Scopri i dettagli tecnici sull'SSM Agent - AWS Systems Manager
Comportamento delle credenziali di SSM Agent versione 3.2.x.xPrecedenza credenziali SSM AgentConfigurazione SSM Agent per l'utilizzo con FIPS (Federal Information Processing Standard)Informazioni sull'account ssm-user localeSSM Agent e Instance Metadata Service (IMDS)Mantenere SSM Agent aggiornatoVerifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminataAggiornamenti di SSM Agent in sequenza per Regioni AWS (Regioni AWS)Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS

Scopri i dettagli tecnici sull'SSM Agent

Utilizzare le informazioni in questo argomento per poter implementare l'Agente di AWS Systems Manager (SSM Agent) e capire come funziona l'agente.

Comportamento delle credenziali di SSM Agent versione 3.2.x.x

SSM Agent memorizza un set di credenziali temporanee in /var/lib/amazon/ssm/credentials (per Linux e macOS) o %PROGRAMFILES%\Amazon\SSM\credentials (per Windows Server) quando si esegue l'onboarding di un'istanza utilizzando la funzionalità Configurazione di gestione host predefinita in Quick Setup. Le credenziali temporanee dispongono delle autorizzazioni specificate per il ruolo IAM scelto per la funzionalità Configurazione gestione host predefinita. Su Linux, solo l'account root può accedere a queste credenziali. Su Windows Server, solo l'account SYSTEM e gli amministratori locali possono accedere a queste credenziali.

Precedenza credenziali SSM Agent

In questa sezione sono riportate informazioni importanti su come SSM Agent ha l'autorizzazione per eseguire azioni sulle risorse dell'utente.

Nota

Il supporto per i dispositivi edge è leggermente diverso. Devi configurare i dispositivi edge per utilizzare il software di base AWS IoT Greengrass, configurare un ruolo di servizio AWS Identity and Access Management (IAM) e implementare SSM Agent sui dispositivi utilizzando AWS IoT Greengrass. Per ulteriori informazioni, consultare Gestione dei dispositivi edge con Systems Manager.

Quando l'SSM Agent è installato su una macchina, richiede le autorizzazioni per comunicare con il servizio Systems Manager. Nelle istanze di Amazon Elastic Compute Cloud (Amazon EC2), queste autorizzazioni vengono fornite in un profilo collegato con l'istanza. Su una macchina non EC2, SSM Agent normalmente ottiene le autorizzazioni necessarie dal file delle credenziali condivise, che si trova in /root/.aws/credentials (Linux e macOS) o %USERPROFILE%\.aws\credentials (Windows Server). Le autorizzazioni necessarie vengono aggiunte a questo file durante il processo di attivazione ibrida.

In rari casi, tuttavia, una macchina potrebbe ritrovarsi autorizzazioni aggiunte a più di una delle posizioni in cui SSM Agent controlla le autorizzazioni per eseguire le sue attività.

Ad esempio, immaginiamo che tu abbia configurato un'istanza EC2 perché fosse gestita da Systems Manager. Questa configurazione include il collegamento di un profilo dell'istanza. Tuttavia, si può decidere di utilizzare tale istanza anche per le attività di sviluppatore o utente finale e di installarvi il AWS Command Line Interface (AWS CLI). Questa installazione comporta l'aggiunta di ulteriori autorizzazioni a un file di credenziali nell'istanza.

Quando si esegue un comando di Systems Manager sull'istanza, SSM Agent potrebbe provare a utilizzare credenziali diverse da quelle previste, ad esempio da un file di credenziali anziché da un profilo dell'istanza. Questo perché SSM Agent cerca le credenziali nell'ordine prescritto per la catena di provider di credenziali predefinita.

Nota

Su Linux e macOS, SSM Agent funziona come utente root. Di conseguenza, le variabili di ambiente e i file delle credenziali che SSM Agent cerca in questo processo sono solo quelli dell'utente root (/root/.aws/credentials). Durante la ricerca delle credenziali, SSM Agent non esamina le variabili di ambiente o il file delle credenziali di altri utenti sull'istanza.

La catena di provider predefinita cerca le credenziali nel seguente ordine:

  1. Variabili di ambiente, se configurate (AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY).

  2. File delle credenziali condiviso ($HOME/.aws/credentials per Linux e macOS o %USERPROFILE%\.aws\credentials per Windows Server) con autorizzazioni fornite, ad esempio, da un'attivazione ibrida o da un'installazione di AWS CLI.

