As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS OpsWorks para Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
AWS OpsWorks for Chef Automate permite que você execute um servidor [Chef Automate](https://www.chef.io/automate/) na AWS. Você pode provisionar um servidor Chef em minutos e deixar AWS OpsWorks for Chef Automate lidar com suas operações, backups, restaurações e atualizações de software. AWS OpsWorks for Chef Automate libera você para se concentrar nas principais tarefas de gerenciamento de configuração, em vez de gerenciar um servidor Chef.
Um servidor Chef Automate gerencia a configuração dos nós em seu ambiente instruindo [https://docs.chef.io/chef_client.html](https://docs.chef.io/chef_client.html)quais receitas do Chef devem ser executadas nos nós, armazena informações sobre os nós e serve como um repositório central para seus livros de receitas do Chef. AWS OpsWorks for Chef Automate fornece servidores Chef que incluem recursos premium do Chef Automate: Chef Infra e Chef. InSpec
Um AWS OpsWorks for Chef Automate servidor é executado em uma instância do Amazon Elastic Compute Cloud. AWS OpsWorks for Chef Automate os servidores estão configurados para executar a versão mais recente do Amazon Linux (Amazon Linux 2). Para obter informações sobre o que foi alterado nesta versão do Chef Automate, consulte as [Notas de versão do Chef Automate](https://automate.chef.io/release-notes/?v=20190415203801). A tabela a seguir descreve os componentes do Chef que estão instalados em um AWS OpsWorks for Chef Automate servidor.
| Nome do componente | Description | Versão instalada no AWS OpsWorks for Chef Automate servidor |
| --- | --- | --- |
| Chef Automate | O Chef Automate é um pacote de software de servidor empresarial que oferece um fluxo de trabalho automatizado para implantação contínua e informações sobre nós gerenciados em um console de gerenciamento baseado na Web. O Chef Automate oferece automação de infraestrutura incluindo o Chef Infra, informações e fiscalização de segurança e conformidade, incluindo o Chef InSpec, e implantação automatizada, incluindo o Chef Habitat. Para obter mais informações sobre o Chef Automate, consulte [Chef Automate](https://www.chef.io/products/automate/) no site do Chef. | 2,0 |
| Chef Infra | Anteriormente chamado de Chef Server, o Chef Infra Server usa o agente (`chef-client`) do Chef Infra Client para aplicar continuamente configurações a nós gerenciados a fim de manter um estado desejado. Para obter mais informações sobre o Infra, consulte [Chef Infra](https://www.chef.io/products/chef-infra/) no site do Chef. | 12.x |
| Chef InSpec | O Chef InSpec descreve as regras de segurança e conformidade que podem ser compartilhadas entre engenheiros de software, operações e engenheiros de segurança. Conformidade, segurança e outros requisitos de política formam a estrutura de testes automatizados que o agente `chef-client` pode executar em nós gerenciados, garantindo a aplicação consistente de padrões. Para obter mais informações sobre InSpec, consulte [Chef InSpec](https://www.chef.io/products/chef-inspec/) no site do Chef. | 3.9.0 |
A versão mínima compatível do `chef-client` em nós associados a um servidor AWS OpsWorks for Chef Automate é 13.*x*. Recomendamos executar pelo menos 14.10.9 ou a versão estável `chef-client` mais atual.
Quando novas versões secundárias do software do Chef forem disponibilizadas, a manutenção do sistema é projetada para atualizar a versão secundária do Chef Automate e do Chef Server automaticamente no servidor, assim que ela passar nos testes da AWS. A AWS realiza testes extensivos para verificar se as atualizações do Chef estão prontas para produção e não interrompem os ambientes existentes dos clientes, portanto, pode haver atrasos entre os lançamentos do software Chef e sua disponibilidade para aplicação e os existentes nos servidores do Chef Automate. OpsWorks A manutenção do sistema também atualiza seu servidor para a versão mais recente do Amazon Linux.
Você pode conectar qualquer computador ou EC2 instância local que esteja executando um sistema operacional compatível e tenha acesso de rede a um AWS OpsWorks for Chef Automate servidor. Para consultar uma lista de sistemas operacionais compatíveis para nós que deseja gerenciar, acesse o [site do Chef](https://docs.chef.io/platforms.html). O software do agente [https://docs.chef.io/chef_client.html](https://docs.chef.io/chef_client.html) é instalado nos nós que você deseja gerenciar com um servidor Chef.
**Topics**
+ [Suporte regional para AWS OpsWorks for Chef Automate](#opscm-region)
+ [AWS OpsWorks para Chef Automate End of Life FAQs](opscm-eol-faqs.md)
+ [Atualize um AWS OpsWorks for Chef Automate servidor para o Chef Automate 2](opscm-a2upgrade.md)
+ [Começando com AWS OpsWorks for Chef Automate](gettingstarted-opscm.md)
+ [Crie um AWS OpsWorks for Chef Automate servidor usando CloudFormation](opscm-create-server-cfn.md)
+ [Atualizar um AWS OpsWorks for Chef Automate servidor para usar um domínio personalizado](opscm-update-server-custom-domain.md)
+ [Regenere o kit inicial para um servidor AWS OpsWorks for Chef Automate](opscm-regenerate-starterkit.md)
+ [Trabalhando com tags em AWS OpsWorks for Chef Automate recursos](opscm-tags.md)
+ [Fazer backup e restaurar um AWS OpsWorks for Chef Automate servidor](opscm-backup-restore.md)
+ [Manutenção do sistema em AWS OpsWorks for Chef Automate](opscm-maintenance.md)
+ [Verificações de conformidade em AWS OpsWorks for Chef Automate](opscm-chefcompliance.md)
+ [Desassociar um nó de um servidor AWS OpsWorks for Chef Automate](opscm-disassociate-node.md)
+ [Excluir um AWS OpsWorks for Chef Automate servidor](opscm-delete-server.md)
+ [Redefinição das credenciais do painel do Chef Automate](opscm-resetchefcreds.md)
+ [Registrando chamadas de AWS OpsWorks for Chef Automate API com AWS CloudTrail](logging-opsca-using-cloudtrail.md)
+ [Solução de problemas AWS OpsWorks for Chef Automate](troubleshoot-opscm.md)
## Suporte regional para AWS OpsWorks for Chef Automate
Os seguintes endpoints regionais oferecem suporte a AWS OpsWorks for Chef Automate servidores. AWS OpsWorks for Chef Automate cria recursos associados aos seus servidores Chef, como perfis de instância, usuários e funções de serviço, no mesmo endpoint regional do seu servidor Chef. O servidor do Chef deve estar em uma VPC. Você pode criar uma VPC, usar a que já tem ou optar pela VPC padrão.
+ Região Leste dos EUA (Ohio)
+ Região Leste dos EUA (Norte da Virgínia)
+ Região Oeste dos EUA (Norte da Califórnia)
+ Região Oeste dos EUA (Oregon)
+ Região Ásia-Pacífico (Tóquio)
+ Região Ásia-Pacífico (Singapura)
+ Região Ásia-Pacífico (Sydney)
+ Região Europa (Frankfurt)
+ Região Europa (Irlanda)
# AWS OpsWorks para Chef Automate End of Life FAQs
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa.
**Topics**
+ [Como os usuários existentes serão afetados por esse fim da vida útil?](#w2ab1b9c23b7)
+ [O que acontecerá aos meus servidores se eu não tomar nenhuma ação?](#w2ab1b9c23b9)
+ [Para quais alternativas posso fazer a transição?](#w2ab1b9c23c11)
+ [O serviço ainda está aceitando novos clientes?](#w2ab1b9c23c13)
+ [O fim da vida afetará tudo Regiões da AWS ao mesmo tempo?](#w2ab1b9c23c15)
+ [Qual nível de suporte técnico está disponível?](#w2ab1b9c23c17)
+ [Sou cliente atual do OpsWorks Chef Automate e preciso iniciar um servidor em uma conta que não estava usando o serviço anteriormente. Eu sou capaz de fazer isso?](#w2ab1b9c23c19)
+ [Haverá algum lançamento de recursos importantes no próximo ano?](#w2ab1b9c23c21)
## Como os usuários existentes serão afetados por esse fim da vida útil?
Os clientes existentes não serão afetados até 5 de maio de 2024, a data de fim da vida útil do Chef OpsWorks Automate. Após a data de fim da vida útil, os clientes não poderão mais gerenciar seus servidores usando o OpsWorks console ou a API.
## O que acontecerá aos meus servidores se eu não tomar nenhuma ação?
A partir de 5 de maio de 2024, você não poderá mais gerenciar seus servidores usando o OpsWorks console ou a API. Nesse momento, deixaremos de realizar quaisquer funções de gerenciamento contínuas de seus servidores, como backups ou manutenção. Para limitar o impacto para os clientes, deixaremos em execução todas as EC2 instâncias que estejam fazendo backup dos servidores do Chef Automate, mas suas licenças não serão mais válidas, pois o uso não é mais coberto (ou cobrado) pelo contrato de serviço do Chef Automate com o OpsWorks Chef. Você precisará entrar em contato com o [Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support) para obter uma nova licença. Ao entrar em contato com o Chef, certifique-se de dizer a eles que você já OpsWorks é cliente do Chef Automate e está fazendo a transição. OpsWorks
## Para quais alternativas posso fazer a transição?
AWS e o Progress Chef recomendam que você migre para a nova oferta Chef SaaS para que você possa continuar se beneficiando de um serviço Chef Automate totalmente gerenciado. Para começar a usar o Chef SaaS, você pode entrar em contato com o [Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support) para obter documentação sobre como configurar uma conta do Chef SaaS e fazer a transição de seus dados e nós.
