Problembehandlung bei der Verfügbarkeit verwalteter Knoten - AWS Systems Manager
Lösung 1: Überprüfen Sie, ob SSM Agent installiert ist und auf dem verwalteten Knoten ausgeführt wirdLösung 2: Stellen Sie sicher, dass ein IAM-Instance-Profil für die Instance angegeben wurde (nur EC2 Instances)Lösung 3: Überprüfen der Konnektivität des Service-EndpunktsLösung 4: Überprüfen der Unterstützung des ZielbetriebssystemsLösung 5: Stellen Sie sicher, dass Sie in derselben Instanz arbeiten AWS-Region wie die EC2 Amazon-InstanceLösung 6: Überprüfen Sie die Proxy-Konfiguration, die Sie auf SSM Agent in Ihrem verwalteten Knoten angewendet habenLösung 7: Installieren eines TLS-Zertifikats auf verwalteten Instances

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehandlung bei der Verfügbarkeit verwalteter Knoten

Bei verschiedenen AWS Systems Manager Tools wie Run Command DistributorSession Manager, und können Sie die verwalteten Knoten, auf denen Sie einen Vorgang ausführen möchten, manuell auswählen. In solchen Fällen zeigt das System, nachdem Sie angegeben haben, dass Sie Knoten manuell auswählen möchten, eine Liste der verwalteten Knoten an, auf denen Sie die Operation ausführen können.

Dieses Thema liefert Informationen zur Diagnose, warum ein verwalteter Knoten, für den Sie bestätigt haben, dass er ausgeführt wird, nicht in Ihren Listen verwalteter Knoten in Systems Manager aufgeführt wird.

Damit ein Knoten von Systems Manager verwaltet und in Listen verwalteter Knoten verfügbar ist, muss er drei primäre Anforderungen erfüllen:

  • SSM Agent muss auf dem Knoten installiert sein und mit einem unterstützten Betriebssystem ausgeführt werden.

    Anmerkung

    Einige AWS managed Amazon Machine Images (AMIs) sind so konfiguriert, dass sie Instances mit SSM Agentvorinstallierter Installation starten. (Sie können auch ein benutzerdefiniertes AMI zur Vorinstallation von SSM Agent konfigurieren). Weitere Informationen finden Sie unter Finden Sie AMIs mit dem vorinstallierten SSM Agent.

  • Für Amazon Elastic Compute Cloud (Amazon EC2) -Instances müssen Sie ein AWS Identity and Access Management (IAM-) Instance-Profil an die Instance anhängen. Das Instance-Profil ermöglicht es der Instance, mit dem Systems-Manager-Service zu kommunizieren. Wenn Sie der Instance kein Instance-Profil zuweisen, registrieren Sie sie mit einer Hybrid-Aktivierung, was kein übliches Szenario ist.

  • SSM Agent muss in der Lage sein, eine Verbindung zu einem Systems Manager-Endpunkt herzustellen, um sich beim Service zu registrieren. Danach muss der verwaltete Knoten für den Service verfügbar sein, was vom Service bestätigt wird, der alle fünf Minuten ein Signal sendet, um den Zustand der Instance zu überprüfen.

  • Nachdem der Status eines verwalteten Knotens mindestens 30 Tage lang Connection Lost gewesen ist, wird der Knoten möglicherweise nicht mehr in der Fleet Manager-Konsole aufgeführt. Beheben Sie das Problem, das den Verbindungsverlust verursacht hat, um ihn wieder in die Liste aufzunehmen.

Nachdem Sie überprüft haben, dass ein verwalteter Knoten ausgeführt wird, können Sie den folgenden Befehl verwenden, um zu überprüfen, ob SSM Agent erfolgreich beim Systems-Manager-Service registriert wurde. Dieser Befehl gibt keine Ergebnisse zurück, bis eine erfolgreiche Registrierung stattgefunden hat.

Linux & macOS
aws ssm describe-instance-associations-status \
    --instance-id instance-id
Windows
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
PowerShell
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id

Wenn die Registrierung erfolgreich war und der verwaltete Knoten jetzt für Systems-Manager-Operationen verfügbar ist, gibt der Befehl ähnliche Ergebnisse wie die folgenden zurück.

{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}

Wenn die Registrierung noch nicht abgeschlossen wurde oder nicht erfolgreich war, gibt der Befehl ähnliche Ergebnisse wie die folgenden zurück:

{
    "InstanceAssociationStatusInfos": []
}

Wenn der Befehl nach etwa 5 Minuten keine Ergebnisse zurückgibt, verwenden Sie die folgenden Informationen, um Probleme mit Ihren verwalteten Knoten zu beheben.