  3. Un ruolo AWS Identity and Access Management (IAM) per le attività se è presente un'applicazione che utilizza una definizione di attività di Amazon Elastic Container Service (Amazon ECS) o un'operazione API RunTask.

  4. Collegare un profilo dell'istanza a un'istanza Amazon EC2

  5. Il ruolo IAM scelto per la funzionalità Configurazione di gestione host predefinita.

Per le relative informazioni, consultare i seguenti argomenti:

Configurazione SSM Agent per l'utilizzo con FIPS (Federal Information Processing Standard)

Se è necessario utilizzare Systems Manager con moduli crittografici convalidati FIPS (Federal Information Processing Standard) 140-3, è possibile configurare AWS Systems Manager Agent (SSM Agent) per utilizzare gli endpoint FIPS nelle regioni supportate.

Per connettere SSM Agent agli endpoint FIPS 140-3

  1. Connessione al nodo gestito.

  2. Passa alla directory che contiene il file amazon-ssm-agent.json:

    • Linux: /etc/amazon/ssm/

    • macOS: /opt/aws/ssm/

    • Windows Server: C:\Program Files\Amazon\SSM\

  3. Aprire il file denominato amazon-ssm-agent.json per la modifica.

    Suggerimento

    Se non esiste ancora alcun file amazon-ssm-agent.json, copia il contenuto di amazon-ssm-agent.json.template in un nuovo file denominato amazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova.

  4. Aggiungi i seguenti contenuti al file. Sostituisci i valori segnaposto della regione con il codice regionale appropriato per la partizione:

    {
    ---Existing file content, if any---
    "Mds": {
        "Endpoint": "ec2messages-fips.region.amazonaws.com",
    },
    "Ssm": {
        "Endpoint": "ssm-fips.region.amazonaws.com",
    },
    "Mgs": {
        "Endpoint": "ssmmessages-fips.region.amazonaws.com",
        "Region": "region"
    },
    "S3": {
        "Endpoint": "s3-fips.dualstack.region.amazonaws.com",
        "Region": region"
    },
    "Kms": {
        "Endpoint": "kms-fips.region.amazonaws.com"
    }
}

    Le regioni supportate includono quanto segue:

    • us-east-1 per la regione Stati Uniti orientali (Virginia settentrionale)

    • us-east-2 per la regione Stati Uniti orientali (Ohio)

    • us-west-1 per la regione Stati Uniti occidentali (California settentrionale)

    • us-west-2 per la regione Stati Uniti occidentali (Oregon)

    • ca-west-1 per la regione Canada occidentale (Calgary)

  5. Salvare il file e riavviare l'SSM Agent.

Ogni volta che si modifica la configurazione, riavviare SSM Agent.

È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per l'elenco aggiornato delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedi Definizioni delle proprietà di configurazione nel repository amazon-ssm-agent di GitHub.

Per ulteriori informazioni sul supporto AWS per FIPS, consultare Federal Information Processing Standard (FIPS) 140-3.

Informazioni sull'account ssm-user locale

A partire dalla versione 2.3.50.0 di SSM Agent, l'agente crea un account utente locale denominato ssm-user e lo aggiunge alla directory di /etc/sudoers.d (Linux e macOS) o al gruppo Administrators (Windows Server). Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user viene creato la prima volta che una sessione viene avviata su un'istanza. Questo ssm-user è l'utente del sistema operativo predefinito quando viene avviata una sessione in Session Manager, una funzionalità di AWS Systems Manager. È possibile modificare le autorizzazioni spostando ssm-user in un gruppo con meno privilegi o cambiando il file sudoers. Quando si disinstalla SSM Agent, l'account ssm-user non viene rimosso dal sistema.

In Windows Server, SSM Agent gestisce l'impostazione di una nuova password per l'account ssm-user all'avvio di ogni sessione. Nessuna password viene impostata per ssm-user su istanze gestite Linux.

A partire dalla versione di SSM Agent 2.3.612.0, l'account ssm-user non viene creato automaticamente sui computer Windows Server utilizzati come controller di dominio. Per utilizzare Session Manager su un controller di dominio Windows Server, creare l'account ssm-user manualmente, se non è già presente, e assegnare le autorizzazioni di amministratore di dominio all'utente.

Importante

Per poter creare l'account ssm-user, il profilo dell'istanza collegato all'istanza deve fornire le autorizzazioni necessarie. Per informazioni, consulta Fase 2: Verifica o aggiungi le autorizzazioni dell'istanza per Session Manager.