Se o Chef SaaS não atender às suas necessidades porque você prefere executar o Chef Automate em EC2 instâncias nas AWS contas que você controla, o Chef oferece várias opções, incluindo um [modelo AWS Marketplace Bring Your Own License (BYOL)](https://aws.amazon.com/marketplace/pp/prodview-r26bs6uknftps) e hospedagem automática. EC2 Você pode entrar em contato com o [Progress Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support) para obter mais informações sobre como executar essa transição.
## O serviço ainda está aceitando novos clientes?
Não. AWS OpsWorks for Chef Automate não está mais aceitando novos clientes.
## O fim da vida afetará tudo Regiões da AWS ao mesmo tempo?
Sim. A API e o console chegarão ao fim da vida útil e ficarão inutilizáveis a partir de 5 de maio de 2024 em todas as Regiões da AWS. Para obter informações sobre Regiões da AWS onde AWS OpsWorks o Chef Automate está disponível, consulte a [Lista de serviços AWS regionais](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
## Qual nível de suporte técnico está disponível?
AWS continuarão a fornecer o mesmo nível de suporte OpsWorks para o Chef Automate que os clientes têm hoje até a data de fim da vida útil. Se você tiver dúvidas ou preocupações, entre em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support). Para obter suporte na transição, recomendamos que os clientes entrem em contato com o [Progress Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support).
## Sou cliente atual do OpsWorks Chef Automate e preciso iniciar um servidor em uma conta que não estava usando o serviço anteriormente. Eu sou capaz de fazer isso?
Geralmente não, a menos que haja circunstâncias excepcionais para fazer isso. Se você tiver uma situação especial, entre em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support) com os detalhes e a justificativa para isso e analisaremos sua solicitação.
## Haverá algum lançamento de recursos importantes no próximo ano?
Não. Como o serviço está chegando ao fim da vida útil, não lançaremos nenhum atributo novo. No entanto, continuaremos fazendo melhorias na segurança e gerenciando os servidores conforme o esperado até a data de fim da vida útil.
# Atualize um AWS OpsWorks for Chef Automate servidor para o Chef Automate 2
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
## Pré-requisitos para a atualização para o Chef Automate 2
Antes de começar, certifique-se de entender os novos recursos adicionados ao Chef Automate 2 e os recursos não compatíveis com o Chef Automate 2. Para obter informações sobre os recursos novos e não compatíveis no Chef Automate 2, consulte a [documentação do Chef Automate 2](https://automate.chef.io/docs/upgrade/#considerations) no site do Chef.
Um servidor que executa o Chef Automate 1 deve conter, pelo menos, uma execução de manutenção bem-sucedida após 1º de novembro de 2019 para se tornar elegível para atualização.
Como acontece com qualquer operação de manutenção em seu AWS OpsWorks for Chef Automate servidor, o servidor fica off-line durante a atualização. Programe um período de inatividade de até 3 horas durante o processo de atualização.
Você precisa das credenciais de entrada deste servidor para o site do painel do Chef Automate. Ao concluir a atualização, acesse o painel do Chef Automate e verifique se os nós e as informações da configuração não foram alteradas.
**Importante**
Quando você estiver pronto para atualizar seu AWS OpsWorks for Chef Automate servidor para o Chef Automate 2, use apenas as instruções aqui para atualizar. Como AWS OpsWorks for Chef Automate automatiza muitos dos processos de atualização, como a criação de backup, não siga as instruções de atualização no site do Chef.
## Sobre o processo de atualização
Durante o processo de atualização, o backup do servidor é feito antes de começar a atualização e após concluir a atualização. Os seguintes backups serão criados:
+ Um backup do servidor quando ainda estiver executando o Chef Automate 1 (versão 12.17.33).
+ Um backup do servidor após a atualização ter sido concluída e o servidor estiver executando o Chef Automate 2 (versão 2019-08).
O processo de atualização encerra a EC2 instância da Amazon que o servidor estava usando quando executou o Chef Automate 1. Uma nova instância será criada para executar o servidor do Chef Automate 2.
## Atualizar para o Chef Automate 2 (console)
1. Faça login no Console de gerenciamento da AWS e abra o OpsWorks console em [https://console.aws.amazon.com/opsworks/](https://console.aws.amazon.com/opsworks/).
1. No painel de navegação à esquerda, selecione **AWS OpsWorks for Chef Automate**.
1. Escolha um servidor para visualizar a página das propriedades. Um banner azul no topo da página indica se o servidor é elegível para a atualização para o Chef Automate 2.
**nota**
Um servidor que executa o Chef Automate 1 deve conter, pelo menos, uma execução de manutenção bem-sucedida após 1º de novembro de 2019 para se tornar elegível para atualização.
1. Se o servidor for elegível para a atualização, escolha **Start upgrade (Iniciar atualização)**.
1. Aguarde até três horas pela atualização. Durante o processo de atualização, a página de propriedades exibe o status do servidor como **Under maintenance (Em manutenção)**.
1. Quando a atualização é concluída, a página de propriedades exibe as duas mensagens a seguir: **Successfully upgraded to Automate 2 (Atualização para o Automate 2 concluída com êxito)** e **Maintenance completed successfully (Manutenção concluída com êxito)**. O status do servidor deve ser **HEALTHY (Íntegro)**.
1. Faça login no painel do Chef Automate com as credenciais existentes e verifique se os nós estão relatando corretamente.
## Atualizar para o Chef Automate 2 (CLI)
1. (Opcional) Se você não tiver certeza de quais dos seus AWS OpsWorks for Chef Automate servidores estão qualificados para atualização, execute o comando a seguir. Certifique-se de adicionar o `--region` parâmetro se quiser listar AWS OpsWorks for Chef Automate servidores em uma região da AWS diferente da sua região padrão da AWS.
```
aws opsworks-cm describe-servers
```
Nos resultados, procure o valor de `true` para o atributo `CHEF_MAJOR_UPGRADE_AVAILABLE`. Isso indica que o servidor está qualificado para a atualização para o Chef Automate 2. Anote os nomes dos AWS OpsWorks for Chef Automate servidores que estão qualificados para atualização.
1. Execute o comando a seguir, *server\$1name* substituindo-o pelo nome de um AWS OpsWorks for Chef Automate servidor. Para atualizar para o Chef Automate 2 em vez de executar a manutenção de rotina do sistema, adicione o atributo do mecanismo `CHEF_MAJOR_UPGRADE`, conforme exibido no comando. Adicione o parâmetro `--region` se o servidor de destino não estiver na região da AWS padrão. É possível atualizar somente um servidor por comando.
```
aws opsworks-cm start-maintenance --server-name server_name --engine-attributes Name=CHEF_MAJOR_UPGRADE,Value=true --region region
```
Se AWS OpsWorks for Chef Automate não for possível atualizar o servidor por algum motivo, esse comando resultará em uma exceção de validação.
1. Aguarde até três horas pela atualização. Você pode verificar o status de atualização periodicamente ao executar o comando a seguir.
```
aws opsworks-cm describe-servers --server-name server_name
```
Nos resultados, procure o valor de `Status`. Um `Status` de `UNDER_MAINTENANCE` indica que a atualização ainda está em andamento. Uma atualização bem-sucedida retornará mensagens semelhantes às mensagens a seguir.
```
2019/10/24 00:27:56 UTC Successfully upgraded to Automate 2.
2019/10/23 23:50:38 UTC Upgrading Chef server from Automate 1 to Automate 2
```
Se a atualização não for bem-sucedida, reverte AWS OpsWorks for Chef Automate automaticamente seu servidor para o Chef Automate 1.
Se a atualização tiver sido bem-sucedida, mas o servidor não estiver funcionando da mesma forma como antes da atualização (por exemplo, se os nós gerenciados não estiverem relatando), é possível reverter o servidor manualmente. Para obter informações sobre a reversão manual, consulte [Reverta um AWS OpsWorks for Chef Automate servidor para o Chef Automate 1 (CLI)](#opscm-a2upgrade-rollback-cli).
## Reverta um AWS OpsWorks for Chef Automate servidor para o Chef Automate 1 (CLI)
Se o processo de atualização falhar, reverte AWS OpsWorks for Chef Automate automaticamente seu servidor para o Chef Automate 1. Se a atualização foi bem-sucedida, mas o servidor não está funcionando da mesma forma que antes da atualização, você pode reverter seu AWS OpsWorks for Chef Automate servidor para o Chef Automate 1 manualmente usando o. AWS CLI
1. Execute o comando a seguir para exibir o `BackupId` do último backup realizado no servidor antes de tentar realizar a atualização. Adicione o parâmetro `--region` se o servidor estiver em uma região da AWS diferente da região da AWS padrão.
```
aws opsworks-cm describe-backups server_name
```
O backup IDs está no formato*ServerName-yyyyMMddHHmmssSSS*. Procure as seguintes propriedades do Chef Automate 1 nos resultados.
