Installer SSM Agent sur les nœuds hybrides Windows Server - AWS Systems Manager
Configuration de la rotation automatique de la clé privéeDésenregistrer et réenregistrer un nœud géré (Windows Server)

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Installer SSM Agent sur les nœuds hybrides Windows Server

Cette rubrique décrit comment procéder à l'installation AWS Systems Manager SSM Agent sur Windows Server des machines dans un environnement hybride et multicloud. Pour plus d'informations sur l'installation SSM Agent sur les EC2 instances deWindows Server, consultezInstallation et désinstallation manuelles SSM Agent sur les EC2 instances de Windows Server.

Avant de commencer, recherchez le code d’activation et l’ID d’activation qui ont été générés au cours du processus d’activation hybride, comme décrit dans Créer une activation hybride pour enregistrer des nœuds avec Systems Manager. Vous indiquez le code et l'ID dans la procédure suivante.

À installer SSM Agent sur des machines autres que EC2 Windows Server des machines dans un environnement hybride et multicloud

  1. Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.

  2. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d'environnement http_proxy ou https_proxy dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.

    Pour un serveur proxy HTTP, définissez cette variable :

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    Pour un serveur proxy HTTPS, définissez cette variable :

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

    Pour PowerShell, configurez les paramètres du INet proxy Win :

    [System.Net.WebRequest]::DefaultWebProxy

$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)

[System.Net.WebRequest]::DefaultWebProxy = $WebProxy
    Note

    La configuration INet du proxy Win est requise pour les PowerShell opérations. Pour de plus amples informations, veuillez consulter Paramètres de proxy de l'SSM Agent et services Systems Manager.

  3. Ouvrez Windows PowerShell en mode élevé (administratif).

  4. Copiez et collez le bloc de commande suivant dans les Windows PowerShell. Remplacez chaque example resource placeholder par vos propres informations. Par exemple, le code d'activation et l'identifiant d'activation générés lorsque vous créez une activation hybride, et avec l'identifiant du fichier à SSM Agent partir Région AWS duquel vous souhaitez effectuer le téléchargement.

    Important

    Prenez note des informations importantes suivantes :

    • L'utilisation ssm-setup-cli pour EC2 des installations non installées maximise la sécurité de votre installation et de votre configuration de Systems Manager.

    • ssm-setup-cli prend en charge une option manifest-url qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige.

    • Vous pouvez utiliser le script fourni ici pour valider la signature de ssm-setup-cli.

    • Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour ssm-setup-cli. ssm-setup-cli ne doit pas être stocké séparément pour une utilisation ultérieure.

    regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    De plus, ssm-setup-cli inclut les options suivantes :

    • version : les valeurs valides sont latest et stable.

    • downgrade : rétablit une version antérieure de l’agent.

    • skip-signature-validation : ignore la validation de signature lors du téléchargement et de l’installation de l’agent.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Appuyez sur Enter.

Note

Si la commande échoue, vérifiez que vous exécutez la dernière version d’ Outils AWS pour PowerShell.

La commande exécute les opérations suivantes :

  • Télécharge et installe SSM Agent sur la machine.

  • Enregistre la machine avec le service Systems Manager.

  • Renvoie à la demande une réponse semblable à ce qui suit :

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

La machine est désormais un nœud géré. Ces nœuds gérés sont à présent identifiés avec le préfixe « mi- ». Vous pouvez afficher les nœuds gérés sur la page des nœuds gérés dansFleet Manager, à l'aide de la AWS CLI commande describe-instance-informationou de la commande API DescribeInstanceInformation.

Configuration de la rotation automatique de la clé privée

Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour qu'il fasse automatiquement pivoter la clé privée dans un environnement hybride et multicloud. Vous pouvez accéder à cette fonction en utilisant la version 3.0.1031.0 ou ultérieure de l'SSM Agent. Procédez comme suit pour activer cette fonction.

Pour configurer SSM Agent de sorte à effectuer une rotation de la clé privée d'un environnement hybride et multicloud

  1. Accédez à /etc/amazon/ssm/ sur une machine Linux ou à C:\Program Files\Amazon\SSM sur une machine Windows Server.

  2. Copiez le contenu de amazon-ssm-agent.json.template vers un nouveau fichier appelé amazon-ssm-agent.json. Enregistrez amazon-ssm-agent.json dans le même répertoire que amazon-ssm-agent.json.template.

  3. Recherchez Profile, KeyAutoRotateDays. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée.

  4. Redémarrez SSM Agent.

Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.

Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configuration.

Désenregistrer et réenregistrer un nœud géré (Windows Server)

Vous pouvez annuler l'enregistrement d'un nœud géré en appelant l'opération DeregisterManagedInstanceAPI depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de commande de l'interface de ligne de commande :

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé IdentityConsumptionOrder du fichier amazon-ssm-agent.json. Ensuite, exécutez la commande suivante :

amazon-ssm-agent -register -clear

Note

Vous pouvez réenregistrer un serveur local, un appareil de périphérie ou une machine virtuelle en utilisant le même code d’activation et le même ID, tant que vous n’avez pas atteint la limite d’instances pour le code et l’ID d’activation désignés. Vous pouvez vérifier la limite d’instances pour un code et un ID d’activation en appelant l’API describe-activations à l’aide d’ AWS CLI. Après avoir exécuté la commande, vérifiez que la valeur de RegistrationCount ne dépasse pas RegistrationLimit. Si c’est le cas, vous devez utiliser un ID et un code d’activation différents.

Réenregistrer un nœud géré sur une machine hybride Windows Server

  1. Connectez-vous à votre machine.

  2. Exécutez la commande suivante. Veillez à remplacer les valeurs d’espace réservé par le code d’activation et l’ID d’activation générés lors de la création d’une activation hybride, et par l’identifiant de la région depuis laquelle vous souhaitez télécharger SSM Agent.

    $dir = $env:TEMP + "\ssm"
cd $dir
Start-Process ./ssm-setup-cli.exe -ArgumentList @(
    "-register",
    "-activation-code=$code",
    "-activation-id=$id",
    "-region=$region"
) -Wait -NoNewWindow