Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scopri i dettagli tecnici sulla SSM Agent
Utilizza le informazioni contenute in questo argomento per aiutarti a implementare AWS Systems Manager Agent (SSM Agent) e a capire come funziona l'agente.
Argomenti
- Comportamento delle credenziali di SSM Agent versione 3.2.x.x
- Precedenza credenziali SSM Agent
- Configurazione SSM Agent per l'uso con il Federal Information Processing Standard () FIPS
- Informazioni sull'account ssm-user locale
- SSM Agent e Instance Metadata Service (IMDS)
- Mantenere SSM Agent up-to-date
- Verifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminata
- SSM Agentaggiornamenti periodici di Regioni AWS
- Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS
Comportamento delle credenziali di SSM Agent versione 3.2.x.x
SSM Agent memorizza un set di credenziali temporanee in /var/lib/amazon/ssm/credentials
(per Linux e macOS) o %PROGRAMFILES%\Amazon\SSM\credentials
(per Windows Server) quando si esegue l'onboarding di un'istanza utilizzando la funzionalità Configurazione di gestione host predefinita in Quick Setup. Le credenziali temporanee dispongono delle autorizzazioni specificate per il IAM ruolo scelto per la configurazione predefinita della gestione dell'host. Su Linux, solo l'account root può accedere a queste credenziali. SìWindows Server, solo l'SYSTEMaccount e gli amministratori locali possono accedere a queste credenziali.
Precedenza credenziali SSM Agent
In questa sezione sono riportate informazioni importanti su come SSM Agent ha l'autorizzazione per eseguire azioni sulle risorse dell'utente.
Nota
Il supporto per i dispositivi edge è leggermente diverso. È necessario configurare i dispositivi periferici per utilizzare il software AWS IoT Greengrass Core, configurare un ruolo di servizio AWS Identity and Access Management (IAM) e SSM Agent distribuirlo sui dispositivi utilizzando. AWS IoT Greengrass Per ulteriori informazioni, consulta Gestione dei dispositivi periferici con Systems Manager.
Quando SSM Agent è installato su una macchina, richiede le autorizzazioni per comunicare con il servizio Systems Manager. Nelle istanze Amazon Elastic Compute Cloud (AmazonEC2), queste autorizzazioni vengono fornite in un profilo di istanza collegato all'istanza. Su una EC2 macchina diversa, SSM Agent normalmente ottiene le autorizzazioni necessarie dal file di credenziali condiviso, che si trova in /root/.aws/credentials
(Linux andmacOS) o (). %USERPROFILE%\.aws\credentials
Windows Server Le autorizzazioni necessarie vengono aggiunte a questo file durante il processo di attivazione ibrida.
In rari casi, tuttavia, una macchina potrebbe ritrovarsi autorizzazioni aggiunte a più di una delle posizioni in cui SSM Agent controlla le autorizzazioni per eseguire le sue attività.
Ad esempio, supponiamo di aver configurato un'EC2istanza per essere gestita da Systems Manager. Questa configurazione include il collegamento di un profilo dell'istanza. Tuttavia, si può decidere di utilizzare tale istanza anche per le attività di sviluppatore o utente finale e di installarvi il AWS Command Line Interface (AWS CLI). Questa installazione comporta l'aggiunta di ulteriori autorizzazioni a un file di credenziali nell'istanza.
Quando si esegue un comando di Systems Manager sull'istanza, SSM Agent potrebbe provare a utilizzare credenziali diverse da quelle previste, ad esempio da un file di credenziali anziché da un profilo dell'istanza. Questo perché SSM Agent cerca le credenziali nell'ordine prescritto per la catena di provider di credenziali predefinita.
Nota
Su Linux e macOS, SSM Agent funziona come utente root. Di conseguenza, le variabili di ambiente e i file delle credenziali che SSM Agent cerca in questo processo sono solo quelli dell'utente root (/root/.aws/credentials
). Durante la ricerca delle credenziali, SSM Agent non esamina le variabili di ambiente o il file delle credenziali di altri utenti sull'istanza.
