Scopri i dettagli tecnici sulla SSM Agent - AWS Systems Manager
Comportamento delle credenziali di SSM Agent versione 3.2.x.xPrecedenza credenziali SSM AgentConfigurazione SSM Agent per l'uso con il Federal Information Processing Standard () FIPSInformazioni sull'account ssm-user localeSSM Agent e Instance Metadata Service (IMDS)Mantenere SSM Agent up-to-dateVerifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminataSSM Agentaggiornamenti periodici di Regioni AWSComunicazioni di SSM Agent con i bucket S3 gestiti di AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri i dettagli tecnici sulla SSM Agent

Utilizza le informazioni contenute in questo argomento per aiutarti a implementare AWS Systems Manager Agent (SSM Agent) e a capire come funziona l'agente.

Comportamento delle credenziali di SSM Agent versione 3.2.x.x

SSM Agent memorizza un set di credenziali temporanee in /var/lib/amazon/ssm/credentials (per Linux e macOS) o %PROGRAMFILES%\Amazon\SSM\credentials (per Windows Server) quando si esegue l'onboarding di un'istanza utilizzando la funzionalità Configurazione di gestione host predefinita in Quick Setup. Le credenziali temporanee dispongono delle autorizzazioni specificate per il IAM ruolo scelto per la configurazione predefinita della gestione dell'host. Su Linux, solo l'account root può accedere a queste credenziali. SìWindows Server, solo l'SYSTEMaccount e gli amministratori locali possono accedere a queste credenziali.

Precedenza credenziali SSM Agent

In questa sezione sono riportate informazioni importanti su come SSM Agent ha l'autorizzazione per eseguire azioni sulle risorse dell'utente.

Nota

Il supporto per i dispositivi edge è leggermente diverso. È necessario configurare i dispositivi periferici per utilizzare il software AWS IoT Greengrass Core, configurare un ruolo di servizio AWS Identity and Access Management (IAM) e SSM Agent distribuirlo sui dispositivi utilizzando. AWS IoT Greengrass Per ulteriori informazioni, consulta Gestione dei dispositivi periferici con Systems Manager.

Quando SSM Agent è installato su una macchina, richiede le autorizzazioni per comunicare con il servizio Systems Manager. Nelle istanze Amazon Elastic Compute Cloud (AmazonEC2), queste autorizzazioni vengono fornite in un profilo di istanza collegato all'istanza. Su una EC2 macchina diversa, SSM Agent normalmente ottiene le autorizzazioni necessarie dal file di credenziali condiviso, che si trova in /root/.aws/credentials (Linux andmacOS) o (). %USERPROFILE%\.aws\credentials Windows Server Le autorizzazioni necessarie vengono aggiunte a questo file durante il processo di attivazione ibrida.

In rari casi, tuttavia, una macchina potrebbe ritrovarsi autorizzazioni aggiunte a più di una delle posizioni in cui SSM Agent controlla le autorizzazioni per eseguire le sue attività.

Ad esempio, supponiamo di aver configurato un'EC2istanza per essere gestita da Systems Manager. Questa configurazione include il collegamento di un profilo dell'istanza. Tuttavia, si può decidere di utilizzare tale istanza anche per le attività di sviluppatore o utente finale e di installarvi il AWS Command Line Interface (AWS CLI). Questa installazione comporta l'aggiunta di ulteriori autorizzazioni a un file di credenziali nell'istanza.

Quando si esegue un comando di Systems Manager sull'istanza, SSM Agent potrebbe provare a utilizzare credenziali diverse da quelle previste, ad esempio da un file di credenziali anziché da un profilo dell'istanza. Questo perché SSM Agent cerca le credenziali nell'ordine prescritto per la catena di provider di credenziali predefinita.

Nota

Su Linux e macOS, SSM Agent funziona come utente root. Di conseguenza, le variabili di ambiente e i file delle credenziali che SSM Agent cerca in questo processo sono solo quelli dell'utente root (/root/.aws/credentials). Durante la ricerca delle credenziali, SSM Agent non esamina le variabili di ambiente o il file delle credenziali di altri utenti sull'istanza.

La catena di provider predefinita cerca le credenziali nel seguente ordine:

  1. Variabili di ambiente, se configurate (AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY).

  2. File delle credenziali condiviso ($HOME/.aws/credentials per Linux e macOS o %USERPROFILE%\.aws\credentials per Windows Server) con autorizzazioni fornite, ad esempio, da un'attivazione ibrida o da un'installazione di AWS CLI .

