Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti - AWS Systems Manager
Soluzione 1: verifica che SSM Agent sia installato e in esecuzione sul nodo gestitoSoluzione 2: verifica che sia stato specificato un profilo di istanza IAM per l'istanza (solo istanze) EC2 Soluzione 3: verifica della connettività degli endpoint del servizioSoluzione 4: verifica del supporto del sistema operativo di destinazioneSoluzione 5: verifica di lavorare nella Regione AWS stessa EC2 istanza AmazonSoluzione 6: verifica la configurazione proxy applicata a SSM Agent sul tuo nodo gestitoSoluzione 7: installazione di un certificato TLS sulle istanze gestite

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti

Per diversi AWS Systems Manager strumenti come Run CommandDistributor, eSession Manager, puoi scegliere di selezionare manualmente i nodi gestiti su cui desideri eseguire un'operazione. In casi come questi, dopo avere specificato che si desidera scegliere manualmente i nodi, viene visualizzato un elenco dei nodi gestiti. su cui puoi decidere di eseguire l'operazione.

Questo argomento fornisce informazioni per aiutarti nell'esecuzione della diagnosi del motivo per cui un nodo gestito che hai confermato come in esecuzione non è incluso negli elenchi dei nodi gestiti in Systems Manager.

Affinché un nodo possa essere gestito da Systems Manager e reso disponibile negli elenchi dei nodi gestiti, deve soddisfare tre requisiti:

  • SSM Agent deve essere installato e in esecuzione su un nodo con un sistema operativo supportato.

    Nota

    Alcuni AWS managed Amazon Machine Images (AMIs) sono configurati per avviare istanze SSM Agentpreinstallate. (È possibile configurare anche una AMI per preinstallare SSM Agent.) Per ulteriori informazioni, consulta Trova AMIs con SSM Agent preinstallato.

  • Per le istanze Amazon Elastic Compute Cloud (Amazon EC2), devi collegare un profilo di istanza AWS Identity and Access Management (IAM) all'istanza. Il profilo dell'istanza consente all'istanza di comunicare con il servizio Systems Manager. Se non si assegna un profilo dell'istanza all'istanza, è possibile registrarlo utilizzando un'attivazione ibrida, che non è uno scenario comune.

  • SSM Agent deve essere in grado di connettersi a un endpoint di Systems Manager per registrarsi con il servizio. Successivamente, il nodo gestito deve essere disponibile per il servizio, il che viene confermato da parte del servizio attraverso l'invio di un segnale ogni cinque minuti per controllare l'integrità dell'istanza.

  • Se lo stato di un nodo gestito è rimasto Connection Lost per almeno 30 giorni, il nodo potrebbe non essere più elencato nella console Fleet Manager. Per inserirlo nuovamente nell'elenco, è necessario risolvere il problema che ha causato la perdita della connessione.

Dopo aver verificato che un nodo gestito sia in esecuzione, puoi utilizzare il comando seguente per verificare se SSM Agent si è registrato correttamente con il servizio Systems Manager. Questo comando non restituisce risultati fino a quando la registrazione non è correttamente avvenuta.

Linux & macOS
aws ssm describe-instance-associations-status \
    --instance-id instance-id
Windows
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
PowerShell
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id

Se la registrazione ha avuto esito positivo e il nodo gestito è ora disponibile per le operazioni di Systems Manager, il comando restituisce risultati simili ai seguenti.

{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}

Se la registrazione non è ancora completata o non ha avuto esito positivo, il comando restituisce risultati simili al seguente:

{
    "InstanceAssociationStatusInfos": []
}

Se il comando non restituisce risultati dopo circa 5 minuti, utilizzare le informazioni seguenti per risolvere i problemi relativi ai nodi gestiti.

Argomenti

Soluzione 1: verifica che SSM Agent sia installato e in esecuzione sul nodo gestito

Verifica che sul nodo gestito sia installata e in esecuzione la versione più recente di SSM Agent.

Per determinare se SSM Agent è installato e in esecuzione su un nodo gestito, consulta Verifica dello stato di SSM Agent e avvio dell'agente.

Per installare o reinstallare SSM Agent su un nodo gestito, consulta i seguenti argomenti:

Soluzione 2: verifica che sia stato specificato un profilo di istanza IAM per l'istanza (solo istanze) EC2

Per le istanze Amazon Elastic Compute Cloud (Amazon EC2), verifica che l'istanza sia configurata con un profilo di istanza AWS Identity and Access Management (IAM) che consenta all'istanza di comunicare con l'API Systems Manager. Inoltre, verifica che l'utente disponga di una policy di attendibilità IAM che gli consenta di comunicare con l'API di Systems Manager.

Nota

I server locali, i dispositivi periferici e le macchine virtuali (VMs) utilizzano un ruolo di servizio IAM anziché un profilo di istanza. Per ulteriori informazioni, consulta Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud.

Per determinare se un profilo di istanza con le autorizzazioni necessarie è associato a un'istanza EC2

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, scegliere Instances (Istanze).

  3. Scegliere l'istanza in cui verificare la presenza di un profilo dell'istanza.

  4. Sulla scheda Description (Descrizione) nel riquadro inferiore, individuare Ruolo IAM e scegliere il nome del ruolo.

  5. Sulla pagina Riepilogodel ruolo per il profilo dell'istanza, nella scheda Autorizzazioni, assicurarsi che AmazonSSMManagedInstanceCore sia elencato sotto Policy di autorizzazione.

