Creazione di associazioni che eseguono MOF file - AWS Systems Manager
Utilizzo di Amazon S3 per archiviare gli artefattiRisoluzione delle credenziali nei file MOFUtilizzo di token nei file MOFPrerequisiti per la creazione di associazioni che eseguono file MOFCreazione di un'associazione che esegue file MOFRisoluzione dei problemi relativi alla creazione di associazioni che eseguono MOF fileVisualizzazione dei dettagli sulla conformità delle DSC risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di associazioni che eseguono MOF file

È possibile eseguire i file Managed Object Format (MOF) per imporre lo stato desiderato sui nodi gestiti di AWS Systems Manager Windows Server utilizzando il AWS-ApplyDSCMofs SSM documento. State Manager Il documento AWS-ApplyDSCMofs è caratterizzato da due modalità di esecuzione. Con la prima modalità, è possibile configurare l'associazione per analizzare e segnalare se i nodi gestiti si trovano nello stato desiderato definito nei MOF file specificati. Nella seconda modalità, è possibile eseguire i MOF file e modificare la configurazione dei nodi in base alle risorse e ai relativi valori definiti nei MOF file. Il AWS-ApplyDSCMofs documento consente di scaricare ed eseguire file di MOF configurazione da Amazon Simple Storage Service (Amazon S3), una condivisione locale o da un sito Web sicuro con un dominio. HTTPS

State Managerregistra e riporta lo stato di ogni esecuzione di MOF file durante ogni esecuzione dell'associazione. State Managerriporta inoltre l'output di ogni esecuzione di MOF file come evento di conformità, che è possibile visualizzare nella pagina AWS Systems Manager Conformità.

MOFl'esecuzione dei file è basata su Windows PowerShell Desired State Configuration (PowerShell DSC). PowerShell DSCè una piattaforma dichiarativa utilizzata per la configurazione, la distribuzione e la gestione di sistemi Windows. PowerShell DSCconsente agli amministratori di descrivere, in semplici documenti di testo denominati DSC configurazioni, come desiderano configurare un server. Una PowerShell DSC configurazione è uno PowerShell script specializzato che indica cosa fare, ma non come farlo. L'esecuzione della configurazione produce un MOF file. Il MOF file può essere applicato a uno o più server per ottenere la configurazione desiderata per tali server. PowerShell DSCle risorse svolgono il lavoro effettivo di applicazione della configurazione. Per ulteriori informazioni, vedere Panoramica della configurazione dello stato PowerShell desiderato di Windows.

Utilizzo di Amazon S3 per archiviare gli artefatti

Se utilizzi Amazon S3 per archiviare PowerShell moduli, MOF file, report di conformità o report sullo stato, allora il ruolo AWS Identity and Access Management (IAM) utilizzato da AWS Systems Manager SSM Agent must have GetObject e ListBucket le autorizzazioni necessarie. Se non disponi di queste autorizzazioni, il sistema restituisce un errore Access Denied (Accesso negato). Ecco informazioni importanti sulla memorizzazione degli artefatti in Amazon S3.

  • Se il bucket si trova in un altro Account AWS, crea una policy relativa alle risorse del bucket che conceda l'account (o il ruolo) e le autorizzazioni. IAM GetObject ListBucket

  • Se desideri utilizzare DSC risorse personalizzate, puoi scaricarle da un bucket Amazon S3. Puoi anche installarle automaticamente dalla PowerShell galleria.

  • Se utilizzi Amazon S3 come sorgente del modulo, carica il modulo come file Zip nel seguente formato con distinzione tra maiuscole e minuscole: ModuleName_ModuleVersion.zip. Ad esempio: MyModule _1.0.0.zip.

  • Tutti i file devono trovarsi nella radice del bucket. Le strutture di cartella non sono supportate.

