AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Technische Details über die SSM Agent erfahren
Verwenden Sie die Informationen in diesem Thema, um Ihnen bei der Implementierung von AWS Systems Manager Agent (SSM Agent) zu helfen und zu verstehen, wie der Agent funktioniert.
Verhalten der Anmeldeinformationen von SSM Agent-Version 3.2.x.x
SSM Agent speichert einen Satz temporärer Anmeldeinformationen unter /var/lib/amazon/ssm/credentials (für Linux und macOS) oder %PROGRAMFILES%\Amazon\SSM\credentials (für Windows Server), wenn eine Instance mit der Standardkonfiguration für die Host-Verwaltung in Quick Setup eingebunden wird. Die temporären Anmeldeinformationen haben dieselben Berechtigungen wie die IAM-Rolle, die Sie für die Standardkonfiguration für die Host-Verwaltung ausgewählt haben. Auf Linux kann nur das Root-Konto auf diese Anmeldeinformationen zugreifen. Auf Windows Server, können nur das SYSTEM-Konto und lokale Administratoren auf diese Anmeldeinformationen zugreifen.
Priorität der SSM Agent-Anmeldeinformationen
In diesem Thema werden wichtige Informationen darüber beschrieben, wie SSM Agentdie Berechtigung zum Ausführen von Aktionen auf Ihren Ressourcen erhält.
Anmerkung
Die Support für Edge-Geräte unterscheidet sich geringfügig. Sie müssen Ihre Edge-Geräte für die Verwendung der AWS IoT Greengrass Core-Software konfigurieren, eine AWS Identity and Access Management (IAM) -Servicerolle konfigurieren und die Bereitstellung SSM Agent auf Ihren Geräten mithilfe AWS IoT Greengrass von. Weitere Informationen finden Sie unter Verwalten von Edge-Geräten mit Systems Manager.
Wenn SSM Agent ın einer Maschine installiert ist, sind Berechtigungen für die Kommunikation mit dem Systems-Manager-Service erforderlich. Auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances werden diese Berechtigungen in einem Instance-Profil bereitgestellt, das an die Instance angehängt ist. Ruft auf einem EC2 Computer SSM Agent normalerweise die erforderlichen Berechtigungen aus der Datei mit gemeinsam genutzten Anmeldeinformationen ab, die sich unter /root/.aws/credentials (Linux undmacOS) oder %USERPROFILE%\.aws\credentials (Windows Server) befindet. Die erforderlichen Berechtigungen werden dieser Datei während des Hybrid-Aktivierungsvorgangs hinzugefügt. Wenn ein hybrider aktivierter Knoten abgemeldet wird, kann der Agent in den Ruhezustand wechseln. Weitere Informationen finden Sie unter Grundlegendes zum SSM Agent-Ruhezustand.
In seltenen Fällen kann es jedoch sein, dass eine Maschine Berechtigungen zu mehr als einem der Speicherorte enthält, in denen SSM Agent prüft, ob Berechtigungen zum Ausführen der Aufgaben vorhanden sind.
Angenommen, Sie haben eine EC2 Instanz so konfiguriert, dass sie von Systems Manager verwaltet wird. Diese Konfiguration umfasst das Anhängen eines Instance-Profils. Aber dann entscheiden Sie sich, diese Instance auch für Entwickler- oder Endbenutzer-Aufgaben zu verwenden und installieren die AWS Command Line Interface (AWS CLI) darauf. Diese Installation führt dazu, dass zusätzliche Berechtigungen zu einer Anmeldeinformationsdatei auf der Instance hinzugefügt werden.
Wenn Sie einen Systems Manager-Befehl für die Instance ausführen,versucht SSM Agent möglicherweise, Anmeldeinformationen zu verwenden, die sich von denen unterscheiden, die von ihm erwartet werden, z. B. aus einer Anmeldeinformationsdatei anstelle eines Instance-Profils. Das liegt daran, dass SSM Agent in der Reihenfolge nach Anmeldeinformationen sucht, die für die Standard-Anbieterkette für Anmeldeinformationen vorgeschrieben ist.
Anmerkung
Unter Linux und macOS wird SSM Agent als Root-Benutzer ausgeführt. Daher sind die Umgebungsvariablen und die Datei mit Anmeldeinformationen, nach denen SSM Agent bei diesem Prozess sucht, nur die des Stammbenutzers (/root/.aws/credentials). SSM Agent berücksichtigt bei der Suche nach Anmeldeinformationen weder die Umgebungsvariablen noch die Datei mit den Anmeldeinformationen anderer Benutzer der Instance.