SSM Agent e Instance Metadata Service (IMDS)

Per funzionare correttamente Systems Manager si basa sui metadati dell'istanza EC2. Systems Manager può accedere ai metadati dell'istanza utilizzando la versione 1 o la versione 2 di Instance Metadata Service (IMDSv1 e IMDSv2). L'istanza deve essere in grado di accedere all'indirizzo IPv4 del servizio di metadati dell'istanza: 169.254.169.254. Per ulteriori informazioni, consulta Metadati e dati dell'utente delle istanze nella Guida per l'utente di Amazon EC2.

Mantenere SSM Agent aggiornato

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent.

Nota

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent.

Le Amazon Machine Images (AMIs) che includono SSM Agent per impostazione predefinita possono impiegare fino a due settimane per essere aggiornate con la versione più recente di SSM Agent. Consigliamo di configurare aggiornamenti automatici di SSM Agent ancora più frequenti.

Verifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminata

SSM Agent sia installato in /var/lib/amazon/ssm/ (Linux e macOS) e %PROGRAMFILES%\Amazon\SSM\ (Windows Server). Queste directory di installazione contengono file e cartelle critici utilizzati da SSM Agent, ad esempio un file di credenziali, risorse per la comunicazione tra processi (IPC) e cartelle di orchestrazione. Nulla all'interno della directory di installazione deve essere modificato, spostato o eliminato. In caso contrario, SSM Agent potrebbe smettere di funzionare correttamente.

Aggiornamenti di SSM Agent in sequenza per Regioni AWS (Regioni AWS)

Dopo che un aggiornamento dell'SSM Agent viene reso disponibile nel repository GitHub, c'è la possibilità che siano necessarie fino a due settimane prima che la versione aggiornata venga distribuita a tutte le Regioni AWS in momenti diversi. Per questo motivo, è possibile che venga visualizzato l'errore “Non supportato sulla piattaforma corrente” o “aggiornamento di amazon-ssm-agent a una versione precedente, abilitare il downgrade per procedere” quando si tenta di distribuire una nuova versione di SSM Agent in una regione.

Per determinare la versione di SSM Agent disposizione per l'utente, è possibile eseguire un comando curl.

Per visualizzare la versione dell'agente disponibile nel bucket di download globale, eseguire il comando seguente.

curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION

Per visualizzare la versione dell'agente disponibile in una regione specifica, eseguire il comando seguente, sostituendoregion (regione) con la regione in cui si sta lavorando, come us-east-2 per la regione Stati Uniti orientali (Ohio).

curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION

È possibile anche aprire il file VERSION direttamente nel browser senza un comando curl.

Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS

Nel corso dell'esecuzione di varie operazioni di Systems Manager, AWS Systems Manager Agent (SSM Agent) accede a una serie di bucket Amazon Simple Storage Service (Amazon S3). Questi bucket S3 sono accessibili pubblicamente e, per impostazione predefinita, SSM Agent si connette con essi usando chiamate HTTP.

Tuttavia, se utilizzi un endpoint cloud privato virtuale (VPC) nelle operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) per Systems Manager o in un ruolo di servizio per le macchine non EC2 in un ambiente ibrido e multicloud. In caso contrario, le risorse non possono accedere a questi bucket pubblici.

Per concedere l'accesso dei nodi gestiti a questi bucket quando utilizzi un endpoint VPC, devi creare una policy di autorizzazioni Amazon S3 personalizzata e collegarla al profilo dell'istanza (per le istanze EC2) o al ruolo del servizio (per i nodi gestiti non EC2).

Per informazioni sull'utilizzo dell'endpoint di un cloud privato virtuale (VPC) nelle operazioni di Systems Manager, consulta Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager.

Nota

Queste autorizzazioni forniscono solo l'accesso ai bucket gestiti AWS richiesti da SSM Agent. Non forniscono le autorizzazioni necessarie per altre operazioni Amazon S3. Inoltre, non offrono l'autorizzazione per i propri bucket S3.

Per ulteriori informazioni, consulta i seguenti argomenti:

Autorizzazioni dei bucket necessarie

La tabella seguente descrive ciascuno dei bucket S3 di cui SSM Agent potrebbe aver bisogno per accedere alle operazioni di Systems Manager.