Risoluzione delle credenziali nei file MOF

Le credenziali vengono risolte utilizzando AWS Secrets Manager o AWS Systems Manager Parameter Store. In questo modo è possibile configurare la rotazione automatica delle credenziali. Ciò consente inoltre di DSC propagare automaticamente le credenziali ai server senza ridistribuirle. MOFs

Per utilizzare un AWS Secrets Manager segreto in una configurazione, crea un PSCredential oggetto in cui il nome utente è il SecretId o il segreto ARN del segreto contenente la credenziale. Puoi specificare qualsiasi valore per la password. Il valore viene ignorato. Di seguito è riportato un esempio.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Compila il tuo MOF utilizzando l' PsAllowPlaintextPassword impostazione nei dati di configurazione. Questo è consentito perché la credenziale contiene solo un'etichetta.

In Secrets Manager, assicurati che il nodo abbia GetSecretValue accesso in una IAM Managed Policy e, facoltativamente, nella Secret Resource Policy, se ne esiste una. Per utilizzarloDSC, il segreto deve avere il seguente formato.

{ 'Username': 'a_name', 'Password': 'a_password' }

Il segreto può avere altre proprietà (ad esempio, proprietà utilizzate per la rotazione), ma deve avere almeno le proprietà del nome utente e della password.

Ti consigliamo di utilizzare un metodo di rotazione multiutente, in cui hai due nomi utente e password diversi e la AWS Lambda funzione di rotazione si alterna tra di loro. Questo metodo consente di avere più account attivi, eliminando il rischio di bloccare un utente durante la rotazione.

Utilizzo di token nei file MOF

I token consentono di modificare i valori delle proprietà delle risorse dopo la compilazioneMOF. Ciò consente di riutilizzare MOF file comuni su più server che richiedono configurazioni simili.

La sostituzione dei token funziona solo per le proprietà della risorsa di tipo String. Tuttavia, se la risorsa ha una proprietà del CIM nodo annidato, risolve anche i token dalle proprietà di quel nodo. String CIM Non puoi usare la sostituzione dei token per numeri o array.

Ad esempio, si consideri uno scenario in cui si utilizza la xComputerManagement risorsa e si desidera rinominare il computer utilizzando. DSC Normalmente è necessario un MOF file dedicato per quella macchina. Tuttavia, con il supporto dei token, puoi creare un singolo MOF file e applicarlo a tutti i tuoi nodi. Nella ComputerName proprietà, invece di codificare il nome del computer inMOF, puoi utilizzare un token di tipo Instance Tag. Il valore viene risolto durante l'MOFanalisi. Guarda l'esempio seguente.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Quindi imposti un tag sul nodo gestito nella console Systems Manager o un tag Amazon Elastic Compute Cloud (AmazonEC2) nella EC2 console Amazon. Quando esegui il documento, lo script sostituisce il token {tag:ComputerName} al valore del tag di istanza.

Inoltre, puoi combinare più tag in una singola proprietà, come mostrato nell'esempio che segue:

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Puoi utilizzare 5 diversi tipi di token:

  • tag: Amazon EC2 o tag dei nodi gestiti.

  • tagb64: è uguale a tag, ma il sistema utilizza base64 per decodificare il valore. In questo modo è possibile utilizzare caratteri speciali nei valori di tag.

  • env: risolve variabili di ambiente.

  • ssm: valori di Parameter Store (archivio parametri). Sono supportati solo i tipi String e Secure String.

  • tagssm: è uguale al tag, ma se il tag non è impostato sul nodo, il sistema cerca di risolvere il valore da un parametro di Systems Manager con lo stesso nome. È utile in situazioni in cui si desidera un valore predefinito globale, ma si vuole sovrascriverlo su un singolo nodo (per esempio, distribuzioni one-box).

Ecco un esempio di Parameter Store (archivio parametri) che usa il tipo di token ssm. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

I token svolgono un ruolo importante nella riduzione del codice ridondante rendendo MOF i file generici e riutilizzabili. Se riesci a evitare MOF file specifici per il server, non è necessario un servizio di costruzione. MOF Un servizio di MOF building aumenta i costi, rallenta i tempi di provisioning e aumenta il rischio di variazioni della configurazione tra i nodi raggruppati a causa delle diverse versioni dei moduli installate sul server di build al momento della compilazione. MOFs

Prerequisiti per la creazione di associazioni che eseguono file MOF

Prima di creare un'associazione che esegua MOF file, verifica che nei nodi gestiti siano installati i seguenti prerequisiti:

Creazione di un'associazione che esegue file MOF

Per creare un'associazione che esegua MOF file

  1. Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli State Manager.

