• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de nœuds gérés pour AWS Systems Manager
Effectuez les tâches décrites dans cette section pour configurer et configurer les rôles, les comptes utilisateurs, les autorisations et les ressources initiales pour l'utilisation AWS Systems Manager des outils. Les tâches décrites dans cette section sont généralement effectuées par Compte AWS des administrateurs système. Une fois ces étapes terminées, les utilisateurs de votre organisation peuvent utiliser Systems Manager pour configurer, gérer et accéder à vos *nœuds gérés*. Un nœud géré est une machine configurée pour être utilisée avec Systems Manager dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types).
**Note**
Si vous prévoyez d'utiliser des instances Amazon EC2 *et* vos propres ressources de calcul dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), commencez par suivre les étapes décrites dans [Gestion des instances EC2 avec Systems Manager](systems-manager-setting-up-ec2.md). Cette rubrique présente ces étapes dans le meilleur ordre pour terminer la configuration de Systems Manager pour les instances EC2 et les machines non EC2.
Si vous en utilisez déjà un autre Services AWS, vous avez effectué certaines de ces étapes. Cependant, d'autres étapes sont spécifiques à Systems Manager. Par conséquent, nous vous recommandons de passer en revue l’intégralité de cette section afin de vérifier que vous êtes prêt à utiliser tous les outils de Systems Manager.
**Topics**
+ [
# Gestion des instances EC2 avec Systems Manager
](systems-manager-setting-up-ec2.md)
+ [
# Gestion des nœuds dans les environnements hybrides et multicloud avec Systems Manager
](systems-manager-hybrid-multicloud.md)
+ [
# Gestion des appareils de périphérie avec Systems Manager
](systems-manager-setting-up-edge-devices.md)
+ [
# Création d'un administrateur AWS Organizations délégué pour Systems Manager
](setting_up_delegated_admin.md)
+ [
## Configuration générale pour AWS Systems Manager
](#setting_up_prerequisites)
# Gestion des instances EC2 avec Systems Manager
Effectuez les tâches décrites dans cette section pour configurer des rôles, des autorisations et des ressources initiales pour AWS Systems Manager. Les tâches décrites dans cette section sont généralement exécutées par les administrateurs de Compte AWS et système. Une fois ces étapes terminées, les utilisateurs de votre organisation peuvent utiliser Systems Manager pour configurer, gérer et accéder aux instances Amazon Elastic Compute Cloud (Amazon EC2).
**Note**
Si vous prévoyez d'utiliser Systems Manager pour gérer et configurer des machines sur site, suivez les étapes décrites dans [Gestion des nœuds dans les environnements hybrides et multicloud avec Systems Manager](systems-manager-hybrid-multicloud.md). Si vous prévoyez d'utiliser des instances Amazon EC2 *et* des machines non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), commencez par suivre les étapes décrites ici. Cette section présente les étapes dans l'ordre recommandé pour configurer les rôles, les utilisateurs, les autorisations et les ressources initiales à utiliser dans vos opérations Systems Manager.
Si vous utilisez déjà d'autres Services AWS, vous avez effectué certaines de ces étapes. Cependant, d'autres étapes sont spécifiques à Systems Manager. Par conséquent, nous vous recommandons de passer en revue l’intégralité de cette section afin de vérifier que vous êtes prêt à utiliser tous les outils de Systems Manager.
**Topics**
+ [
# Configurer des autorisations d’instance requises pour Systems Manager
](setup-instance-permissions.md)
+ [
# Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager
](setup-create-vpc.md)
# Configurer des autorisations d’instance requises pour Systems Manager
Par défaut, AWS Systems Manager n'est pas autorisé à effectuer des actions sur vos instances. Vous pouvez fournir des autorisations d'instance au niveau du compte à l'aide d'un rôle Gestion des identités et des accès AWS (IAM) ou au niveau de l'instance à l'aide d'un profil d'instance. Si votre cas d'utilisation le permet, nous vous recommandons d'accorder l'accès au niveau du compte à l'aide de la configuration de gestion des hôtes par défaut.
**Note**
Vous pouvez ignorer cette étape et autoriser Systems Manager à appliquer les autorisations requises à vos instances pour vous lors de la configuration de la console unifiée. Pour de plus amples informations, veuillez consulter [Configuration de AWS Systems Manager](systems-manager-setting-up-console.md).
## Configuration recommandée pour les autorisations d’instance EC2
La configuration de gestion des hôtes par défaut permet à Systems Manager de gérer vos instances Amazon EC2 automatiquement. Une fois ce paramètre activé, toutes les instances utilisant le service de métadonnées d'instance version 2 (IMDSv2) dans Région AWS et Compte AWS avec la SSM Agent version 3.2.582.0 ou ultérieure installée deviennent automatiquement des instances gérées. La configuration de gestion des hôtes par défaut ne prend pas en charge du Service des métadonnées d'instance Version 1. Pour plus d'informations sur la transition vers IMDSv2, consultez la section [Transition vers l'utilisation du service de métadonnées d'instance version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) dans le guide de l'*utilisateur Amazon EC2*. Pour plus d'informations sur la vérification de la version de l'SSM Agent installée sur votre instance, consultez [Vérification du numéro de version de l'SSM Agent](ssm-agent-get-version.md). Pour plus d'informations sur la mise à jour de l'SSM Agent, consultez [Mise à jour automatique de l'SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console). Les avantages des instances gérées sont les suivants :
+ Connectez-vous à vos instances en toute sécurité à l'aide de Session Manager.
+ Effectuez des analyses de correctifs automatisées à l'aide de Patch Manager.
+ Consultez les informations détaillées sur vos instances à l'aide de Systems Manager Inventory.
+ Suivez et gérez les instances à l'aide de Fleet Manager.
+ Maintenez le SSM Agent à jour automatiquement.
Fleet Manager, InventairePatch Manager, et Session Manager sont des outils dans AWS Systems Manager.
La configuration de gestion des hôtes par défaut permet de gérer les instances sans utiliser de profils d'instance et garantit que Systems Manager dispose des autorisations nécessaires pour gérer toutes les instances de la région et du compte. Si les autorisations fournies ne sont pas suffisantes pour votre cas d'utilisation, vous pouvez également ajouter des politiques au rôle IAM par défaut créé par la configuration de gestion des hôtes par défaut. Sinon, si vous n'avez pas besoin d'autorisations pour toutes les fonctionnalités fournies par le rôle IAM par défaut, vous pouvez créer vos propres rôles et politiques personnalisés. Toutes les modifications apportées au rôle IAM que vous choisissez pour la configuration de gestion des hôtes par défaut s'appliquent à toutes les instances Amazon EC2 gérées dans la région et le compte. Pour plus d'informations sur la politique utilisée par la Configuration de gestion des hôtes par défaut, consultez [AWS politique gérée : Amazon SSMManaged EC2 InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy). Pour plus d'informations sur la Configuration de gestion des hôtes par défaut, consultez [Gestion automatique des instances EC2 avec la configuration par défaut de la gestion des hôtes](fleet-manager-default-host-management-configuration.md).
**Important**
Les instances enregistrées à l'aide de la configuration de gestion des hôtes par défaut stockent des informations d'enregistrement localement dans les répertoires `/lib/amazon/ssm` ou `C:\ProgramData\Amazon`. La suppression de ces répertoires ou de leurs fichiers empêchera l'instance d'acquérir les informations d'identification nécessaires pour se connecter à Systems Manager à l'aide de la configuration de gestion des hôtes par défaut. Dans ces cas, vous devez utiliser un profil d'instance, pour fournir les autorisations requises à votre instance, ou recréer l'instance.
**Note**
Cette procédure est destinée à être exécutée uniquement par les administrateurs. Implémentez l'accès au moindre privilège lorsque vous autorisez des individus à configurer ou à modifier la configuration de gestion des hôtes par défaut. Vous devez activer la configuration de gestion d'hôte par défaut dans chaque instance pour laquelle Région AWS vous souhaitez gérer automatiquement vos instances Amazon EC2.
**Activation du paramètre de configuration de gestion des hôtes par défaut**
Vous pouvez activer la configuration de gestion des hôtes par défaut depuis la console Fleet Manager. Pour mener à bien cette procédure à l'aide de l'outil de ligne de commande AWS Management Console ou de votre outil de ligne de commande préféré, vous devez disposer des autorisations pour les opérations [GetServiceSetting[ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html), et [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)API. En outre, vous devez disposer des autorisations nécessaires pour l'autorisation `iam:PassRole` du rôle IAM `AWSSystemsManagerDefaultEC2InstanceManagementRole`. Voici un exemple de politique . Remplacez chaque *example resource placeholder* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
Avant de commencer, si des profils d'instance sont associés à vos instances Amazon EC2, supprimez toutes les autorisations qui autorisent l'opération `ssm:UpdateInstanceInformation`. L'SSM Agent essaie d'utiliser les autorisations de profil d'instance avant d'utiliser les autorisations de configuration de gestion des hôtes par défaut. Si vous autorisez l'opération `ssm:UpdateInstanceInformation` dans vos profils d'instance, l'instance n'utilisera pas les autorisations de configuration de gestion des hôtes par défaut.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Fleet Manager**.
1. Choisissez **Paramétrer la configuration de gestion des hôtes par défaut** dans la liste déroulante **Gestion des comptes**.
1. Activez l'option **Activer la configuration de gestion des hôtes par défaut**.
1. Choisissez le rôle IAM utilisé pour activer les outils de Systems Manager pour vos instances. Nous vous recommandons d'utiliser le rôle par défaut dans Configuration de gestion des hôtes par défaut. Il contient l'ensemble des autorisations minimum pour gérer vos instances Amazon EC2 à l'aide de Systems Manager. Si vous préférez utiliser un rôle personnalisé, la politique de confiance du rôle doit autoriser Systems Manager en tant qu'entité de confiance.
1. Choisissez **Configurer** pour terminer la configuration.
Après avoir activé la Configuration de gestion des hôtes par défaut, 30 minutes peuvent s'écouler avant que vos instances n'utilisent les informations d'identification du rôle que vous avez choisi. Vous devez activer la Configuration de gestion des hôtes par défaut dans chaque région dans laquelle vous souhaitez gérer automatiquement vos instances Amazon EC2.
## Configuration alternative pour les autorisations d’instance EC2
Vous pouvez accorder l'accès au niveau des instances individuelles à l'aide d'un profil d'instance Gestion des identités et des accès AWS (IAM). Un profil d'instance est un conteneur qui transmet des informations sur le rôle IAM à une instance Amazon Elastic Compute Cloud (Amazon EC2) lors du lancement. Vous pouvez créer un profil d'instance pour Systems Manager en attachant une ou plusieurs politiques IAM qui définissent les autorisations nécessaires pour un nouveau rôle ou un rôle que vous avez déjà créé.
**Note**
Vous pouvez utiliser Quick Setup un outil pour configurer rapidement un profil d'instance sur toutes les instances de votre Compte AWS. AWS Systems ManagerQuick Setupcrée également un rôle de service IAM (ou *assume* un rôle), qui permet à Systems Manager d'exécuter des commandes en toute sécurité sur vos instances en votre nom. Quick Setup vous permet d'ignorer cette étape (étape 3), ainsi que l'étape 4. Pour de plus amples informations, veuillez consulter [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
Veuillez noter les détails suivants sur la création d'un profil d'instance IAM :
+ Si vous configurez des machines non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types) pour Systems Manager, vous n'avez pas besoin de leur créer de profil d'instance. Configurez plutôt vos serveurs et VMs utilisez un rôle de service IAM. Pour plus d’informations, consultez la section [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md).