Nota

region (regione) rappresenta l'identificatore di una Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei valori regione supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

Autorizzazioni di Amazon S3 richieste da SSM Agent

ARN di bucket S3 Descrizione

arn:aws:s3:::aws-windows-downloads-region/*

Richiesto per alcuni documenti SSM che supportano solo i sistemi operativi Windows Server, oltre ad alcuni per il supporto multipiattaforma, come. AWSEC2-ConfigureSTIG.

arn:aws:s3:::amazon-ssm-region/*

Necessario per l'aggiornamento di installazioni SSM Agent. Questi bucket contengono i pacchetti di installazione dell'SSM Agent e i file manifest a cui fanno riferimento il documento AWS-UpdateSSMAgent e il plugin. Se queste autorizzazioni non vengono fornite, l'SSM Agent effettua una chiamata HTTP per scaricare l'aggiornamento.

arn:aws:s3:::amazon-ssm-packages-region/*

Necessario per l'utilizzo di versioni di SSM Agent precedenti alla 2.2.45.0 per eseguire il documento AWS-ConfigureAWSPackage.

arn:aws:s3:::region-birdwatcher-prod/*

Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio è utilizzato per eseguire il documento AWS-ConfigureAWSPackage.

Questa autorizzazione è necessaria per tutte le Regioni AWS eccetto la regione Africa (Città del Capo) (af-sud-1) e la regione Europa (Milano) (eu-sud-1).

arn:aws:s3:::aws-ssm-distributor-file-region/*

Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio è utilizzato per eseguire il documento SSM AWS-ConfigureAWSPackage.

Questa autorizzazione è necessaria solo per la regione Africa (Città del Capo) (af-sud-1) e la regione Europa (Milano) (eu-sud-1).

arn:aws:s3:::aws-ssm-document-attachments-region/*

Fornisce l'accesso al bucket S3 contenente i pacchetti perDistributor, una funzionalità di AWS Systems Manager, che sono di proprietà di AWS.
arn:aws:s3:::aws-ssm-region/* Fornisce l'accesso al bucket S3 contenente i moduli necessari da utilizzare con documenti non soggetti a patch di Systems Manager (documenti SSM Command). Ad esempio: arn:aws:s3:::aws-ssm-us-east-2/*.

Di seguito sono riportati alcuni documenti SSM comunemente utilizzati memorizzati in questi bucket.

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

arn:aws:s3:::patch-baseline-snapshot-region/*

oppure

arn:aws:s3:::patch-baseline-snapshot-region-unique-suffix/*

Fornisce l'accesso al bucket S3 contenente snapshot della base di patch. È necessario se si utilizza uno dei seguenti documenti SSM Command:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline (un documento SSM legacy)

I bucket per le Regioni AWS più supportate utilizzano il seguente formato:

arn:aws:s3:::patch-baseline-snapshot-region

Per alcune regioni, nel nome del bucket è incluso un suffisso univoco aggiuntivo. Ad esempio, il nome del bucket per la regione Medio Oriente (Bahrein) (me-south-1) è il seguente:

  • patch-baseline-snapshot-me-south-1-uduvl7q8

Per un elenco completo dei nomi dei bucket di snapshot della baseline delle patch, consulta Bucket contenenti snapshot di baseline delle patch gestite da AWS.

Nota

Se si usa un firewall locale e si intende utilizzare Patch Manager, il firewall deve consentire anche l'accesso all'endpoint della base di patch appropriato.

Per nodi gestiti dal Linux e Windows Server: arn:aws:s3:::aws-patch-manager-region-unique-suffix/*

Per le istanze Amazon EC2 per macOS: arn:aws:s3:::aws-patchmanager-macos-region-unique-suffix/*

Fornisce l'accesso al bucket S3 contenente i documenti di SSM Command per le operazioni di applicazione di patch in Patch Manager. Ogni nome bucket include un suffisso univoco, ad esempio 552881074 per i bucket nella regione Stati Uniti orientali (Ohio) (us-east-2):

  • arn:aws:s3:::aws-patch-managerer-us-east-2-552881074/*

  • arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*

Documenti SSM

Di seguito sono riportati alcuni documenti SSM comunemente utilizzati memorizzati in questi bucket.

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

Per gli elenchi completi dei bucket S3 gestiti da AWS per le operazioni di applicazione di patch, consulta gli argomenti riportati di seguito:

Esempio

L'esempio seguente mostra come fornire l'accesso al bucket S3 richiesto per le operazioni di Systems Manager nella regione Stati Uniti orientali (Ohio) (us-east-2). Nella maggior parte dei casi, è necessario fornire queste autorizzazioni esplicitamente in un profilo dell'istanza o in un ruolo di servizio solo quando si utilizza un endpoint VPC.