  3. Selezionare State Manager poi Create Association (Crea associazione).

  4. Nel campo Name (Nome), specifica un nome. Questo passaggio è facoltativo, ma è consigliato. Un nome può aiutare a comprendere lo scopo dell'associazione al momento della creazione. Gli spazi non sono consentiti nel nome.

  5. Nell'elenco Document (Documento) scegliere AWS-ApplyDSCMofs.

  6. Nella sezione Parameters (Parametri), specificare le proprie scelte per i parametri di input obbligatori e opzionali.

    1. Mofs da applicare: Specificate uno o più MOF file da eseguire quando viene eseguita questa associazione. Usa le virgole per separare un elenco di MOF file. È possibile specificare le seguenti opzioni per localizzare il file. MOF

      • Un nome del bucket Amazon S3. I nomi di bucket devono utilizzare lettere minuscole. Specificare queste informazioni nel seguente formato.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Se si desidera specificare un Regione AWS, utilizzare il formato seguente.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Un sito web sicuro. Specificare queste informazioni nel seguente formato.

        https://domain_name/MOF_file_name.mof

        Ecco un esempio.

        https://www.example.com/TestMOF.mof

      • Un file system su una condivisione locale. Specificare queste informazioni nel seguente formato.

        \server_name\shared_folder_name\MOF_file_name.mof

        Ecco un esempio.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Percorso del servizio): (facoltativo) un percorso del servizio è un prefisso di bucket Amazon S3 in cui si desidera scrivere i report e le informazioni sullo stato. In alternativa, un percorso del servizio è un percorso per i tag basati sul parametro Parameter Store. Per la risoluzione di tag basati su parametri, il sistema utilizza {ssm:% %/ servicePathparameter_name} per inserire il valore nel nome del parametro. servicePath Ad esempio, se il percorso del servizio è "WebServers/Production", il sistema risolve il parametro come: /Production/ WebServersparameter_name. Ciò è utile quando si eseguono più ambienti nello stesso account.

    3. Report Bucket Name (Nome bucket per report): (facoltativo) immettere il nome di un bucket Amazon S3 in cui si desidera scrivere i dati di conformità. I report vengono salvati in questo bucket in JSON formato.

      Nota

      Puoi aggiungere come prefisso al nome del bucket una regione in cui si trova il bucket. Ecco un esempio: yMOFBucket US-West-2:m. Se si sta usando un proxy per gli endpoint Amazon S3 in una determinata regione che non include us-east-1, aggiungere come prefisso al nome del bucket una regione. Se al nome del bucket non viene applicato un prefisso, troverà automaticamente la regione del bucket utilizzando l'endpoint us-east-1.

    4. Mof Operation Mode (Modalità operazione MOF): scegliere il comportamento di State Manager durante l'esecuzione dell'associazione AWS-ApplyDSCMofs:

      • Apply (Applica): correggere le configurazioni non conformi dei nodi.

      • ReportOnly: Non correggi le configurazioni dei nodi, ma registra invece tutti i dati di conformità e segnala i nodi che non sono conformi.

    5. Nome del bucket di stato: (facoltativo) Inserisci il nome di un bucket Amazon S3 in cui desideri MOF scrivere le informazioni sullo stato dell'esecuzione. Questi report di stato sono riepiloghi singleton dell'esecuzione di conformità più recente di un nodo Ciò significa che il report viene sovrascritto alla successiva esecuzione dei file da parte dell'associazione. MOF

      Nota

      Puoi aggiungere come prefisso al nome del bucket una regione in cui si trova il bucket. Ecco un esempio: us-west-2:amzn-s3-demo-bucket. Se si sta usando un proxy per gli endpoint Amazon S3 in una determinata regione che non include us-east-1, aggiungere come prefisso al nome del bucket una regione. Se al nome del bucket non viene applicato un prefisso, troverà automaticamente la regione del bucket utilizzando l'endpoint us-east-1.

