AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En savoir plus sur les détails techniques de SSM Agent
Utilisez les informations de cette rubrique pour vous aider à implémenter AWS Systems Manager Agent (SSM Agent) et à comprendre son fonctionnement.
Rubriques
Comportement des informations d'identification SSM Agent version 3.2.x.x
Configuring SSM Agent for use with the Federal Information Processing Standard (FIPS)
S’assurer que le répertoire d’installation SSM Agent ne soit pas modifié, déplacé ou supprimé
Communications de l'SSM Agent avec des compartiments S3 gérés par AWS
Comportement des informations d'identification SSM Agent version 3.2.x.x
SSM Agent stocke un ensemble d'informations d'identification temporaires dans /var/lib/amazon/ssm/credentials (pour Linux et macOS) ou %PROGRAMFILES%\Amazon\SSM\credentials (pour Windows Server) lorsqu'une instance est intégrée à l'aide de la configuration de gestion d'hôte par défaut dans Quick Setup. Les informations d'identification temporaires disposent des autorisations que vous avez spécifiées pour le rôle IAM que vous avez choisi pour la configuration de la gestion de l'hôte par défaut. Sous Linux, seul le compte root peut accéder à ces informations d'identification. Sous Windows Server, seuls le compte SYSTEM et les Administrateurs locaux peuvent accéder à ces informations d'identification.
SSM AgentPriorité des informations d'identification de l'
Cette rubrique décrit des informations importantes sur la façon dont l'SSM Agent est autorisé à exécuter des actions sur vos ressources.
Note
La prise en charge des appareils de périphérie est légèrement différente. Vous devez configurer vos appareils Edge pour utiliser le logiciel AWS IoT Greengrass Core, configurer un rôle de service AWS Identity and Access Management (IAM) et déployer sur vos appareils SSM Agent à l'aide AWS IoT Greengrass de. Pour de plus amples informations, veuillez consulter Gestion des appareils de périphérie avec Systems Manager.
Quand SSM Agent est installé sur une machine, il a besoin d’autorisations pour communiquer avec le service Systems Manager. Sur les instances Amazon Elastic Compute Cloud (Amazon EC2), ces autorisations sont fournies dans un profil d'instance attaché à l'instance. Sur une machine autre que la EC2 machine, obtient SSM Agent normalement les autorisations nécessaires à partir du fichier d'informations d'identification partagé, situé à l'emplacement /root/.aws/credentials (Linux etmacOS) ou %USERPROFILE%\.aws\credentials (Windows Server). Les autorisations nécessaires sont ajoutées à ce fichier durant le processus d'activation hybride. Si un nœud à activation hybride est désenregistré, l’agent peut passer en mode veille prolongée. Pour de plus amples informations, veuillez consulter Comprendre la mise en veille prolongée de SSM Agent.
Dans de rares cas, cependant, des autorisations peuvent être ajoutées à une machine, à un plus grand nombre d'emplacements que ceux où SSM Agent vérifie les autorisations pour exécuter ses tâches.
Supposons, par exemple, que vous ayez configuré une EC2 instance pour qu'elle soit gérée par Systems Manager. Cette configuration inclut l'attachement d'un profil d'instance. Mais vous décidez ensuite d'utiliser cette instance pour les tâches de développeur ou d'utilisateur final, et d'installer l' AWS Command Line Interface (AWS CLI) par-dessus. Dans ce cas, des autorisations supplémentaires sont ajoutées à un fichier d'informations d'identification sur l'instance.
Lorsque vous exécutez une commande Systems Manager sur l'instance, l'SSM Agent peut tenter d'utiliser des informations d'identification différentes de celles que vous pensez qu'il va utiliser, par exemple à partir d'un fichier d'informations d'identification et non d'un profil d'instance. Cela est dû au fait que l'SSM Agent recherche les informations d'identification dans l'ordre prescrit pour la chaîne de fournisseur d'informations d'identification par défaut.
