Gestion automatique des instances EC2 avec la configuration par défaut de la gestion des hôtes - AWS Systems Manager
PrérequisActivation du paramètre Configuration par défaut de la gestion des hôtesDésactivation du paramètre Configuration par défaut de la gestion des hôtesExemples de politique du moindre privilège pour la configuration de gestion des hôtes par défaut

Gestion automatique des instances EC2 avec la configuration par défaut de la gestion des hôtes

Le paramètre Configuration de gestion des hôtes par défaut permet à AWS Systems Manager de gérer automatiquement vos instances Amazon EC2 comme instances gérées. Une instance gérée est une instance EC2 configurée pour une utilisation avec Systems Manager.

Les avantages de la gestion de vos instances avec Systems Manager sont les suivants :

  • Connectez-vous à vos instances EC2 en toute sécurité à l'aide de Session Manager.

  • Effectuez des analyses de correctifs automatisées à l'aide de Patch Manager.

  • Consultez les informations détaillées sur vos instances à l'aide de Systems Manager Inventory.

  • Suivez et gérez les instances à l'aide de Fleet Manager.

  • Maintenez l'SSM Agent à jour automatiquement.

Fleet Manager, Inventory, Patch Manager et Session Manager sont des outils de Systems Manager.

La configuration de gestion des hôtes par défaut vous permet de gérer les instances EC2 sans avoir à créer manuellement un profil d’instance AWS Identity and Access Management (IAM). Au lieu de cela, la configuration de gestion des hôtes par défaut crée et applique un rôle IAM par défaut afin de garantir que Systems Manager dispose des autorisations nécessaires pour gérer toutes les instances du Compte AWS et de la Région AWS où il est activé.

Si les autorisations fournies ne sont pas suffisantes pour votre cas d'utilisation, vous pouvez également ajouter des politiques au rôle IAM par défaut créé par la configuration de gestion des hôtes par défaut. Sinon, si vous n'avez pas besoin d'autorisations pour toutes les fonctionnalités fournies par le rôle IAM par défaut, vous pouvez créer vos propres rôles et politiques personnalisés. Toutes les modifications apportées au rôle IAM que vous choisissez pour la configuration de gestion des hôtes par défaut s'appliquent à toutes les instances Amazon EC2 gérées dans la région et le compte.

Pour plus d'informations sur la politique utilisée par la Configuration de gestion des hôtes par défaut, consultez Politique gérée par AWS : AmazonSSMManagedEC2InstanceDefaultPolicy.

Implémentation d’un accès sur la base du moindre privilège

Les procédures de la présente rubrique sont destinées à être exécutées uniquement par les administrateurs. Par conséquent, nous recommandons d'implémenter l'accès avec le moindre privilège afin d'empêcher les utilisateurs non administrateurs de configurer ou de modifier la configuration de gestion des hôtes par défaut. Pour consulter des exemples de politiques qui limitent l'accès à la configuration de gestion des hôtes par défaut, voir Exemples de politique du moindre privilège pour la configuration de gestion des hôtes par défaut plus loin dans cette rubrique.

Important

Les informations d’enregistrement des instances enregistrées à l’aide de la configuration par défaut de la gestion des hôtes sont stockées localement dans les répertoires var/lib/amazon/ssm ou C:\ProgramData\Amazon. La suppression de ces répertoires ou de leurs fichiers empêchera l'instance d'acquérir les informations d'identification nécessaires pour se connecter à Systems Manager à l'aide de la configuration de gestion des hôtes par défaut. Dans ces cas, vous devez utiliser un profil d’instance IAM pour fournir les autorisations requises à votre instance, ou recréer l’instance.

Prérequis

Pour utiliser la configuration de gestion des hôtes par défaut dans Région AWS et Compte AWS là où vous activez le paramètre, les exigences suivantes doivent être satisfaites.

  • Une instance à gérer doit utiliser le service des métadonnées d'instance version 2 (IMDSv2).

    La configuration de gestion des hôtes par défaut ne prend pas en charge du Service des métadonnées d'instance Version 1. Pour plus d’informations sur la transition vers IMDSv2, consultez la section Transition to using Instance Metadata Service Version 2 du Guide de l’utilisateur Amazon EC2

  • SSM Agent version 3.2.582.0 ou une version ultérieure doit être installé sur l'instance à gérer.

    Pour plus d'informations sur la vérification de la version de l'SSM Agent installée sur votre instance, consultez Vérification du numéro de version de l'SSM Agent.

    Pour plus d'informations sur la mise à jour de l'SSM Agent, veuillez consulter la rubrique Mise à jour automatique de l'SSM Agent.

  • En tant qu'administrateur effectuant les tâches décrites dans cette rubrique, vous devez disposer d'autorisations pour les opérations d'API GetServiceSetting, ResetServicesetting et UpdateServiceSetting. En outre, vous devez disposer des autorisations nécessaires pour l'autorisation iam:PassRole du rôle IAM AWSSystemsManagerDefaultEC2InstanceManagementRole. Voici un exemple de politique fournissant ces autorisations. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  • Si un profil d'instance IAM est déjà attaché à une instance EC2 à gérer à l'aide de Systems Manager, vous devez supprimer toutes les autorisations qui permettent l'opération ssm:UpdateInstanceInformation. Le SSM Agent tente d'utiliser les autorisations du profil d'instance avant d'utiliser les autorisations de la Configuration de gestion des hôtes par défaut. Si vous autorisez l'opération ssm:UpdateInstanceInformation dans votre propre profil d'instance IAM, l'instance n'utilisera pas les autorisations de configuration de gestion des hôtes par défaut.