  3. Un ruolo AWS Identity and Access Management (IAM) per le attività se è presente un'applicazione che utilizza una definizione o un'RunTaskAPIoperazione di Amazon Elastic Container Service (AmazonECS).

  4. Un profilo di istanza collegato a un'EC2istanza Amazon.

  5. Il IAM ruolo scelto per la configurazione predefinita della gestione dell'host.

Per le relative informazioni, consultare i seguenti argomenti:

Configurazione SSM Agent per l'uso con il Federal Information Processing Standard () FIPS

Se è necessario utilizzare Systems Manager con moduli crittografici convalidati Federal Information Processing Standard (FIPS) 140-3, è possibile configurare AWS Systems Manager Agent (SSM Agent) per utilizzare gli FIPS endpoint nelle regioni supportate.

Per configurare la connessione a 140-3 SSM Agent endpoint FIPS

  1. Connect al nodo gestito.

  2. Vai alla directory che contiene il amazon-ssm-agent.json file:

    • Linux: /etc/amazon/ssm/

    • macOS: /opt/aws/ssm/

    • Windows Server: C:\Program Files\Amazon\SSM\

  3. Aprire il file denominato amazon-ssm-agent.json per la modifica.

    Suggerimento

    Se non esiste ancora alcun amazon-ssm-agent.json file, copia il contenuto amazon-ssm-agent.json.template di in un nuovo file denominatoamazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova.

  4. Aggiungi il seguente contenuto al file. Sostituisci il region valori segnaposto con il codice regionale appropriato per la partizione:

    {
    ---Existing file content, if any---
    "Mds": {
        "Endpoint": "ec2messages-fips.region.amazonaws.com",
    },
    "Ssm": {
        "Endpoint": "ssm-fips.region.amazonaws.com",
    },
    "Mgs": {
        "Endpoint": "ssmmessages-fips.region.amazonaws.com",
        "Region": "region"
    },
    "S3": {
        "Endpoint": "s3-fips.dualstack.region.amazonaws.com",
        "Region": region"
    },
    "Kms": {
        "Endpoint": "kms-fips.region.amazonaws.com"
    }
}

    Le regioni supportate includono quanto segue:

    • us-east-1per la regione Stati Uniti orientali (Virginia settentrionale)

    • us-east-2per la regione Stati Uniti orientali (Ohio)

    • us-west-1per la regione Stati Uniti occidentali (California settentrionale)

    • us-west-2per la regione Stati Uniti occidentali (Oregon)

    • ca-west-1per la regione Canada occidentale (Calgary)

  5. Salvare il file e riavviareSSM Agent.

Ogni volta che si modifica la configurazione, riavviareSSM Agent.

È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per un up-to-date elenco delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedere Config Property Definitions nel amazon-ssm-agent repository in. GitHub

Per ulteriori informazioni sul AWS supporto perFIPS, vedere Federal Information Processing Standard (FIPS) 140-3.

Informazioni sull'account ssm-user locale

A partire dalla versione 2.3.50.0 di SSM Agent, l'agente crea un account utente locale denominato ssm-user e lo aggiunge alla directory di /etc/sudoers.d (Linux e macOS) o al gruppo Administrators (Windows Server). Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user viene creato la prima volta che una sessione viene avviata su un'istanza. Questo ssm-user è l'utente del sistema operativo predefinito all'avvio di una sessione inSession Manager, una funzionalità di AWS Systems Manager. Puoi modificare le autorizzazioni spostando ssm-user in un gruppo con meno privilegi o cambiando il file sudoers. Quando si disinstalla SSM Agent, l'account ssm-user non viene rimosso dal sistema.

In Windows Server, SSM Agent gestisce l'impostazione di una nuova password per l'account ssm-user all'avvio di ogni sessione. Nessuna password viene impostata per ssm-user su istanze gestite Linux.

A partire dalla versione di SSM Agent 2.3.612.0, l'account ssm-user non viene creato automaticamente sui computer Windows Server utilizzati come controller di dominio. Per utilizzare Session Manager su un controller di dominio Windows Server, creare l'account ssm-user manualmente, se non è già presente, e assegnare le autorizzazioni di amministratore di dominio all'utente.