```
"Engine": "Chef"
"EngineVersion": "12.17.33"
```
1. Execute o comando a seguir, usando o ID do backup retornado na etapa 1 como o valor de `--backup-id`.
```
aws opsworks-cm restore-server --server-name server_name --backup-id ServerName-yyyyMMddHHmmssSSS
```
Aguarde entre 20 minutos e 3 horas para restaurar o servidor, dependendo da quantidade de dados armazenados no servidor. Durante a operação de restauração, o servidor apresentará um status de `RESTORING`. Esse status é exibido na página de propriedades do servidor no Console de gerenciamento da AWS, e retornado nos resultados do **describe-servers** comando.
1. Após a restauração ter sido concluída, o console exibirá a mensagem **Restore completed successfully (Restauração concluída com êxito)**. Seu AWS OpsWorks for Chef Automate servidor está on-line e o mesmo de antes de você iniciar o processo de atualização.
## Consulte também
+ [Manutenção do sistema em AWS OpsWorks for Chef Automate](opscm-maintenance.md)
+ [Restaurar um AWS OpsWorks for Chef Automate servidor a partir de um backup](opscm-chef-restore.md)
+ [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html) na *Referência de API do OpsWorks *
+ [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_StartMaintenance.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_StartMaintenance.html) na *Referência de API do OpsWorks *
# Começando com AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
AWS OpsWorks for Chef Automate permite que você execute um servidor [Chef Automate](https://www.chef.io/automate/) em AWS. Você pode provisionar um servidor do Chef em cerca de 15 minutos.
A partir de 3 de maio de 2021, AWS OpsWorks for Chef Automate armazena alguns atributos do servidor Chef Automate em AWS Secrets Manager. Para obter mais informações, consulte [Integração com AWS Secrets Manager](data-protection.md#data-protection-secrets-manager).
O passo a passo a seguir ajuda você a criar seu primeiro servidor Chef em. AWS OpsWorks for Chef Automate
## Pré-requisitos
Antes de começar, conclua os pré-requisitos a seguir.
**Topics**
+ [Configuração de um VPC](#set-up-vpc)
+ [Pré-requisitos para usar um domínio personalizado (opcional)](#gettingstarted-opscm-prereq-customdomain)
+ [Configurar um par de EC2 chaves (opcional)](#gettingstarted-opscm-prereq-keypair)
### Configuração de um VPC
Seu AWS OpsWorks for Chef Automate servidor deve operar em uma Amazon Virtual Private Cloud. É possível adicioná-lo a um VPC existente, usar o VPC padrão ou criar um novo VPC para conter o servidor. Para obter informações sobre a Amazon VPC e como criar uma nova VPC, consulte o [Guia de conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/).
Se você criar seu próprio VPC ou usar um existente, ele deve ter as configurações ou propriedades a seguir.
+ A VPC deve ter no mínimo uma sub-rede.
Se seu AWS OpsWorks for Chef Automate servidor estiver acessível ao público, torne a sub-rede pública e ative a **atribuição automática de IP público**.
+ **DNS resolution** deve ser habilitada.
+ Na sub-rede, ative **Auto-assign public IP**.
### Pré-requisitos para usar um domínio personalizado (opcional)
Você pode configurar o servidor Chef Automate no seu próprio domínio especificando um endpoint público em um domínio personalizado para usar como endpoint do servidor. Quando você usa um domínio personalizado, todos os itens a seguir são necessários, conforme descrito em detalhes nesta seção.
**Topics**
+ [Configurar um domínio personalizado](#gettingstarted-opscm-prereq-domain)
+ [Obter um certificado](#gettingstarted-opscm-prereq-cert)
+ [Obter uma chave privada](#gettingstarted-opscm-prereq-privatekey)
#### Configurar um domínio personalizado
Para executar o servidor Chef Automate no seu próprio domínio personalizado, você precisará de um endpoint público de um servidor, como `https://aws.my-company.com`. Se você especificar um domínio personalizado, também deverá fornecer um certificado e uma chave privada, conforme descrito nas seções anteriores.
Para acessar o servidor depois de criá-lo, inclua um registro DNS CNAME em seu serviço DNS preferido. Esse registro deve apontar o domínio personalizado para o endpoint (o valor do atributo `Endpoint` do servidor) que é gerado pelo processo de criação do servidor Chef Automate. Você não poderá acessar o servidor usando o valor de `Endpoint` gerado se o servidor estiver usando um domínio personalizado.
#### Obter um certificado
Para configurar o servidor Chef Automate no seu próprio domínio personalizado, você precisa de um certificado HTTPS no formato PEM. Ele pode ser um certificado autoassinado único ou uma cadeia de certificados. Ao concluir o fluxo de trabalho **Create Chef Automate server (Criar servidor Chef Automate)** se você especificar esse certificado, também deverá fornecer um domínio personalizado e uma chave privada.
Veja a seguir os requisitos para o valor do certificado:
+ Você pode fornecer um certificado autoassinado personalizado ou a cadeia de certificados completa.
+ O certificado deve ser um certificado X509 válido ou uma cadeia de certificados no formato PEM.
+ O certificado deve ser válido no momento do upload. Não é possível usar um certificado antes de seu período de validade começar (a data `NotBefore` do certificado) ou após sua expiração (a data `NotAfter` do certificado).
+ O nome comum do certificado ou os nomes alternativos do assunto (SANs), se presentes, devem corresponder ao valor do domínio personalizado.
+ O certificado deve corresponder ao valor do campo **Custom private key (Chave privada personalizada)**.
#### Obter uma chave privada
Para configurar o servidor Chef Automate em seu próprio domínio personalizado, você precisa de uma chave privada no formato PEM para se conectar ao servidor usando HTTPS. A chave privada não deve ser criptografada e não pode ser protegida por senha nem por frase secreta. Se especificar uma chave privada personalizada, também precisará fornecer um domínio personalizado e um certificado.
### Configurar um par de EC2 chaves (opcional)
Uma conexão SSH não é necessária ou recomendada para o gerenciamento típico do servidor do Chef. É possível usar os comandos [https://docs.chef.io/knife.html](https://docs.chef.io/knife.html) para executar a maioria das tarefas de gerenciamento em seu servidor do Chef.
É necessário um par de EC2 chaves para se conectar ao seu servidor usando SSH no caso de você perder ou querer alterar a senha de login do painel do Chef Automate. Você pode usar um par de chaves existente ou criar um novo par de chaves. Para obter mais informações sobre como criar um novo par de EC2 chaves, consulte [Amazon EC2 Key Pairs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html).
Se você não precisar de um par de EC2 chaves, você está pronto para criar um servidor Chef.
# Criar um servidor Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Você pode criar um servidor Chef usando o AWS OpsWorks for Chef Automate console ou AWS CLI o.
**Topics**
+ [Crie um servidor Chef Automate no Console de gerenciamento da AWS](#gettingstarted-opscm-create-console)
+ [Crie um servidor Chef Automate usando o AWS CLI](#gettingstarted-opscm-create-cli)
## Crie um servidor Chef Automate no Console de gerenciamento da AWS
1. Faça login no Console de gerenciamento da AWS e abra o OpsWorks console em [https://console.aws.amazon.com/opsworks/](https://console.aws.amazon.com/opsworks/).
1. Na página OpsWorks inicial, escolha **Ir OpsWorks para o Chef Automate**.
![\[OpsWorks casa de serviço\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opspup_day0.png)
1. Na página AWS OpsWorks for Chef Automate inicial, escolha **Criar servidor Chef Automate**.
![\[Página inicial de servidores do Chef Automate\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_dashboardhome.png)
1. Na página **Set name, region, and type**, especifique um nome para o seu servidor. Os nomes de servidores do Chef podem ter no máximo 40 caracteres e conter somente caracteres alfanuméricos e traços. Selecione uma região compatível e, em seguida, escolha um tipo de instância compatível com o número de nós que deseja gerenciar. É possível alterar o tipo de instância após a criação do servidor, se necessário. Para este passo a passo, estamos criando um tipo de instância **m5.large** no Oeste dos EUA (Oregon). Escolha **Próximo**.
![\[Página Definir nome, região e tipo\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_setname.png)
1. Na página **Configure server (Configurar servidor)**, deixe a seleção padrão na lista suspensa **SSH key (Chave SSH)**, a não ser que você deseje especificar um nome de par de chaves.
![\[Página Selecionar uma chave SSH\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_keypair.png)
1. Em **Specify server endpoint (Especificar endpoint do servidor)**, deixe o padrão, **Use an automatically-generated endpoint (Usar um endpoint gerado automaticamente)** e escolha **Next (Avançar)**, a menos que você queira que o servidor esteja em um domínio personalizado. Para configurar um domínio personalizado, vá para a próxima etapa.
![\[Especificar uma seção de endpoint do servidor\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_use_auto_endpoint.png)
1. Para usar um domínio personalizado, em **Specify server endpoint (Especificar endpoint do servidor)**, escolha **Use a custom domain (Usar um domínio personalizado)** na lista suspensa.
![\[Usar um domínio personalizado\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_use_custom_domain.png)
1. Em **Fully qualified domain name (FQDN) (Nome de domínio totalmente qualificado [FQDN])**, especifique um FQDN. Você deve ser proprietário do nome de domínio que usará.
1. Em **SSL certificate (Certificado SSL)**, cole todo o certificado em formato PEM, começando com `–––--BEGIN CERTIFICATE-----` e terminando com `–––--END CERTIFICATE-----`. O assunto do certificado SSL deve corresponder ao FQDN inserido na etapa anterior.