    6. Nome del bucket di origine del modulo: (facoltativo) Inserisci il nome di un bucket Amazon S3 che PowerShell contiene i file del modulo. Se si specifica None (Nessuno), scegliere True (Vero) come opzione successiva, Allow PS Gallery Module Source (Consenti origine del modulo della galleria PS).

      Nota

      Puoi aggiungere come prefisso al nome del bucket una regione in cui si trova il bucket. Ecco un esempio: us-west-2:amzn-s3-demo-bucket. Se si sta usando un proxy per gli endpoint Amazon S3 in una determinata regione che non include us-east-1, aggiungere come prefisso al nome del bucket una regione. Se al nome del bucket non viene applicato un prefisso, troverà automaticamente la regione del bucket utilizzando l'endpoint us-east-1.

    7. Consenti l'origine del modulo PS Gallery: (Facoltativo) Scegli True per scaricare i PowerShell moduli da/. https://www.powershellgallery.com Se scegli False, specifica una fonte per l'opzione precedente, ModuleSourceBucketName.

    8. Uri proxy: (Facoltativo) Utilizzate questa opzione per scaricare MOF file da un server proxy.

    9. Comportamento di riavvio: (Facoltativo) Specificate uno dei seguenti comportamenti di riavvio se l'esecuzione MOF del file richiede il riavvio:

      • AfterMof: riavvia il nodo dopo che tutte le esecuzioni sono state completate. MOF Anche se più MOF esecuzioni richiedono il riavvio, il sistema attende il completamento di tutte le MOF esecuzioni prima di riavviarsi.

      • Immediatamente: riavvia il nodo ogni volta che un'esecuzione lo richiede. MOF Se si eseguono più MOF file che richiedono il riavvio, i nodi vengono riavviati più volte.

      • Mai: i nodi non vengono riavviati, anche se l'MOFesecuzione richiede esplicitamente un riavvio.

    10. Use Computer Name For Reporting (Usa nome computer per il reporting): (facoltativo) abilitare questa opzione per utilizzare il nome del computer per il reporting delle informazioni di conformità. Il valore predefinito è false (falso): ciò significa che il sistema utilizza l'ID nodo per il reporting delle informazioni di conformità.

    11. Attiva la registrazione dettagliata: (Facoltativo) Ti consigliamo di attivare la registrazione dettagliata quando distribuisci i file per la prima volta. MOF

      Importante

      Quando è abilitata, la registrazione verbosa scrive più dati sul bucket Amazon S3 rispetto alla registrazione standard dell'esecuzione di un'associazione. Questo può comportare un rallentamento delle prestazioni e costi di archiviazione maggiori per Amazon S3. Per ridurre i problemi di dimensioni dell'archiviazione, si consiglia di abilitare le policy del ciclo di vita del bucket Amazon S3. Per ulteriori informazioni, consulta Come creare una policy del ciclo di vita per un bucket S3 nella Guida per l'utente Amazon Simple Storage Service.

    12. Attiva la registrazione di debug: (Facoltativo) Ti consigliamo di attivare la registrazione di debug per risolvere gli errori. MOF È inoltre consigliabile disattivare questa opzione per l'uso normale.

      Importante

      Quando è abilitata, la registrazione di debug scrive più dati nel bucket Amazon S3 rispetto alla registrazione standard di esecuzione dell'associazione. Questo può comportare un rallentamento delle prestazioni e costi di archiviazione maggiori per Amazon S3. Per ridurre i problemi di dimensioni dell'archiviazione, si consiglia di abilitare le policy del ciclo di vita del bucket Amazon S3. Per ulteriori informazioni, consulta Come creare una policy del ciclo di vita per un bucket S3 nella Guida per l'utente Amazon Simple Storage Service.

    13. Compliance Type (Tipo di conformità): (facoltativo) specificare il tipo di conformità da utilizzare per il reporting delle informazioni di conformità. Il tipo di conformità predefinito è Personalizzato:. DSC Se crei più associazioni che eseguono MOF file, assicurati di specificare un tipo di conformità diverso per ogni associazione. In caso contrario, ogni associazione aggiuntiva che utilizza Custom: DSC sovrascrive i dati di conformità esistenti.