    Se invece viene utilizzato una policy personalizzata, assicurarsi che fornisca le stesse autorizzazioni di AmazonSSMManagedInstanceCore.

    Apri AmazonSSMManagedInstanceCore nella console

    Per informazioni su ulteriori policy che possono essere allegate a un profilo dell'istanza per Systems Manager, consulta la pagina Creazione di un profilo dell'istanza IAM richiesto per Systems Manager.

Soluzione 3: verifica della connettività degli endpoint del servizio

Verifica che l'istanza disponga della connettività agli endpoint del servizio Systems Manager. Questa connettività viene fornita creando e configurando endpoint VPC per Systems Manager o consentendo il traffico in uscita HTTPS (porta 443) agli endpoint di servizio.

Per EC2 le istanze Amazon, l'endpoint del servizio Systems Manager per il Regione AWS viene utilizzato per registrare l'istanza se la configurazione del cloud privato virtuale (VPC) consente il traffico in uscita. Tuttavia, se la configurazione VPC in cui è stata avviata l'istanza non permette il traffico in uscita e non è possibile modificarla per consentire la connettività agli endpoint di servizio pubblici, è necessario configurare invece gli endpoint di interfaccia per il VPC.

Per ulteriori informazioni, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

Soluzione 4: verifica del supporto del sistema operativo di destinazione

Verifica che l'operazione scelta possa essere eseguita sul tipo di nodo gestito che si prevede di visualizzare in elenco. Alcune operazioni di Systems Manager possono essere indirizzate solo alle istanze di Windows o solo alle istanze di Linux. Ad esempio, i documenti Systems Manager (SSM) AWS-InstallPowerShellModule e AWS-ConfigureCloudWatch possono essere eseguiti solo su istanze di Windows. Nella pagina Esegui un comando, se scegli uno di questi documenti e selezioni Scegli le istanze manualmente, vengono elencate e rese disponibili per la selezione solo le istanze di Windows.

Soluzione 5: verifica di lavorare nella Regione AWS stessa EC2 istanza Amazon

Le EC2 istanze Amazon vengono create e disponibili in aree specifiche Regioni AWS, come la regione Stati Uniti orientali (Ohio) (us-east-2) o la regione Europa (Irlanda) (eu-west-1). Assicurati di lavorare nella Regione AWS stessa EC2 istanza Amazon con cui desideri lavorare. Per ulteriori informazioni, consulta Scelta di una Regione in Nozioni di base su Console di gestione AWS.

Soluzione 6: verifica la configurazione proxy applicata a SSM Agent sul tuo nodo gestito

Verifica che la configurazione proxy applicata a SSM Agent sul tuo nodo gestito sia corretta. Se la configurazione del proxy non è corretta, il nodo non può connettersi agli endpoint di servizio richiesti oppure Systems Manager potrebbe identificare in modo errato il sistema operativo del nodo gestito. Per ulteriori informazioni, consultare Configurazione di SSM Agent per l'utilizzo di un proxy sui nodi Linux e Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server.

Soluzione 7: installazione di un certificato TLS sulle istanze gestite

Un certificato Transport Layer Security (TLS) deve essere installato su ogni istanza gestita con AWS Systems Manager cui utilizzi. Servizi AWS usa questi certificati per crittografare le chiamate verso altri. Servizi AWS

Per impostazione predefinita, un certificato TLS è già installato su ogni EC2 istanza Amazon creata da any Amazon Machine Image (AMI). La maggior parte dei sistemi operativi moderni include il certificato TLS richiesto da Amazon Trust Services CAs nel proprio trust store.

Per verificare se il certificato richiesto è installato sull'istanza, esegui il seguente comando in base al sistema operativo dell'istanza. Assicurati di sostituire la region parte dell'URL con quella Regione AWS in cui si trova l'istanza gestita.

Linux & macOS
curl -L https://ssm.region.amazonaws.com
Windows
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com

Il comando dovrebbe restituire un errore UnknownOperationException. Se invece ricevi un messaggio SSL/TLS di errore, è possibile che il certificato richiesto non sia installato.

Se ritieni AMIs che i certificati CA di Amazon Trust Services richiesti non siano installati sui tuoi sistemi operativi di base, su istanze create con istanze non fornite da Amazon o sui tuoi server locali VMs, devi installare e consentire un certificato di Amazon Trust Services o utilizzare AWS Certificate Manager (ACM) per creare e gestire certificati per un servizio integrato supportato.

In ciascuna delle istanze gestite deve essere installato uno dei seguenti certificati Transport Layer Security (TLS).

  • Autorità di certificazione root Amazon 1

  • Autorità di certificazione root dei servizi Starfield - G2

  • Autorità di certificazione Starfield di livello 2

Per ulteriori informazioni su ACM, consulta la Guida per l'utente di AWS Certificate Manager.

Se i certificati nel tuo ambiente di elaborazione sono gestiti da un Group Policy Object (GPO), potresti dover configurare le policy di gruppo affinché includano uno di tali certificati.

Per ulteriori informazioni sui certificati Amazon Root e Starfield, consulta il post del blog How to Prepare AWS for's Move to Its Own Certificate Authority.