kepatuhan yang dilaporkan.

Jika sumber daya dalam sedetik MOF gagal, maka Systems Manager melaporkan data kepatuhan. Misalnya, jika MOF mencoba membuat file pada drive yang tidak ada, maka Systems Manager melaporkan kepatuhan karena AWS-ApplyDSCMofs dokumen dapat memproses sepenuhnya, yang berarti asosiasi berhasil berjalan.