    14. Pre Reboot Script (Script di pre-riavvio): (facoltativo) specificare uno script da eseguire se la configurazione ha indicato la necessità di un riavvio. Lo script viene eseguito prima del riavvio. Lo script deve essere una singola riga. Separare le righe aggiuntive utilizzando il punto e virgola.

  7. Nella sezione Targets (Target), scegliere Specifying tags (Specifica di tag) o Manually Selecting Instance (Selezione manuale istanza). Se si sceglie di definire le risorse come target mediante i tag, immettere una chiave e un valore del tag nei campi disponibili. Per ulteriori informazioni sull'utilizzo di target, consultare Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.

  8. Nella sezione Specify schedule (Specifica pianificazione), scegliere On Schedule (Conforme a pianificazione) oppure No schedule (Nessuna pianificazione). Se si sceglie On Schedule (Conforme a pianificazione), utilizzare i pulsanti disponibili per creare una pianificazione cron o rate per l'associazione.

  9. Nella sezione Advanced options (Opzioni avanzate):

    • In Compliance severity (Gravità conformità), scegliere un livello di gravità per l'associazione. Il report di conformità indica se l'associazione è conforme o non conforme e il livello di gravità specificato qui. Per ulteriori informazioni, consulta Informazioni sulla conformità delle associazioni State Manager.

  10. Nella sezione Rate control (Controllo velocità), configurare le opzioni per l'esecuzione delle associazioni di State Manager in tutto il parco nodi gestiti. Per ulteriori informazioni su queste opzioni, consulta Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.

    Nella sezione Concurrency (Simultaneità) scegliere un'opzione:

    • Scegliere targets (target) per immettere il numero assoluto di target che possono eseguire contemporaneamente l'associazione.

    • Scegliere percentage (percentuale) per immettere la percentuale del set target che può eseguire contemporaneamente l'associazione.

    Nella sezione Error threshold (Soglia di errore). scegliere un'opzione:

    • Scegliere errors (errori) per immettere il numero assoluto di errori consentiti prima che State Manager arresti l'esecuzione delle associazioni su altri target.

    • Scegliere percentage (percentuale) per immettere una percentuale di errori consentiti prima che State Manager arresti l'esecuzione delle associazioni su altri target.

  11. (Opzionale) In Output optione (Opzioni di output), per salvare l'output del comando in un file, selezionare la casella Enable writing output to S3 (Abilita scrittura in S3). Digitare i nomi del bucket e del prefisso (cartella) nelle caselle.

    Nota

    Le autorizzazioni S3 che garantiscono la possibilità di scrivere i dati in un bucket S3 sono quelle del profilo di istanza assegnato al nodo gestito, non quelle dell'IAMutente che esegue questa attività. Per ulteriori informazioni, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager o Creare un ruolo IAM di servizio per un ambiente ibrido. Inoltre, se il bucket S3 specificato si trova in un altro bucket Account AWS, verifica che il profilo di istanza o il ruolo di IAM servizio associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.

  12. Scegliere Create Association (Crea associazione).

State Manager crea ed esegue immediatamente l'associazione sui nodi o sulle destinazioni specificate. Dopo l'esecuzione iniziale, l'associazione viene eseguita a intervalli in base alla pianificazione definita e in base alle regole seguenti:

  • State Manager esegue associazioni sui nodi che sono online quando inizia l'intervallo e salta i nodi non in linea.

  • State Manager tenta di eseguire l'associazione su tutti i nodi configurati durante un intervallo.

  • Se un'associazione non viene eseguita durante un intervallo (ad esempio, perché un valore di simultaneità ha limitato il numero di nodi che possono elaborare l'associazione contemporaneamente), State Manager tenta di eseguire l'associazione nell'intervallo successivo.

  • State Manager registra la cronologia per tutti gli intervalli ignorati. È possibile visualizzare la cronologia nella scheda Execution History (Cronologia di esecuzione).

