Fase 1: completamento dei prerequisiti Session Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 1: completamento dei prerequisiti Session Manager

Prima di utilizzare il Session Manager, verifica che il tuo ambiente soddisfi i requisiti seguenti.

Prerequisiti di Session Manager
Requisito Descrizione

Sistemi operativi supportati

Session Managersupporta la connessione a istanze Amazon Elastic Compute Cloud (AmazonEC2), oltre a non EC2 macchine nel tuo ambiente ibrido e multicloud che utilizzano il livello di istanze avanzate.

Session Manager supporta le seguenti versioni dei sistemi operativi:

Nota

Session Managersupporta EC2 istanze, dispositivi periferici e server e macchine virtuali locali (VMs) nel tuo ambiente ibrido e multicloud che utilizzano il livello di istanze avanzate. Per ulteriori informazioni sulle istanze avanzate, consulta Configurazione dei livelli di istanza.

Linux e macOS

Session Managersupporta tutte le versioni di e che sono supportate da. Linux macOS AWS Systems Manager Per informazioni, consultare Sistemi operativi e tipi di macchine supportati.

Windows

Session Manager supporta le versioni di Windows Server dal 2012 fino al Windows Server 2022.

Nota

Microsoft Windows Server 2016 Nano non è supportato.

SSM Agent

È necessario installare almeno la AWS Systems Manager SSM Agent versione 2.3.68.0 o successiva sui nodi gestiti a cui si desidera connettersi tramite sessioni.

Per utilizzare l'opzione per crittografare i dati della sessione utilizzando una chiave creata in AWS Key Management Service (AWS KMS), è necessario installare sul nodo gestito la versione 2.3.539.0 o successiva diSSM Agent.

Per utilizzare i profili di shell in una sessione, la versione 3.0.161.0 o successiva di SSM Agent deve essere installata sul nodo gestito.

Per avviare un Session Manager port forwarding o una SSH sessione, è necessario installare la SSM Agent versione 3.0.222.0 o successiva sul nodo gestito.

Per eseguire lo streaming dei dati della sessione utilizzando Amazon CloudWatch Logs, è necessario installare la SSM Agent versione 3.0.284.0 o successiva sul nodo gestito.

Per informazioni su come determinare il numero di versione in esecuzione su un'istanza, consulta Verifica del numero di versione di SSM Agent. Per informazioni sull'installazione o l'aggiornamento di SSM Agent, consulta Utilizzo di SSM Agent.

Informazioni sull'account ssm-user

A partire dalla versione 2.3.50.0 di SSM Agent, l'agente crea un account utente nel nodo gestito, con autorizzazioni di amministratore o root, denominato ssm-user. (Nelle versioni precedenti alla 2.3.612.0, l'account viene creato quando SSM Agent viene avviato o riavviato. Nella versione 2.3.612.0 e successive, ssm-user viene creato la prima volta che si avvia una sessione sul nodo gestito). Le sessioni vengono avviate utilizzando le credenziali amministrative di questo account utente. Per informazioni su come limitare il controllo amministrativo per questo account, consulta Disattivare o attivare le autorizzazioni amministrative dell'account ssm-user.

ssm-user su controller di dominio Windows Server

A partire dalla versione 2.3.612.0 di SSM Agent, l'account ssm-user non viene creato automaticamente su nodi gestiti utilizzate come controller di dominio Windows Server. Per utilizzare Session Manager su un sistema Windows Server utilizzato come controller di dominio, è necessario creare l'account ssm-user manualmente, se non è già presente, e assegnare le autorizzazioni di amministratore di dominio all'utente. In Windows Server, SSM Agent imposta una nuova password per l'account ssm-user ogni volta che viene avviata una sessione, pertanto non è necessario specificare una password quando si crea l'account.

Connettività agli endpoint

I nodi gestiti a cui ti connetti devono consentire anche HTTPS (porta 443) il traffico in uscita verso i seguenti endpoint:

  • messaggi ec2.region.amazonaws.com

  • ssm.region.amazonaws.com

  • messaggi ssm.region.amazonaws.com

Per ulteriori informazioni, consulta i seguenti argomenti:

In alternativa, è possibile connettersi agli endpoint richiesti utilizzando gli endpoint di interfaccia. Per ulteriori informazioni, consulta Fase 6: (facoltativo) utilizzo di AWS PrivateLink per configurare un endpoint VPC per Session Manager.

AWS CLI

(Facoltativo) Se utilizzi AWS Command Line Interface (AWS CLI) per avviare le sessioni (anziché utilizzare la AWS Systems Manager console o la EC2 console Amazon), la versione 1.16.12 o successiva di CLI deve essere installata sul computer locale.

Puoi chiamare aws --version per controllare la versione.

Se devi installare o aggiornare ilCLI, consulta Installazione di AWS Command Line Interface nella Guida per l' AWS Command Line Interface utente.

Importante

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes su GitHub per ricevere notifiche sugli SSM Agent aggiornamenti.

Inoltre, per utilizzare il CLI comando per gestire i nodiSession Manager, è necessario prima installare il Session Manager plug-in sul computer locale. Per informazioni, consultare Installa il Session Manager plugin per AWS CLI.

Attivazione del piano istanze avanzate (ambienti ibridi e multicloud)

Per connetterti a sistemi diversi da EC2 macchine che utilizzanoSession Manager, devi attivare il livello Advanced-Instances nel Account AWS e in Regione AWS cui crei attivazioni ibride per registrare non macchine come nodi gestiti. EC2 Viene addebitato un costo per l'utilizzo del livello dei parametri avanzati. Per ulteriori informazioni sul livello istanze avanzate, consulta Configurazione dei livelli di istanza.

Verifica le autorizzazioni per i ruoli IAM di servizio (ambienti ibridi e multicloud)

I nodi attivati in modalità ibrida utilizzano il ruolo di servizio AWS Identity and Access Management (IAM) specificato nell'attivazione ibrida per comunicare con le operazioni di Systems ManagerAPI. Questo ruolo di servizio deve contenere le autorizzazioni necessarie per connettersi alle macchine ibride e multicloud utilizzando Session Manager. Se il ruolo di servizio contiene la policy AWS gestitaAmazonSSMManagedInstanceCore, le autorizzazioni richieste per Session Manager sono già state fornite.

Se scopri che il ruolo di servizio non contiene le autorizzazioni richieste, devi annullare la registrazione dell'istanza gestita e registrarla con una nuova attivazione ibrida che utilizzi un ruolo di IAM servizio con le autorizzazioni richieste. Per ulteriori informazioni sull'annullamento delle registrazioni delle istanze gestite, consulta Annullamento della registrazione dei nodi gestiti in un ambiente ibrido e multicloud. Per ulteriori informazioni sulla creazione di IAM politiche con Session Manager autorizzazioni, vedere Passaggio 2: Verificare o aggiungere le autorizzazioni dell'istanza per. Session Manager