1. Em **SSL private key (Chave privada SSL)**, cole toda a chave privada RSA, começando com `–––--BEGIN RSA PRIVATE KEY-----` e terminando com `–––--END RSA PRIVATE KEY-----`. A chave privada SSL precisa corresponder à chave pública do certificado SSL inserido na etapa anterior. Escolha **Próximo**.
1. Na página **Configure advanced settings (Definir configurações avançadas)**, na seção **Network and security (Rede e segurança)**, escolha uma VPC, uma sub-rede e um ou mais grupos de segurança. Veja a seguir os requisitos para a VPC:
+ A VPC deve ter pelo menos uma sub-rede pública.
+ A resolução DNS deve estar habilitada.
+ **Auto-assign public IP (Atribuir IP público de modo automático)** deve estar habilitado em sub-redes públicas.
OpsWorks pode gerar um grupo de segurança, uma função de serviço e um perfil de instância para você, caso ainda não tenha alguns que queira usar. O servidor pode ser membro de vários grupos de segurança. Não é possível alterar as configurações de rede e segurança do servidor do Chef depois de sair desta página.
![\[Rede e segurança\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_networksec.png)
1. Na seção **System maintenance**, defina o dia e a hora em que você deseja que a manutenção do sistema se inicie. Como é recomendável que o servidor esteja offline durante a manutenção do sistema, escolha um horário de baixa demanda do servidor no horário comercial regular. Os nós conectados entram no estado `pending-server` até a manutenção ser concluída.
A janela de manutenção é necessária. Você pode alterar o dia e a hora de início posteriormente usando o Console de gerenciamento da AWS AWS CLI, ou APIs o.
![\[Manutenção do sistema\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_sysmaint.png)
1. Configure os backups. Por padrão, os backups automáticos estão ativados. Defina uma preferência de frequência e hora para o início do backup automático e defina o número de gerações de backup a armazenar no Amazon Simple Storage Service. Um máximo de 30 backups são mantidos; quando o máximo é atingido, AWS OpsWorks for Chef Automate exclui os backups mais antigos para abrir espaço para novos.
![\[Backups automáticos\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_backupconfig.png)
1. (Opcional) Em **Tags**, adicione tags ao servidor e aos recursos relacionados, como EC2 instância, endereço IP elástico, grupo de segurança, bucket do S3 e backups. Para obter mais informações sobre como marcar um AWS OpsWorks for Chef Automate servidor, consulte[Trabalhando com tags em AWS OpsWorks for Chef Automate recursos](opscm-tags.md).
1. Ao concluir a configuração das definições avançadas, selecione **Next**.
1. Na página **Analisar**, examine suas escolhas. Quando você estiver pronto para criar o servidor, escolha **Launch**.
Enquanto você espera OpsWorks para criar seu servidor Chef, acesse [Configurar o servidor do Chef usando o Starter Kit](opscm-starterkit.md) e baixe o Starter Kit e as credenciais do painel do Chef Automate. Não espere até que o servidor esteja online para fazer o download desses itens.
Quando a criação for concluída, o servidor do Chef estará disponível na página inicial do AWS OpsWorks for Chef Automate , com um status **online**. Depois que o servidor estiver online, o painel do Chef Automate estará disponível no domínio do servidor, em um URL no seguinte formato: `https://your_server_name-random.region.opsworks-cm.io`.
## Crie um servidor Chef Automate usando o AWS CLI
Criar um AWS OpsWorks for Chef Automate servidor executando AWS CLI comandos é diferente de criar um servidor no console. No console, OpsWorks cria uma função de serviço e um grupo de segurança para você, se você não especificar os existentes que deseja usar. No AWS CLI, OpsWorks pode criar um grupo de segurança para você se você não especificar um, mas ele não cria automaticamente uma função de serviço; você deve fornecer um ARN da função de serviço como parte do seu `create-server` comando. No console, enquanto OpsWorks cria seu servidor Chef Automate, você baixa o kit inicial do Chef Automate e as credenciais de login para o painel do Chef Automate. Como você não pode fazer isso ao criar um AWS OpsWorks for Chef Automate servidor usando o AWS CLI, use um utilitário de processamento JSON para obter as credenciais de login e o kit inicial dos resultados do `create-server` comando depois que o novo servidor estiver on-line. AWS OpsWorks for Chef Automate Como alternativa, você pode gerar um novo conjunto de credenciais de login e um novo starter kit no console depois que o novo servidor do AWS OpsWorks for Chef Automate estiver online.
Se seu computador local ainda não estiver executando o AWS CLI, faça o download e instale-o AWS CLI seguindo [as instruções de instalação](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) no *Guia do usuário da interface de linha de comando da AWS*. Esta seção não descreve todos os parâmetros que você pode usar com o comando `create-server`. Para obter mais informações sobre os parâmetros do `create-server`, consulte [https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html](https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html) na *Referência da AWS CLI *.
1. Certifique-se de concluir os pré-requisitos, especialmente [Configuração de um VPC](gettingstarted-opscm.md#set-up-vpc) ou verifique se você tem uma VPC existente que deseja usar. Para criar o servidor do Chef Automate, você precisa de um ID de sub-rede.
1. Opcionalmente, gere uma chave principal do Chef usando o [OpenSSL](https://www.openssl.org/) e salve a chave em um arquivo seguro e conveniente em seu computador local. A chave principal será gerada automaticamente como parte do processo de criação do servidor, se você não fornecer uma no comando `create-server`. Se quiser ignorar esta etapa, você poderá obter a chave principal do Chef Automate nos resultados do comando `create-server`. Se optar por gerar a chave principal usando os comandos a seguir, certifique-se de incluir o parâmetro `-pubout`, porque o valor da chave principal do Chef Automate é a metade pública do par de chaves RSA. Para obter mais informações, consulte a etapa 6.
```
umask 077
openssl genrsa -out "pivotal" 2048
openssl rsa -in "pivotal" -pubout
```
1. Crie uma função de serviço e um perfil de instância.
1. Encontre e copie as funções ARNs de serviço em sua conta.
```
aws iam list-roles --path-prefix "/service-role/" --no-paginate
```
Nos resultados do comando `list-roles`, procure pelas entradas de ARN da função de serviço semelhantes às seguintes. Anote a função de serviço ARNs. Você precisa desses valores para criar o servidor Chef Automate.
1. Encontre e copie os perfis ARNs da instância em sua conta.
```
aws iam list-instance-profiles --no-paginate
```
Nos resultados do comando `list-instance-profiles`, procure pelas entradas de ARN do perfil de instância semelhantes às seguintes. Anote o perfil da instância ARNs. Você precisa desses valores para criar o servidor Chef Automate.
1. Crie o AWS OpsWorks for Chef Automate servidor executando o `create-server` comando.
+ O valor de `--engine` é `ChefAutomate`, de `--engine-model` é `Single` e de `--engine-version` é `12`.
+ O nome do servidor deve ser exclusivo em sua AWS conta, em cada região. Os nomes dos servidores devem começar com uma letra; letras, números ou hífens (-) são permitidos, até um máximo de 40 caracteres.
+ Use o ARN do perfil de instância e o ARN da função de serviço que você copiou nas etapas 4 e 5.
+ Os tipos de instância válidos são `m5.large`, `r5.xlarge` ou `r5.2xlarge`. Para obter mais informações sobre as especificações desses tipos de instância, consulte [Tipos de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html) no *Guia EC2 do usuário da Amazon*.
+ O parâmetro `--engine-attributes` é opcional; se você não especificar um dos valores ou ambos, o processo de criação do servidor gerará os valores para você. Se você adicionar `--engine-attributes`, especifique o valor da `CHEF_AUTOMATE_PIVOTAL_KEY` que você gerou na Etapa 2, uma `CHEF_AUTOMATE_ADMIN_PASSWORD` ou ambos.
Se você não definir um valor para `CHEF_AUTOMATE_ADMIN_PASSWORD`, uma senha será gerada e retornada como parte da resposta do comando `create-server`. Você também pode fazer download do starter kit novamente no console, o que fará com que a senha seja gerada novamente. O comprimento da senha deve ter um mínimo de 8 e um máximo de 32 caracteres. A senha só pode conter letras, números e caracteres especiais (`!/@#$%^+=_`). Ela deve conter pelo menos uma letra minúscula, uma letra maiúscula, um número e um caractere especial.
+ Um par de chaves SSH é opcional, mas pode ajudá-lo a se conectar ao servidor do Chef Automate se você precisar redefinir a senha de administrador do painel do Chef Automate. Para obter mais informações sobre a criação de um par de chaves SSH, consulte [Amazon EC2 Key Pairs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) no *Amazon EC2 User Guide*.
+ Para usar um domínio personalizado, adicione os seguintes parâmetros ao comando. Caso contrário, o processo de criação do servidor Chef Automate gerará automaticamente um endpoint para você. Todos os três parâmetros são necessários para configurar um domínio personalizado. Para obter informações sobre requisitos adicionais para usar esses parâmetros, consulte [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)a Referência da API OpsWorks CM.
+ `--custom-domain` – um endpoint público opcional de um servidor, como `https://aws.my-company.com`.
+ `--custom-certificate` – um certificado HTTPS no formato PEM. O valor pode ser um certificado autoassinado único ou uma cadeia de certificados.