Nota

L'AWS-ApplyDSCMofs è un documento Command di Systems Manager Ciò significa che puoi eseguire questo documento anche utilizzandoRun Command, una funzionalità di. AWS Systems Manager Per ulteriori informazioni, consulta AWS Systems Manager Run Command.

Risoluzione dei problemi relativi alla creazione di associazioni che eseguono MOF file

Questa sezione include informazioni che consentono di risolvere i problemi relativi alla creazione di associazioni che eseguono MOF file.

Attiva la registrazione avanzata

Come primo passo per la risoluzione dei problemi, abilita la registrazione avanzata. Nello specifico, svolgi le seguenti operazioni:

  1. Verifica che l'associazione sia configurata per scrivere l'output dei comandi su Amazon S3 o Amazon CloudWatch Logs (). CloudWatch

  2. Imposta il parametro Enable Verbose Logging (Abilita registrazione verbose) su True (Vero).

  3. Imposta il parametro Enable Debug Logging (Abilita registrazione debug) su True (Vero).

Quando abiliti la registrazione verbose e di debug, il file di output Stdout include informazioni sull'esecuzione dello script. Questo file di output può aiutarti a identificare gli esiti negativi dello script. Il file di output Stderr contiene gli errori che si sono verificati durante l'esecuzione di uno script.

Problemi comuni durante la creazione di associazioni che eseguono file MOF

Questa sezione include informazioni sui problemi più comuni che possono verificarsi durante la creazione di associazioni che eseguono MOF file e i passaggi per risolverli.

Il mio MOF non è stato applicato

Se State Manager non riesce ad applicare l'associazione ai nodi, inizia a esaminare il file di output Stderr. Questo file può aiutarti a comprendere la causa principale del problema. Inoltre, verifica quanto segue:

  • Il nodo dispone delle autorizzazioni di accesso richieste per tutti i bucket Amazon S3 MOF correlati. Nello specifico:

    • s3: GetObject autorizzazioni: sono necessarie per MOF i file nei bucket Amazon S3 privati e i moduli personalizzati nei bucket Amazon S3.

    • s3: PutObject autorizzazione: è necessaria per scrivere report di conformità e stato di conformità nei bucket Amazon S3.

  • Se utilizzi i tag, assicurati che il nodo abbia la politica richiesta. IAM L'utilizzo dei tag richiede che il IAM ruolo dell'istanza disponga di una politica che consenta ssm:ListTagsForResource le azioni ec2:DescribeInstances e.

  • Assicurati che al nodo siano assegnati i tag o SSM i parametri previsti.

  • Assicurati che i tag o i SSM parametri non contengano errori di ortografia.

  • Prova ad applicarlo MOF localmente sul nodo per assicurarti che non ci siano problemi con il MOF file stesso.

Il mio MOF sembrava fallire, ma l'esecuzione di Systems Manager ha avuto successo

Se il documento AWS-ApplyDSCMofs è stato eseguito correttamente, lo stato dell'esecuzione di Systems Manager risulta Success (Riuscito). Questo stato non riflette lo stato di conformità del nodo rispetto ai requisiti di configurazione del MOF file. Per visualizzare lo stato di conformità dei nodi, visualizza i report di conformità. Puoi visualizzare un JSON report nell'Amazon S3 Report Bucket. Questo si applica alle esecuzioni di Run Command e State Manager. Inoltre, per State Manager è possibile visualizzare i dettagli di conformità nella pagina Conformità di Systems Manager.

Stati Stderr: errore di risoluzione del nome durante il raggiungimento del servizio

Questo errore indica che lo script non è in grado di raggiungere un servizio remoto. Molto probabilmente lo script non è in grado di raggiungere Amazon S3. Questo problema si verifica il più delle volte quando lo script tenta di scrivere i report di conformità o lo stato di conformità nel bucket Amazon S3 fornito nei parametri del documento. In genere, questo errore si verifica quando un ambiente di elaborazione utilizza un firewall o un proxy trasparente che include una lista dei permessi. Per risolvere il problema:

  • Utilizzare una sintassi del bucket specifica per la regione per tutti i parametri del bucket Amazon S3. Ad esempio, il parametro Mofs to Apply (MOF da applicare) deve avere il seguente formato:

    s3:bucket-region:bucket-name:mof-file-name.mof.