Die Standard-Anbieterkette sucht in folgender Reihenfolge nach Anmeldeinformationen:
-
Umgebungsvariablen, wenn konfiguriert (
AWS_ACCESS_KEY_IDundAWS_SECRET_ACCESS_KEY) -
Freigegebene Anmeldeinformationen-Datei (
$HOME/.aws/credentialsfür Linux und macOS oder%USERPROFILE%\.aws\credentialsfür Windows Server) mit Berechtigungen, die beispielsweise durch eine Hybrid-Aktivierung oder eine AWS CLI -Installation bereitgestellt wird. -
Eine AWS Identity and Access Management (IAM) -Rolle für Aufgaben, wenn eine Anwendung vorhanden ist, die eine Amazon Elastic Container Service (Amazon ECS) -Aufgabendefinition oder RunTask API-Operation verwendet.
-
Ein Instance-Profil, das an eine EC2 Amazon-Instance angehängt ist.
-
Die für die Standardkonfiguration für die Host-Verwaltung gewählte IAM-Rolle.
Verwandte Informationen finden Sie in den folgenden Themen:
-
Instanzprofile für EC2 Instanzen — Konfigurieren Sie die für Systems Manager erforderlichen Instanzberechtigungen
-
Hybride Aktivierungen – Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren
-
AWS CLI Anmeldeinformationen — Konfiguration und Einstellungen für die Anmeldeinformationsdatei im AWS Command Line Interface Benutzerhandbuch
-
Standard-Anbieterkette für Anmeldeinformationen – Festlegen von Anmeldeinformationen im AWS SDK für Go -Entwicklerhandbuch
Anmerkung
Dieses Thema im AWS SDK für Go -Entwicklerhandbuch beschreibt die Standard-Anbieterkette in Bezug auf das SDK for Go. Die gleichen Prinzipien gelten jedoch für die Auswertung von Anmeldeinformationen für SSM Agent.
Konfigurieren von SSM Agent für die Verwendung mit dem Federal Information Processing Standard (FIPS)
Wenn Sie Systems Manager mit nach dem Federal Information Processing Standard (FIPS) 140-3 validierten kryptografischen Modulen verwenden müssen, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass die FIPS-Endpunkte in unterstützten Regionen verwendet werden.
So konfigurieren Sie SSM Agent für die Verbindung zu FIPS 140-3-Endpunkten
-
Herstellen einer Verbindung zu Ihrem verwalteten Knoten.
-
Navigieren Sie zum Verzeichnis, das die
amazon-ssm-agent.json-Datei enthält:-
Linux:
/etc/amazon/ssm/ -
macOS:
/opt/aws/ssm/ -
Windows Server:
C:\Program Files\Amazon\SSM\
-
-
Öffnen Sie die Datei mit dem Namen
amazon-ssm-agent.json, um sie zu bearbeiten.Tipp
Wenn noch keine
amazon-ssm-agent.json-Datei vorhanden ist, kopieren Sie den Inhalt vonamazon-ssm-agent.json.templatein eine neue Datei mit dem Namenamazon-ssm-agent.json. Speichern Sieamazon-ssm-agent.jsonin demselben Verzeichnis, in dem sichamazon-ssm-agent.json.templatebefindet. -
Fügen Sie der Datei den folgenden Inhalt hinzu. Ersetzen Sie die
regionPlatzhalterwerte durch den entsprechenden Regionalcode für Ihre Partition:{ ---Existing file content, if any--- "Mds": { "Endpoint": "ec2messages-fips.region.amazonaws.com", }, "Ssm": { "Endpoint": "ssm-fips.region.amazonaws.com", }, "Mgs": { "Endpoint": "ssmmessages-fips.region.amazonaws.com", "Region": "region" }, "S3": { "Endpoint": "s3-fips.dualstack.region.amazonaws.com", "Region":region" }, "Kms": { "Endpoint": "kms-fips.region.amazonaws.com" } }Zu den unterstützten Regionen gehören die folgenden:
-
us-east-1für die Region USA Ost (Nord-Virginia) -
us-east-2für die Region USA Ost (Ohio) -
us-west-1für die Region USA West (Nordkalifornien) -
us-west-2für die Region USA West (Oregon) -
ca-west-1für die Region Kanada West (Calgary)
-
-
Speichern Sie die Datei und starten Sie SSM Agent.
Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.
Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter Definitionen von Konfigurationseigenschaftenamazon-ssm-agent Repository unter GitHub.
Weitere Informationen zur AWS Unterstützung von FIPS finden Sie unter Federal Information Processing Standard (FIPS)
Über das lokale ssm-user-Konto
Ab Version 2.3.50.0 von SSM Agent, erstellt der Agent ein lokales Benutzerkonto namens ssm-user und fügt es dem /etc/sudoers.d-Verzeichnis (Linux und macOS) bzw. der Administratorengruppe (Windows Server) hinzu. Auf Agenten-Versionen vor 2.3.612.0 wird das Konto beim ersten Start bzw. Neustart des SSM Agent nach der Installation erstellt. Auf Version 2.3.612.0 und höher wird das ssm-user-Konto beim ersten Start einer Sitzung auf einer Instance erstellt. Dieser ssm-user ist der standardmäßige OS-Benutzer, wenn eine Sitzung in Session Manager, einem Tool in AWS Systems Manager, startet. Sie können die Berechtigungen ändern, indem Sie ssm-user einer Gruppe mit weniger Berechtigungen hinzufügen oder die sudoers-Datei entsprechend ändern. Das ssm-user-Konto wird bei einer Deinstallation von SSM Agent nicht aus dem System entfernt.
Unter Windows Server legt der SSM Agent beim Start einer jeden Sitzung ein neues Passwort für das ssm-user-Konto fest. Auf Linux-verwalteten Instances werden keine Passwörter für ssm-user festgelegt.
Ab SSM Agent Version 2.3.612.0 wird das ssm-user-Konto nicht automatisch auf Windows Server-Maschinen erstellt, die als Domain-Controller verwendet werden. Um Session Manager auf einem Windows Server-Domain-Controller zu verwenden, erstellen Sie das ssm-user-Konto manuell, sofern es noch nicht vorhanden ist, und weisen dem Benutzer Domain-Administratorberechtigungen zu.
Wichtig
Damit das ssm-user-Konto erstellt werden kann, muss das Instance-Profil, das der Instance zugewiesen ist, über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager.
SSM Agent und die Instance Metadata Service (IMDS)
Systems Manager ist auf EC2 Instanzmetadaten angewiesen, um korrekt zu funktionieren. Systems Manager kann entweder über Version 1 oder Version 2 desInstance Metadata Service (IMDSv1 und IMDSv2) auf Instance-Metadaten zugreifen. Ihre Instanz muss auf die IPv4 Adresse des Instanz-Metadatendienstes zugreifen können: 169.254.169.254. Weitere Informationen finden Sie unter Instance-Metadaten und Benutzerdaten im EC2 Amazon-Benutzerhandbuch.
Behalten SSM Agent up-to-date
Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise
Anmerkung
Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise
Amazon Machine Images (AMIs), die standardmäßig SSM Agent enthalten, können bis zu zwei Wochen benötigen, bis ein aktualisiertes AMI mit der neuesten Version von SSM Agent veröffentlicht wird. Wir empfehlen, dass Sie sogar noch häufigere automatisierte Aktualisierungen für den SSM Agent konfigurieren
Sicherstellen, dass das SSM Agent-Installationsverzeichnis nicht geändert, verschoben oder gelöscht wird
SSM Agent ist unter /var/lib/amazon/ssm/ (Linux und macOS) und %PROGRAMFILES%\Amazon\SSM\ (Windows Server) installiert. Diese Installationsverzeichnisse enthalten wichtige Dateien und Ordner, die von SSM Agent verwendet werden, wie z. B. eine Anmeldeinformationsdatei, Ressourcen für die prozessübergreifende Kommunikation (IPC) und Orchestrierungsordner. Nichts im Installationsverzeichnis sollte geändert, verschoben oder gelöscht werden. Andernfalls funktioniert SSM Agent möglicherweise nicht mehr richtig.
SSM Agentfortlaufende Updates von AWS-Regionen
Nachdem ein SSM Agent Update in seinem GitHub Repository verfügbar gemacht wurde, kann es bis zu zwei Wochen dauern, bis die aktualisierte Version zu unterschiedlichen AWS-Regionen Zeiten für alle verfügbar ist. Aus diesem Grund erhalten Sie möglicherweise die Fehlermeldung „Auf der aktuellen Plattform nicht unterstützt“ oder „Aktualisierung amazon-ssm-agent auf eine ältere Version, bitte aktivieren Sie die Option Downgrade zulassen, um fortzufahren“, wenn Sie versuchen, eine neue Version von SSM Agent in einer Region bereitzustellen.