La catena di provider predefinita cerca le credenziali nel seguente ordine:
-
Variabili di ambiente, se configurate (
AWS_ACCESS_KEY_ID
eAWS_SECRET_ACCESS_KEY
). -
File delle credenziali condiviso (
$HOME/.aws/credentials
per Linux e macOS o%USERPROFILE%\.aws\credentials
per Windows Server) con autorizzazioni fornite, ad esempio, da un'attivazione ibrida o da un'installazione di AWS CLI . -
Un ruolo AWS Identity and Access Management (IAM) per le attività se è presente un'applicazione che utilizza una definizione o un'RunTaskAPIoperazione di Amazon Elastic Container Service (AmazonECS).
-
Un profilo di istanza collegato a un'EC2istanza Amazon.
-
Il IAM ruolo scelto per la configurazione predefinita della gestione dell'host.
Per le relative informazioni, consultare i seguenti argomenti:
-
Profili di istanza per EC2 le istanze: configura le autorizzazioni di istanza richieste per Systems Manager
-
Attivazioni ibride: crea un'attivazione ibrida per registrare i nodi con Systems Manager
-
AWS CLI credenziali: impostazioni dei file di configurazione e credenziali nella Guida per l'utente AWS Command Line Interface
-
Catena di provider di credenziali predefinita: Specificare le credenziali nella Guida per gli sviluppatori di AWS SDK for Go
Nota
Questo argomento della Guida per gli AWS SDK for Go sviluppatori descrive la catena di provider predefinita in termini di SDK for Go; tuttavia, gli stessi principi si applicano alla valutazione delle credenziali per. SSM Agent
Configurazione SSM Agent per l'uso con il Federal Information Processing Standard () FIPS
Se è necessario utilizzare Systems Manager con moduli crittografici convalidati Federal Information Processing Standard (FIPS) 140-3, è possibile configurare AWS Systems Manager Agent (SSM Agent) per utilizzare gli FIPS endpoint nelle regioni supportate.
Per configurare la connessione a 140-3 SSM Agent endpoint FIPS
-
Connect al nodo gestito.
-
Vai alla directory che contiene il
amazon-ssm-agent.json
file:-
Linux:
/etc/amazon/ssm/
-
macOS:
/opt/aws/ssm/
-
Windows Server:
C:\Program Files\Amazon\SSM\
-
-
Aprire il file denominato
amazon-ssm-agent.json
per la modifica.Suggerimento
Se non esiste ancora alcun
amazon-ssm-agent.json
file, copia il contenutoamazon-ssm-agent.json.template
di in un nuovo file denominatoamazon-ssm-agent.json
. Save (Salva)amazon-ssm-agent.json
nella stessa directory doveamazon-ssm-agent.json.template
si trova. -
Aggiungi il seguente contenuto al file. Sostituisci il
region
valori segnaposto con il codice regionale appropriato per la partizione:{ ---Existing file content, if any--- "Mds": { "Endpoint": "ec2messages-fips.
region
.amazonaws.com", }, "Ssm": { "Endpoint": "ssm-fips.region
.amazonaws.com", }, "Mgs": { "Endpoint": "ssmmessages-fips.region
.amazonaws.com", "Region": "region
" }, "S3": { "Endpoint": "s3-fips.dualstack.region
.amazonaws.com", "Region":region
" }, "Kms": { "Endpoint": "kms-fips.region
.amazonaws.com" } }Le regioni supportate includono quanto segue:
-
us-east-1
per la regione Stati Uniti orientali (Virginia settentrionale) -
us-east-2
per la regione Stati Uniti orientali (Ohio) -
us-west-1
per la regione Stati Uniti occidentali (California settentrionale) -
us-west-2
per la regione Stati Uniti occidentali (Oregon) -
ca-west-1
per la regione Canada occidentale (Calgary)
-
-
Salvare il file e riavviareSSM Agent.
Ogni volta che si modifica la configurazione, riavviareSSM Agent.
È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per un up-to-date elenco delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedere Config Property Definitionsamazon-ssm-agent
repository in. GitHub
Per ulteriori informazioni sul AWS supporto perFIPS, vedere Federal Information Processing Standard (FIPS) 140-3.