    Ecco un esempio: s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    I nomi di report, stato e bucket dell'origine del modulo devono avere il seguente formato.

    bucket-region:bucket-name. Ecco un esempio: us-west-1:amzn-s3-demo-bucket;

  • Se la sintassi specifica della regione non risolve il problema, assicurarsi che i nodi target possano accedere ad Amazon S3 nella regione desiderata. Per verificare ciò:

    1. Trova il nome dell'endpoint per Amazon S3 nella regione Amazon S3 appropriata. Per ulteriori informazioni, consulta service endpoints (Enpoint del servizio della console) nei Riferimenti generali di Amazon Web Services.

    2. Accedere al nodo target ed eseguire il seguente comando ping.

      ping s3.s3-region.amazonaws.com

      Se il ping non riesce, significa che Amazon S3 è inattivo oppure che un firewall/proxy trasparente blocca l'accesso alla regione di Amazon S3 o che il nodo non è in grado di accedere a Internet.

Visualizzazione dei dettagli sulla conformità delle DSC risorse

Systems Manager acquisisce informazioni sulla conformità relative ai guasti DSC delle risorse nello Status Bucket di Amazon S3 specificato al momento della pubblicazione del documento. AWS-ApplyDSCMofs La ricerca di informazioni sugli errori DSC delle risorse in un bucket Amazon S3 può richiedere molto tempo. È invece possibile visualizzare queste informazioni nella pagina Compliance (Conformità) di Systems Manager.

Nella sezione Compliance resources summary (Riepilogo risorse di conformità) è visualizzato il conteggio delle risorse non riuscite. Nell'esempio seguente, ComplianceTypeè Custom: DSC e una risorsa non è conforme.

Nota

Personalizzato: DSC è il ComplianceTypevalore predefinito nel documento. AWS-ApplyDSCMofs Il valore è personalizzabile.

Visualizzazione dei conteggi nella sezione Compliance resources summary (Riepilogo risorse di conformità) della pagina Compliance (Conformità).

La sezione Panoramica dei dettagli per le risorse mostra informazioni sulla AWS risorsa con la risorsa non conformeDSC. Questa sezione include anche il MOF nome, i passaggi di esecuzione dello script e (se applicabile) un collegamento Visualizza output per visualizzare informazioni dettagliate sullo stato.

Visualizzazione dei dettagli di conformità in caso di errore delle risorse di MOF esecuzione

Il link Visualizzazione dell'output mostra gli ultimi 4.000 caratteri dello stato dettagliato. Systems Manager inizia con l'eccezione come primo elemento, quindi esegue un'analisi a ritroso nei messaggi dettagliati e aggiunge caratteri come prefisso fino a raggiungere la quota 4.000. Questo processo mostra i messaggi di log generati prima dell'eccezione, ovvero i messaggi più rilevanti per la risoluzione dei problemi.

Visualizzazione dell'output dettagliato relativo al problema di conformità delle MOF risorse

Per informazioni su come visualizzare le informazioni di conformità, consulta ConformitàAWS Systems Manager.

Situazioni che influiscono sulla creazione di report sulla conformità

Se l'associazione State Manager ha esito negativo, non viene creato alcun report sui dati di conformità. Più specificamente, se un processo MOF non riesce, Systems Manager non riporta alcun elemento di conformità perché le associazioni falliscono. Ad esempio, se Systems Manager tenta di scaricare un file MOF da un bucket Amazon S3 a cui il nodo non è autorizzato ad accedere, l'associazione fallisce e non viene riportato alcun dato di conformità.

Se una risorsa si MOF guasta in un secondo, Systems Manager riporta i dati di conformità. Ad esempio, se MOF tenta di creare un file su un'unità che non esiste, Systems Manager segnala la conformità perché il AWS-ApplyDSCMofs documento è in grado di essere elaborato completamente, il che significa che l'associazione viene eseguita correttamente.