+ Si vous modifiez le profil d'instance IAM, l'actualisation des informations d'identification de l'instance peut prendre un peu de temps. L'SSM Agent ne peut pas traiter les demandes tant que cette actualisation n'a pas été effectuée. Pour accélérer le processus d'actualisation, vous pouvez redémarrer l'SSM Agent ou redémarrer l'instance.
Selon que créez un rôle pour votre profil d'instance ou que vous ajoutez les autorisations nécessaires à un rôle existant, utilisez l'une des procédures suivantes.
**Pour créer un profil d'instance pour les instances gérées Systems Manager (console)**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.
1. Directement sous **Use case** (Cas d'utilisation), choisissez **EC2**, puis **Next** (Suivant).
1. Sur la page **Add permissions** (Ajouter des autorisations), procédez comme suit :
+ Utilisez le champ **de recherche** pour trouver la SSMManaged InstanceCore politique **d'Amazon**. Cochez la case correspondant à son nom, comme indiqué dans l’illustration suivante.
![\[La case est cochée dans la SSMManaged InstanceCore ligne Amazon.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
La console conserve votre sélection même si vous recherchez d'autres politiques.
+ Si vous avez créé une politique de compartiment S3 personnalisée au cours de la procédure précédente, [(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3](#instance-profile-custom-s3-policy), recherchez-la et cochez la case en regard de son nom.
+ Si vous envisagez de joindre des instances à un Active Directory géré par Directory Service, recherchez **Amazon SSMDirectory ServiceAccess** et cochez la case à côté de son nom.
+ Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchez **CloudWatchAgentServerPolicy**et cochez la case à côté de son nom.
1. Choisissez **Suivant**.
1. Pour **Role name** (Nom du rôle), saisissez un nom pour votre nouveau profil d'instance, par exemple **SSMInstanceProfile**.
**Note**
Notez le nom de rôle. Vous pouvez choisir ce rôle lorsque vous créerez de nouvelles instances à gérer à l'aide de Systems Manager.
1. (Facultatif) Pour **Description**, mettez à jour la description pour ce profil d'instance.
1. (Facultatif) Pour **Tags** (Balises), ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez **Create role** (Créer le rôle). Le système vous renvoie à la page **Rôles**.
**Pour ajouter des autorisations de profil d'instance pour Systems Manager à un rôle existant (console)**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Roles (Rôles)**, puis choisissez le rôle existant à associer à un profil d'instance pour des opérations Systems Manager.
1. Sous l'onglet **Permissions** (Autorisations), choisissez **Add Permissions, Attach policies** (Ajouter des autorisations, Attacher des politiques).
1. Sur la page **Attach policy** (Attacher la politique), procédez comme suit :
+ Utilisez le champ **de recherche** pour trouver la SSMManaged InstanceCore politique **d'Amazon**. Cochez la case en regard de son nom.
+ Si vous avez créé une politique de compartiment S3 personnalisée, recherchez-la et cochez la case en regard de son nom. Pour plus d'informations sur les politiques de compartiment S3 personnalisés pour un profil d'instance, consultez [(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3](#instance-profile-custom-s3-policy).
+ Si vous envisagez de joindre des instances à un Active Directory géré par Directory Service, recherchez **Amazon SSMDirectory ServiceAccess** et cochez la case à côté de son nom.
+ Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchez **CloudWatchAgentServerPolicy**et cochez la case à côté de son nom.
1. Choisissez **Attacher des politiques**.
Pour plus d'informations sur la mise à jour d'un rôle en vue d'y inclure une entité de confiance ou d'en limiter davantage l'accès, consultez [Modification d'un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dans le *Guide de l'utilisateur IAM*.
## (Facultatif) créer une politique personnalisée pour l'accès au compartiment S3
La création d'une politique personnalisée pour l'accès Amazon S3 est obligatoire uniquement si vous utilisez le point de terminaison d'un VPC ou votre propre compartiment S3 dans vos opérations Systems Manager. Vous pouvez associer cette politique au rôle IAM par défaut créé par la Configuration de gestion des hôtes par défaut ou à un profil d'instance que vous avez créé lors de la procédure précédente.
Pour plus d'informations sur les compartiments S3 AWS gérés auxquels vous donnez accès dans la politique suivante, consultez[SSM Agentcommunications avec des AWS compartiments S3 gérés](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions).
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Politiques**, puis **Créer une politique**.
1. Choisissez l'onglet **JSON** et remplacez le texte par défaut avec le texte suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::aws-ssm-us-east-2/*",
"arn:aws:s3:::aws-windows-downloads-us-east-2/*",
"arn:aws:s3:::amazon-ssm-us-east-2/*",
"arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
"arn:aws:s3:::us-east-2-birdwatcher-prod/*",
"arn:aws:s3:::aws-ssm-distributor-file-us-east-2/*",
"arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
"arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
**Note**
Le premier élément `Statement` est obligatoire uniquement si vous utilisez un point de terminaison d’un VPC.
Le deuxième élément `Statement` est obligatoire uniquement si vous utilisez un compartiment S3 que vous avez créé pour l’utiliser dans vos opérations Systems Manager.
L’autorisation de liste de contrôle d’accès `PutObjectAcl` est obligatoire uniquement si vous prévoyez de prendre en charge l’accès entre comptes à des compartiments S3 d’autres comptes.
L’élément `GetEncryptionConfiguration` est obligatoire si votre compartiment S3 est configuré pour utiliser le chiffrement.
Si votre compartiment S3 est configuré pour utiliser le chiffrement, la racine du compartiment S3 (par exemple, `arn:aws:s3:::amzn-s3-demo-bucket`) doit être répertoriée dans la section **Ressource**. Votre utilisateur, groupe ou rôle doit être configuré avec l'accès au compartiment racine.
1. Si vous utilisez un point de terminaison d'un VPC dans vos opérations, procédez comme suit :
Dans le premier `Statement` élément, remplacez chaque *region* espace réservé par l'identifiant de la politique dans Région AWS laquelle cette politique sera utilisée. Par exemple, utilisez `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
**Important**
Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (\$1) à la place des régions spécifiques. Par exemple, utilisez `arn:aws:s3:::aws-ssm-us-east-2/*` et n'utilisez pas `arn:aws:s3:::aws-ssm-*/*`. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier élément `Statement` pour chaque région.
-ou-
Si vous n'utilisez pas un point de terminaison d'un VPC dans vos opérations, vous pouvez supprimer le premier élément `Statement`.
1. Si vous utilisez votre propre compartiment S3 dans vos opérations Systems Manager, procédez comme suit :
Dans le deuxième `Statement` élément, remplacez *amzn-s3-demo-bucket* par le nom d'un compartiment S3 de votre compte. Vous utiliserez ce compartiment pour vos opérations Systems Manager. Il fournit des autorisations pour les objets du compartiment, en utilisant `"arn:aws:s3:::my-bucket-name/*"` comme ressource. Pour plus d'informations sur l'attribution d'autorisations pour les buckets ou les objets contenus dans des buckets, consultez la rubrique [Actions Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service* et le billet de AWS blog [IAM Policies and Bucket Policies and \$1 ACLs Oh My\$1 (Contrôler l'accès aux ressources S3)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/).
**Note**
Si vous utilisez plusieurs compartiments, fournissez l'ARN de chacun d'entre eux. Consultez l'exemple suivant pour connaître les autorisations sur les compartiments.
```
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
```
-ou-
Si vous n'utilisez pas un compartiment S3 vous appartenant dans vos opérations Systems Manager, vous pouvez supprimer le second élément `Statement`.
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Ajoutez des identifications en choisissant **Add tag** (Ajouter une identification), et en saisissant les identifications préférées de la politique.
1. Choisissez **Suivant : Vérification**.
1. Pour **Name** (Nom), saisissez un nom pour identifier cette politique, par exemple **SSMInstanceProfileS3Policy**.
1. Choisissez **Create Policy** (Créer une politique).
## Considérations en matière de politique supplémentaires pour les instances gérées
Cette section décrit certaines des politiques que vous pouvez ajouter au rôle IAM par défaut créé par la Configuration de gestion des hôtes par défaut, ou les profils d'instance pour AWS Systems Manager. Pour fournir des autorisations de communication entre les instances et l'API Systems Manager, nous vous recommandons de créer des politiques personnalisées reflétant les besoins de votre système et les exigences de sécurité. En fonction de votre plan d'opérations, vous pouvez avoir besoin des autorisations représentées dans une ou plusieurs des trois autres politiques.
**Stratégie : `AmazonSSMDirectoryServiceAccess`**
Obligatoire uniquement si vous envisagez de joindre une instance Amazon EC2 pour Windows Server à un répertoire Microsoft AD.
Cette politique AWS gérée permet SSM Agent à AWS Directory Service l'instance gérée d'accéder en votre nom aux demandes de connexion au domaine. Pour plus d'informations, consultez [Jonction facile d'une instance Windows EC2](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html) dans le *Guide d'administration AWS Directory Service *.
**Stratégie : `CloudWatchAgentServerPolicy`**
Obligatoire uniquement si vous prévoyez d'installer et d'exécuter l' CloudWatch agent sur vos instances pour lire les données métriques et de journal d'une instance et les écrire sur Amazon CloudWatch. Ils vous aident à surveiller, à analyser et à répondre rapidement aux problèmes ou aux modifications de vos AWS ressources.
Votre rôle IAM par défaut créé par la configuration de gestion d'hôte par défaut ou le profil d'instance nécessite cette politique uniquement si vous utilisez des fonctionnalités telles qu'Amazon EventBridge ou Amazon CloudWatch Logs. (Vous pouvez également créer une politique plus restrictive qui, par exemple, limite l'accès en écriture à un flux de journal CloudWatch Logs spécifique.)
CloudWatch Les fonctionnalités d'utilisation EventBridge et de journalisation sont facultatives. Toutefois, nous vous recommandons de les paramétrer dès le début de votre processus de configuration de Systems Manager si vous avez décidé de les utiliser. Pour plus d'informations, consultez le guide de *[ EventBridge l'utilisateur Amazon et le guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* de l'*[utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
Pour créer des politiques IAM avec des autorisations pour des outils Systems Manager supplémentaires, consultez les ressources suivantes :
+ [Restriction de l'accès aux paramètres Parameter Store à l'aide des stratégies IAM](sysman-paramstore-access.md)
+ [Configuration d'Automation](automation-setup.md)
+ [Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager](session-manager-getting-started-instance-profile.md)
## Attacher le profil d'instance Systems Manager à une instance (console)
La procédure suivante décrit comment attacher un profil d’instance IAM à une instance Amazon EC2 à l’aide de la console Amazon EC2.
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dans le panneau de navigation, sous **Instances**, choisissez **Instances**.
1. Recherchez et choisissez votre instance EC2 dans la liste.
1. Dans le menu **Actions**, sélectionnez **Security (Sécurité)**, **Modify IAM role (Modifier le rôle IAM)**.
1. Pour **Rôle IAM**, sélectionnez le profil d'instance que vous avez créé via la procédure décrite à l'[Configuration alternative pour les autorisations d’instance EC2](#instance-profile-add-permissions).
1. Choisissez **Update **IAM role**** (Mise à jour du rôle IAM).
Pour de plus amples informations sur l'attachement de rôles IAM à des instances, choisissez l'une des options suivantes, en fonction du type de système d'exploitation sélectionné :
+ Consultez la section [Attach an IAM role to an instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) du *guide de l’utilisateur Amazon EC2*
+ Consultez la section [Attach an IAM role to an instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) du *guide de l’utilisateur Amazon EC2*
Passez au [Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager](setup-create-vpc.md).
# Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager
Vous pouvez améliorer le niveau de sécurité de vos nœuds gérés (y compris les machines non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types)) en AWS Systems Manager configurant l'utilisation d'un point de terminaison VPC d'interface dans Amazon Virtual Private Cloud (Amazon VPC). En utilisant un point de terminaison VPC d'interface (point de terminaison d'interface), vous pouvez vous connecter à des services alimentés par. AWS PrivateLink AWS PrivateLink est une technologie qui vous permet d'accéder en privé à Amazon Elastic Compute Cloud (Amazon EC2) et à Systems APIs Manager en utilisant des adresses IP privées.
AWS PrivateLink restreint tout le trafic réseau entre vos instances gérées, Systems Manager et Amazon EC2 vers le réseau Amazon. Cela signifie que vos instances gérées n'ont pas accès à Internet. Si vous l'utilisez AWS PrivateLink, vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ou d'une passerelle privée virtuelle.
Vous n'êtes pas obligé de le configurer AWS PrivateLink, mais c'est recommandé. Pour plus d'informations sur AWS PrivateLink les points de terminaison VPC, consultez la section et les points de terminaison [AWS PrivateLink VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html).
**Note**
L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :
`ssm.region.amazonaws.com`
`ssmmessages.region.amazonaws.com`
`ec2messages.region.amazonaws.com`
L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.
Pour de plus amples informations sur ces points de terminaison, consultez [Référence : ec2messages, ssmmessages et autres opérations d'API](systems-manager-setting-up-messageAPIs.md).
Si vous utilisez Systems Manager dans un environnement *uniquement* compatible IPv6, vous devez également autoriser le trafic sortant vers les points de terminaison suivants :
`ssm.region.api.aws`
`ssmmessages.region.api.aws`
`ec2messages.region.api.aws`
Pour plus d'informations sur les points de terminaison de service à double pile, consultez la section Points de [terminaison à double pile](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints) du Guide de référence *AWS général*.
Vous devez également vous assurer que les compartiments d'opérations de correctif sont accessibles depuis vos nœuds, comme décrit dans [Référence : compartiments Amazon S3 pour les opérations de correctifs](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-operations-s3-buckets.html).
**À propos d'Amazon VPC**
Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour définir un réseau virtuel dans votre propre zone logiquement isolée au sein de ce que l' AWS Cloud on appelle un cloud *privé virtuel (VPC*). Vous pouvez lancer vos ressources AWS , comme des instances, dans votre VPC. Votre VPC ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS. Vous pouvez configurer votre VPC en sélectionnant sa plage d'adresses IP, en créant des sous-réseaux et en configurant des tables de routage, des passerelles réseau et des paramètres de sécurité. Vous pouvez connecter les instances de votre VPC à internet. Vous pouvez connecter votre VPC à votre propre centre de données d'entreprise, pour en faire AWS Cloud une extension de votre centre de données. Pour protéger les ressources dans chaque sous-réseau, vous pouvez utiliser plusieurs couches de sécurité, y compris des groupes de sécurité et des listes de contrôle d'accès réseau. Pour de plus amples informations, consultez le [Guide de l'utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
**Topics**
+ [
## Limites et restrictions applicables aux points de terminaison de VPC
](#vpc-requirements-and-limitations)
+ [
## Création de points de terminaison de VPC pour Systems Manager
](#create-vpc-endpoints)
+ [
## Création d'une politique de point de terminaison de VPC d'interface
](#create-vpc-interface-endpoint-policies)
## Limites et restrictions applicables aux points de terminaison de VPC
Avant de configurer les points de terminaison d'un VPC pour Systems Manager, tenez compte des restrictions et limitations suivantes.
**Connexions d'appairage de VPC**
Les points de terminaison de l'interface VPC sont accessibles via des connexions d'appairage de VPC *intra-région* et *inter-région* . Pour plus d'informations sur les demandes de connexion d'appairage de VPC pour les points de terminaison de l'interface VPC, consultez [Connexions d'appairage de VPC (Quotas)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.
Les connexions de point de terminaison de passerelle VPC ne peuvent être étendues à l'extérieur d'un VPC. Les ressources de l'autre côté d'une connexion d'appairage de VPC dans votre VPC ne peuvent pas utiliser le point de terminaison de passerelle pour communiquer avec des ressources du service de point de terminaison de passerelle. Pour plus d'informations sur les demandes de connexion d'appairage de VPC pour les points de terminaison de passerelle VPC, consultez [Points de terminaison VPC (Quotas)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-endpoints) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.
**Connexions entrantes**
Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé de l'instance gérée. Si les connexions entrantes ne sont pas autorisées, l'instance gérée ne peut pas se connecter aux points de terminaison SSM et EC2.
**Résolution DNS**
Si vous utilisez un serveur DNS personnalisé, vous devez ajouter un redirecteur conditionnel pour toutes les requêtes adressées au domaine `amazonaws.com` au serveur Amazon DNS de votre VPC.
**Compartiments S3**
Votre politique de point de terminaison de VPC doit, au minimum, autoriser l’accès aux compartiments Amazon S3 répertoriés dans la section [SSM Agentcommunications avec des AWS compartiments S3 gérés](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions).
**Note**
Si vous utilisez un pare-feu local et que vous prévoyez d'utiliser Patch Manager, ce pare-feu doit également autoriser l'accès au point de terminaison du référentiel de correctifs approprié.
**Amazon CloudWatch Logs**
Si vous n'autorisez pas vos instances à accéder à Internet, créez un point de terminaison VPC pour que les CloudWatch journaux utilisent les fonctionnalités qui envoient des journaux aux CloudWatch journaux. Pour plus d'informations sur la création d'un point de terminaison pour les CloudWatch journaux, consultez la section [Création d'un point de terminaison VPC pour les CloudWatch journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs) dans le guide de *l'utilisateur Amazon CloudWatch Logs*.
**Serveur DNS dans un environnement hybride et multicloud**
Pour plus d'informations sur la configuration du DNS pour qu'il fonctionne avec des AWS PrivateLink points de terminaison dans des environnements [hybrides et multicloud](operating-systems-and-machine-types.md#supported-machine-types), consultez la section [DNS privé pour les points de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-private-dns) dans le guide de l'utilisateur Amazon *VPC*. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser Route 53 Resolver. Pour plus d'informations, consultez la section [Résolution des requêtes DNS entre VPCs et votre réseau](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) dans le manuel *Amazon Route 53 Developer Guide*.
## Création de points de terminaison de VPC pour Systems Manager
Utilisez les informations suivantes pour créer des points de terminaison d'interface VPC pour. AWS Systems Manager Cette rubrique renvoie aux procédures du *Guide de l’utilisateur Amazon VPC*.
**Note**
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
Suivez les étapes dans [Création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) pour créer les points de terminaison d'interface suivants :
+ **`com.amazonaws.region.ssm`** : point de terminaison pour le service Systems Manager.
+ **`com.amazonaws.region.ec2messages`** : Systems Manager utilise ce point de terminaison pour effectuer des appels de SSM Agent au service Systems Manager. À partir de la version 3.3.40.0 de SSM Agent, Systems Manager a commencé à privilégier lorsque possible l’utilisation du point de terminaison `ssmmessages:*` (Amazon Message Gateway Service) à l’utilisation du point de terminaison `ec2messages:*` (Amazon Message Delivery Service).
+ **`com.amazonaws.region.ec2`** : si vous utilisez Systems Manager pour créer des instantanés activés pour VSS, vous devez vous assurer que vous disposez d'un point de terminaison pour le service EC2. Sans le point de terminaison EC2 défini, l'appel pour énumérer les volumes Amazon EBS attachés échoue, ce qui entraîne l'échec de la commande Systems Manager.
+ **`com.amazonaws.region.s3`** : Systems Manager utilise ce point de terminaison pour mettre à jour SSM Agent. Systems Manager utilise également ce point de terminaison si, éventuellement, vous choisissez d’extraire des scripts ou d’autres fichiers stockés dans des compartiments, ou de charger des journaux de sortie vers un compartiment. Si le groupe de sécurité associé à votre instance restreint le trafic sortant, vous devez ajouter une règle pour autoriser le trafic vers la liste de préfixes pour Amazon S3. Pour plus d'informations, consultez [Modifier votre groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-security) dans le *Guide AWS PrivateLink *.
+ **`com.amazonaws.region.ssmmessages`** : ce point de terminaison est nécessaire à SSM Agent pour communiquer avec le service Systems Manager, pour Run Command, et si vous vous connectez à vos instances via un canal de données sécurisé à l’aide de Session Manager. Pour plus d’informations, consultez [AWS Systems Manager Session Manager](session-manager.md) et [Référence : ec2messages, ssmmessages et autres opérations d'API](systems-manager-setting-up-messageAPIs.md).
+ (Facultatif) **`com.amazonaws.region.kms`**— Créez ce point de terminaison si vous souhaitez utiliser le chiffrement AWS Key Management Service (AWS KMS) pour les Parameter Store paramètres Session Manager ou.
+ (Facultatif) **`com.amazonaws.region.logs`**— Créez ce point de terminaison si vous souhaitez utiliser Amazon CloudWatch CloudWatch Logs (Logs) pour Session ManagerRun Command, ou SSM Agent les journaux.
Pour plus d'informations sur les compartiments S3 AWS gérés auxquels SSM Agent il est nécessaire d'accéder, consultez[SSM Agentcommunications avec des AWS compartiments S3 gérés](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions). Si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d'instance EC2 pour Systems Manager, ou dans une fonction du service pour les nœuds gérés non EC2 d'un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types).
## Création d'une politique de point de terminaison de VPC d'interface
Vous pouvez créer des politiques pour les points de terminaison de l'interface VPC AWS Systems Manager dans lesquelles vous pouvez spécifier :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources qui peuvent avoir des actions exécutées sur elles.
Pour plus d'informations, consultez [Contrôle de l'accès aux services avec points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide de l'utilisateur Amazon VPC*.
# Gestion des nœuds dans les environnements hybrides et multicloud avec Systems Manager
Vous pouvez l'utiliser AWS Systems Manager pour gérer à la fois des instances Amazon Elastic Compute Cloud (EC2) et un certain nombre de types de machines non EC2. Cette section décrit les tâches de configuration effectuées par les administrateurs système et de compte pour gérer des machines non EC2 à l'aide de Systems Manager dans un *environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types)*. Une fois ces étapes terminées, les utilisateurs auxquels l' Compte AWS administrateur a accordé des autorisations peuvent utiliser Systems Manager pour configurer et gérer les machines non EC2 de leur organisation.
Toute machine configurée pour être utilisée avec Systems Manager est un *nœud géré*.
**Note**
Vous pouvez enregistrer des appareils de périphérie en tant que nœuds gérés en utilisant les mêmes étapes d'activation hybride que celles utilisées pour d'autres machines non EC2. Ces types de périphériques périphériques incluent à la fois les AWS IoT appareils et les appareils autres que AWS IoT les appareils. Utilisez le processus décrit dans cette section pour configurer ces types d'appareils de périphérie.
Systems Manager prend également en charge les périphériques utilisant le logiciel AWS IoT Greengrass Core. Le processus de configuration et les exigences pour les périphériques AWS IoT Greengrass principaux sont différents de ceux pour AWS IoT les périphériques périphériques autres que les AWS périphériques périphériques. Pour plus d'informations sur l'enregistrement des AWS IoT Greengrass appareils à utiliser avec Systems Manager, consultez[Gestion des appareils de périphérie avec Systems Manager](systems-manager-setting-up-edge-devices.md).