+ `--custom-private-key` – uma chave privada no formato PEM para a conexão com o servidor usando HTTPS. A chave privada não deve ser criptografada e não pode ser protegida por senha nem por frase secreta.
+ É necessário fazer a manutenção semanal do sistema. Os valores válidos devem sempre ser especificados no seguinte formato: `DDD:HH:MM`. A hora especificada está em formato de Tempo Universal Coordenado (UTC). Se você não especificar um valor para `--preferred-maintenance-window`, o valor padrão será aleatório, um período de uma hora na terça, quarta ou sexta-feira.
+ Os valores válidos para `--preferred-backup-window` devem ser especificados em um dos seguintes formatos: `HH:MM` para backups diários ou `DDD:HH:MM` para backups semanais. A hora é especificada em UTC. O valor padrão é uma hora de início aleatória estabelecida diariamente. Para cancelar os backups automáticos, adicione o parâmetro `--disable-automated-backup`.
+ Para`--security-group-ids`, insira um ou mais grupos de segurança IDs, separados por um espaço.
+ Em `--subnet-ids`, insira um ID de sub-rede.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" --server-name "server_name" --instance-profile-arn "instance_profile_ARN" --instance-type "instance_type" --engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"pivotal_key","CHEF_AUTOMATE_ADMIN_PASSWORD":"password"}' --key-pair "key_pair_name" --preferred-maintenance-window "ddd:hh:mm" --preferred-backup-window "ddd:hh:mm" --security-group-ids security_group_id1 security_group_id2 --service-role-arn "service_role_ARN" --subnet-ids subnet_ID
```
Veja um exemplo do a seguir:
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" --server-name "automate-06" --instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" --instance-type "m5.large" --engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' --key-pair "amazon-test" --preferred-maintenance-window "Mon:08:00" --preferred-backup-window "Sun:02:00" --security-group-ids sg-b00000001 sg-b0000008 --service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" --subnet-ids subnet-300aaa00
```
O exemplo a seguir cria um servidor Chef Automate que usa um domínio personalizado.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" \
--server-name "my-custom-domain-server" \
--instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" \
--instance-type "m5.large" \
--engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' \
--custom-domain "my-chef-automate-server.my-corp.com" \
--custom-certificate "-----BEGIN CERTIFICATE----- EXAMPLEqEXAMPLE== -----END CERTIFICATE-----" \
--custom-private-key "-----BEGIN RSA PRIVATE KEY----- EXAMPLEqEXAMPLE= -----END RSA PRIVATE KEY-----" \
--key-pair "amazon-test" \
--preferred-maintenance-window "Mon:08:00" \
--preferred-backup-window "Sun:02:00" \
--security-group-ids sg-b00000001 sg-b0000008 \
--service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" \
--subnet-ids subnet-300aaa00
```
O exemplo a seguir cria um servidor do Chef Automate que adiciona duas tags: `Stage: Production` e `Department: Marketing`. Para obter mais informações sobre como adicionar e gerenciar tags em AWS OpsWorks for Chef Automate servidores, consulte [Trabalhando com tags em AWS OpsWorks for Chef Automate recursos](opscm-tags.md) este guia.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" \
--server-name "my-test-chef-server" \
--instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" \
--instance-type "m5.large" \
--engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' \
--key-pair "amazon-test" \
--preferred-maintenance-window "Mon:08:00" \
--preferred-backup-window "Sun:02:00" \
--security-group-ids sg-b00000001 sg-b0000008 \
--service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" \
--subnet-ids subnet-300aaa00 \
--tags [{\"Key\":\"Stage\",\"Value\":\"Production\"},{\"Key\":\"Department\",\"Value\":\"Marketing\"}]
```
1. AWS OpsWorks for Chef Automate leva cerca de 15 minutos para criar um novo servidor. Não descarte a saída do comando `create-server` ou feche a sessão de shell, pois a saída pode conter informações importantes que não serão exibidas novamente. Para obter as senhas e o starter kit dos resultados do comando `create-server`, vá para a próxima etapa.
Se você estiver usando um domínio personalizado com o servidor, na saída do comando `create-server`, copie o valor do atributo `Endpoint`. Veja um exemplo do a seguir:
```
"Endpoint": "automate-07-exampleexample.opsworks-cm.us-east-1.amazonaws.com"
```
1. [Se você optou por AWS OpsWorks for Chef Automate gerar uma chave e uma senha para você, poderá extraí-las dos `create-server` resultados em formatos utilizáveis usando um processador JSON, como jq.](https://stedolan.github.io/jq/) Após instalar o [jq](https://stedolan.github.io/jq/), você pode executar os comandos a seguir para extrair a chave principal, a senha de administrador do painel do Chef Automate e o starter kit. Se você não forneceu sua própria chave principal e senha na etapa 4, salve a chave principal e a senha de administrador extraídas em locais seguros e convenientes.
```
#Get the Chef password:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_ADMIN_PASSWORD") | .Value'
#Get the Chef Pivotal Key:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_PIVOTAL_KEY") | .Value'
#Get the Chef Starter Kit:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_STARTER_KIT") | .Value' | base64 -D > starterkit.zip
```
1. Opcionalmente, se você não extraiu o kit inicial dos resultados do `create-server` comando, você pode baixar um novo kit inicial na página Propriedades do servidor no console. AWS OpsWorks for Chef Automate Ao fazer download de um novo starter kit, a senha de administrador do painel do Chef Automate é redefinida.
1. Se você não estiver usando um domínio personalizado, vá para a próxima etapa. Se você estiver usando um domínio personalizado com o servidor, crie uma entrada CNAME na ferramenta de gerenciamento de DNS da sua empresa para direcionar seu domínio personalizado para o AWS OpsWorks for Chef Automate endpoint que você copiou na etapa 7. Você não poderá acessar nem se conectar a um servidor com um domínio personalizado se não concluir esta etapa.
1. Quando o processo de criação do servidor for concluído, vá para [Configurar o servidor do Chef usando o Starter Kit](opscm-starterkit.md).
# Configurar o servidor do Chef usando o Starter Kit
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Enquanto a criação do servidor do Chef ainda está em andamento, abra a página Properties dele no console do AWS OpsWorks for Chef Automate . Na primeira vez que você trabalhar com um novo servidor do Chef, a página Properties solicitará que você faça o download de dois itens necessários. Faça o download desses itens antes que o servidor do Chef fique online. Os botões de download não ficam disponíveis depois que um novo servidor está online.
![\[AWS OpsWorks for Chef Automate nova página de propriedades do servidor\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_serverpropsdownload.png)
+ **Sign-in credentials for the Chef server (Credenciais de login para o servidor do Chef).** Você usará essas credenciais para entrar no painel do Chef Automate, onde trabalha com os recursos premium do Chef Automate, como fluxo de trabalho e verificações de conformidade. OpsWorks não salva essas credenciais; essa é a última vez que elas estão disponíveis para visualização e download. Se necessário, será possível alterar a senha fornecida com essas credenciais depois de fazer login.
+ **Starter Kit.** O Starter Kit contém um arquivo README com exemplos, um arquivo de configuração `knife.rb` e uma chave privada para o usuário principal ou essencial. Um novo par de chaves será gerado (e a antiga chave será redefinida) sempre que você fizer o download do Starter Kit.
Além das credenciais que funcionam somente com o novo servidor, o arquivo.zip do Starter Kit inclui um exemplo simples de um repositório do Chef que funciona com qualquer servidor. AWS OpsWorks for Chef Automate No repositório do Chef, você armazena livros de receitas, funções, arquivos de configuração e outros artefatos para o gerenciamento de seus nós com o Chef. Recomendamos que você armazene esse repositório em um sistema de controle de versão, como Git, e trate-o como código-fonte. Para informações e exemplos que mostram como configurar um repositório do Chef controlado no Git, consulte [Sobre o chef-repo](https://docs.chef.io/chef_repo.html) na documentação do Chef.
## Pré-requisitos
1. Embora a criação do servidor ainda esteja em andamento, faça o download das credenciais de login para o servidor do Chef e salve-as em um local seguro, mas conveniente.
1. Faça o download do Starter Kit e descompacte o arquivo Starter Kit..zip no diretório do espaço de trabalho. Não compartilhe a chave privada do Starter Kit. Se outros usuários forem gerenciar o servidor do Chef, adicione-os como administradores no painel do Chef Automate posteriormente.
1. Baixe e instale o [Chef Workstation](https://downloads.chef.io/products/workstation) (anteriormente conhecido como Chef Development Kit, ou Chef DK) no computador que você usará para gerenciar seu servidor e nós do Chef. O utilitário [https://docs.chef.io/knife.html](https://docs.chef.io/knife.html) faz parte do Chef Workstation. Para instruções, consulte [instalar o Chef Workstation](https://docs.chef.io/workstation/install_workstation/) no site do Chef.
## Explorar o conteúdo do Starter Kit
O Starter Kit tem o seguinte conteúdo.
+ `cookbooks/` - Um diretório para os livros de receitas criados por você. [A `cookbooks/` pasta contém o livro de receitas `opsworks-webserver`, um livro de receitas embalado que depende do livro de receitas `nginx` do site do Chef Supermarket](https://supermarket.chef.io/cookbooks/nginx). `Policyfile.rb` usa como padrão o Chef supermarket como fonte secundária se as dependências do livro de receitas não estiverem disponíveis no diretório `cookbooks/`.