Note
Sous Linux et macOS, l'SSM Agent s'exécute en tant qu'utilisateur racine. Par conséquent, les variables d'environnement et le fichier d'informations d'identification que SSM Agent recherche dans ce processus sont ceux de l'utilisateur root uniquement (/root/.aws/credentials). SSM Agent n'examine pas les variables d'environnement ou le fichier d'informations d'identification d'autres utilisateurs sur l'instance lorsqu'il recherche des informations d'identification.
La chaîne de fournisseur par défaut recherche des informations d'identification dans cet ordre :
-
Variables d'environnement, si elles sont configurées (
AWS_ACCESS_KEY_IDetAWS_SECRET_ACCESS_KEY). -
Fichier d'informations d'identification partagées (
$HOME/.aws/credentialspour Linux et macOS ou%USERPROFILE%\.aws\credentialspour Windows Server) avec les autorisations fournies, par exemple, par une activation hybride ou une installation de la AWS CLI . -
Rôle AWS Identity and Access Management (IAM) pour les tâches en présence d'une application utilisant une définition RunTask de tâche ou une opération d'API Amazon Elastic Container Service (Amazon ECS).
-
Un profil d'instance attaché à une EC2 instance Amazon.
-
Le rôle IAM choisi pour la configuration de la gestion de l'hôte par défaut.
Pour plus d'informations, consultez les rubriques connexes suivantes :
-
Profils d'instance pour les EC2 instances : configurez les autorisations d'instance requises pour Systems Manager
-
Activations hybrides : Create a hybrid activation to register nodes with Systems Manager
-
AWS CLI informations d'identification — Configuration et paramètres des fichiers d'identification dans le guide de l'AWS Command Line Interface utilisateur
-
Chaîne de fournisseur d'informations d'identification par défaut : Spécification d'informations d'identification dans le Manuel du développeur AWS SDK pour Go
Note
Cette rubrique du Manuel du développeur AWS SDK pour Go décrit la chaîne de fournisseur par défaut en termes de SDK for Go. Les mêmes principes s'appliquent toutefois à l'évaluation des informations d'identification pour SSM Agent.
Configuring SSM Agent for use with the Federal Information Processing Standard (FIPS)
Si vous devez utiliser Systems Manager avec des modules cryptographiques validés par le Federal Information Processing Standard (FIPS) 140-3, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour utiliser les points de terminaison FIPS dans les régions prises en charge.
Pour configurer SSM Agent afin qu’il se connecte aux points de terminaison FIPS 140-3
-
Connectez‑vous à votre nœud géré.
-
Accédez au répertoire qui contient le fichier
amazon-ssm-agent.json:-
Linux :
/etc/amazon/ssm/ -
macOS:
/opt/aws/ssm/ -
Windows Server:
C:\Program Files\Amazon\SSM\
-
-
Ouvrez le fichier nommé
amazon-ssm-agent.jsonpour le modifier.Astuce
Si aucun fichier
amazon-ssm-agent.jsonn’existe, copiez le contenu deamazon-ssm-agent.json.templatedans un nouveau fichier nomméamazon-ssm-agent.json. Enregistrezamazon-ssm-agent.jsondans le même répertoire queamazon-ssm-agent.json.template. -
Ajoutez le contenu suivant au fichier.
regionRemplacez les valeurs de l'espace réservé par le code de région approprié pour votre partition :{ ---Existing file content, if any--- "Mds": { "Endpoint": "ec2messages-fips.region.amazonaws.com", }, "Ssm": { "Endpoint": "ssm-fips.region.amazonaws.com", }, "Mgs": { "Endpoint": "ssmmessages-fips.region.amazonaws.com", "Region": "region" }, "S3": { "Endpoint": "s3-fips.dualstack.region.amazonaws.com", "Region":region" }, "Kms": { "Endpoint": "kms-fips.region.amazonaws.com" } }Les régions prises en charge incluent les suivantes :
-
us-east-1pour la région USA Est (Virginie du Nord) -
us-east-2pour la région USA Est (Ohio) -
us-west-1pour la région USA Ouest (Californie du Nord) -
us-west-2pour la région USA Ouest (Oregon) -
ca-west-1pour la région Canada-Ouest (Calgary)
-
-
Enregistrez le fichier et redémarrez SSM Agent.
Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.
Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configurationamazon-ssm-agent référentiel dans GitHub.
Pour plus d'informations sur la AWS prise en charge de la norme FIPS, consultez la norme fédérale de traitement de l'information (FIPS)
À propos du compte local ssm-user
À partir de la version 2.3.50.0 de l'SSM Agent, l'agent crée un compte utilisateur local appelé ssm-user et l'ajoute au répertoire /etc/sudoers.d (Linux et macOS) ou au groupe Administrateurs (Windows Server). Sur les versions de l'agent antérieures à 2.3.612.0, le compte est créé la première fois que l'SSM Agent démarre ou redémarre après l'installation. Sur la version 2.3.612.0 et version ultérieure, le compte ssm-user est créé la première fois qu'une session est démarrée sur une instance. Cet ssm-user est l’utilisateur du système d’exploitation par défaut lorsqu’une session démarre dans Session Manager, un outil d’ AWS Systems Manager. Vous pouvez modifier les autorisations de l'utilisateur ssm-user en le déplaçant vers un groupe ayant moins de privilèges ou en modifiant le fichier sudoers. Le compte ssm-user n'est pas supprimé du système lorsque l'SSM Agent est désinstallé.
Sur Windows Server, l'SSM Agent gère la définition d'un nouveau mot de passe pour le compte ssm-user lorsque chaque session commence. Aucun mot de passe n'est défini pour ssm-user sur des instances gérées Linux.
À partir de la version SSM Agent 2.3.612.0, le compte ssm-user n'est pas créé automatiquement sur les ordinateurs Windows Server qui sont utilisés en tant que contrôleurs de domaine. Pour utiliser Session Manager sur un contrôleur de domaine Windows Server, créez le compte ssm-user manuellement, s'il n'existe pas déjà, et affectez les autorisations d'administrateur de domaine à l'utilisateur.
Important
Pour que le compte ssm-user soit créé, le profil d'instance attaché à l'instance doit fournir les autorisations requises. Pour plus d'informations, consultez Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager.
SSM Agent et le Instance Metadata Service (IMDS)
Systems Manager s'appuie sur les métadonnées de l' EC2 instance pour fonctionner correctement. Systems Manager peut accéder aux métadonnées d'instance en utilisant la version 1 ou la version 2 d'Instance Metadata Service (IMDSv1 et IMDSv2). Votre instance doit pouvoir accéder à l' IPv4 adresse du service de métadonnées d'instance : 169.254.169.254. Pour plus d'informations, consultez la section Métadonnées de l'instance et données utilisateur dans le guide de EC2 l'utilisateur Amazon.
Garder SSM Agent up-to-date
Une nouvelle version de SSM Agent est lancée chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées aux outils existants. Le fait de ne pas utiliser la dernière version de l’agent peut empêcher votre nœud géré d’utiliser divers outils et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes
Note
Une nouvelle version de SSM Agent est lancée chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées aux outils existants. Le fait de ne pas utiliser la dernière version de l’agent peut empêcher votre nœud géré d’utiliser divers outils et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes
Les Amazon Machine Images (AMIs) qui comprennent l'SSM Agent par défaut peuvent prendre jusqu'à deux semaines pour publier l'AMI mis à jour avec la dernière version de l'SSM Agent. Nous vous recommandons de configurer encore plus fréquemment des mises à jour automatiques de l'SSM Agent.