Um die für Sie verfügbare Version von SSM Agent zu ermitteln, können Sie einen curl-Befehl ausführen.
Um die im globalen Download-Bucket verfügbare Version des Agenten anzuzeigen, führen Sie den folgenden Befehl aus.
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION
Um die Version des Agenten anzuzeigen, die in einer bestimmten Region verfügbar ist, führen Sie den folgenden Befehl aus und ersetzen Sie ihn durch region die Region, in der Sie arbeiten, z. B. us-east-2 für die Region USA Ost (Ohio).
curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION
Sie können die VERSION-Datei auch direkt in Ihrem Browser ohne einen curl-Befehl öffnen.
SSM Agent-Kommunikationen mit AWS -verwalteten S3-Buckets
Bei der Ausführung verschiedener Systems Manager Manager-Operationen greift AWS Systems Manager Agent (SSM Agent) auf eine Reihe von Amazon Simple Storage Service (Amazon S3) -Buckets zu. Diese S3-Buckets sind öffentlich zugänglich und SSM Agent verbindet sich standardmäßig über HTTP-Aufrufe mit ihnen.
Wenn Sie jedoch einen Virtual Private Cloud (VPC) -Endpunkt in Ihren Systems Manager-Vorgängen verwenden, müssen Sie in einem Amazon Elastic Compute Cloud (Amazon EC2) -Instanzprofil für Systems Manager oder in einer Servicerolle für EC2 Nicht-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung eine ausdrückliche Genehmigung erteilen. Andernfalls haben Ihre Ressourcen keinen Zugriff auf diese öffentlichen Buckets.
Um Ihren verwalteten Knoten Zugriff auf diese Buckets zu gewähren, wenn Sie einen VPC-Endpunkt verwenden, erstellen Sie eine benutzerdefinierte Amazon S3 S3-Berechtigungsrichtlinie und fügen sie dann Ihrem Instance-Profil (für EC2 Instances) oder Ihrer Servicerolle (für nicht EC2 verwaltete Knoten) hinzu.
Informationen zur Verwendung eines VPC-Endpunkts (Virtual Private Cloud) in Ihren Systems Manager-Vorgängen finden Sie unter Verbessern der Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager.
Anmerkung
Diese Berechtigungen ermöglichen nur den Zugriff auf die AWS verwalteten Buckets, die für erforderlich sind. SSM Agent Sie erteilen nicht die erforderlichen Berechtigungen für andere Amazon S3-Operationen. Außerdem gewähren sie auch keine Berechtigung für Ihren eigenen S3-Buckets.
Weitere Informationen finden Sie unter den folgenden Themen:
Inhalt
Erforderliche Bucket-Berechtigungen
In der folgenden Tabelle werden die einzelnen S3-Buckets beschrieben, auf die SSM Agent möglicherweise für Systems Manager-Operationen zugreifen muss.
Anmerkung
regionsteht für den Bezeichner einer Region AWS Systems Manager, die von AWS-Region unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten region Werte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.
Von SSM Agent erforderte Amazon S3-Berechtigungen
| S3 Bucket-ARN | Description |
|---|---|
|
|
Erforderlich für einige SSM-Dokumente, die nur Windows Server-Betriebssysteme unterstützen, sowie einige für plattformübergreifende Unterstützung, wie |
|
|
Erforderlich zum Aktualisieren von SSM Agent-Installationen. Diese Buckets enthalten die SSM Agent-Installationspakete und die Installationsmanifeste, auf die in dem AWS-UpdateSSMAgent-Dokument und Plugin verwiesen wird. Wenn diese Berechtigungen nicht bereitgestellt werden, führt der SSM Agent einen HTTP-Aufruf zum Herunterladen des Updates durch. |
arn:aws:s3:::aws-ssm- |
Bietet Zugriff auf den S3-Bucket, der die für die Verwendung mit Systems-Manager-Dokumenten (SSM-Befehlsdokumenten) erforderlich ist, einschließlich Vorgängen mit und ohne Patching. Beispiel: arn:aws:s3:::aws-ssm-us-east-2/*.