Informazioni sull'account ssm-user locale
A partire dalla versione 2.3.50.0 di SSM Agent, l'agente crea un account utente locale denominato ssm-user
e lo aggiunge alla directory di /etc/sudoers.d
(Linux e macOS) o al gruppo Administrators (Windows Server). Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user
viene creato la prima volta che una sessione viene avviata su un'istanza. Questo ssm-user
è l'utente del sistema operativo predefinito all'avvio di una sessione inSession Manager, una funzionalità di AWS Systems Manager. Puoi modificare le autorizzazioni spostando ssm-user
in un gruppo con meno privilegi o cambiando il file sudoers
. Quando si disinstalla SSM Agent, l'account ssm-user
non viene rimosso dal sistema.
In Windows Server, SSM Agent gestisce l'impostazione di una nuova password per l'account ssm-user
all'avvio di ogni sessione. Nessuna password viene impostata per ssm-user
su istanze gestite Linux.
A partire dalla versione di SSM Agent 2.3.612.0, l'account ssm-user
non viene creato automaticamente sui computer Windows Server utilizzati come controller di dominio. Per utilizzare Session Manager su un controller di dominio Windows Server, creare l'account ssm-user
manualmente, se non è già presente, e assegnare le autorizzazioni di amministratore di dominio all'utente.
Importante
Per poter creare l'account ssm-user
, il profilo dell'istanza collegato all'istanza deve fornire le autorizzazioni necessarie. Per informazioni, consulta Fase 2: Verifica o aggiungi le autorizzazioni dell'istanza per Session Manager.
SSM Agent e Instance Metadata Service (IMDS)
Systems Manager si affida ai metadati delle EC2 istanze per funzionare correttamente. Systems Manager può accedere ai metadati dell'istanza utilizzando la versione 1 o la versione 2 di Instance Metadata Service (IMDSv1 e IMDSv2). L'istanza deve essere in grado di accedere all'IPv4indirizzo del servizio di metadati dell'istanza: 169.254.169.254. Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.
Mantenere SSM Agent up-to-date
Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes
Nota
Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes
Le Amazon Machine Images (AMIs) che includono SSM Agent per impostazione predefinita possono impiegare fino a due settimane per essere aggiornate con la versione più recente di SSM Agent. Consigliamo di configurare aggiornamenti automatici di SSM Agent ancora più frequenti.
Verifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminata
SSM Agent sia installato in /var/lib/amazon/ssm/
(Linux e macOS) e %PROGRAMFILES%\Amazon\SSM\
(Windows Server). Queste directory di installazione contengono file e cartelle critici utilizzati daSSM Agent, ad esempio un file di credenziali, risorse per la comunicazione tra processi (IPC) e cartelle di orchestrazione. Nulla all'interno della directory di installazione deve essere modificato, spostato o eliminato. In caso contrario, SSM Agent potrebbe smettere di funzionare correttamente.
SSM Agentaggiornamenti periodici di Regioni AWS
Una volta reso disponibile un SSM Agent aggiornamento nel relativo GitHub repository, possono essere necessarie fino a due settimane prima che la versione aggiornata venga distribuita a tutti Regioni AWS in momenti diversi. Per questo motivo, potresti ricevere l'errore «Non supportato sulla piattaforma corrente» o «Aggiornamento amazon-ssm-agent a una versione precedente, attiva l'opzione consenti al downgrade di procedere» quando tenti di distribuire una nuova versione di SSM Agent In una regione.
Per determinare la versione di SSM Agent disposizione per l'utente, è possibile eseguire un comando curl
.
Per visualizzare la versione dell'agente disponibile nel bucket di download globale, eseguire il comando seguente.
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION
Per visualizzare la versione dell'agente disponibile in una regione specifica, esegui il comando seguente, sostituendo region
con la regione in cui lavori, ad esempio us-east-2
per la regione Stati Uniti orientali (Ohio).
curl https://s3.
region
.amazonaws.com/amazon-ssm-region
/latest/VERSION
È possibile anche aprire il file VERSION
direttamente nel browser senza un comando curl
.
Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS
Durante l'esecuzione di varie operazioni di Systems Manager, AWS Systems Manager Agent (SSM Agent) accede a diversi bucket Amazon Simple Storage Service (Amazon S3). Questi bucket S3 sono accessibili pubblicamente e, per impostazione predefinita, SSM Agent si connette con essi usando chiamate HTTP
.