S’assurer que le répertoire d’installation SSM Agent ne soit pas modifié, déplacé ou supprimé
SSM Agent est installé sur /var/lib/amazon/ssm/ (Linux et macOS) et %PROGRAMFILES%\Amazon\SSM\ (Windows Server). Ces répertoires d’installation contiennent des fichiers et des dossiers critiques utilisés par SSM Agent, tels qu’un fichier d’informations d’identification, des ressources pour la communication interprocessus (IPC) et des dossiers d’orchestration. Aucun élément du répertoire d’installation ne doit être modifié, déplacé ou supprimé. Dans le cas contraire, SSM Agent pourrait cesser de fonctionner correctement.
SSM Agentmises à jour continues par Régions AWS
Une fois qu'une SSM Agent mise à jour est disponible dans son GitHub référentiel, cela peut prendre jusqu'à deux semaines avant que la version mise à jour ne soit déployée auprès de tous Régions AWS à des moments différents. Pour cette raison, vous pouvez recevoir le message d'erreur « Non pris en charge sur la plate-forme actuelle » ou « Mise amazon-ssm-agent à jour vers une ancienne version, veuillez activer l'autorisation de rétrogradation » lorsque vous tentez de déployer une nouvelle version de SSM Agent dans une région.
Pour déterminer votre version disponible de SSM Agent, vous pouvez exécuter une commande curl.
Pour afficher la version de l'agent disponible dans le compartiment de téléchargement global, exécutez la commande suivante.
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION
Pour afficher la version de l'agent disponible dans une région spécifique, exécutez la commande suivante en la region remplaçant par la région dans laquelle vous travaillez, par us-east-2 exemple la région USA Est (Ohio).
curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION
Vous pouvez aussi ouvrir le fichier VERSION directement dans votre navigateur sans exécuter de commande curl.
Communications de l'SSM Agent avec des compartiments S3 gérés par AWS
Au cours de l'exécution de diverses opérations de Systems Manager, AWS Systems Manager Agent (SSM Agent) accède à un certain nombre de compartiments Amazon Simple Storage Service (Amazon S3). Ces compartiments S3 sont accessibles au public et, par défaut, l'SSM Agent s'y connecte en utilisant des appels HTTP.
Toutefois, si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans le cadre de vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d'instance Amazon Elastic Compute Cloud EC2 (Amazon) pour Systems Manager, ou dans un rôle de service pour les EC2 non-machines dans un environnement hybride et multicloud. Sinon, vos ressources ne peuvent pas accéder à ces compartiments publics.
Pour accorder à vos nœuds gérés l'accès à ces compartiments lorsque vous utilisez un point de terminaison VPC, vous créez une politique d'autorisation Amazon S3 personnalisée, puis vous l'associez à votre profil d'instance ( EC2 pour les instances) ou à votre rôle de service (pour les nœuds non gérésEC2 ).
Pour plus d'informations sur l'utilisation d'un point de terminaison de cloud privé virtuel (VPC) dans vos opérations de Systems Manager, consultez Améliorer la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.
Note
Ces autorisations fournissent uniquement l'accès aux compartiments AWS gérés requis parSSM Agent. Elles ne fournissent pas les autorisations qui sont nécessaires pour les autres opérations Amazon S3. Elles ne fournissent pas non plus l'autorisation sur vos propres compartiments S3.
Pour plus d’informations, consultez les rubriques suivantes :
Table des matières
Autorisations de compartiment nécessaires
Le tableau suivant décrit chacun des compartiments S3 auxquels l'SSM Agent peut avoir besoin d'accéder pour des opérations Systems Manager.
Note
regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.
