Installer SSM Agent sur les nœuds Linux hybrides - AWS Systems Manager
Configuration de la rotation automatique de la clé privéeDésenregistrer et réenregistrer un nœud géré (Linux)Résolution des problèmes SSM Agent d'installation sur des machines EC2 autres que Linux

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Installer SSM Agent sur les nœuds Linux hybrides

Cette rubrique décrit comment procéder à l'installation AWS Systems Manager SSM Agent sur des machines EC2 autres que Linux (Amazon Elastic Compute Cloud) dans un environnement hybride et multicloud. Pour plus d'informations SSM Agent sur l'installation sur des EC2 instances pour Linux, consultezInstallation et désinstallation manuelles SSM Agent sur les EC2 instances pour Linux.

Avant de commencer, recherchez le code d’activation et l’ID d’activation qui ont été générés au cours du processus d’activation hybride, comme décrit dans Créer une activation hybride pour enregistrer des nœuds avec Systems Manager. Vous indiquez le code et l'ID dans la procédure suivante.

À installer SSM Agent sur des machines autres que EC2 des machines dans un environnement hybride et multicloud

  1. Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.

  2. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d'environnement http_proxy ou https_proxy dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.

    Pour un serveur proxy HTTP, saisissez les commandes suivantes sur la ligne de commande :

    export http_proxy=http://hostname:port
export https_proxy=http://hostname:port

    Pour un serveur proxy HTTPS, saisissez les commandes suivantes sur la ligne de commande :

    export http_proxy=http://hostname:port
export https_proxy=https://hostname:port

  3. Copiez et collez l'un des blocs de commande suivants dans SSH. Remplacez les valeurs d'espace réservé par le code d'activation et l'identifiant d'activation générés lors du processus d'activation hybride et par l'identifiant du fichier à SSM Agent partir Région AWS duquel vous souhaitez effectuer le téléchargement, puis appuyez surEnter.

    Important

    Prenez note des informations importantes suivantes :

    • L'utilisation ssm-setup-cli pour EC2 des installations non installées maximise la sécurité de votre installation et de votre configuration de Systems Manager.

    • sudo n'est pas nécessaire si vous êtes un utilisateur racine.

    • Téléchargez ssm-setup-cli à partir de Région AWS l'endroit où votre activation hybride a été créée.

    • ssm-setup-cli prend en charge une option manifest-url qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige.

    • Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour ssm-setup-cli. ssm-setup-cli ne doit pas être stocké séparément pour une utilisation ultérieure.

    • Vous pouvez utiliser le script fourni ici pour valider la signature de ssm-setup-cli.

    regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    De plus, ssm-setup-cli inclut les options suivantes :

    • version : les valeurs valides sont latest et stable.

    • downgrade : permet de rétrograder SSM Agent à une version antérieure. Spécifiez true pour installer une version antérieure de l’agent.

    • skip-signature-validation : ignore la validation de signature lors du téléchargement et de l’installation de l’agent.

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Utilisation de packages .deb

    mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Utilisation de packages Snap

    Vous n'avez pas besoin de spécifier une URL pour le téléchargement, car la commande snap télécharge automatiquement l'agent à partir de la boutique d'applications Snap à l'adresse https://snapcraft.io.

    Sur Ubuntu Server 20.04, 18.04 et 16.04 LTS, les fichiers du programme d’installation SSM Agent, y compris les fichiers binaires et les fichiers de configuration de l’agent, sont stockés dans le répertoire suivant : /snap/amazon-ssm-agent/current/. Si vous apportez des modifications aux fichiers de configuration de ce répertoire, vous devez copier ces fichiers du répertoire /snap vers le répertoire /etc/amazon/ssm/. Les fichiers journaux et de bibliothèque n'ont pas changé (/var/lib/amazon/ssm, /var/log/amazon/ssm).

    sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" 
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
    Important

    Le canal candidat dans le magasin de Snaps contient la dernière version de l'SSM Agent ; pas le canal stable. Si vous souhaitez suivre les informations de version de SSM Agent sur le canal candidat, exécutez la commande suivante sur vos nœuds gérés 64 bits Ubuntu Server 18.04 et 16.04 LTS.

    sudo snap switch --channel=candidate amazon-ssm-agent

La commande télécharge et installe SSM Agent sur la machine activée par un système hybride dans votre environnement hybride et multicloud. La commande arrête SSM Agent, puis enregistre la machine auprès du service Systems Manager. La machine est désormais un nœud géré. EC2 Les instances Amazon configurées pour Systems Manager sont également des nœuds gérés. Dans la console Systems Manager, toutefois, vos nœuds activés de manière hybride sont distingués des EC2 instances Amazon par le préfixe « mi- ».