Les machines macOS non EC2 ne sont pas prises en charge pour les environnements hybrides et multicloud Systems Manager.
Si vous prévoyez d'utiliser Systems Manager pour gérer des instances Amazon Elastic Compute Cloud (Amazon EC2), ou d'utiliser des instances Amazon EC2 et des machines non EC2 dans un environnement hybride et multicloud, commencez par suivre les étapes de la section [Gestion des instances EC2 avec Systems Manager](systems-manager-setting-up-ec2.md).
Après avoir configuré votre environnement hybride et multicloud pour Systems Manager, vous pourrez effectuer les opérations suivantes :
+ Créer une procédure cohérente et sécurisée pour gérer à distance vos charges de travail hybrides et multicloud depuis un emplacement unique, à l'aide des mêmes outils ou des mêmes scripts.
+ Centralisez le contrôle d'accès pour les actions qui peuvent être effectuées sur vos machines à l'aide de Gestion des identités et des accès AWS (IAM).
+ Centralisez l'audit des opérations effectuées sur vos machines en consultant l'activité de l'API enregistrée dans AWS CloudTrail.
Pour plus d'informations sur l'utilisation CloudTrail pour surveiller les actions de Systems Manager, consultez[Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ Centralisez la surveillance en configurant Amazon EventBridge et Amazon Simple Notification Service (Amazon SNS) pour envoyer des notifications concernant le succès de l'exécution du service.
Pour plus d'informations sur l'utilisation EventBridge pour surveiller les événements de Systems Manager, consultez[Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md).
**À propos des nœuds gérés**
*Une fois que vous avez terminé de configurer vos machines non-EC2 pour Systems Manager comme décrit dans cette section, vos machines activées par des hybrides sont répertoriées AWS Management Console et décrites comme des nœuds gérés.* Dans la console, néanmoins, les ID de vos nœuds gérés activés par un système hybride se distinguent des instances Amazon EC2 par le préfixe « mi- ». Les instances Amazon EC2 IDs utilisent le préfixe « i- ».
Un nœud géré est une machine configurée pour Systems Manager. Auparavant, les nœuds gérés étaient tous appelés instances gérées. Le terme *instance* fait désormais référence uniquement aux instances EC2. La [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)commande a été nommée avant ce changement de terminologie.
Pour de plus amples informations, veuillez consulter [Utilisation des nœuds gérés](fleet-manager-managed-nodes.md).
**Important**
Nous vous recommandons vivement d'éviter d'utiliser des versions de système d'exploitation ayant atteint End-of-Life (EOL). Les fournisseurs de systèmes d'exploitation, y compris, ne fournissent AWS généralement pas de correctifs de sécurité ou d'autres mises à jour pour les versions qui ont atteint la fin de vie. Le fait de continuer à utiliser un système EOL augmente considérablement le risque de ne pas pouvoir appliquer les mises à niveau, y compris les correctifs de sécurité, et d'autres problèmes opérationnels. AWS ne teste pas les fonctionnalités de Systems Manager sur les versions du système d'exploitation ayant atteint la fin de vie.
**À propos des niveaux d'instances**
Systems Manager offre un niveau d'instances standard et un niveau d'instances avancées pour les nœuds gérés non EC2 de votre environnement hybride et multicloud. Le niveau d'instances standard vous permet d'enregistrer un maximum de 1 000 machines activées par un système hybride par Compte AWS et par Région AWS. Si vous avez besoin d'enregistrer plus de 1 000 machines non EC2 dans un seul compte et une seule région, utilisez le niveau d'instances avancées. Les instances avancées vous permettent également de vous connecter à vos machines non-EC2 en utilisant. AWS Systems Manager Session Manager Session Managerfournit un accès shell interactif à vos nœuds gérés.
Pour de plus amples informations, veuillez consulter [Configuration des niveaux d'instance](fleet-manager-configure-instance-tiers.md).
**Topics**
+ [
# Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud
](hybrid-multicloud-service-role.md)
+ [
# Créer une activation hybride pour enregistrer des nœuds avec Systems Manager
](hybrid-activation-managed-nodes.md)
+ [
# Installer SSM Agent sur les nœuds Linux hybrides
](hybrid-multicloud-ssm-agent-install-linux.md)
+ [
# Installer SSM Agent sur les nœuds hybrides Windows Server
](hybrid-multicloud-ssm-agent-install-windows.md)
# Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud
Les machines non EC2 (Amazon Elastic Compute Cloud) dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types) nécessitent un rôle de service Gestion des identités et des accès AWS (IAM) pour communiquer avec le service. AWS Systems Manager Le rôle octroie à AWS Security Token Service (AWS STS) l'approbation [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) au service Systems Manager. Vous devez uniquement créer une fonction du service pour un environnement hybride et multicloud une fois pour chaque Compte AWS. Toutefois, vous pouvez choisir de créer plusieurs fonctions du service pour différentes activations hybrides si les machines de votre environnement hybride et multicloud requièrent des autorisations différentes.
Les procédures suivantes expliquent comment créer la fonction de service requise à l'aide de la console Systems Manager ou de votre outil de ligne de commande préféré.
## Utilisation du AWS Management Console pour créer un rôle de service IAM pour les activations hybrides de Systems Manager
Utilisez la procédure suivante pour créer une fonction de service pour une activation hybride. Cette procédure utilise la politique `AmazonSSMManagedInstanceCore` pour la fonctionnalité principale de Systems Manager. Selon votre cas d’utilisation, vous devrez peut-être ajouter des politiques supplémentaires à votre fonction de service pour que vos machines sur site puissent accéder à d’autres outils Systems Manager ou Services AWS. Par exemple, sans accès aux compartiments AWS gérés Amazon Simple Storage Service (Amazon S3) requisPatch Manager, les opérations de correction échouent.
**Pour créer un rôle de service (console)**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Pour **Select trusted entity** (Sélectionner une entité de confiance), effectuez les choix suivants :
1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.
1. Pour les **autres cas d'utilisation Services AWS**, choisissez **Systems Manager**.
1. Sélectionnez **Systems Manager**.
L’image suivante met en évidence l’emplacement de l’option Systems Manager.
![\[Systems Manager est l’une des options du cas d’utilisation.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. Choisissez **Suivant**.
1. Sur la page **Add permissions** (Ajouter des autorisations), procédez comme suit :
+ Utilisez le champ **de recherche** pour trouver la SSMManaged InstanceCore politique **d'Amazon**. Cochez la case correspondant à son nom, comme indiqué dans l’illustration suivante.
![\[La case à cocher est sélectionnée dans la SSMManaged InstanceCore ligne Amazon.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**Note**
La console conserve votre sélection même si vous recherchez d'autres politiques.
+ Si vous avez créé une politique de compartiment S3 personnalisée au cours de la procédure [(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3](setup-instance-permissions.md#instance-profile-custom-s3-policy), recherchez-la et cochez la case en regard de son nom.
+ Si vous envisagez de joindre des machines non EC2 à un Active Directory géré par Directory Service, recherchez **Amazon SSMDirectory ServiceAccess** et cochez la case à côté de son nom.
+ Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre nœud géré, recherchez **CloudWatchAgentServerPolicy**et cochez la case à côté de son nom.
1. Choisissez **Suivant**.
1. Pour **Nom de rôle**, saisissez un nom pour votre nouveau rôle de serveur IAM, par exemple, **SSMServerRole**.
**Note**
Notez le nom de rôle. Vous pouvez choisir ce rôle lorsque vous enregistrez de nouvelles machines à gérer à l'aide de Systems Manager.
1. (Facultatif) Pour **Description**, mettez à jour la description pour ce rôle de serveur IAM.
1. (Facultatif) Pour **Tags** (Balises), ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle.
1. Sélectionnez **Créer un rôle**. Le système vous renvoie à la page **Rôles**.
## Utilisation du AWS CLI pour créer un rôle de service IAM pour les activations hybrides de Systems Manager
Utilisez la procédure suivante pour créer une fonction de service pour une activation hybride. Cette procédure utilise la politique `AmazonSSMManagedInstanceCore` pour la fonctionnalité principale de Systems Manager. Selon votre cas d’utilisation, vous devrez peut-être ajouter des politiques supplémentaires à votre fonction du service pour vos machines non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types) afin de pouvoir accéder à d’autres outils ou Services AWS.
**Exigence pour les politiques de compartiment S3**
Dans les cas suivants, vous devez créer une politique d'autorisation IAM personnalisée pour les compartiments Amazon Simple Storage Service (Amazon S3) avant de terminer cette procédure :
+ **Cas 1** — Vous utilisez un point de terminaison VPC pour connecter en privé votre VPC aux services de point de terminaison VPC pris en charge et Services AWS alimentés par. AWS PrivateLink
+ **Cas 2** – Vous prévoyez d'utiliser un compartiment Amazon S3 que vous créez dans le cadre de vos opérations Systems Manager, par exemple pour stocker la sortie des commandes Run Command ou des sessions Session Manager dans un compartiment S3. Avant de continuer, suivez les étapes de [Créer une politique de compartiment S3 personnalisée pour un profil d'instance](setup-instance-permissions.md#instance-profile-custom-s3-policy). Les informations sur les politiques de compartiment S3 de cette rubrique s'appliquent également à votre rôle de service.
------
#### [ AWS CLI ]
**Pour créer une fonction du service IAM pour un environnement hybride et multicloud (AWS CLI)**
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Sur votre machine locale, créez un fichier texte avec un nom tel que `SSMService-Trust.json` avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier `.json`. Assurez-vous de spécifier votre Compte AWS et le Région AWS dans l'ARN dans lequel vous avez créé votre activation hybride. Remplacez le numéro *placeholder values* de compte et la région par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:111122223333:*"
}
}
}
]
}
```
------
1. Ouvrez le AWS CLI, et dans le répertoire où vous avez créé le fichier JSON, exécutez la commande [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) pour créer le rôle de service. Cet exemple crée un rôle nommé `SSMServiceRole`. Vous pouvez choisir un autre nom si vous préférez.
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
```
------
1. Exécutez la [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)commande comme suit pour autoriser le rôle de service que vous venez de créer à créer un jeton de session. Ce jeton de session autorise votre nœud géré à exécuter des commandes à l'aide de Systems Manager.
**Note**
Les politiques que vous ajoutez pour un profil de service pour des nœuds gérés dans un environnement hybride et multicloud sont les mêmes politiques que celles utilisées pour créer un profil d'instance pour des instances Amazon Elastic Compute Cloud (Amazon EC2). Pour de plus amples informations sur les politiques AWS utilisées dans les commandes suivantes, consultez [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md).
(Obligatoire) Exécutez la commande suivante pour autoriser un nœud géré à utiliser les fonctionnalités AWS Systems Manager de base du service.
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
------
Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour autoriser AWS Systems Manager Agent (SSM Agent) à accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez *account-id* et *amzn-s3-demo-bucket* par votre Compte AWS identifiant et le nom de votre bucket.
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
```
------
(Facultatif) Exécutez la commande suivante SSM Agent pour autoriser Directory Service le nœud géré à accéder en votre nom aux demandes de connexion au domaine. Votre fonction du service requiert uniquement cette politique si vous joignez vos nœuds à un annuaire Microsoft AD.