Tuttavia, se utilizzi un endpoint cloud privato virtuale (VPC) nelle tue operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo di istanza Amazon Elastic Compute Cloud (AmazonEC2) per Systems Manager o in un ruolo di servizio per non EC2 macchine in un ambiente ibrido e multicloud. In caso contrario, le risorse non possono accedere a questi bucket pubblici.
Per concedere ai nodi gestiti l'accesso a questi bucket quando utilizzi un VPC endpoint, crei una policy di autorizzazioni Amazon S3 personalizzata e poi la alleghi al profilo dell'istanza (per le istanze) o al tuo ruolo di servizio (EC2per i nodi non gestiti). EC2
Per informazioni sull'utilizzo di un endpoint cloud privato virtuale (VPC) nelle operazioni di Systems Manager, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager.
Nota
Queste autorizzazioni forniscono l'accesso solo ai bucket AWS gestiti richiesti da. SSM Agent Non forniscono le autorizzazioni necessarie per altre operazioni Amazon S3. Inoltre, non offrono l'autorizzazione per i propri bucket S3.
Per ulteriori informazioni, consulta i seguenti argomenti:
Indice
Autorizzazioni dei bucket necessarie
La tabella seguente descrive ciascuno dei bucket S3 di cui SSM Agent potrebbe aver bisogno per accedere alle operazioni di Systems Manager.
Nota
region
rappresenta l'identificatore di una regione Regione AWS
supportata da AWS Systems Manager, ad esempio us-east-2
per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region
valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
Autorizzazioni di Amazon S3 richieste da SSM Agent
bucket S3 ARN | Descrizione |
---|---|
|
Obbligatorio per alcuni SSM documenti che supportano solo i sistemi Windows Server operativi, più alcuni per il supporto multipiattaforma, come. |
|
Necessario per l'aggiornamento di installazioni SSM Agent. Questi bucket contengono i pacchetti di installazione dell'SSM Agent e i file manifest a cui fanno riferimento il documento AWS-UpdateSSMAgent e il plugin. Se queste autorizzazioni non vengono fornite, SSM Agent effettua una HTTP chiamata per scaricare l'aggiornamento. |
|
Necessario per utilizzare versioni SSM Agent precedenti alla 2.2.45.0 per eseguire il documento. SSM |
|
Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio è utilizzato per eseguire il documento Questa autorizzazione è necessaria per tutti Regioni AWS tranne la regione Africa (Città del Capo) (af-south-1) e la regione Europa (Milano) (eu-south-1). |
|
Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio viene utilizzato per eseguire il documento. SSM Questa autorizzazione è necessaria solo per la regione Africa (Città del Capo) (af-sud-1) e la regione Europa (Milano) (eu-sud-1). |
|
Fornisce l'accesso al bucket S3 contenente i pacchetti perDistributor, una funzionalità di AWS Systems Manager, di proprietà di. AWS |
arn:aws:s3:::aws-ssm- |
Fornisce l'accesso al bucket S3 contenente i moduli necessari per l'uso con documenti Systems Manager senza patch SSM (documenti Command). Ad esempio: arn:aws:s3:::aws-ssm-us-east-2/* .
Di seguito sono riportati alcuni SSM documenti di uso comune archiviati in questi bucket.
|
oppure
|
Fornisce l'accesso al bucket S3 contenente snapshot della base di patch. Ciò è necessario se si utilizza uno dei seguenti documenti di SSM comando:
I bucket più supportati Regioni AWS utilizzano il seguente formato:
Per alcune regioni, nel nome del bucket è incluso un suffisso univoco aggiuntivo. Ad esempio, il nome del bucket per la regione del Medio Oriente (Bahrain) (me-south-1) è il seguente:
Per un elenco completo dei nomi dei bucket di snapshot della patch di base, vedere. Bucket contenenti istantanee di base delle patch gestite AWS NotaSe si usa un firewall locale e si intende utilizzare Patch Manager, il firewall deve consentire anche l'accesso all'endpoint della base di patch appropriato. |
Per nodi gestiti dal Linux e Windows Server: Per le EC2 istanze Amazon permacOS: |
Fornisce l'accesso al bucket S3 contenente i documenti di SSM Command per le operazioni di patching in. Patch Manager Ogni nome di bucket include un suffisso univoco, ad esempio
SSMdocumentiDi seguito sono riportati alcuni SSM documenti di uso comune archiviati in questi bucket.