Im Folgenden finden Sie einige häufig verwendete SSM-Dokumente, die Module aus diesen Buckets verwenden.
|
|
–oder–
|
Bietet Zugriff auf den S3-Bucket, der Patch-Baseline-Snapshots enthält. Dies ist erforderlich, wenn Sie eines der folgenden SSM-Befehlsdokumente verwenden:
Die am häufigsten unterstützten Buckets AWS-Regionen verwenden das folgende Format:
Für einige Regionen ist ein zusätzliches eindeutiges Suffix im Bucket-Namen enthalten. Der Bucket-Name für die Region Naher Osten (Bahrain) (me-south-1) lautet beispielsweise wie folgt:
Eine vollständige Liste der Bucket-Namen für Patch-Baseline-Snapshots finden Sie unter Buckets mit verwalteten Patch-Baseline-Snapshots AWS. AnmerkungWenn Sie eine On-Premises-Firewall verwenden und Patch Manager nutzen möchten, muss diese Firewall auch den Zugriff auf den geeigneten Patch-Baseline-Endpunkt zulassen. |
|
Für von Linux und Windows Server verwaltete Knoten: Für EC2 Amazon-Instances fürmacOS: |
Bietet Zugriff auf den S3-Bucket, der Module enthält, die von SSM-Befehlsdokumenten für Patchingvorgänge in Patch Manager verwendet werden. Jeder Bucket-Name enthält ein eindeutiges Suffix, z. B.
SSM-DokumenteIm Folgenden finden Sie einige häufig verwendete SSM-Dokumente, die Module aus diesen Buckets verwenden.
Vollständige Listen der AWS verwalteten S3-Buckets für Patch-Operationen finden Sie in den folgenden Themen: |
Beispiel
Das folgende Beispiel veranschaulicht, wie Zugriff auf die S3-Buckets erteilt wird, die in der Region USA Ost (Ohio) (us-east-2) für Systems Manager-Operationen benötigt werden. In den meisten Fällen müssen Sie diese Berechtigungen explizit in einem Instance-Profil oder einer Servicerolle nur dann bereitstellen, wenn Sie einen VPC Endpunkt verwenden.
Wichtig
Wir empfehlen, dass Sie keine Platzhalterzeichen (*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise arn:aws:s3:::aws-ssm-us-east-2/* und nicht arn:aws:s3:::aws-ssm-*/*. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie das Instance-Profil für mehr als eine Region verwenden möchten, empfehlen wir, den ersten Statement-Block für jede Region zu wiederholen.
Validierung von hybrid-aktivierten Maschinen mit einem Hardware-Fingerabdruck
SSM AgentErfasst bei EC2 Nichtcomputern in einer Hybrid- und Multi-Cloud-Umgebung eine Reihe von Systemattributen (wird als Hardware-Hash bezeichnet) und verwendet diese Attribute, um einen Fingerabdruck zu berechnen. Der Fingerabdruck ist eine undurchsichtige Zeichenfolge, die der Agent an einen bestimmten Systems Manager APIs weitergibt. Dieser eindeutige Fingerabdruck ordnet den Abrufer einem bestimmten hybrid-aktivierten verwalteten Knoten zu. Der Agent speichert den Fingerabdruck und den Hardware-Hash auf der lokalen Festplatte an einem Speicherort namens Vault.
Der Agent berechnet den Hardware-Hash und den Fingerabdruck, wenn die Maschine für die Verwendung mit Systems Manager registriert wird. Anschließend wird der Fingerabdruck an den Systems Manager-Service zurückgegeben, wenn der Agent einen RegisterManagedInstance-Befehl sendet.
Später, wenn ein RequestManagedInstanceRoleToken-Befehl gesendet wird, überprüft der Agent den Fingerabdruck und den Hardware-Hash im Vault, um sicherzustellen, dass die aktuellen Computerattribute mit dem gespeicherten Hardware-Hash übereinstimmen. Wenn die aktuellen Computerattribute mit dem im Vault gespeicherten Hardware-Hash übereinstimmen, übergibt der Agent den Fingerabdruck aus dem Vault an RegisterManagedInstance, was zu einem erfolgreichen Aufruf führt.