Passez au Installer SSM Agent sur les nœuds hybrides Windows Server.

Configuration de la rotation automatique de la clé privée

Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour qu'il fasse automatiquement pivoter la clé privée pour votre environnement hybride et multicloud. Vous pouvez accéder à cette fonction en utilisant la version 3.0.1031.0 ou ultérieure de l'SSM Agent. Procédez comme suit pour activer cette fonction.

Pour configurer SSM Agent de sorte à effectuer une rotation de la clé privée d'un environnement hybride et multicloud

  1. Accédez à /etc/amazon/ssm/ sur une machine Linux ou à C:\Program Files\Amazon\SSM sur une machine Windows.

  2. Copiez le contenu de amazon-ssm-agent.json.template vers un nouveau fichier appelé amazon-ssm-agent.json. Enregistrez amazon-ssm-agent.json dans le même répertoire que amazon-ssm-agent.json.template.

  3. Recherchez Profile, KeyAutoRotateDays. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée.

  4. Redémarrez SSM Agent.

Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.

Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configuration.

Désenregistrer et réenregistrer un nœud géré (Linux)

Vous pouvez annuler l'enregistrement d'un nœud géré activé de manière hybride en appelant l'opération DeregisterManagedInstanceAPI depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de commande de l'interface de ligne de commande :

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé IdentityConsumptionOrder du fichier amazon-ssm-agent.json. Ensuite, exécutez l’une des commandes suivantes selon votre type d’instance.

Sur les nœuds Ubuntu Server où SSM Agent a été installé à l’aide de packages Snap :

sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear

Pour toutes les autres installations Linux :

amazon-ssm-agent -register -clear
Note

Vous pouvez réenregistrer un serveur local, un appareil de périphérie ou une machine virtuelle en utilisant le même code d’activation et le même ID, tant que vous n’avez pas atteint la limite d’instances pour le code et l’ID d’activation désignés. Vous pouvez vérifier la limite d’instances pour un code et un ID d’activation en appelant l’API describe-activations à l’aide d’ AWS CLI. Après avoir exécuté la commande, vérifiez que la valeur de RegistrationCount ne dépasse pas RegistrationLimit. Si c’est le cas, vous devez utiliser un ID et un code d’activation différents.

Pour réenregistrer un nœud géré sur une machine autre que Linux EC2

  1. Connectez-vous à votre machine.

  2. Exécutez la commande suivante. Veillez à remplacer les valeurs d’espace réservé par le code d’activation et l’ID d’activation générés lors de la création d’une activation de nœuds gérés, et par l’identifiant de la région depuis laquelle vous souhaitez télécharger SSM Agent.

    echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region

Résolution des problèmes SSM Agent d'installation sur des machines EC2 autres que Linux

Utilisez les informations suivantes pour résoudre les problèmes liés à l'installation de SSM Agent sur des machines Linux activées par un système hybride dans un environnement hybride et multicloud.

Vous recevez un DeliveryTimedOut message d'erreur

Problème : lors de la configuration d'une machine en Compte AWS tant que nœud géré pour une machine séparée Compte AWS, vous recevez DeliveryTimedOut après avoir exécuté les commandes d'installation SSM Agent sur la machine cible.

Solution : DeliveryTimedOut est le code de réponse attendu pour ce scénario. La commande pour installer l'SSM Agent sur le nœud cible modifie l'ID de nœud du nœud source. Comme l'ID de nœud a changé, le nœud source n'est pas en mesure de répondre au nœud cible que la commande a échoué, s'est terminée ou a expiré lors de l'exécution.

Impossible de charger les associations de nœuds

Problème : après avoir exécuté les commandes d'installation, l'erreur suivante s'affiche dans les journaux d'erreurs de l'SSM Agent :

Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match

Cette erreur s'affiche lorsque l'ID de la machine ne reste pas après un redémarrage.

Solution : pour résoudre ce problème, exécutez la commande suivante. Cette commande force l'ID de la machine à rester après un redémarrage.

umount /etc/machine-id
systemd-machine-id-setup