Importante

Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::aws-ssm-us-east-2/* anziché arn:aws:s3:::aws-ssm-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se si desidera utilizzare il profilo dell'istanza per più di una regione, si consiglia di ripetere il primo elemento Statement per ogni regione.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "s3:GetObject",
                "Resource": [
                    "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                    "arn:aws:s3:::amazon-ssm-us-east-2/*",
                    "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                    "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                    "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                    "arn:aws:s3:::aws-ssm-us-east-2/*",
                    "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*",
                    "arn:aws:s3:::aws-patch-manager-us-east-2-552881074/*",
                    "arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*"
                ]
            }
        ]
    }

Convalida di macchine attivate da sistemi tramite un'impronta digitale hardware

Quando si utilizzano macchine non EC2 in un ambiente ibrido e multicloud, SSM Agent raccoglie una serie di attributi di sistema (denominati hash hardware) e utilizza questi attributi per calcolare un'impronta digitale. L'impronta digitale è una stringa opaca che l'agente passa a determinate API di Systems Manager. Questa impronta digitale univoca associa il chiamante a un particolare nodo gestito attivato da sistemi ibridi. L'agente memorizza l'impronta digitale e l'hash hardware sul disco locale in una posizione chiamata Vault.

L'agente calcola l'hash hardware e l'impronta digitale quando la macchina viene registrata per essere utilizzata con Systems Manager. Quindi, l'impronta digitale viene restituita al servizio Systems Manager quando l'agente invia un comando RegisterManagedInstance.

Più tardi, quando si invia un comando RequestManagedInstanceRoleToken, l'agente controlla l'impronta digitale e l'hash hardware nel vault per verificare che gli attributi correnti della macchina corrispondano all'hash hardware archiviato. Se gli attributi correnti della macchina corrispondono effettivamente all'hash hardware archiviato nel vault, l'agente passa l'impronta digitale dal vault a RegisterManagedInstance, dando come risultato una chiamata riuscita.

Se gli attributi correnti della macchina non corrispondono all'hash hardware memorizzato, SSM Agent calcola una nuova impronta digitale, memorizza il nuovo hash hardware e l'impronta digitale nel vault e passa la nuova impronta digitale a RequestManagedInstanceRoleToken. Questo causa un errore in RequestManagedInstanceRoleToken e l'agente non sarà in grado di ottenere un token di ruolo per connettersi al servizio Systems Manager.

Questo errore varia in base alla progettazione e viene utilizzato come fase di verifica per impedire che più nodi gestiti comunichino con il servizio Systems Manager come fossero lo stesso nodo gestito.

Quando si confrontano gli attributi correnti della macchina con l'hash hardware memorizzato nel vault, l'agente utilizza la logica seguente per stabilire se gli hash vecchi e nuovi corrispondono:

  • Se il SID (ID sistema/macchina) è diverso, non c'è corrispondenza.

  • Altrimenti, se l'indirizzo IP è lo stesso, c'è corrispondenza.

  • In caso contrario, la percentuale di attributi della macchina corrispondenti viene calcolata e confrontata con la soglia di similarità configurata dall'utente per determinare se esiste una corrispondenza.

La soglia di somiglianza viene memorizzata nel vault, insieme all'hash hardware.

La soglia di somiglianza può essere impostata dopo che un'istanza è stata registrata utilizzando un comando simile al seguente.

Su macchine Linux:

sudo amazon-ssm-agent -fingerprint -similarityThreshold 1

Sulle macchine Windows Server che utilizzano PowerShell:

cd "C:\Program Files\Amazon\SSM\" `
    .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Importante

Se uno dei componenti utilizzati per calcolare l'impronta digitale cambia, questo può causare l'ibernazione dell'agente. Per evitare questa ibernazione, impostare la soglia di somiglianza su un valore basso, ad esempio 1.

SSM Agent - GitHub

Il codice sorgente per SSM Agent è disponibile su GitHub in modo da poter adattare l'agente per soddisfare le esigenze dell'utente. Ti consigliamo di inviare le richieste pull per le modifiche da includere. Tuttavia, Amazon Web Services attualmente non fornisce il supporto per eseguire copie modificate di questo software.