Wenn die aktuellen Computerattribute nicht mit dem gespeicherten Hardware-Hash übereinstimmen, berechnet SSM Agent einen neuen Fingerabdruck, speichert den neuen Hardware-Hash und Fingerabdruck im Vault und übergibt den neuen Fingerabdruck an RequestManagedInstanceRoleToken. Dadurch schlägt RequestManagedInstanceRoleToken fehl und der Agent kann kein Rollen-Token für die Verbindung mit dem Systems Manager-Service abrufen.
Dieser Fehler ist vorgesehen und wird als Verifizierungsschritt verwendet, um zu verhindern, dass mehrere verwaltete Knoten als derselbe verwaltete Knoten mit dem Systems-Manager-Service kommunizieren.
Beim Vergleich der aktuellen Computerattribute mit dem im Vault gespeicherten Hardware-Hash verwendet der Agent die folgende Logik, um festzustellen, ob die alten und neuen Hashes übereinstimmen:
-
Wenn die SID (System/Maschinen-ID) anders ist, gibt es keine Übereinstimmung.
-
Wenn die IP-Adresse identisch ist, gibt es eine Übereinstimmung.
-
Andernfalls wird der Prozentsatz der übereinstimmenden Computerattribute berechnet und mit dem vom Benutzer konfigurierten Ähnlichkeitsschwellenwert verglichen, um festzustellen, ob eine Übereinstimmung vorliegt.
Der Ähnlichkeitsschwellenwert wird im Vault als Teil des Hardware-Hash gespeichert.
Der Ähnlichkeitsschwellenwert kann festgelegt werden, nachdem eine Instance mit einem Befehl wie dem folgenden registriert wurde.
Auf Linux-Maschinen:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Auf Windows Server Maschinen, die Folgendes verwenden PowerShell:
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Wichtig
Wenn sich eine der Komponenten zur Berechnung des Fingerprints ändert, kann dies dazu führen, dass der Agent in den Ruhezustand versetzt wird. Um diesen Ruhezustand zu vermeiden, setzen Sie den Ähnlichkeitsschwellenwert auf einen niedrigen Wert, z.B. 1. Weitere Informationen zum Ruhezustand finden Sie unter Grundlegendes zum SSM Agent-Ruhezustand.
SSM Agent auf GitHub
Der Quellcode für SSM Agent ist in GitHub
Grundlegendes zum SSM Agent-Ruhezustand
AWS Systems Manager Der Ruhezustand von Agent (SSM Agent) ist ein Betriebsmodus, der auftritt, wenn der Agent nicht ordnungsgemäß mit dem Systems Manager Manager-Dienst kommunizieren kann. Während des Ruhezustands reduziert der Agent seine Kommunikationshäufigkeit und wechselt in einen Bereitschaftszustand.
Wenn der SSM Agent-Ruhezustand eintritt
Der SSM Agent-Ruhezustand kann in folgenden Szenarien auftreten:
- Abgemeldete Hybridknoten
-
Wenn Sie einen hybridaktivierten Knoten bei Systems Manager abmelden, kann der SSM Agent auf diesem Knoten sein Autorisierungstoken nicht aktualisieren. Dadurch wechselt der Agent in den Ruhezustand, da er sich beim Service nicht authentifizieren kann.
- Änderungen am Hardware-Fingerabdruck
-
SSM Agent verwendet einen Hardware-Fingerabdruck zur Validierung von hybrid-aktivierten Maschinen. Wenn sich eine der Komponenten zur Berechnung des Fingerabdrucks erheblich ändert, kann dies dazu führen, dass der Agent aus Sicherheitsgründen in den Ruhezustand versetzt wird. Diese Aktion ist vorgesehen, um zu verhindern, dass mehrere verwaltete Knoten als derselbe Knoten mit dem Systems-Manager kommunizieren. Weitere Informationen finden Sie unter Validierung von hybrid-aktivierten Maschinen mit einem Hardware-Fingerabdruck.
- SSM AgentRuhezustand auf Amazon-Instances EC2
-
Unter bestimmten Bedingungen kann es auch bei EC2 Amazon-Instances zu einem Ruhezustand kommen, z. B. wenn Verbindungsprobleme oder Authentifizierungsprobleme mit dem Systems Manager Manager-Service auftreten.
Kommunikationsverhalten im Ruhezustand
Wenn SSM Agent in den Ruhezustand eintritt, ändert sich das Kommunikationsmuster mit dem Systems-Manager-Service:
-
Normaler Betrieb: Der Agent kommuniziert regelmäßig (normalerweise alle paar Minuten) mit Systems Manager, um nach neuen Befehlen zu suchen und den Status zu melden.