Per gli elenchi completi dei bucket S3 AWS gestiti per le operazioni di patching, consulta i seguenti argomenti: |
Esempio
L'esempio seguente mostra come fornire l'accesso al bucket S3 richiesto per le operazioni di Systems Manager nella regione Stati Uniti orientali (Ohio) (us-east-2). Nella maggior parte dei casi, è necessario fornire queste autorizzazioni in modo esplicito in un profilo di istanza o in un ruolo di servizio solo quando si utilizza un endpoint. VPC
Importante
Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::aws-ssm-us-east-2/*
anziché arn:aws:s3:::aws-ssm-*/*
. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se si desidera utilizzare il profilo dell'istanza per più di una regione, si consiglia di ripetere il primo elemento Statement
per ogni regione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-patch-manager-us-east-2-552881074/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*" ] } ] }
Convalida di macchine attivate da sistemi tramite un'impronta digitale hardware
Quando non si utilizzano EC2 computer in un ambiente ibrido e multicloud, SSM Agent raccoglie una serie di attributi di sistema (denominati hash hardware) e li utilizza per calcolare un'impronta digitale. L'impronta digitale è una stringa opaca che l'agente passa a determinati Systems Manager. APIs Questa impronta digitale univoca associa il chiamante a un particolare nodo gestito attivato da sistemi ibridi. L'agente memorizza l'impronta digitale e l'hash hardware sul disco locale in una posizione chiamata Vault.
L'agente calcola l'hash hardware e l'impronta digitale quando la macchina viene registrata per essere utilizzata con Systems Manager. Quindi, l'impronta digitale viene restituita al servizio Systems Manager quando l'agente invia un comando RegisterManagedInstance
.
Più tardi, quando si invia un comando RequestManagedInstanceRoleToken
, l'agente controlla l'impronta digitale e l'hash hardware nel vault per verificare che gli attributi correnti della macchina corrispondano all'hash hardware archiviato. Se gli attributi correnti della macchina corrispondono effettivamente all'hash hardware archiviato nel vault, l'agente passa l'impronta digitale dal vault a RegisterManagedInstance
, dando come risultato una chiamata riuscita.
Se gli attributi correnti della macchina non corrispondono all'hash hardware memorizzato, SSM Agent calcola una nuova impronta digitale, memorizza il nuovo hash hardware e l'impronta digitale nel vault e passa la nuova impronta digitale a RequestManagedInstanceRoleToken
. Questo causa un errore in RequestManagedInstanceRoleToken
e l'agente non sarà in grado di ottenere un token di ruolo per connettersi al servizio Systems Manager.
Questo errore varia in base alla progettazione e viene utilizzato come fase di verifica per impedire che più nodi gestiti comunichino con il servizio Systems Manager come fossero lo stesso nodo gestito.
Quando si confrontano gli attributi correnti della macchina con l'hash hardware memorizzato nel vault, l'agente utilizza la logica seguente per stabilire se gli hash vecchi e nuovi corrispondono:
-
Se SID (ID sistema/macchina) è diverso, non corrisponde.
-
Altrimenti, se l'indirizzo IP è lo stesso, c'è corrispondenza.
-
In caso contrario, la percentuale di attributi della macchina corrispondenti viene calcolata e confrontata con la soglia di similarità configurata dall'utente per determinare se esiste una corrispondenza.
La soglia di somiglianza viene memorizzata nel vault, insieme all'hash hardware.
La soglia di somiglianza può essere impostata dopo che un'istanza è stata registrata utilizzando un comando simile al seguente.
Su macchine Linux:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Su Windows Server macchine che utilizzano: PowerShell
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Importante
Se uno dei componenti utilizzati per calcolare l'impronta digitale cambia, questo può causare l'ibernazione dell'agente. Per evitare questa ibernazione, impostare la soglia di somiglianza su un valore basso, ad esempio 1
.
SSM Agent - GitHub
Il codice sorgente di SSM Agent è disponibile su GitHub