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
------
(Facultatif) Exécutez la commande suivante pour autoriser l' CloudWatch agent à s'exécuter sur vos nœuds gérés. Cette commande permet de lire des informations sur un nœud et de les y écrire CloudWatch. Votre profil de service n'a besoin de cette politique que si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
#### [ Tools for PowerShell ]
**Pour créer une fonction du service IAM pour un environnement hybride et multicloud (AWS Tools for Windows PowerShell)**
1. Installez et configurez les Outils AWS pour PowerShell (Outils pour Windows PowerShell), si ce n'est pas déjà fait.
Pour plus d'informations, consultez [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Sur votre machine locale, créez un fichier texte avec un nom tel que `SSMService-Trust.json` avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier `.json`. Assurez-vous de spécifier votre Compte AWS et le Région AWS dans l'ARN dans lequel vous avez créé votre activation hybride.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. Ouvrez PowerShell en mode administratif et dans le répertoire où vous avez créé le fichier JSON, exécutez [New- IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html) comme suit pour créer un rôle de service. Cet exemple crée un rôle nommé `SSMServiceRole`. Vous pouvez choisir un autre nom si vous préférez.
```
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
1. Utilisez [IAMRoleRegister-Policy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html) comme suit pour autoriser le rôle de service que vous avez créé à créer un jeton de session. Ce jeton de session autorise votre nœud géré à exécuter des commandes à l'aide de Systems Manager.
**Note**
Les politiques que vous ajoutez pour un profil de service pour des nœuds gérés dans un environnement hybride et multicloud sont les mêmes politiques que celles utilisées pour créer un profil d'instance pour des instances EC2. Pour plus d'informations sur les AWS politiques utilisées dans les commandes suivantes, consultez [Configurer les autorisations d'instance requises pour Systems Manager](setup-instance-permissions.md).
(Obligatoire) Exécutez la commande suivante pour autoriser un nœud géré à utiliser les fonctionnalités AWS Systems Manager de base du service.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour permettre à SSM Agent d'accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez *account-id* et *my-bucket-policy-name* par votre Compte AWS identifiant et le nom de votre bucket.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
```
(Facultatif) Exécutez la commande suivante SSM Agent pour autoriser Directory Service le nœud géré à accéder en votre nom aux demandes de connexion au domaine. Votre rôle de serveur requiert uniquement cette politique si vous joignez vos nœuds à un annuaire Microsoft AD.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Facultatif) Exécutez la commande suivante pour autoriser l' CloudWatch agent à s'exécuter sur vos nœuds gérés. Cette commande permet de lire des informations sur un nœud et de les y écrire CloudWatch. Votre profil de service n'a besoin de cette politique que si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
Passez au [Créer une activation hybride pour enregistrer des nœuds avec Systems Manager](hybrid-activation-managed-nodes.md).
# Créer une activation hybride pour enregistrer des nœuds avec Systems Manager
Pour configurer des machines autres que des instances Amazon Elastic Compute Cloud (EC2) en tant que nœuds gérés pour un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), vous devez créer et appliquer une *activation hybride*. Une fois que l'activation a abouti, vous recevez *immédiatement* un code d'activation et un ID d'activation en haut de la page de la console. Vous spécifiez cette combinaison de code et d'identifiant lors de l'installation AWS Systems Manager SSM Agent sur des machines autres que EC2 pour votre environnement hybride et multicloud. La combinaison code/ID fournit un accès sécurisé au service Systems Manager à partir de vos nœuds gérés.
**Important**
Systems Manager renvoie immédiatement le code d'activation et l'ID à la console ou la fenêtre de commande, selon la méthode de création de l'activation. Copiez ces informations et stockez-les en lieu sûr. Si vous quittez la console ou fermez la fenêtre de commande, vous risquez de perdre ces informations. Si vous les perdez, vous devrez recréer une activation.
**À propos des expirations d'activation**
Une *expiration d'activation* est une fenêtre de temps pendant laquelle vous pouvez enregistrer des machines sur site avec Systems Manager. Une activation expirée n'a aucun impact sur vos serveurs ou sur le VMs fait que vous vous êtes déjà enregistré auprès de Systems Manager. Si une activation expire, vous ne pouvez pas enregistrer d'autres serveurs ou VMs auprès de Systems Manager en utilisant cette activation spécifique. Il vous suffit d'en créer une.
Chaque serveur et chaque VM sur site que vous avez précédemment enregistré(e) reste enregistré(e) comme nœud géré par Systems Manager tant que vous n'aurez pas annulé son enregistrement de manière explicite. Vous pouvez désenregistrer un nœud non géré par EC2 en procédant comme suit :
+ Utilisez l’onglet **Nœuds gérés** dans Fleet Manager dans la console Systems Manager
+ Utilisez la AWS CLI commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)
+ Utilisez l’action d’API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html).
Pour plus d’informations, consultez les rubriques suivantes
+ [Désenregistrer et réenregistrer un nœud géré (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister)
+ [Désenregistrer et réenregistrer un nœud géré (Windows Server)](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister)
**À propos des nœuds gérés**
Un nœud géré est une machine configurée pour AWS Systems Manager. AWS Systems Manager prend en charge les instances Amazon Elastic Compute Cloud (Amazon EC2), les appareils périphériques et les serveurs sur site VMs ou, VMs y compris dans d'autres environnements cloud. Auparavant, les nœuds gérés étaient tous appelés instances gérées. Le terme *instance* fait désormais référence uniquement aux instances EC2. La [deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)commande a été nommée avant ce changement de terminologie.
**À propos des balises d'activation**
Si vous créez une activation en utilisant le AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell, vous pouvez spécifier des balises. Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Voici un AWS CLI exemple de commande à exécuter dans la région USA Est (Ohio) sur une machine Linux locale qui inclut des balises facultatives.
```
aws ssm create-activation \
--default-instance-name MyWebServers \
--description "Activation for Finance department webservers" \
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
--registration-limit 10 \
--region us-east-2 \
--tags "Key=Department,Value=Finance"
```
Si vous spécifiez des balises lorsque vous créez une activation, ces balises sont automatiquement affectées à vos nœuds gérés lorsque vous les activez.
Vous ne pouvez pas ajouter ou supprimer des balises dans une activation existante. Si vous ne souhaitez pas attribuer automatiquement des balises à vos serveurs locaux à VMs l'aide d'une activation, vous pouvez y ajouter des balises ultérieurement. Plus précisément, vous pouvez étiqueter vos serveurs sur site et VMs après leur première connexion à Systems Manager. Une fois qu'ils se sont connectés, un ID de nœud géré leur est affecté et ils sont répertoriés dans la console Systems Manager avec un ID dont le préfixe est « mi- ».
**Note**
Vous ne pouvez pas attribuer des balises à une activation si vous la créez à l'aide de la console Systems Manager. Vous devez le créer à l'aide du AWS CLI ou des outils pour Windows PowerShell.
Si vous ne souhaitez plus gérer un serveur local ou une machine virtuelle (VM) à l'aide de Systems Manager, vous pouvez annuler son enregistrement. Pour plus d'informations, consultez [Annulation de l'enregistrement de nœuds gérés dans un environnement hybride et multicloud](fleet-manager-deregister-hybrid-nodes.md).
**Topics**
+ [
## Utilisation du AWS Management Console pour créer une activation permettant d'enregistrer des nœuds gérés auprès de Systems Manager
](#create-managed-node-activation-console)
+ [
## Utilisation de la ligne de commande pour créer une activation permettant d’enregistrer des nœuds gérés avec Systems Manager
](#create-managed-node-activation-command-line)
## Utilisation du AWS Management Console pour créer une activation permettant d'enregistrer des nœuds gérés auprès de Systems Manager
**Créer une activation de nœuds gérés**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, choisissez **Hybrid Activations (Activations hybrides)**.
1. Choisissez **Créer une activation**.
-ou-
Si c'est la première fois que vous accédez aux **activations hybrides** Région AWS, choisissez **Créer une activation**.
1. (Facultatif) Dans le champ **Activation description** (Description de l'activation), saisissez une description pour cette activation. Nous vous recommandons de saisir une description si vous prévoyez d'activer un grand nombre de serveurs et VMs.
1. Pour **Limite d'instances**, spécifiez le nombre total de nœuds auprès desquels vous souhaitez vous enregistrer dans AWS le cadre de cette activation. La valeur par défaut est 1 instance.
1. Pour **le rôle IAM**, choisissez une option de rôle de service qui autorise vos serveurs VMs à communiquer AWS Systems Manager dans le cloud :
+ **Option 1** : choisissez **Use the default role created by the system** (Utiliser le rôle par défaut créé par le système) pour utiliser un rôle et une politique gérée fournis par AWS.
+ **Option 2** : choisissez **Select an existing custom IAM role that has the required permissions** (Sélectionner un rôle IAM personnalisé existant ayant les autorisations requises) pour utiliser le rôle personnalisé facultatif que vous avez créé précédemment. Ce rôle doit avoir une politique de relation d'approbation qui spécifie `"Service": "ssm.amazonaws.com"`. Si votre rôle IAM ne spécifie pas ce principe dans une politique de relation d'approbation, l'erreur suivante s'affiche :
```
An error occurred (ValidationException) when calling the CreateActivation
operation: Not existing role: arn:aws:iam:::role/SSMRole
```
Pour plus d'informations sur la création de ce rôle, consultez la page [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md).
1. Dans le champ **Activation expiry date** (Date d'expiration de l'activation), indiquez une date d'expiration pour l'activation. La date d'expiration doit se situer dans la plage des 30 prochains jours. La valeur par défaut est 24 heures.
**Note**
Si vous souhaitez enregistrer des nœuds gérés supplémentaires après la date d'expiration, vous devez créer une nouvelle activation. La date d'expiration n'a aucun impact sur les nœuds enregistrés et en cours d'exécution.
1. (Facultatif) Pour le champ **Default instance name** (Nom de l'instance par défaut), spécifiez une valeur de nom d'identification à afficher pour tous les nœuds gérés associés à cette activation.
1. Choisissez **Créer une activation**. Systems Manager renvoie immédiatement le code d'activation et l'ID à la console.
## Utilisation de la ligne de commande pour créer une activation permettant d’enregistrer des nœuds gérés avec Systems Manager
La procédure suivante décrit comment utiliser le AWS Command Line Interface (AWS CLI) (sous Linux ouWindows Server) ou comment Outils AWS pour PowerShell créer une activation de nœud géré.
**Pour créer une activation**
1. Installez et configurez le AWS CLI ou le Outils AWS pour PowerShell, si ce n'est pas déjà fait.
Pour plus d'informations, consultez la section [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) et [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Exécutez la commande suivante pour créer une activation.
**Note**
Dans la commande suivante, remplacez *region* par vos propres informations. Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
Le rôle que vous spécifiez pour le *iam-role* paramètre doit disposer d'une politique de relation de confiance qui spécifie`"Service": "ssm.amazonaws.com"`. Si votre rôle Gestion des identités et des accès AWS (IAM) ne spécifie pas ce principe dans une politique de relation de confiance, le message d'erreur suivant s'affiche :
```
An error occurred (ValidationException) when calling the CreateActivation
operation: Not existing role: arn:aws:iam:::role/SSMRole
```
Pour plus d'informations sur la création de ce rôle, consultez la page [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md).
Pour `--expiration-date`, fournissez une date au format horodatage, `"2021-07-07T00:00:00"` par exemple, pour indiquer la date d'expiration du code d'activation. Vous pouvez spécifier une date jusqu'à 30 jours à l'avance. Si vous ne fournissez pas de date d'expiration, le code d'activation expire sous 24 heures.