+ `Policyfile.rb` - Um arquivo de política baseado no Ruby que define os livros de receitas, as dependências e os atributos que se tornam a política para os nós.
+ `userdata.sh` e `userdata.ps1` - Você poderá usar arquivos de dados de usuário para associar automaticamente nós depois de iniciar o servidor do Chef Automate. `userdata.sh` é para o bootstrapping de nós baseados no Linux e `userdata.ps1` é para nós baseados no Windows.
+ `Berksfile` - Você poderá usar este arquivo se preferir usar o Berkshelf e os comandos `berks` para fazer o upload de livros de receitas e suas dependências. Neste passo a passo, usamos `Policyfile.rb` e comandos do Chef para fazer o upload de livros de receitas, dependências e atributos.
+ `README.md`, um arquivo baseado no Markdown que descreve como usar o Starter Kit para configurar o servidor do Chef Automate pela primeira vez.
+ `.chef` é um diretório oculto que contém um arquivo de configuração knife (`knife.rb`) e um arquivo de chave de autenticação secreta (.pem).
+ `.chef/knife.rb` - Um arquivo de configuração knife (`knife.rb`). O [https://docs.chef.io/config_rb_knife.html](https://docs.chef.io/config_rb_knife.html)arquivo é configurado para que as operações da [https://docs.chef.io/knife.html](https://docs.chef.io/knife.html)ferramenta do Chef sejam executadas no AWS OpsWorks for Chef Automate servidor.
+ `.chef/ca_certs/opsworks-cm-ca-2020-root.pem` - Uma chave privada SSL assinada por uma autoridade de certificação (CA) fornecida pelo OpsWorks. Essa chave permite que o servidor identifique-se para o agente cliente do Chef Infra em nós que ele gerencia.
## Configurar seu repositório do Chef
Um repositório do Chef contém vários diretórios. Cada diretório no Starter Kit contém um arquivo README que descreve a finalidade de diretório e como usá-lo para gerenciar seus sistemas com o Chef. Há duas maneiras de obter livros de receitas instalados no servidor do Chef: executando comandos `knife` ou um comando do Chef para fazer o upload de um arquivo de política (`Policyfile.rb`) para o servidor que faz o download e instala livros de receitas especificados. Este passo a passo usa comandos do Chef e `Policyfile.rb` para instalar livros de receitas no servidor.
1. Crie um diretório no computador local para armazenar livros de receitas, como `chef-repo`. Depois de adicionar livros de receitas, funções e outros arquivos a esse repositório, recomendamos que você faça o upload ou o armazene em um sistema seguro e com controle de versão, como o CodeCommit Git ou o Amazon S3.
1. No diretório `chef-repo`, crie os seguintes diretórios:
+ `cookbooks/`: armazena livros de receitas.
+ `roles/`: armazena funções nos formatos `.rb` ou `.json`
+ `environments/`: armazena ambientes nos formatos `.rb` ou `.json`.
## Use Policyfile.rb para obter livros de receitas de uma fonte remota
Nesta seção, edite `Policyfile.rb` para especificar livros de receitas e executar um comando do Chef para fazer o upload do arquivo para o servidor e instalar livros de receitas.
1. Visualize `Policyfile.rb` no Starter Kit. Por padrão, `Policyfile.rb` inclui o livro de receitas wrapper `opsworks-webserver`, que depende do livro de receitas [https://supermarket.chef.io/cookbooks/nginx](https://supermarket.chef.io/cookbooks/nginx) disponível no site do Chef Supermarket. O livro de receitas `nginx` instala e configura um servidor web em nós gerenciados. O livro de receitas `chef-client` necessário, que instala o agente cliente do Chef Infra em nós gerenciados, também é especificado.
`Policyfile.rb` também aponta para o livro de receitas do Chef Audit, que você pode usar para configurar verificações de conformidade em nós. Para obter mais informações sobre como configurar verificações de conformidade e obter resultados de conformidade de nós gerenciados, consulte [Verificações de conformidade em AWS OpsWorks for Chef Automate](opscm-chefcompliance.md). Se você não quiser configurar verificações de conformidade e auditoria agora, exclua `'audit'` da seção `run_list` e não especifique os atributos do livro de receitas `audit` no final do arquivo.
```
# Policyfile.rb - Describe how you want Chef to build your system.
#
# For more information about the Policyfile feature, visit
# https://docs.chef.io/policyfile.html
# A name that describes what the system you're building with Chef does.
name 'opsworks-demo-webserver'
# The cookbooks directory is the preferred source for external cookbooks
default_source :chef_repo, "cookbooks/" do |s|
s.preferred_for "nginx", "windows", "chef-client", "yum-epel", "seven_zip",
"build-essential", "mingw", "ohai", "audit", "logrotate", "cron"
end
# Alternative source
default_source :supermarket
# run_list: chef-client runs these recipes in the order specified.
run_list 'chef-client',
'opsworks-webserver',
'audit'
# add 'ssh-hardening' to your runlist to fix compliance issues detected by the ssh-baseline profile
# Specify a custom source for a single cookbook:
cookbook 'opsworks-webserver', path: 'cookbooks/opsworks-webserver'
# Policyfile defined attributes
# Define audit cookbook attributes
default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
default["opsworks-demo"]["audit"]["profiles"] = [
{
"name": "DevSec SSH Baseline",
"compliance": "admin/ssh-baseline"
}
]
```
Este é um exemplo de `Policyfile.rb` sem o livro de receitas `audit` e os atributos, caso você queira configurar apenas o servidor web `nginx` por enquanto.
```
# Policyfile.rb - Describe how you want Chef to build your system.
#
# For more information on the Policyfile feature, visit
# https://docs.chef.io/policyfile.html
# A name that describes what the system you're building with Chef does.
name 'opsworks-demo-webserver'
# Where to find external cookbooks:
default_source :supermarket
# run_list: chef-client will run these recipes in the order specified.
run_list 'chef-client',
'opsworks-webserver'
# Specify a custom source for a single cookbook:
cookbook 'opsworks-webserver', path: 'cookbooks/opsworks-webserver'
```
Se você fizer alterações em `Policyfile.rb`, salve o arquivo.
1. Faça o download e instale os livros de receitas definidos em `Policyfile.rb`.
```
chef install
```
Todos os livros de receitas têm versionamento no arquivo `metadata.rb` do livro de receitas. Sempre que altera um livro de receitas, você deve aumentar a versão dele que está no `metadata.rb`.
1. Se você tiver optado por configurar verificações de conformidade e mantido as informações do livro de receitas `audit` no arquivo de política, envie a política `opsworks-demo` para o servidor.
```
chef push opsworks-demo
```
1. Se você concluiu a Etapa 3, verifique a instalação da política. Execute o comando a seguir.
```
chef show-policy
```
Os resultados devem ser semelhantes ao seguinte:
```
opsworks-demo-webserver
=======================
* opsworks-demo: ec0fe46314
```
1. Você já está pronto para adicionar ou inicializar nós no servidor do Chef Automate. Você pode automatizar a associação de nós seguindo as etapas em [Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ou adicionar nós, um de cada vez, seguindo as etapas em [Adicione nós individualmente](opscm-addnodes-individually.md).
## (Alternativa) Usar o Berkshelf para obter livros de receitas de uma fonte remota
O Berkshelf é uma ferramenta para o gerenciamento de livros de receitas e suas dependências. Se você preferir usar o Berkshelf em vez de `Policyfile.rb` instalar livros de receitas em armazenamento local, use o procedimento desta seção, e não da seção anterior. Você pode especificar quais livros de receitas e versões serão utilizados com o servidor do Chef e fazer o upload deles. O Starter Kit contém um arquivo chamado `Berksfile` que você pode usar para listar os livros de receitas.
1. Para começar, adicione o livro de receitas `chef-client` ao Berksfile incluído. O livro de receitas `chef-client` configura o software do agente cliente do Chef Intra em cada nó conectado ao servidor do Chef Automate. Para saber mais sobre esse livro de receitas, consulte [Chef Client Cookbook](https://supermarket.chef.io/cookbooks/chef-client) no Chef Supermarket.
1. Usando um editor de texto, anexe outro livro de receitas ao Berksfile que instala um aplicativo de servidor Web; por exemplo, o livro de receitas `apache2`, que instala o servidor Web Apache. Seu Berksfile deve se parecer com o seguinte.
```
source 'https://supermarket.chef.io'
cookbook 'chef-client'
cookbook 'apache2'
```
1. Faça o download e a instalação dos livros de receitas em seu computador local.
```
berks install
```
1. Carregue o livro de receitas no servidor do Chef.
No Linux, execute o seguinte.
```
SSL_CERT_FILE='.chef/ca_certs/opsworks-cm-ca-2020-root.pem' berks upload
```
No Windows, execute o seguinte comando do Chef Workstation em uma PowerShell sessão. Antes de executar o comando, certifique-se de definir a política de execução PowerShell como`RemoteSigned`. Adicione `chef shell-init` para disponibilizar os comandos do utilitário Chef Workstation para PowerShell.
```
$env:SSL_CERT_FILE="ca_certs\opsworks-cm-ca-2020-root.pem"
chef shell-init berks upload
Remove-Item Env:\SSL_CERT_FILE
```
1. Verifique a instalação do livro de receitas mostrando uma lista de livros de receitas atualmente disponíveis no servidor Chef Automate. Você pode fazer isso executando o seguinte comando `knife`:
Você está pronto para adicionar nós para gerenciar com o AWS OpsWorks for Chef Automate servidor.