Importante

Per poter creare l'account ssm-user, il profilo dell'istanza collegato all'istanza deve fornire le autorizzazioni necessarie. Per informazioni, consulta Fase 2: Verifica o aggiungi le autorizzazioni dell'istanza per Session Manager.

SSM Agent e Instance Metadata Service (IMDS)

Systems Manager si affida ai metadati delle EC2 istanze per funzionare correttamente. Systems Manager può accedere ai metadati dell'istanza utilizzando la versione 1 o la versione 2 di Instance Metadata Service (IMDSv1 e IMDSv2). L'istanza deve essere in grado di accedere all'IPv4indirizzo del servizio di metadati dell'istanza: 169.254.169.254. Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.

Mantenere SSM Agent up-to-date

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes su GitHub per ricevere notifiche sugli SSM Agent aggiornamenti.

Nota

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes su GitHub per ricevere notifiche sugli SSM Agent aggiornamenti.

Le Amazon Machine Images (AMIs) che includono SSM Agent per impostazione predefinita possono impiegare fino a due settimane per essere aggiornate con la versione più recente di SSM Agent. Consigliamo di configurare aggiornamenti automatici di SSM Agent ancora più frequenti.

Verifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminata

SSM Agent sia installato in /var/lib/amazon/ssm/ (Linux e macOS) e %PROGRAMFILES%\Amazon\SSM\ (Windows Server). Queste directory di installazione contengono file e cartelle critici utilizzati daSSM Agent, ad esempio un file di credenziali, risorse per la comunicazione tra processi (IPC) e cartelle di orchestrazione. Nulla all'interno della directory di installazione deve essere modificato, spostato o eliminato. In caso contrario, SSM Agent potrebbe smettere di funzionare correttamente.

SSM Agentaggiornamenti periodici di Regioni AWS

Una volta reso disponibile un SSM Agent aggiornamento nel relativo GitHub repository, possono essere necessarie fino a due settimane prima che la versione aggiornata venga distribuita a tutti Regioni AWS in momenti diversi. Per questo motivo, potresti ricevere l'errore «Non supportato sulla piattaforma corrente» o «Aggiornamento amazon-ssm-agent a una versione precedente, attiva l'opzione consenti al downgrade di procedere» quando tenti di distribuire una nuova versione di SSM Agent In una regione.

Per determinare la versione di SSM Agent disposizione per l'utente, è possibile eseguire un comando curl.

Per visualizzare la versione dell'agente disponibile nel bucket di download globale, eseguire il comando seguente.

curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION

Per visualizzare la versione dell'agente disponibile in una regione specifica, esegui il comando seguente, sostituendo region con la regione in cui lavori, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio).

curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION

È possibile anche aprire il file VERSION direttamente nel browser senza un comando curl.

Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS

Durante l'esecuzione di varie operazioni di Systems Manager, AWS Systems Manager Agent (SSM Agent) accede a diversi bucket Amazon Simple Storage Service (Amazon S3). Questi bucket S3 sono accessibili pubblicamente e, per impostazione predefinita, SSM Agent si connette con essi usando chiamate HTTP.

Tuttavia, se utilizzi un endpoint cloud privato virtuale (VPC) nelle tue operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo di istanza Amazon Elastic Compute Cloud (AmazonEC2) per Systems Manager o in un ruolo di servizio per non EC2 macchine in un ambiente ibrido e multicloud. In caso contrario, le risorse non possono accedere a questi bucket pubblici.

Per concedere ai nodi gestiti l'accesso a questi bucket quando utilizzi un VPC endpoint, crei una policy di autorizzazioni Amazon S3 personalizzata e poi la alleghi al profilo dell'istanza (per le istanze) o al tuo ruolo di servizio (EC2per i nodi non gestiti). EC2

Per informazioni sull'utilizzo di un endpoint cloud privato virtuale (VPC) nelle operazioni di Systems Manager, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager.

Nota

Queste autorizzazioni forniscono l'accesso solo ai bucket AWS gestiti richiesti da. SSM Agent Non forniscono le autorizzazioni necessarie per altre operazioni Amazon S3. Inoltre, non offrono l'autorizzazione per i propri bucket S3.

Per ulteriori informazioni, consulta i seguenti argomenti:

Autorizzazioni dei bucket necessarie

La tabella seguente descrive ciascuno dei bucket S3 di cui SSM Agent potrebbe aver bisogno per accedere alle operazioni di Systems Manager.