Autorisations Amazon S3 requises par l'SSM Agent
| ARN de compartiment S3 | Description |
|---|---|
|
|
Obligatoire pour certains documents SSM qui ne prennent en charge que les systèmes d'exploitation Windows Server, ainsi que pour d'autres pour la prise en charge multiplateforme, tels que |
|
|
Requise pour la mise à jour des installations de l'SSM Agent. Ces compartiments contiennent les packages d'installation de l'SSM Agent, et l'installation des manifestes qui sont référencés par le document et le plug-in AWS-UpdateSSMAgent. Si ces autorisations ne sont pas fournies, l'SSM Agent effectue un appel HTTP pour télécharger la mise à jour. |
arn:aws:s3:::aws-ssm- |
Fournit l’accès au compartiment S3 contenant les modules requis pour l’utilisation avec des documents Systems Manager (documents SSM Command) comprenant à la fois des opérations entraînant ou non une application de correctifs. Par exemple : arn:aws:s3:::aws-ssm-us-east-2/*.
Voici quelques documents SSM couramment qui utilisent des modules de ces compartiments.
|
|
-ou-
|
Fournit l'accès au compartiment S3 contenant les instantanés de référentiel de correctifs. Ceci est requis si vous utilisez l’un des documents SSM Command suivants :
Les compartiments les plus pris en charge Régions AWS utilisent le format suivant :
Pour certaines régions, un suffixe unique supplémentaire est inclus dans le nom du compartiment. Par exemple, le nom de compartiment pour la région Moyen-Orient (Bahreïn) (me-south-1) correspond à ce qui suit :
Pour obtenir la liste complète des noms de compartiments d’instantané de référentiel de correctifs, consultez la section Les compartiments contenant des instantanés de référentiels de correctifs gérés par AWS. NoteSi vous utilisez un pare-feu local et que vous prévoyez d'utiliser Patch Manager, ce pare-feu doit également autoriser l'accès au point de terminaison du référentiel de correctifs approprié. |
|
Pour les nœuds gérés Linux et Windows Server : Pour les EC2 instances Amazon pour macOS : |
Fournit l’accès au compartiment S3 contenant les modules utilisés par les documents SSM Command pour les opérations d’application de correctifs dans Patch Manager. Chaque nom de compartiment inclut un suffixe unique, tel que
Documents SSMVoici quelques documents SSM couramment qui utilisent des modules de ces compartiments.
Pour obtenir la liste complète des compartiments S3 AWS gérés pour les opérations d'application de correctifs, consultez les rubriques suivantes : |
Exemple
L'exemple suivant illustre comment fournir l'accès aux compartiments S3 requis pour les opérations Systems Manager dans la région USA Est (Ohio) (us-east-2). Dans la plupart des cas, vous devez fournir ces autorisations explicitement dans un profil d'instance ou un rôle de service uniquement lors de l'utilisation d'un point de terminaison de VPC.
Important
Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::aws-ssm-us-east-2/* et n'utilisez pas arn:aws:s3:::aws-ssm-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier bloc Statement pour chaque région.
Validation des machines activées par un système hybride à l'aide d'une empreinte matérielle
Dans un environnement hybride et multicloud, il SSM Agent collecte un certain nombre d'attributs système (appelés hachage matériel) et utilise ces attributs pour calculer une empreinte digitale. EC2 L'empreinte digitale est une chaîne opaque que l'agent transmet à certains Systems Manager APIs. Cette empreinte digitale unique associe l'appelant à un nœud géré et activé par un système hybride particulier. L'agent stocke l'empreinte digitale et le hachage matériel sur le disque local, à un emplacement désigné comme Coffre-fort.
L'agent calcule le hachage matériel et l'empreinte digitale lorsque la machine est enregistrée pour une utilisation avec Systems Manager. Ensuite, l'empreinte digitale est transmise au service Systems Manager lorsque l'agent envoie une commande RegisterManagedInstance.
Plus tard, lors de l'envoi d'une commande RequestManagedInstanceRoleToken, l'agent vérifie l'empreinte digitale et le hachage matériel dans le coffre-fort afin de s'assurer que les attributs de la machine actuelle correspondent au hachage matériel stocké. Si les attributs de la machine actuelle correspondent au hachage matériel stocké dans le coffre-fort, l'agent transmet l'empreinte digitale du coffre-fort à une RegisterManagedInstance, et l'appel est alors considéré comme réussi.