-
Ruhezustand: Die Ping-Frequenz beginnt bei 5 Minuten und wird standardmäßig schrittweise auf einmal pro Stunde erhöht (konfigurierbar bis zu 24 Stunden). Diese reduzierte Kommunikationsfrequenz trägt dazu bei, unnötigen Netzwerkverkehr zu minimieren, und ermöglicht es dem Agenten dennoch, sich möglicherweise zu erholen, wenn sich die Bedingungen ändern.
Während des Ruhezustands nimmt der Agent weiterhin Authentifizierungs- und Verbindungsversuche mit der reduzierten Häufigkeit vor, kann jedoch keine neuen Befehle verarbeiten oder detaillierte Statusinformationen melden, bis der Ruhezustand behoben ist.
Konfigurationsoptionen zur Verhinderung des Ruhezustands in Hybrid-Instances
Die primäre Konfigurationsoption zur Verhinderung des Ruhezustands aufgrund von Änderungen am Hardware-Fingerabdruck ist die Anpassung des Ähnlichkeitsschwellenwerts:
Auf Linux-Maschinen:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Auf Windows Server-Computern mit: PowerShell
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Der Ähnlichkeitsschwellenwert bestimmt, wie genau der Agent die aktuellen Maschinenattribute mit dem gespeicherten Hardware-Hash vergleicht:
-
Höhere Werte erfordern mehr passende Attribute
-
Niedrigere Werte (wie
1) sind weniger streng und können dazu beitragen, den Ruhezustand zu vermeiden, der durch geringfügige Hardwareänderungen verursacht wird
Protokollierung und Überwachung des Ruhezustands
Wenn SSM Agent in den Ruhezustand eintritt, werden Protokolleinträge erstellt, anhand derer Sie den Ruhezustand identifizieren und beheben können:
-
Agent-Protokolldateien: Ruhezustandsereignisse werden in den Standard-SSM Agent-Protokolldateien protokolliert. Weitere Informationen zu den Protokoll-Speicherorten finden Sie unter Probleme mithilfe von SSM Agent-Protokolldateien beheben.
-
EC2 Amazon-Konsolenprotokollierung: Für EC2 Instances werden Ruhezustandsmeldungen jetzt in den Systemprotokollen der EC2 Amazon-Konsole protokolliert, was zusätzliche Einblicke in den Agentenstatus bietet. Um auf die Protokolle zuzugreifen, wählen Sie die Instance in der EC2 Konsole aus und klicken Sie dann auf Aktionen, Überwachung und Fehlerbehebung, Systemprotokoll abrufen.
-
Spezifische Protokolldateien: Wenn der Ruhezustand beginnt, werden spezielle Protokolldateien erstellt, die detaillierte Informationen über den Auslöser und den Status des Ruhezustands enthalten.
Überwachen Sie diese Protokollquellen, um Ereignisse im Ruhezustand frühzeitig zu erkennen und Korrekturmaßnahmen zu ergreifen, um den normalen Agentbetrieb wiederherzustellen.
Erholung aus dem Ruhezustand
Um sich aus dem Ruhezustand zu erholen, beheben Sie die zugrunde liegende Ursache:
-
Für abgemeldete Hybridknoten: Registrieren Sie den Knoten erneut bei Systems Manager mit einem neuen Aktivierungscode und einer neuen ID, wie unter Abmelden und Neuregistrieren eines verwalteten Knotens (Linux) und Abmelden und Neuregistrieren eines verwalteten Knotens (Windows Server) beschrieben.
-
Bei Problemen mit dem Hardware-Fingerabdruck: Passen Sie den Ähnlichkeitsschwellenwert wie oben unter Konfigurationsoptionen, um den Ruhezustand in Hybrid-Instances zu verhindern beschrieben, oder registrieren Sie den Knoten erneut, wenn wesentliche Änderungen an der Hardware vorgenommen wurden.
-
Bei Verbindungsproblemen: Überprüfen Sie die Netzwerkkonnektivität und stellen Sie sicher, dass auf die erforderlichen Endpunkte zugegriffen werden kann. Weitere Informationen finden Sie unter Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli.
Nachdem Sie das zugrundeliegende Problem behoben haben, sollte der Agent den Ruhezustand automatisch beenden und den normalen Betrieb beim nächsten Kommunikationsversuch wieder aufnehmen.