Themen

Lösung 1: Überprüfen Sie, ob SSM Agent installiert ist und auf dem verwalteten Knoten ausgeführt wird

Stellen Sie sicher, dass die neueste Version von SSM Agent auf dem verwalteten Knoten installiert ist und ausgeführt wird.

Informationen zum Feststellen, ob SSM Agent installiert ist und auf einem verwalteten Knoten ausgeführt wird, finden Sie unter Prüfen des SSM Agent-Status und Starten des Agenten.

Um SSM Agent auf einem verwalteten Knoten zu installieren bzw. deinstallieren, siehe folgende Themen:

Lösung 2: Stellen Sie sicher, dass ein IAM-Instance-Profil für die Instance angegeben wurde (nur EC2 Instances)

Stellen Sie bei Amazon Elastic Compute Cloud (Amazon EC2) -Instances sicher, dass die Instance mit einem AWS Identity and Access Management (IAM-) Instance-Profil konfiguriert ist, das es der Instance ermöglicht, mit der Systems Manager Manager-API zu kommunizieren. Stellen Sie außerdem sicher, dass Ihr Benutzer über eine IAM-Vertrauensrichtlinie verfügt, die es Ihrem Benutzer ermöglicht, mit der Systems-Manager-API zu kommunizieren.

Anmerkung

Lokale Server, Edge-Geräte und virtuelle Maschinen (VMs) verwenden eine IAM-Servicerolle anstelle eines Instanzprofils. Weitere Informationen finden Sie unter Erstellen der für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderlichen IAM-Servicerolle.

Um festzustellen, ob ein Instanzprofil mit den erforderlichen Berechtigungen an eine Instanz angehängt ist EC2

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie die Instance, die nach einem Instance-Profil überprüft werden soll.

  4. Suchen Sie auf der Registerkarte Description (Beschreibung) im unteren Bereich die IAM-Rolle und wählen Sie den Namen der Rolle.

  5. Vergewissern Sie sich auf der Seite Summary des Instance-Profils auf der Registerkarte Permissions (Berechtigungen), dass unter den Berechtigungsrichtlinien AmazonSSMManagedInstanceCore aufgeführt ist.

    Wenn stattdessen eine benutzerdefinierte Richtlinie verwendet wird, stellen Sie sicher, dass sie dieselben Berechtigungen wie AmazonSSMManagedInstanceCore bereitstellt.

    Öffnen Sie AmazonSSMManagedInstanceCore in der Konsole

    Informationen über andere Richtlinien, die an ein Instance-Profil für Systems Manager angefügt werden können, finden Sie unter Konfigurieren von erforderlichen Instances-Berechtigungen für Systems Manager.

Lösung 3: Überprüfen der Konnektivität des Service-Endpunkts

Stellen Sie sicher, dass die Instance eine Verbindung zu den Systems Manager Service-Endpunkten hat. Diese Konnektivität wird entweder durch das Erstellen und Konfigurieren von VPC-Endpunkten für Systems Manager oder durch die Genehmigung von ausgehenden HTTPS-Datenverkehr (Port 443) zu den Service-Endpunkten bereitgestellt.

Bei EC2 Amazon-Instances AWS-Region wird der Systems Manager Manager-Serviceendpunkt für die zur Registrierung der Instance verwendet, wenn Ihre Virtual Private Cloud (VPC) -Konfiguration ausgehenden Datenverkehr zulässt. Wenn die VPC-Konfiguration, in der die Instance gestartet wurde, jedoch keinen ausgehenden Datenverkehr zulässt und Sie diese Konfiguration nicht ändern können, um Konnektivität zu den öffentlichen Service-Endpunkten zu erlauben, müssen Sie stattdessen Schnittstellenendpunkte für Ihre VPC konfigurieren.

Weitere Informationen finden Sie unter Verbessern der Sicherheit von EC2 Instances mithilfe von VPC-Endpunkten für Systems Manager.