Nota

region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

Autorizzazioni di Amazon S3 richieste da SSM Agent

bucket S3 ARN Descrizione

arn:aws:s3:::aws-windows-downloads-region/*

Obbligatorio per alcuni SSM documenti che supportano solo i sistemi Windows Server operativi, più alcuni per il supporto multipiattaforma, come. AWSEC2-ConfigureSTIG

arn:aws:s3:::amazon-ssm-region/*

Necessario per l'aggiornamento di installazioni SSM Agent. Questi bucket contengono i pacchetti di installazione dell'SSM Agent e i file manifest a cui fanno riferimento il documento AWS-UpdateSSMAgent e il plugin. Se queste autorizzazioni non vengono fornite, SSM Agent effettua una HTTP chiamata per scaricare l'aggiornamento.

arn:aws:s3:::amazon-ssm-packages-region/*

Necessario per utilizzare versioni SSM Agent precedenti alla 2.2.45.0 per eseguire il documento. SSM AWS-ConfigureAWSPackage

arn:aws:s3:::region-birdwatcher-prod/*

Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio è utilizzato per eseguire il documento AWS-ConfigureAWSPackage.

Questa autorizzazione è necessaria per tutti Regioni AWS tranne la regione Africa (Città del Capo) (af-south-1) e la regione Europa (Milano) (eu-south-1).

arn:aws:s3:::aws-ssm-distributor-file-region/*

Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio viene utilizzato per eseguire il documento. SSM AWS-ConfigureAWSPackage

Questa autorizzazione è necessaria solo per la regione Africa (Città del Capo) (af-sud-1) e la regione Europa (Milano) (eu-sud-1).

arn:aws:s3:::aws-ssm-document-attachments-region/*

Fornisce l'accesso al bucket S3 contenente i pacchetti perDistributor, una funzionalità di AWS Systems Manager, di proprietà di. AWS
arn:aws:s3:::aws-ssm-region/* Fornisce l'accesso al bucket S3 contenente i moduli necessari per l'uso con documenti Systems Manager senza patch SSM (documenti Command). Ad esempio: arn:aws:s3:::aws-ssm-us-east-2/*.

Di seguito sono riportati alcuni SSM documenti di uso comune archiviati in questi bucket.

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

arn:aws:s3:::patch-baseline-snapshot-region/*

oppure

arn:aws:s3:::patch-baseline-snapshot-region-unique-suffix/*

Fornisce l'accesso al bucket S3 contenente snapshot della base di patch. Ciò è necessario se si utilizza uno dei seguenti documenti di SSM comando:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline(un SSM documento precedente)

I bucket più supportati Regioni AWS utilizzano il seguente formato:

arn:aws:s3:::patch-baseline-snapshot-region

Per alcune regioni, nel nome del bucket è incluso un suffisso univoco aggiuntivo. Ad esempio, il nome del bucket per la regione del Medio Oriente (Bahrain) (me-south-1) è il seguente:

  • patch-baseline-snapshot-me-south-1-uduvl7q8

Per un elenco completo dei nomi dei bucket di snapshot della patch di base, vedere. Bucket contenenti istantanee di base delle patch gestite AWS

Nota

Se si usa un firewall locale e si intende utilizzare Patch Manager, il firewall deve consentire anche l'accesso all'endpoint della base di patch appropriato.

Per nodi gestiti dal Linux e Windows Server: arn:aws:s3:::aws-patch-manager-region-unique-suffix/*

Per le EC2 istanze Amazon permacOS: arn:aws:s3:::aws-patchmanager-macos-region-unique-suffix/*

Fornisce l'accesso al bucket S3 contenente i documenti di SSM Command per le operazioni di patching in. Patch Manager Ogni nome di bucket include un suffisso univoco, ad esempio 552881074 per i bucket nella regione Stati Uniti orientali (Ohio) (us-east-2):

  • arn:aws:s3:::aws-patch-managerer-us-east-2-552881074/*

  • arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*

SSMdocumenti

Di seguito sono riportati alcuni SSM documenti di uso comune archiviati in questi bucket.