Si les attributs de la machine actuelle ne correspondent pas au hachage matériel stocké, l'SSM Agent calcule une nouvelle empreinte digitale, stocke le nouveau hachage matériel et l'empreinte digitale dans le coffre-fort et transmet la nouvelle empreinte digitale à un RequestManagedInstanceRoleToken. Cela provoque l'échec du RequestManagedInstanceRoleToken, et l'agent ne pourra pas obtenir un jeton de rôle pour se connecter au service Systems Manager.
Cet échec est intégré, et il sert d'étape de vérification pour empêcher que plusieurs nœuds gérés communiquent avec le service Systems Manager en tant que même nœud géré.
Lorsqu'il compare les attributs de la machine actuelle au hachage matériel stocké dans le coffre-fort, l'agent utilise la logique suivante pour déterminer si l'ancien et le nouveau hachages correspondent :
-
Si le SID (ID système/machine) est différent, alors ils ne correspondent pas.
-
Si l'adresse IP est la même, alors ils correspondent.
-
Sinon, le pourcentage d'attributs de la machine qui correspondent est calculé et comparé au seuil de similarité configuré par l'utilisateur pour déterminer s'il y a correspondance.
Le seuil de similarité est stocké dans le coffre-fort, et fait partie du hachage matériel.
Le seuil de similarité peut être défini après qu'une instance a été enregistrée en utilisant une commande semblable à celle qui suit.
Sur les machines Linux :
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Sur Windows Server les machines utilisant PowerShell :
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Important
Si l'un des composants utilisés pour calculer l'empreinte digitale change, cela peut entraîner la mise en veille prolongée de l'agent. Pour éviter cette mise en veille prolongée, définissez le seuil de similitude à une valeur faible, 1 par exemple. Pour plus d’informations sur la mise en veille prolongée, consultez Comprendre la mise en veille prolongée de SSM Agent.
SSM Agent sur GitHub
Le code source de SSM Agent est disponible sur le site Web de GitHub
Comprendre la mise en veille prolongée de SSM Agent
AWS Systems Manager L'hibernation de l'agent (SSM Agent) est un mode opérationnel qui se produit lorsque l'agent ne parvient pas à maintenir une communication correcte avec le service Systems Manager. Pendant la mise en veille prolongée, l’agent réduit sa fréquence de communication et passe en état de veille.
Quand survient la mise en veille prolongée de SSM Agent
La mise en veille prolongée de SSM Agent peut se produire dans les cas suivants :
- Nœuds hybrides désenregistrés
-
Lorsque vous désenregistrez un nœud à activation hybride depuis Systems Manager, le nœud ne peut pas actualiser son jeton d’autorisation SSM Agent. L’agent passe alors en veille prolongée car il ne peut pas s’authentifier auprès du service.
- Modifications d’empreintes du matériel
-
SSM Agent utilise une empreinte matérielle pour valider les machines activées par un système hybride. Si l’un des composants utilisés pour calculer l’empreinte digitale change sensiblement, cela peut entraîner la mise en veille prolongée de l’agent. Cet échec est prévu pour empêcher que plusieurs nœuds gérés communiquent avec Systems Manager en tant que même nœud. Pour de plus amples informations, veuillez consulter Validation des machines activées par un système hybride à l'aide d'une empreinte matérielle.
- SSM Agenthibernation sur les instances Amazon EC2
-
L'hibernation peut également se produire sur EC2 les instances Amazon dans certaines conditions, par exemple en cas de problèmes de connectivité ou d'authentification avec le service Systems Manager.
Comportement des communications lors de la mise en veille prolongée
Lorsque SSM Agent passe en veille prolongée, son modèle de communication avec le service Systems Manager change :
-
Fonctionnement normal : l’agent communique régulièrement avec Systems Manager (généralement toutes les quelques minutes) pour vérifier les nouvelles commandes et signaler le statut.