------
#### [ Linux & macOS ]
```
aws ssm create-activation \
--default-instance-name name \
--iam-role iam-service-role-name \
--registration-limit number-of-managed-instances \
--region region \
--expiration-date "timestamp" \\
--tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
```
------
#### [ Windows ]
```
aws ssm create-activation ^
--default-instance-name name ^
--iam-role iam-service-role-name ^
--registration-limit number-of-managed-instances ^
--region region ^
--expiration-date "timestamp" ^
--tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
```
------
#### [ PowerShell ]
```
New-SSMActivation -DefaultInstanceName name `
-IamRole iam-service-role-name `
-RegistrationLimit number-of-managed-instances `
–Region region `
-ExpirationDate "timestamp" `
-Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}
```
------
Voici un exemple.
------
#### [ Linux & macOS ]
```
aws ssm create-activation \
--default-instance-name MyWebServers \
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \
--registration-limit 10 \
--region us-east-2 \
--expiration-date "2021-07-07T00:00:00" \
--tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
```
------
#### [ Windows ]
```
aws ssm create-activation ^
--default-instance-name MyWebServers ^
--iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^
--registration-limit 10 ^
--region us-east-2 ^
--expiration-date "2021-07-07T00:00:00" ^
--tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
```
------
#### [ PowerShell ]
```
New-SSMActivation -DefaultInstanceName MyWebServers `
-IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances `
-RegistrationLimit 10 `
–Region us-east-2 `
-ExpirationDate "2021-07-07T00:00:00" `
-Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}
```
------
Si l'activation est créée avec succès, le système renvoie immédiatement un code d'activation et un ID.
# Installer SSM Agent sur les nœuds Linux hybrides
Cette rubrique décrit comment procéder à l'installation AWS Systems Manager SSM Agent sur des machines Linux non EC2 (Amazon Elastic Compute Cloud) dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). Pour plus d’informations sur l’installation de SSM Agent sur les instances EC2 pour Linux, consultez [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Linux](manually-install-ssm-agent-linux.md).
Avant de commencer, recherchez le code d’activation et l’ID d’activation qui ont été générés au cours du processus d’activation hybride, comme décrit dans [Créer une activation hybride pour enregistrer des nœuds avec Systems Manager](hybrid-activation-managed-nodes.md). Vous indiquez le code et l'ID dans la procédure suivante.
**Pour installer SSM Agent sur des machines non EC2 dans un environnement hybride et multicloud**
1. Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.
1. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d'environnement `http_proxy` ou `https_proxy` dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.
Pour un serveur proxy HTTP, saisissez les commandes suivantes sur la ligne de commande :
```
export http_proxy=http://hostname:port
export https_proxy=http://hostname:port
```
Pour un serveur proxy HTTPS, saisissez les commandes suivantes sur la ligne de commande :
```
export http_proxy=http://hostname:port
export https_proxy=https://hostname:port
```
1. Copiez et collez l'un des blocs de commande suivants dans SSH. Remplacez les valeurs d'espace réservé par le code d'activation et l'identifiant d'activation générés lors du processus d'activation hybride et par l'identifiant du fichier à SSM Agent partir Région AWS duquel vous souhaitez effectuer le téléchargement, puis appuyez sur`Enter`.
**Important**
Prenez note des informations importantes suivantes :
L’utilisation de `ssm-setup-cli` pour des installations non EC2 maximise la sécurité de votre installation et de votre configuration Systems Manager.
`sudo` n'est pas nécessaire si vous êtes un utilisateur racine.
Téléchargez `ssm-setup-cli` à partir de Région AWS l'endroit où votre activation hybride a été créée.
`ssm-setup-cli` prend en charge une option `manifest-url` qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige.
Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour `ssm-setup-cli`. `ssm-setup-cli` ne doit pas être stocké séparément pour une utilisation ultérieure.
Vous pouvez utiliser le script fourni [ici](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_linux.sh) pour valider la signature de `ssm-setup-cli`.
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
De plus, `ssm-setup-cli` inclut les options suivantes :
+ `version` : les valeurs valides sont `latest` et `stable`.
+ `downgrade` : permet de rétrograder SSM Agent à une version antérieure. Spécifiez `true` pour installer une version antérieure de l’agent.
+ `skip-signature-validation` : ignore la validation de signature lors du téléchargement et de l’installation de l’agent.
## Amazon Linux 2, RHEL 7.x et Oracle Linux
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## RHEL 8.x
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## Debian Server
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
## Ubuntu Server
+ **Utilisation de packages .deb**
```
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
```
+ **Utilisation de packages Snap**
Vous n'avez pas besoin de spécifier une URL pour le téléchargement, car la commande `snap` télécharge automatiquement l'agent à partir de la [boutique d'applications Snap](https://snapcraft.io/amazon-ssm-agent) à l'adresse [https://snapcraft.io](https://snapcraft.io).
Sur Ubuntu Server 20.04, 18.04 et 16.04 LTS, les fichiers du programme d’installation SSM Agent, y compris les fichiers binaires et les fichiers de configuration de l’agent, sont stockés dans le répertoire suivant : `/snap/amazon-ssm-agent/current/`. Si vous apportez des modifications aux fichiers de configuration de ce répertoire, vous devez copier ces fichiers du répertoire `/snap` vers le répertoire `/etc/amazon/ssm/`. Les fichiers journaux et de bibliothèque n'ont pas changé (`/var/lib/amazon/ssm`, `/var/log/amazon/ssm`).
```
sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
```
**Important**
Le canal *candidat* dans le magasin de Snaps contient la dernière version de l'SSM Agent ; pas le canal stable. Si vous souhaitez suivre les informations de version de SSM Agent sur le canal candidat, exécutez la commande suivante sur vos nœuds gérés 64 bits Ubuntu Server 18.04 et 16.04 LTS.
```
sudo snap switch --channel=candidate amazon-ssm-agent
```
La commande télécharge et installe SSM Agent sur la machine activée par un système hybride dans votre environnement hybride et multicloud. La commande arrête SSM Agent, puis enregistre la machine auprès du service Systems Manager. La machine est désormais un nœud géré. Les instances Amazon EC2 configurées pour Systems Manager sont également des nœuds gérés. Pourtant, dans la console Systems Manager, vos nœuds activés par un système hybride se distinguent des instances Amazon EC2 par le préfixe « mi- ».
Passez au [Installer SSM Agent sur les nœuds hybrides Windows Server](hybrid-multicloud-ssm-agent-install-windows.md).
## Configuration de la rotation automatique de la clé privée
Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour qu'il fasse automatiquement pivoter la clé privée pour votre environnement hybride et multicloud. Vous pouvez accéder à cette fonction en utilisant la version 3.0.1031.0 ou ultérieure de l'SSM Agent. Procédez comme suit pour activer cette fonction.
**Pour configurer SSM Agent de sorte à effectuer une rotation de la clé privée d'un environnement hybride et multicloud**
1. Accédez à `/etc/amazon/ssm/` sur une machine Linux ou à `C:\Program Files\Amazon\SSM` sur une machine Windows.
1. Copiez le contenu de `amazon-ssm-agent.json.template` vers un nouveau fichier appelé `amazon-ssm-agent.json`. Enregistrez `amazon-ssm-agent.json` dans le même répertoire que `amazon-ssm-agent.json.template`.
1. Recherchez `Profile`, `KeyAutoRotateDays`. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée.
1. Redémarrez SSM Agent.
Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.
Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section [Définitions des propriétés de configuration](https://github.com/aws/amazon-ssm-agent#config-property-definitions).
## Désenregistrer et réenregistrer un nœud géré (Linux)
Vous pouvez annuler l'enregistrement d'un nœud géré activé de manière hybride en appelant l'opération [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)API depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de commande de l'interface de ligne de commande :
`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`
Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé `IdentityConsumptionOrder` du fichier `amazon-ssm-agent.json`. Ensuite, exécutez l’une des commandes suivantes selon votre type d’instance.
Sur les nœuds Ubuntu Server où SSM Agent a été installé à l’aide de packages Snap :
```
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear
```
Pour toutes les autres installations Linux :
```
amazon-ssm-agent -register -clear
```
**Note**
Vous pouvez réenregistrer un serveur local, un appareil de périphérie ou une machine virtuelle en utilisant le même code d’activation et le même ID, tant que vous n’avez pas atteint la limite d’instances pour le code et l’ID d’activation désignés. Vous pouvez vérifier la limite d’instances pour un code et un ID d’activation en appelant l’API [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) à l’aide d’ AWS CLI. Après avoir exécuté la commande, vérifiez que la valeur de `RegistrationCount` ne dépasse pas `RegistrationLimit`. Si c’est le cas, vous devez utiliser un ID et un code d’activation différents.
**Pour réenregistrer un nœud géré sur une machine Linux non EC2**
1. Connectez-vous à votre machine.
1. Exécutez la commande suivante. Veillez à remplacer les valeurs d’espace réservé par le code d’activation et l’ID d’activation générés lors de la création d’une activation de nœuds gérés, et par l’identifiant de la région depuis laquelle vous souhaitez télécharger SSM Agent.
```
echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region
```
## Résolution des problèmes d'installation de SSM Agent sur des machines Linux non EC2
Utilisez les informations suivantes pour résoudre les problèmes liés à l'installation de SSM Agent sur des machines Linux activées par un système hybride dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types).
### Vous recevez un DeliveryTimedOut message d'erreur
**Problème** : lors de la configuration d'une machine en Compte AWS tant que nœud géré pour une machine séparée Compte AWS, vous recevez `DeliveryTimedOut` après avoir exécuté les commandes d'installation SSM Agent sur la machine cible.
**Solution** : `DeliveryTimedOut` est le code de réponse attendu pour ce scénario. La commande pour installer l'SSM Agent sur le nœud cible modifie l'ID de nœud du nœud source. Comme l'ID de nœud a changé, le nœud source n'est pas en mesure de répondre au nœud cible que la commande a échoué, s'est terminée ou a expiré lors de l'exécution.
### Impossible de charger les associations de nœuds
**Problème** : après avoir exécuté les commandes d'installation, l'erreur suivante s'affiche dans les journaux d'erreurs de l'SSM Agent :
`Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match`
Cette erreur s'affiche lorsque l'ID de la machine ne reste pas après un redémarrage.
**Solution** : pour résoudre ce problème, exécutez la commande suivante. Cette commande force l'ID de la machine à rester après un redémarrage.
```
umount /etc/machine-id
systemd-machine-id-setup
```
# Installer SSM Agent sur les nœuds hybrides Windows Server
Cette rubrique décrit comment procéder à l'installation AWS Systems Manager SSM Agent sur Windows Server des machines dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). Pour plus d'informations sur l'installation de SSM Agent sur les instances EC2 pour Windows Server, consultez [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Windows Server](manually-install-ssm-agent-windows.md).
Avant de commencer, recherchez le code d’activation et l’ID d’activation qui ont été générés au cours du processus d’activation hybride, comme décrit dans [Créer une activation hybride pour enregistrer des nœuds avec Systems Manager](hybrid-activation-managed-nodes.md). Vous indiquez le code et l'ID dans la procédure suivante.
**Pour installer SSM Agent sur des machines Windows Server non EC2 dans un environnement hybride et multicloud**
1. Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.
1. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d'environnement `http_proxy` ou `https_proxy` dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.