```
knife cookbook list
```
## (Opcional) Configurar `knife` para trabalhar com um domínio personalizado
Se o seu servidor Chef Automate usa um domínio personalizado, talvez seja necessário adicionar o certificado PEM da CA raiz que assinou a cadeia de certificados do seu servidor ou o certificado PEM do servidor se o certificado for autoassinado. `ca_certs`é um subdiretório `chef/` que contém autoridades de certificação (CAs) nas quais o `knife` utilitário Chef confia.
Ignore esta seção se não estiver usando um domínio personalizado ou se o certificado personalizado estiver assinado por uma CA raiz que seja confiável para o sistema operacional. Caso contrário, configure o `knife` para confiar no certificado SSL do servidor Chef Automate, conforme descrito nas etapas a seguir.
1. Execute o comando a seguir.
```
knife ssl check
```
Se os resultados forem semelhantes aos seguintes, ignore o restante deste procedimento e vá para [Adicionar nós para o servidor do Chef gerenciar](opscm-addnodes.md).
```
Connecting to host my-chef-automate-server.my-corp.com:443
Successfully verified certificates from 'my-chef-automate-server.my-corp.com'
```
Se receber uma mensagem de erro semelhante à seguinte, vá para a próxima etapa.
```
Connecting to host my-chef-automate-server.my-corp.com:443
ERROR: The SSL certificate of my-chef-automate-server.my-corp.com could not be verified.
...
```
1. Execute `knife ssl fetch` para confiar nos certificados do servidor do AWS OpsWorks for Chef Automate . Você também pode copiar manualmente o certificado no formato PEM da CA raiz do servidor no diretório que é o valor de `trusted_certs_dir` na saída de `knife ssl check`. Por padrão, esse diretório está em `.chef/ca_certs/` no Starter Kit. A saída deve ser semelhante à seguinte:
```
WARNING: Certificates from my-chef-automate-server.my-corp.com will be fetched and placed in your trusted_cert
directory (/Users/username/starterkit/.chef/../.chef/ca_certs).
Knife has no means to verify these are the correct certificates. You should
verify the authenticity of these certificates after downloading.
Adding certificate for my-chef-automate-server in /Users/users/starterkit/.chef/../.chef/ca_certs/servv-aqtswxu20swzkjgz.crt
Adding certificate for MyCorp_Root_CA in /Users/users/starterkit/.chef/../.chef/ca_certs/MyCorp_Root_CA.crt
```
1. Execute `knife ssl check` novamente. A saída deve ser semelhante à seguinte:
```
Connecting to host my-chef-automate-server.my-corp.com:443
Successfully verified certificates from 'my-chef-automate-server.my-corp.com'
```
Você está pronto para usar o `knife` com o servidor Chef Automate.
# Adicionar nós para o servidor do Chef gerenciar
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
O agente [https://docs.chef.io/chef_client.html](https://docs.chef.io/chef_client.html) executa receitas do Chef em computadores físicos ou virtuais, chamados de *nós*, que são associados ao servidor. Você pode conectar computadores ou instâncias localmente ao servidor do Chef para gerenciar, desde que os nós estejam executando sistemas operacionais compatíveis. O registro de nós junto ao servidor do Chef instala o software do agente `chef-client` nesses nós.
É possível usar os seguintes métodos para adicionar nós:
+ Adicione notas individualmente executando um `knife` comando que adiciona ou *inicializa* uma EC2 instância para que o servidor Chef possa gerenciá-la. Para obter mais informações, consulte [Adicione nós individualmente](opscm-addnodes-individually.md).
+ Adicionar nós automaticamente usando um script para executar a associação automática de nós com o servidor do Chef. O código no [Starter Kit](opscm-starterkit.md) mostra como adicionar nós automaticamente usando o método desassistido. Para obter mais informações, consulte, [Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md).
**Topics**
+ [Adicione nós individualmente](opscm-addnodes-individually.md)
+ [Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md)
# Adicione nós individualmente
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Esta seção descreve como executar um `knife` comando que adiciona ou *inicializa* uma EC2 instância para que o servidor Chef possa gerenciá-la.
A versão mínima compatível do `chef-client` em nós associados a um servidor AWS OpsWorks for Chef Automate é 13.*x*. Recomendamos executar a `chef-client` versão mais atual e estável.
**Topics**
+ [(Opcional) Especificar o URL da CA raiz do servidor Chef Automate](#opscm-addnodes-customdomain)
+ [Sistemas operacionais compatíveis](#w2ab1b9c28c17c13c13)
+ [Adicionar nós com knife](#w2ab1b9c28c17c13c15)
## (Opcional) Especificar o URL da CA raiz do servidor Chef Automate
Se o servidor estiver usando um domínio e um certificado personalizados, talvez seja necessário editar a variável `ROOT_CA_URL` no script de dados de usuário com um URL público que você pode usar para obter o certificado no formato PEM da CA raiz do seu servidor. Os comandos da AWS CLI a seguir carregam sua CA raiz para um bucket do Amazon S3 e geram um pre-signed URL que você pode usar por uma hora.
1. Carregue o certificado no formato PEM da CA raiz no S3.
```
aws s3 cp ROOT_CA_PEM_FILE_PATH s3://bucket_name/
```
1. Gere um pre-signed URL que você pode usar por uma hora (3.600 segundos, neste exemplo) para fazer download da CA raiz.
```
aws s3 presign s3://bucket_name/ROOT_CA_PEM_FILE_NAME --expires-in 3600
```
1. Edite a variável `ROOT_CA_URL` no script de dados de usuário com o valor do pre-signed URL.
## Sistemas operacionais compatíveis
Para consultar a lista de sistemas operacionais compatíveis para nós, acesse [Website do Chef](https://docs.chef.io/platforms.html)
## Adicionar nós com knife
O plug-in [https://github.com/chef/knife-ec2](https://github.com/chef/knife-ec2) está incluído no Chef Workstation. Se você estiver mais familiarizado`knife-ec2`, poderá usá-lo em vez de `knife bootstrap` provisionar e inicializar novos EC2instances. Caso contrário, execute uma nova EC2 instância e siga as etapas nesta seção.
**Para adicionar nós a gerenciar**
1. Execute o seguinte comando `knife bootstrap`. Esse comando inicializa uma EC2 instância nos nós que seu servidor Chef gerenciará. Observe que você está instruindo o servidor do Chef a executar receitas do livro de receitas `nginx` instalado em [Use Policyfile.rb para obter livros de receitas de uma fonte remota](opscm-starterkit.md#install-cookbooks-policyfile). Para obter mais informações sobre a adição de nós ao executar o comando `knife bootstrap`, consulte [Ação de bootstrap em um nó](https://docs.chef.io/install_bootstrap.html) na documentação do Chef.
A tabela a seguir mostra os nomes de usuário válidos para os sistemas operacionais do nó no comando `knife` nesta etapa. Se nem `root` nem `ec2-user` funcionar, verifique com o seu provedor de AMI. Para obter mais informações sobre a conexão com instâncias baseadas em Linux, consulte a seção [Conexão à sua instância Linux usando SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html) na documentação da AWS.
**Valores válidos para nomes de usuário nos sistemas operacionais do nó**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/opscm-addnodes-individually.html)
```
knife bootstrap INSTANCE_IP_ADDRESS -N INSTANCE_NAME -x USER_NAME --sudo --run-list "recipe[nginx]"
```
1. Verifique se o novo nó foi adicionado executando os comandos a seguir, *INSTANCE\$1NAME* substituindo-os pelo nome da instância que você acabou de adicionar.
```
knife client show INSTANCE_NAME
knife node show INSTANCE_NAME
```
# Adicione nós automaticamente em AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Este tópico descreve como adicionar nós do Amazon Elastic Compute Cloud (Amazon EC2) ao seu servidor Chef automaticamente. O código no [Starter Kit](opscm-starterkit.md) mostra como adicionar nós automaticamente usando o método desassistido. O método recomendado de associação desassistida ou automática de novos nós é configurar o [Livro de receitas do Chef Client](https://supermarket.chef.io/cookbooks/chef-client). Você pode usar o script `userdata` no Starter Kit e alterar a seção `run_list` do script `userdata` ou seu `Policyfile.rb` com os livros de receitas que deseja aplicar aos nós. Antes de executar o agente `chef-client`, instale o livro de receitas do Chef Client no servidor do Chef e o agente `chef-client` em modo de serviço com, por exemplo, uma função HTTPD, conforme mostrado no comando de exemplo a seguir.
```
chef-client -r "chef-client,role[httpd]"
```
Para se comunicar com o software de servidor do Chef, o agente `chef-client` deve ter acesso à chave pública do nó do cliente. Você pode gerar um par de chaves pública-privada na Amazon EC2 e depois passar a chave pública para a chamada de OpsWorks `associate-node` API com o nome do nó. O script mostrado incluído no Starter Kit reúne o nome da organização, nome do servidor e endpoint do servidor. Isso garante que o nó esteja associado ao servidor do Chef, e o software do agente `chef-client` que é executado no nó possa se comunicar com o servidor depois de vincular a chave privada.
A versão mínima compatível do `chef-client` em nós associados a um servidor AWS OpsWorks for Chef Automate é 13.*x*. Recomendamos executar a `chef-client` versão mais atual e estável.