-
Mode veille prolongée : la fréquence du ping commence à 5 minutes et augmente progressivement jusqu’à une fois par heure par défaut (configurable jusqu’à 24 heures). Cette fréquence de communication réduite permet de minimiser le trafic réseau inutile tout en permettant à l’agent d’effectuer une restauration potentielle si les conditions changent.
Pendant la veille prolongée, l’agent continue de retenter des tentatives d’authentification et de connexion à une fréquence réduite, mais il ne peut pas traiter de nouvelles commandes ou communiquer des informations de statut détaillées tant que la veille prolongée n’est pas résolue.
Options de configuration pour empêcher la mise en veille prolongée dans les instances hybrides
La principale option de configuration permettant d’éviter la mise en veille prolongée provoquée par des modifications d’empreintes matérielles consiste à ajuster le seuil de similarité :
Sur les machines Linux :
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Sur les machines Windows Server utilisant PowerShell :
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Le seuil de similarité détermine la rigueur avec laquelle l’agent compare les attributs actuels de la machine avec le hachage matériel stocké :
-
Les valeurs élevées nécessitent davantage d’attributs correspondants
-
Les valeurs inférieures (par exemple
1) sont plus indulgentes et peuvent aider à éviter la mise en veille prolongée provoquée par des modifications matérielles mineures
Journalisation et surveillance de la mise en veille prolongée
Lorsque SSM Agent passe en mode veille prolongée, il crée des entrées de journal qui peuvent vous aider à identifier et résoudre les problèmes liés à l’état de veille prolongée :
-
Fichiers journaux de l’agent : les événements de mise en veille prolongée sont enregistrés dans les fichiers journaux SSM Agent standard. Pour plus d’informations sur les emplacements des fichiers journaux, consultez Résolution des problèmes à l'aide des fichiers journaux SSM Agent.
-
Journalisation sur EC2 la console Amazon : par EC2 exemple, les messages d'hibernation sont désormais enregistrés dans les journaux système de la EC2 console Amazon, offrant ainsi une visibilité supplémentaire sur le statut de l'agent. Pour accéder aux journaux, sélectionnez l'instance dans la EC2 console, puis choisissez Actions, Surveiller et dépanner, puis Obtenir le journal du système.
-
Fichiers journaux spécifiques : lorsque la veille prolongée démarre, des fichiers journaux spécifiques sont créés ; ils contiennent des informations détaillées sur le déclencheur et le statut de veille prolongée.
Surveillez ces sources de journaux afin de détecter rapidement les événements de veille prolongée et prendre des mesures correctives pour rétablir le fonctionnement normal de l’agent.
Sortir de la mise en veille prolongée
Pour sortir de la veille prolongée, traitez la cause sous-jacente :
-
Pour les nœuds hybrides désenregistrés : réenregistrez le nœud auprès de Systems Manager à l’aide d’un nouveau code d’activation et d’un nouvel ID, comme décrit dans Désenregistrer et réenregistrer un nœud géré (Linux) et Désenregistrer et réenregistrer un nœud géré (Windows Server).
-
Pour les problèmes d’empreinte matérielle : ajustez le seuil de similarité comme décrit ci-dessus sous Options de configuration pour éviter la mise en veille prolongée dans les instances hybrides, ou réenregistrez le nœud si les modifications matérielles sont importantes.
-
Pour les problèmes de connectivité : vérifiez la connectivité réseau et assurez-vous que les points de terminaison requis sont accessibles. Pour de plus amples informations, veuillez consulter Résolution des problèmes de disponibilité des nœuds gérés en utilisant ssm-cli.
Une fois le problème sous-jacent résolu, l’agent doit automatiquement quitter le mode veille prolongée et reprendre son fonctionnement normal lors de la prochaine tentative de communication.