Pour un serveur proxy HTTP, définissez cette variable :
```
http_proxy=http://hostname:port
https_proxy=http://hostname:port
```
Pour un serveur proxy HTTPS, définissez cette variable :
```
http_proxy=http://hostname:port
https_proxy=https://hostname:port
```
Pour PowerShell, configurez les paramètres du INet proxy Win :
```
[System.Net.WebRequest]::DefaultWebProxy
$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)
[System.Net.WebRequest]::DefaultWebProxy = $WebProxy
```
**Note**
La configuration INet du proxy Win est requise pour les PowerShell opérations. Pour de plus amples informations, veuillez consulter [Paramètres de proxy de l'SSM Agent et services Systems Manager](configure-proxy-ssm-agent-windows.md#ssm-agent-proxy-services).
1. Ouvrez Windows PowerShell en mode élevé (administratif).
1. Copiez et collez le bloc de commande suivant dans les Windows PowerShell. Remplacez chaque *example resource placeholder* par vos propres informations. Par exemple, le code d'activation et l'identifiant d'activation générés lorsque vous créez une activation hybride, et avec l'identifiant du fichier à SSM Agent partir Région AWS duquel vous souhaitez effectuer le téléchargement.
**Important**
Prenez note des informations importantes suivantes :
L’utilisation de `ssm-setup-cli` pour des installations non EC2 maximise la sécurité de votre installation et de votre configuration Systems Manager.
`ssm-setup-cli` prend en charge une option `manifest-url` qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige.
Vous pouvez utiliser le script fourni [ici](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_windows.ps1) pour valider la signature de `ssm-setup-cli`.
Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour `ssm-setup-cli`. `ssm-setup-cli` ne doit pas être stocké séparément pour une utilisation ultérieure.
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
De plus, `ssm-setup-cli` inclut les options suivantes :
+ `version` : les valeurs valides sont `latest` et `stable`.
+ `downgrade` : rétablit une version antérieure de l’agent.
+ `skip-signature-validation` : ignore la validation de signature lors du téléchargement et de l’installation de l’agent.
------
#### [ 64-bit ]
```
[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
```
------
1. Appuyez sur `Enter`.
**Note**
Si la commande échoue, vérifiez que vous exécutez la dernière version d’ Outils AWS pour PowerShell.
La commande exécute les opérations suivantes :
+ Télécharge et installe SSM Agent sur la machine.
+ Enregistre la machine avec le service Systems Manager.
+ Renvoie à la demande une réponse semblable à ce qui suit :
```
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 07/07/2018 8:07 PM ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
Status : Running
Name : AmazonSSMAgent
DisplayName : Amazon SSM Agent
```
La machine est désormais un *nœud géré*. Ces nœuds gérés sont à présent identifiés avec le préfixe « mi- ». Vous pouvez afficher les nœuds gérés sur la page des **nœuds gérés** dansFleet Manager, à l'aide de la AWS CLI commande [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html)ou de la commande API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html).
## Configuration de la rotation automatique de la clé privée
Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour qu'il fasse automatiquement pivoter la clé privée dans un environnement hybride et multicloud. Vous pouvez accéder à cette fonction en utilisant la version 3.0.1031.0 ou ultérieure de l'SSM Agent. Procédez comme suit pour activer cette fonction.
**Pour configurer SSM Agent de sorte à effectuer une rotation de la clé privée d'un environnement hybride et multicloud**
1. Accédez à `/etc/amazon/ssm/` sur une machine Linux ou à `C:\Program Files\Amazon\SSM` sur une machine Windows Server.
1. Copiez le contenu de `amazon-ssm-agent.json.template` vers un nouveau fichier appelé `amazon-ssm-agent.json`. Enregistrez `amazon-ssm-agent.json` dans le même répertoire que `amazon-ssm-agent.json.template`.
1. Recherchez `Profile`, `KeyAutoRotateDays`. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée.
1. Redémarrez SSM Agent.
Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.
Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section [Définitions des propriétés de configuration](https://github.com/aws/amazon-ssm-agent#config-property-definitions).
## Désenregistrer et réenregistrer un nœud géré (Windows Server)
Vous pouvez annuler l'enregistrement d'un nœud géré en appelant l'opération [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html)API depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de commande de l'interface de ligne de commande :
`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`
Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé `IdentityConsumptionOrder` du fichier `amazon-ssm-agent.json`. Ensuite, exécutez la commande suivante :
`amazon-ssm-agent -register -clear`
**Note**
Vous pouvez réenregistrer un serveur local, un appareil de périphérie ou une machine virtuelle en utilisant le même code d’activation et le même ID, tant que vous n’avez pas atteint la limite d’instances pour le code et l’ID d’activation désignés. Vous pouvez vérifier la limite d’instances pour un code et un ID d’activation en appelant l’API [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) à l’aide d’ AWS CLI. Après avoir exécuté la commande, vérifiez que la valeur de `RegistrationCount` ne dépasse pas `RegistrationLimit`. Si c’est le cas, vous devez utiliser un ID et un code d’activation différents.
**Réenregistrer un nœud géré sur une machine hybride Windows Server**
1. Connectez-vous à votre machine.
1. Exécutez la commande suivante. Veillez à remplacer les valeurs d’espace réservé par le code d’activation et l’ID d’activation générés lors de la création d’une activation hybride, et par l’identifiant de la région depuis laquelle vous souhaitez télécharger SSM Agent.
```
$dir = $env:TEMP + "\ssm"
cd $dir
Start-Process ./ssm-setup-cli.exe -ArgumentList @(
"-register",
"-activation-code=$code",
"-activation-id=$id",
"-region=$region"
) -Wait -NoNewWindow
```
# Gestion des appareils de périphérie avec Systems Manager
Cette section décrit les tâches de configuration effectuées par les administrateurs de comptes et de systèmes pour permettre la configuration et la gestion des appareils AWS IoT Greengrass principaux. Une fois ces tâches terminées, les utilisateurs auxquels l' Compte AWS administrateur a accordé des autorisations peuvent les utiliser AWS Systems Manager pour configurer et gérer les AWS IoT Greengrass principaux appareils de leur organisation.
**Note**
SSM Agentpour AWS IoT Greengrass n'est pas pris en charge sur macOS Windows 10. Vous ne pouvez pas utiliser les outils de Systems Manager pour gérer et configurer des appareils de périphérie utilisant ces systèmes d’exploitation.
Systems Manager prend également en charge les périphériques périphériques qui ne sont pas configurés en tant que périphériques AWS IoT Greengrass principaux. Pour utiliser Systems Manager afin de gérer les appareils AWS IoT principaux et les appareils non AWS périphériques, vous devez les configurer à l'aide d'une activation hybride. Pour de plus amples informations, veuillez consulter [Gestion des nœuds dans les environnements hybrides et multicloud avec Systems Manager](systems-manager-hybrid-multicloud.md).
Pour utiliser Session Manager et la correction d'applications Microsoft avec vos appareils de périphérie, vous devez activer le niveau d'instances avancées. Pour de plus amples informations, veuillez consulter [Activation du niveau d'instances avancées](fleet-manager-enable-advanced-instances-tier.md).
**Avant de commencer**
Vérifiez que vos appareils de périphérie répondent aux exigences suivantes.
+ Vos appareils Edge doivent répondre aux exigences pour être configurés en tant que périphériques AWS IoT Greengrass principaux. Pour plus d'informations, consultez la section [Configuration des appareils AWS IoT Greengrass principaux](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html) dans le *Guide du AWS IoT Greengrass Version 2 développeur*.
+ Vos appareils Edge doivent être compatibles avec AWS Systems Manager Agent (SSM Agent). Pour de plus amples informations, veuillez consulter [Systèmes d'exploitation pris en charge pour Systems Manager](operating-systems-and-machine-types.md#prereqs-operating-systems).
+ Vos appareils de périphérie doivent être en mesure de communiquer avec le service Systems Manager dans le cloud. Systems Manager ne prend pas en charge les appareils de périphérie déconnectés.
**À propos de la configuration des appareils de périphérie**
La configuration AWS IoT Greengrass des appareils pour Systems Manager implique les processus suivants.
**Note**
Pour plus d'informations sur la désinstallation SSM Agent depuis un périphérique Edge, voir [Désinstaller l' AWS Systems Manager agent](https://docs.aws.amazon.com/greengrass/v2/developerguide/uninstall-systems-manager-agent.html) dans le *guide du AWS IoT Greengrass Version 2 développeur*.
## Création d’un rôle de service IAM pour les appareils de périphérie
AWS IoT Greengrass les périphériques principaux nécessitent un rôle de service Gestion des identités et des accès AWS (IAM) avec AWS Systems Manager lequel communiquer. Le rôle accorde la [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)confiance AWS Security Token Service (AWS STS) au service Systems Manager. Vous devez uniquement créer la fonction de service une fois pour chaque Compte AWS. Vous spécifierez ce rôle pour le `RegistrationRole` paramètre lorsque vous configurerez et déploierez le SSM Agent composant sur vos AWS IoT Greengrass appareils. Si vous avez déjà créé ce rôle lors de la configuration de nœuds non EC2 pour un [environnement hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), vous pouvez ignorer cette étape.
**Note**
Les utilisateurs de votre entreprise ou organisation qui utilisent Systems Manager sur vos appareils de périphérie doivent recevoir l'autorisation dans IAM d'appeler l'API Systems Manager.
**Exigence pour les politiques de compartiment S3**
Dans les cas suivants, vous devez créer une politique d'autorisation IAM personnalisée pour les compartiments Amazon Simple Storage Service (Amazon S3) avant de terminer cette procédure :
+ **Cas 1** : vous utilisez un point de terminaison VPC pour connecter en privé votre VPC aux services de point de terminaison VPC pris en charge et Services AWS alimentés par. AWS PrivateLink
+ **Cas 2** : Vous prévoyez d'utiliser un compartiment S3 que vous créez dans le cadre de vos opérations Systems Manager, par exemple pour stocker la sortie des commandes Run Command ou des sessions Session Manager dans un compartiment S3. Avant de continuer, suivez les étapes de [Créer une politique de compartiment S3 personnalisée pour un profil d'instance](setup-instance-permissions.md#instance-profile-custom-s3-policy). Les informations sur les politiques de compartiment S3 de cette rubrique s'appliquent également à votre rôle de service.
**Note**
Si vos appareils sont protégés par un pare-feu et que vous prévoyez d'utiliser Patch Manager, le pare-feu doit autoriser l'accès au point de terminaison du référentiel de correctifs `arn:aws:s3:::patch-baseline-snapshot-region/*`.
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
------
#### [ AWS CLI ]
**Pour créer un rôle de service IAM pour un AWS IoT Greengrass environnement ()AWS CLI**
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Sur votre machine locale, créez un fichier texte avec un nom tel que `SSMService-Trust.json` avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier `.json`.
**Note**
Notez le nom. Vous le spécifierez lors du déploiement SSM Agent sur vos appareils AWS IoT Greengrass principaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
```
------
1. Ouvrez le AWS CLI, et dans le répertoire où vous avez créé le fichier JSON, exécutez la commande [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) pour créer le rôle de service. Remplacez chaque *example resource placeholder* par vos propres informations.
**Linux et macOS**
```
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
```
**Windows**
```
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
```
1. Exécutez la [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)commande comme suit pour autoriser le rôle de service que vous venez de créer à créer un jeton de session. Ce jeton de session autorise vos appareils de périphérie à exécuter des commandes à l'aide de Systems Manager.
**Note**
Les politiques que vous ajoutez pour un profil de service pour des appareils de périphérie correspondent aux mêmes politiques que celles utilisées pour créer un profil d'instance pour des instances Amazon Elastic Compute Cloud (Amazon EC2). Pour de plus amples informations sur les politiques IAM utilisées dans les commandes suivantes, consultez la section [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md).