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

Per gli elenchi completi dei bucket S3 AWS gestiti per le operazioni di patching, consulta i seguenti argomenti:

Esempio

L'esempio seguente mostra come fornire l'accesso al bucket S3 richiesto per le operazioni di Systems Manager nella regione Stati Uniti orientali (Ohio) (us-east-2). Nella maggior parte dei casi, è necessario fornire queste autorizzazioni in modo esplicito in un profilo di istanza o in un ruolo di servizio solo quando si utilizza un endpoint. VPC

Importante

Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::aws-ssm-us-east-2/* anziché arn:aws:s3:::aws-ssm-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se si desidera utilizzare il profilo dell'istanza per più di una regione, si consiglia di ripetere il primo elemento Statement per ogni regione.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "s3:GetObject",
                "Resource": [
                    "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                    "arn:aws:s3:::amazon-ssm-us-east-2/*",
                    "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                    "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                    "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                    "arn:aws:s3:::aws-ssm-us-east-2/*",
                    "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*",
                    "arn:aws:s3:::aws-patch-manager-us-east-2-552881074/*",
                    "arn:aws:s3:::aws-patchmanager-macos-us-east-2-552881074/*"
                ]
            }
        ]
    }

Convalida di macchine attivate da sistemi tramite un'impronta digitale hardware

Quando non si utilizzano EC2 computer in un ambiente ibrido e multicloud, SSM Agent raccoglie una serie di attributi di sistema (denominati hash hardware) e li utilizza per calcolare un'impronta digitale. L'impronta digitale è una stringa opaca che l'agente passa a determinati Systems Manager. APIs Questa impronta digitale univoca associa il chiamante a un particolare nodo gestito attivato da sistemi ibridi. L'agente memorizza l'impronta digitale e l'hash hardware sul disco locale in una posizione chiamata Vault.

L'agente calcola l'hash hardware e l'impronta digitale quando la macchina viene registrata per essere utilizzata con Systems Manager. Quindi, l'impronta digitale viene restituita al servizio Systems Manager quando l'agente invia un comando RegisterManagedInstance.

Più tardi, quando si invia un comando RequestManagedInstanceRoleToken, l'agente controlla l'impronta digitale e l'hash hardware nel vault per verificare che gli attributi correnti della macchina corrispondano all'hash hardware archiviato. Se gli attributi correnti della macchina corrispondono effettivamente all'hash hardware archiviato nel vault, l'agente passa l'impronta digitale dal vault a RegisterManagedInstance, dando come risultato una chiamata riuscita.

Se gli attributi correnti della macchina non corrispondono all'hash hardware memorizzato, SSM Agent calcola una nuova impronta digitale, memorizza il nuovo hash hardware e l'impronta digitale nel vault e passa la nuova impronta digitale a RequestManagedInstanceRoleToken. Questo causa un errore in RequestManagedInstanceRoleToken e l'agente non sarà in grado di ottenere un token di ruolo per connettersi al servizio Systems Manager.

Questo errore varia in base alla progettazione e viene utilizzato come fase di verifica per impedire che più nodi gestiti comunichino con il servizio Systems Manager come fossero lo stesso nodo gestito.

Quando si confrontano gli attributi correnti della macchina con l'hash hardware memorizzato nel vault, l'agente utilizza la logica seguente per stabilire se gli hash vecchi e nuovi corrispondono:

  • Se SID (ID sistema/macchina) è diverso, non corrisponde.

  • Altrimenti, se l'indirizzo IP è lo stesso, c'è corrispondenza.

  • In caso contrario, la percentuale di attributi della macchina corrispondenti viene calcolata e confrontata con la soglia di similarità configurata dall'utente per determinare se esiste una corrispondenza.

La soglia di somiglianza viene memorizzata nel vault, insieme all'hash hardware.

La soglia di somiglianza può essere impostata dopo che un'istanza è stata registrata utilizzando un comando simile al seguente.

Su macchine Linux:

sudo amazon-ssm-agent -fingerprint -similarityThreshold 1

Su Windows Server macchine che utilizzano: PowerShell

cd "C:\Program Files\Amazon\SSM\" `
    .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Importante

Se uno dei componenti utilizzati per calcolare l'impronta digitale cambia, questo può causare l'ibernazione dell'agente. Per evitare questa ibernazione, impostare la soglia di somiglianza su un valore basso, ad esempio 1.

SSM Agent - GitHub

Il codice sorgente di SSM Agent è disponibile su GitHubin modo da poter adattare l'agente alle proprie esigenze. Ti consigliamo di inviare le richieste pull per le modifiche da includere. Tuttavia, Amazon Web Services attualmente non fornisce il supporto per eseguire copie modificate di questo software.