Lösung 4: Überprüfen der Unterstützung des Zielbetriebssystems

Stellen Sie sicher, dass die ausgewählte Operation für den Typ von verwalteten Knoten ausgeführt werden kann, den Sie in der Liste erwarten. Einige Systems Manager-Vorgänge können nur auf Windows-Instanceen oder nur auf Linux-Instances abzielen. Zum Beispiel können die Systems Manager (SSM) Dokumente AWS-InstallPowerShellModule und AWS-ConfigureCloudWatch nur auf Windows-Instances ausgeführt werden. Wenn Sie auf der Seite Run a command (Ausführen eines Befehls) eines dieser Dokumente auswählen und die Option Choose instances manually (Instancen manuell auswählen) wählen, werden nur Ihre Windows-Instances aufgelistet und stehen zur Auswahl.

Lösung 5: Stellen Sie sicher, dass Sie in derselben Instanz arbeiten AWS-Region wie die EC2 Amazon-Instance

EC2 Amazon-Instances werden in bestimmten Regionen erstellt und sind verfügbar AWS-Regionen, z. B. in der Region USA Ost (Ohio) (us-east-2) oder Europa (Irland) (eu-west-1). Stellen Sie sicher, dass Sie in derselben AWS-Region EC2 Amazon-Instance arbeiten, mit der Sie arbeiten möchten. Weitere Informationen dazu erhalten Sie unter Choosing a Region (Region wählen) in Getting Started with the AWS-Managementkonsole.

Lösung 6: Überprüfen Sie die Proxy-Konfiguration, die Sie auf SSM Agent in Ihrem verwalteten Knoten angewendet haben

Überprüfen Sie, ob die Proxy-Konfiguration, die Sie auf SSM Agent in Ihrem verwalteten Knoten angewendet haben, korrekt ist. Wenn die Proxy-Konfiguration falsch ist, kann der Knoten keine Verbindung zu den erforderlichen Service-Endpunkten herstellen, oder Systems Manager identifiziert möglicherweise das Betriebssystem des verwalteten Knotens falsch. Weitere Informationen erhalten Sie unter Konfigurieren Sie SSM Agent, um einen Proxy in Linux-Knoten zu verwenden und Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances.

Lösung 7: Installieren eines TLS-Zertifikats auf verwalteten Instances

Auf jeder verwalteten Instance, die Sie verwenden, muss ein Transport Layer Security (TLS) -Zertifikat installiert sein AWS Systems Manager. AWS-Services Verwenden Sie diese Zertifikate, um Anrufe an andere AWS-Services zu verschlüsseln.

Ein TLS-Zertifikat ist bereits standardmäßig auf jeder EC2 Amazon-Instance installiert, die aus any Amazon Machine Image (AMI) erstellt wurde. Die meisten modernen Betriebssysteme enthalten das erforderliche TLS-Zertifikat von Amazon Trust Services CAs in ihrem Trust Store.

Um zu überprüfen, ob das erforderliche Zertifikat auf Ihrer Instance installiert ist, führen Sie den folgenden Befehl basierend auf dem Betriebssystem Ihrer Instance aus. Achten Sie darauf, den region Teil der URL durch den Teil zu ersetzen, AWS-Region in dem sich Ihre verwaltete Instance befindet.

Linux & macOS
curl -L https://ssm.region.amazonaws.com
Windows
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com

Der Befehl sollte einen UnknownOperationException-Fehler zurückgeben. Wenn Sie stattdessen eine SSL/TLS Fehlermeldung erhalten, ist das erforderliche Zertifikat möglicherweise nicht installiert.

Wenn Sie feststellen, AMIs dass die erforderlichen CA-Zertifikate von Amazon Trust Services nicht auf Ihren Basisbetriebssystemen, auf Instances installiert sind, die nicht von Amazon bereitgestellt wurden, oder auf Ihren eigenen lokalen Servern VMs, müssen Sie ein Zertifikat von Amazon Trust Services installieren und zulassen oder AWS Certificate Manager (ACM) verwenden, um Zertifikate für einen unterstützten integrierten Service zu erstellen und zu verwalten.

Auf jeder Ihrer verwalteten Instances muss eines der folgenden Transport Layer Security (TLS)-Zertifikate installiert sein.

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certificate Authority

Informationen zur Verwendung von ACM finden Sie im AWS Certificate Manager -Benutzerhandbuch.

Wenn Zertifikate in Ihrer Datenverarbeitungsumgebung von einem Gruppenrichtlinienobjekt (GPO) verwaltet werden, dann müssen Sie möglicherweise die Gruppenrichtlinie so konfigurieren, dass eines dieser Zertifikate enthalten ist.

Weitere Informationen zu den Amazon Root- und Starfield-Zertifikaten finden Sie im Blogbeitrag How to Prepare for AWS's Move to Its Own Certificate Authority.