(Obligatoire) Exécutez la commande suivante pour autoriser un périphérique périphérique à utiliser les fonctionnalités AWS Systems Manager de base du service.
**Linux et macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour autoriser AWS Systems Manager Agent (SSM Agent) à accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez *account\$1ID* et *my\$1bucket\$1policy\$1name* par votre Compte AWS identifiant et le nom de votre bucket.
**Linux et macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name
```
(Facultatif) Exécutez la commande suivante pour autoriser SSM Agent à accéder à Directory Service en votre nom pour les demandes de jonction de domaine par les appareils de périphérie. La fonction de service requiert uniquement cette politique si vous joignez vos appareils de périphérie à un annuaire Microsoft AD.
**Linux et macOS**
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
**Windows**
```
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Facultatif) Exécutez la commande suivante pour autoriser l' CloudWatch agent à s'exécuter sur vos appareils Edge. Cette commande permet de lire des informations sur un appareil et de les y écrire CloudWatch. Votre rôle de service nécessite cette politique uniquement si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.
```
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
#### [ Tools for PowerShell ]
**Pour créer un rôle de service IAM pour un AWS IoT Greengrass environnement ()AWS Tools for Windows PowerShell**
1. Installez et configurez les Outils AWS pour PowerShell (Outils pour Windows PowerShell), si ce n'est pas déjà fait.
Pour plus d'informations, consultez [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Sur votre machine locale, créez un fichier texte avec un nom tel que `SSMService-Trust.json` avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier `.json`.
**Note**
Notez le nom. Vous le spécifierez lors du déploiement SSM Agent sur vos appareils AWS IoT Greengrass principaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
```
------
1. Ouvrez PowerShell en mode administratif et dans le répertoire où vous avez créé le fichier JSON, exécutez [New- IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html) comme suit pour créer un rôle de service.
```
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
1. Utilisez [IAMRoleRegister-Policy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html) comme suit pour autoriser le rôle de service que vous avez créé à créer un jeton de session. Ce jeton de session autorise vos appareils de périphérie à exécuter des commandes à l'aide de Systems Manager.
**Note**
Les politiques que vous ajoutez pour une fonction de service pour des appareils de périphérie dans un environnement AWS IoT Greengrass sont les mêmes politiques que celles utilisées pour créer un profil d'instance pour des instances EC2. Pour plus d'informations sur les AWS politiques utilisées dans les commandes suivantes, consultez [Configurer les autorisations d'instance requises pour Systems Manager](setup-instance-permissions.md).
(Obligatoire) Exécutez la commande suivante pour autoriser un périphérique périphérique à utiliser les fonctionnalités AWS Systems Manager de base du service.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour permettre à SSM Agent d'accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez *account\$1ID* et *my\$1bucket\$1policy\$1name* par votre Compte AWS identifiant et le nom de votre bucket.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
(Facultatif) Exécutez la commande suivante pour autoriser SSM Agent à accéder à Directory Service en votre nom pour les demandes de jonction de domaine par les appareils de périphérie. La fonction de service requiert uniquement cette politique si vous joignez vos appareils de périphérie à un annuaire Microsoft AD.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Facultatif) Exécutez la commande suivante pour autoriser l' CloudWatch agent à s'exécuter sur vos appareils Edge. Cette commande permet de lire des informations sur un appareil et de les y écrire CloudWatch. Votre rôle de service nécessite cette politique uniquement si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.
```
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```
------
## Configurez vos appareils Edge pour AWS IoT Greengrass
Configurez vos appareils Edge en tant qu'appareils AWS IoT Greengrass principaux. Le processus de configuration implique la vérification des systèmes d'exploitation pris en charge et de la configuration requise, ainsi que l'installation et la configuration du logiciel AWS IoT Greengrass Core sur vos appareils. Pour plus d'informations, consultez [Configuration des appareils Core AWS IoT Greengrass](https://docs.aws.amazon.com/greengrass/v2/developerguide/setting-up.html) dans le *Guide du développeur AWS IoT Greengrass Version 2 *.
## Mettez à jour le rôle d'échange de AWS IoT Greengrass jetons et installez-le SSM Agent sur vos appareils Edge
La dernière étape de configuration de vos appareils AWS IoT Greengrass principaux pour Systems Manager nécessite que vous mettiez à jour le rôle de service des appareils AWS IoT Greengrass Gestion des identités et des accès AWS (IAM), également appelé rôle d'*échange de jetons*, et que vous déployiez AWS Systems Manager l'agent (SSM Agent) sur vos AWS IoT Greengrass appareils. Pour plus d'informations sur ces processus, consultez [Installation de l'agent AWS Systems Manager](https://docs.aws.amazon.com/greengrass/v2/developerguide/install-systems-manager-agent.html) dans le *Guide du développeur AWS IoT Greengrass Version 2 *.
Après le déploiement SSM Agent sur vos appareils, les enregistre AWS IoT Greengrass automatiquement auprès de Systems Manager. Aucun enregistrement supplémentaire n'est nécessaire. Vous pouvez commencer à utiliser les outils Systems Manager pour accéder à vos AWS IoT Greengrass appareils, les gérer et les configurer.
**Note**
Vos appareils de périphérie doivent être en mesure de communiquer avec le service Systems Manager dans le cloud. Systems Manager ne prend pas en charge les appareils de périphérie déconnectés.
# Création d'un administrateur AWS Organizations délégué pour Systems Manager
**Change Managerchangement de disponibilité**
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html).
Lorsque vous configurez une organisation dans AWS Organizations, vous attribuez un compte de gestion pour effectuer toutes les tâches administratives pour tous Services AWS. L'utilisateur du compte de gestion peut attribuer un *compte d'administrateur délégué* uniquement à Systems Manager pour effectuer des tâches administratives pour Change ManagerExplorer, etOpsCenter. AWS Organizations est un service de gestion de comptes que vous pouvez utiliser pour créer une organisation et Comptes AWS attribuer la gestion centralisée de ces comptes. Pour plus d'informations AWS Organizations, consultez [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)le *guide de AWS Organizations l'utilisateur*.
Change ManagerExplorer, et les outils intégrés OpsCenter AWS Systems Manager, utilisez-les AWS Organizations pour effectuer des tâches sur tous les comptes membres de votre organisation. Vous ne pouvez désigner qu’un seul administrateur délégué pour tous les outils de Systems Manager. Le compte d’administrateur délégué doit être membre de l’organisation à laquelle il est affecté.
**Topics**
+ [
## Utilisation d’un administrateur délégué avec Change Manager
](#setting_up_delegated_administrator_change_manager)
+ [
## Utilisation d’un administrateur délégué avec Explorer
](#setting_up_delegated_administrator_explorer)
+ [
## Utilisation d’un administrateur délégué avec OpsCenter
](#setting_up_delegated_administrator_opscenter)
+ [
## Utilisation d’un administrateur délégué avec Quick Setup
](#setting_up_delegated_administrator_quick_setup)
## Utilisation d’un administrateur délégué avec Change Manager
Change Manager est un cadre de gestion des modifications d'entreprise pour demander, approuver, implémenter et signaler des modifications opérationnelles apportées à la configuration et à l'infrastructure de votre application.
Si vous utilisez Change Manager au sein d'une organisation, désignez un compte d'administrateur délégué pour gérer les modèles, approbations et rapports de modifications pour tous les comptes membres. À l’aide de Quick Setup, vous pouvez configurer l’utilisation de Change Manager avec une organisation et sélectionner le compte d’administrateur délégué. Si vous l'utilisez Change Manager avec un seul Compte AWS, le compte d'administrateur délégué n'est pas requis.
Par défaut, Change Manager affiche toutes les tâches liées aux modifications dans le compte d'administrateur délégué. Pour obtenir des instructions sur la configuration d'un administrateur délégué lors de la mise en place de Change Manager pour une organisation, veuillez consulter la rubrique [Configuration de Change Manager pour une organisation (compte de gestion)](change-manager-organization-setup.md).
**Important**
Si vous utilisez Change Manager au sein d'une organisation, nous vous recommandons de toujours apporter les modifications à partir du compte d'administrateur délégué. Bien qu'il soit possible d'apporter des modifications à partir d'autres comptes de l'organisation, celles-ci ne seront pas signalées ou affichées à partir du compte d'administrateur délégué.
## Utilisation d’un administrateur délégué avec Explorer
Explorerest un tableau de bord des opérations personnalisable qui fournit une vue agrégée des données opérationnelles (OpsData) pour votre Comptes AWS, à travers Régions AWS.
Vous pouvez configurer un compte d'administrateur délégué pour que Systems Manager puisse agréger Explorer les données provenant de plusieurs régions et comptes en utilisant la synchronisation des données de ressources avec AWS Organizations. Un administrateur délégué peut rechercher, filtrer et agréger Explorer des données à l'aide du AWS Management Console, du AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell.
Lorsque vous utilisez un compte d'administrateur délégué pour Explorer, vous limitez le nombre d'administrateurs qui peuvent créer ou supprimer des synchronisations de données de ressources de plusieurs comptes et régions à un seul Compte AWS.
Vous pouvez synchroniser les données opérationnelles dans l'ensemble Comptes AWS de votre organisation en utilisantExplorer. Pour découvrir comment désigner un administrateur délégué à partir d'Explorer, veuillez consulter la rubrique [Configuration d’un administrateur délégué pour Explorer](Explorer-setup-delegated-administrator.md).
## Utilisation d’un administrateur délégué avec OpsCenter
OpsCenterfournit un emplacement central où les ingénieurs des opérations et les professionnels de l'informatique peuvent gérer les éléments de travail opérationnels (OpsItems) liés aux AWS ressources. Si vous souhaitez utiliser OpsCenter pour gérer OpsItems de manière centralisée entre les comptes, vous devez configurer l'organisation dans AWS Organizations.
En utilisant Quick Setup pour OpsCenter, vous pouvez attribuer un compte administrateur délégué et configurer OpsCenter pour gérer OpsItems de manière centralisée. Pour de plus amples informations, veuillez consulter [(Facultatif) Configurer OpsCenter pour gérer OpsItems sur plusieurs comptes à l'aide de Quick Setup](OpsCenter-quick-setup-cross-account.md).
## Utilisation d’un administrateur délégué avec Quick Setup
Quick Setup est un outil de Systems Manager qui vous aide à configurer rapidement les services et les fonctionnalités AWS fréquemment utilisés, dans le respect des bonnes pratiques et des recommandations. Vous pouvez configurer un compte d'administrateur délégué pour vous aider Quick Setup à déployer et à gérer les configurations entre les comptes et les régions à l'aide de AWS Organizations. Un administrateur délégué pour Quick Setup peut créer, mettre à jour, afficher et supprimer les ressources du gestionnaire de configuration de votre organisation. Systems Manager enregistre un administrateur délégué pour Quick Setup dans le cadre du processus de configuration de l’expérience de la console intégrée. Pour de plus amples informations, veuillez consulter [Configuration de la console unifiée Systems Manager pour une organisation](systems-manager-setting-up-organizations.md).
## Configuration générale pour AWS Systems Manager
Si ce n'est pas déjà fait, inscrivez-vous Compte AWS et créez un utilisateur administratif.
### Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
### Création d’un utilisateur doté d’un accès administratif
Après vous être inscrit à un Compte AWS, sécurisez Utilisateur racine d'un compte AWS AWS IAM Identity Center, activez et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, voir [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.