Activation du paramètre Configuration par défaut de la gestion des hôtes

Vous pouvez activer le paramètre Configuration par défaut de la gestion des hôtes depuis la console Fleet Manager ou en utilisant les répertoires AWS Command Line Interface ou AWS Tools for Windows PowerShell.

Vous devez activer la Configuration par défaut de la gestion des hôtes une par une dans chaque région où vous voulez que vos instances Amazon EC2 soient gérées par ce paramètre.

Après avoir activé la Configuration par défaut de la gestion des hôtes, il peut s’écouler jusqu’à 30 minutes avant que vos instances utilisent les informations d’identification du rôle que vous avez choisi à l’étape 5 de la procédure suivante.

Pour activer la configuration de gestion des hôtes par défaut (console)

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Fleet Manager.

  3. Choisissez Gestion de compte, Configuration de la gestion des hôtes par défaut.

  4. Activez l'option Activer la configuration de gestion des hôtes par défaut.

  5. Choisissez le rôle AWS Identity and Access Management (IAM) utilisé pour activer les outils de Systems Manager pour vos instances. Nous vous recommandons d'utiliser le rôle par défaut dans Configuration de gestion des hôtes par défaut. Il contient l'ensemble des autorisations minimum pour gérer vos instances Amazon EC2 à l'aide de Systems Manager. Si vous préférez utiliser un rôle personnalisé, la politique de confiance du rôle doit autoriser Systems Manager en tant qu'entité de confiance.

  6. Choisissez Configurer pour terminer la configuration.

Pour activer la configuration de gestion des hôtes par défaut (ligne de commande)

  1. Créez un fichier JSON sur votre machine locale, contenant la politique de relation de confiance.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
                "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
        }
    ]
}

  2. Ouvrez AWS CLI ou Tools for Windows PowerShell et exécutez l'une des commandes suivantes, en fonction du type de système d'exploitation de votre ordinateur local, pour créer un rôle de service dans votre compte. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
    Windows
    aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
    PowerShell
    New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"

  3. Exécutez la commande suivante pour attacher la politique gérée AmazonSSMManagedEC2InstanceDefaultPolicy au rôle que vous venez de créer. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"

  4. Ouvrez l’AWS CLI ou Tools for Windows PowerShell et exécutez la commande suivante. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    Windows
    aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
    PowerShell
    Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"

    Il n'y a pas de sortie si la commande réussit.

  5. Exécutez la commande suivante pour afficher les paramètres de service actuels pour la la Configuration de gestion des hôtes par défaut dans le Compte AWS et la Région AWS actuels.

    Linux & macOS
    aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

    La commande renvoie des informations telles que les suivantes.

    {
    "ServiceSetting": {
        "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
        "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
        "LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
        "LastModifiedUser": "System",
        "ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
        "Status": "Custom"
    }
}

Désactivation du paramètre Configuration par défaut de la gestion des hôtes

Vous pouvez désactiver la configuration par défaut de la gestion des hôtes depuis la console Fleet Manager ou à l’aide de l’AWS Command Line Interface ou AWS Tools for Windows PowerShell.

Vous devez désactiver le paramètre Configuration par défaut de la gestion d’hôte une par une dans chaque région où vous ne voulez plus que vos instances Amazon EC2 soient gérées par cette configuration. Le désactiver dans une région ne le désactive pas dans toutes les régions.

Si vous désactivez la configuration de gestion des hôtes par défaut et que vous n'avez pas associé de profil d'instance à vos instances Amazon EC2 autorisant l'accès à Systems Manager, celles-ci ne seront plus gérées par Systems Manager.

Pour désactiver la configuration de gestion des hôtes par défaut (console)

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Fleet Manager.

  3. Choisissez Gestion de compte, Configuration de la gestion des hôtes par défaut.

  4. Désactivez l'option Activer la Configuration de gestion des hôtes par défaut.

  5. Choisissez Configurer pour désactiver la Configuration de gestion des hôtes par défaut.

Pour désactiver la configuration de gestion des hôtes par défaut (ligne de commande)

  • Ouvrez l’AWS CLI ou Tools for Windows PowerShell et exécutez la commande suivante. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    Windows
    aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
    PowerShell
    Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"

Exemples de politique du moindre privilège pour la configuration de gestion des hôtes par défaut

Les exemples de politiques suivants montrent comment empêcher les membres de votre organisation d'apporter des modifications au paramètre de configuration de gestion des hôtes par défaut dans votre compte.

Politique de contrôle des services pour AWS Organizations

La politique suivante explique comment empêcher les membres non administrateurs de votre AWS Organizations de mettre à jour votre paramètre de configuration de gestion d'hôte par défaut. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                },
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole"
            ],
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "aws:PrincipalTag/job-function": [
                        "administrator"
                    ]
                }
            }
        }
    ]
}

Politique pour les principaux IAM

La politique suivante explique comment empêcher les groupes, rôles ou utilisateurs IAM de votre AWS Organizations de mettre à jour votre paramètre de configuration de gestion d'hôte par défaut. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ssm:UpdateServiceSetting",
                "ssm:ResetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Deny",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
        }
    ]
}