Para obter informações sobre como desassociar um nó, consulte [Desassociar um nó de um servidor AWS OpsWorks for Chef Automate](opscm-disassociate-node.md) este guia e [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html)a documentação da AWS OpsWorks for Chef Automate API.
**Topics**
+ [Sistemas operacionais compatíveis](#w2ab1b9c28c17c15c17)
+ [Etapa 1: criar um perfil do IAM para usar como o perfil de instância](#opscm-create-instance-profile)
+ [Etapa 2: instalar o livro de receitas Chef Client](#w2ab1b9c28c17c15c21)
+ [Etapa 3: Criar instâncias com um script de associação autônoma](#opscm-unattend-script)
+ [Outros métodos de automatizar execuções de `chef-client` repetidas](#w2ab1b9c28c17c15c25)
+ [Related Topics](#opscm-unattend-assoc-related)
## Sistemas operacionais compatíveis
Para consultar a lista de sistemas operacionais compatíveis para nós, acesse [Website do Chef](https://docs.chef.io/platforms.html)
## Etapa 1: criar um perfil do IAM para usar como o perfil de instância
Crie uma função AWS Identity and Access Management (IAM) para usar como seu perfil de EC2 instância e anexe a política a seguir à função do IAM. Essa política permite que a API AWS OpsWorks for Chef Automate (`opsworks-cm`) se comunique com a EC2 instância durante o registro do nó. Para obter mais informações sobre perfis de instância, consulte [Como usar perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) na EC2 documentação da Amazon. Para obter informações sobre como criar uma função do IAM, consulte Como [criar uma função do IAM no console](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#create-iam-role-console) na EC2 documentação da Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"opsworks-cm:AssociateNode",
"opsworks-cm:DescribeNodeAssociationStatus"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## Etapa 2: instalar o livro de receitas Chef Client
Se ainda não tiver feito isso, siga as etapas em [(Alternativa) Usar o Berkshelf para obter livros de receitas de uma fonte remota](opscm-starterkit.md#opscm-berkshelf) para garantir que o Berksfile ou o arquivo `Policyfile.rb` faça referência ao livro de receitas do Chef Client e instale o livro de receitas.
## Etapa 3: Criar instâncias com um script de associação autônoma
1. Para criar EC2 instâncias, você pode copiar o `userdata` script do [Starter Kit](opscm-starterkit.md) para a `userdata` seção de instruções da EC2 instância, configurações de lançamento em grupo do Amazon EC2 Auto Scaling ou um modelo. CloudFormation Para obter mais informações sobre como adicionar scripts aos dados do usuário, consulte [Executando comandos na sua instância Linux no lançamento](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html) na EC2 documentação da Amazon.
Este script executa o comando da `opsworks-cm`API [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_AssociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_AssociateNode.html) para associar um novo nó com o servidor do Chef.
Por padrão, o nome do novo nó registrado é o ID da instância, mas é possível alterar o nome modificando o valor da variável `NODE_NAME` no script `userdata`. Atualmente, não é possível alterar o nome da organização na interface do console do Chef, por isso, defina `CHEF_AUTOMATE_ORGANIZATION` como `default`.
1. Siga o procedimento em [Iniciando uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html) na EC2 documentação, com modificações aqui. No assistente de execução da EC2 instância, escolha uma Amazon Linux AMI.
1. Na página **Configure Instance Details** (Configurar detalhes da instância), selecione a função que você criou em [Etapa 1: criar um perfil do IAM para usar como o perfil de instância](#opscm-create-instance-profile), como sua função do IAM.
1. Na área **Advanced Details** (Detalhes avançados), carregue o script `userdata.sh` que você criou anteriormente nesse procedimento.
1. Nenhuma alteração é necessária na página **Add Storage**. Vá para **Add Tags**.
1. Na página **Configure Security Group (Configurar security group)**, selecione **Add Rule (Adicionar regra)** e selecione o tipo **HTTP** para abrir os números de porta 443 e 80 para o servidor web Apache neste exemplo.
1. Escolha **Review and Launch** e, em seguida, selecione **Launch**. Quando o novo nó é iniciado, ele aplica as configurações especificadas pelas receitas que você especificou no parâmetro `RUN_LIST`.
1. Opcional: se você tiver adicionado o livro de receitas `nginx` à sua lista de execuções, quando você abrir a página da web vinculada ao DNS público do novo nó, você deve ver um site hospedado pelo servidor web nginx.
## Outros métodos de automatizar execuções de `chef-client` repetidas
Embora seja mais difícil de realizar e não recomendado, você pode executar o script neste tópico somente como parte dos dados do usuário da instância autônoma, usar um CloudFormation modelo para adicioná-lo aos dados do usuário da nova instância, configurar um `cron` trabalho para executar o script regularmente ou executar `chef-client` dentro de um serviço. No entanto, recomendamos o método Chef Client Cookbook por causa de algumas desvantagens de outras técnicas de automação.
Para uma lista completa de parâmetros que você pode fornecer para `chef-client`, consulte a [documentação do Chef](https://docs.chef.io/ctl_chef_client.html).
## Related Topics
As postagens de AWS blog a seguir oferecem mais informações sobre a associação automática de nós ao seu servidor Chef Automate, usando grupos de Auto Scaling ou em várias contas.
+ [Usando o AWS OpsWorks for Chef Automate para gerenciar EC2 instâncias com Auto Scaling](https://aws.amazon.com/blogs/mt/using-aws-opsworks-for-chef-automate-to-manage-ec2-instances-with-auto-scaling/)
+ [OpsWorks para Chef Automate — Inicializando automaticamente nós em contas diferentes](https://aws.amazon.com/blogs/mt/opsworks-for-chef-automate-automatically-bootstrapping-nodes-in-different-accounts/)
# Faça login no painel do Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Depois de ter feito o download das credenciais de login na página Properties do servidor do Chef e o servidor estiver online, faça login no painel do Chef Automate. Nesta demonstração, nós instruímos você, primeiramente, a fazer o upload de livros de receitas e adicionar pelo menos um nó para gerenciar. Isso permite que você consulte informações sobre os livros de receitas e nós no painel.
Quando você tenta se conectar à página do painel, os avisos de certificado aparecem em seu navegador até que você instale um certificado SSL OpsWorks específico assinado por CA no computador cliente que você está usando para gerenciar seu servidor Chef. Se você preferir não ver os avisos antes de continuar para a página da web do painel, instale o certificado SSL antes de fazer login.
Depois de ter instalado o certificado SSL do lado do cliente, é possível fazer login no painel do Chef Automate sem visualizar mensagens de aviso.
**nota**
Os usuários do Google Chrome nos sistemas operacionais Ubuntu e Linux Mint podem ter dificuldade para fazer login. Recomendamos que você use o Mozilla Firefox ou outros navegadores para acessar e usar o painel do Chef Automate nesses sistemas operacionais. Nenhum problema foi encontrado usando o Google Chrome no Windows ou MacOS.
**Para fazer login no painel do Chef Automate**
1. Descompacte e abra as credenciais do Chef Automate credenciais que você baixou em [Pré-requisitos](opscm-starterkit.md#finish-server-prereqs). Você precisará essas credenciais para fazer login.
1. Abra a página **Properties** do servidor do Chef.
1. No canto superior direito da página **Properties**, escolha **Open Chef Automate dashboard**.
1. Faça login usando as credenciais da Etapa 1.
![\[Página de login no painel do Chef Automate\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_chefsignin.png)
1. No painel do Chef Automate, você pode exibir informações detalhadas sobre os nós em que realizou ações de bootstrap, progresso e eventos de execução do livro de receitas, nível de compatibilidade de nós e muito mais. Para obter mais informações sobre os recursos do painel do Chef Automate e como usá-los, consulte a [Documentação do Chef Automate](https://docs.chef.io/chef_automate.html).
![\[Painel do Chef Automate\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_chefdashhome.png)
**nota**
Para informações sobre como alterar a senha que você usa para fazer login no painel do Chef Automate, consulte [Redefinição das credenciais do painel do Chef Automate](opscm-resetchefcreds.md).
# Crie um AWS OpsWorks for Chef Automate servidor usando CloudFormation
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
AWS OpsWorks for Chef Automate permite que você execute um servidor [Chef Automate](https://www.chef.io/automate/) em AWS. Você pode provisionar um servidor Chef Automate em cerca de 15 minutos.
A partir de 3 de maio de 2021, AWS OpsWorks for Chef Automate armazena alguns atributos do servidor Chef Automate em AWS Secrets Manager. Para obter mais informações, consulte [Integração com AWS Secrets Manager](data-protection.md#data-protection-secrets-manager).
O passo a passo a seguir ajuda você a criar um servidor em AWS OpsWorks for Chef Automate criando uma pilha em. CloudFormation
**Topics**
+ [Pré-requisitos](#opscm-create-server-cfn-prereqs)
+ [Criar um servidor Chef Automate no CloudFormation](#opscm-create-server-cfn-main)
## Pré-requisitos
Antes de criar um servidor Chef Automate, crie fora do AWS OpsWorks for Chef Automate os recursos que serão necessários para acessar e gerenciar o servidor Chef. Para obter mais informações, consulte [Pré-requisitos](gettingstarted-opscm.md#gettingstarted-opscm-prereq) na seção de Conceitos básicos deste guia.
Consulte a [seção OpsWorks -CM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opsworkscm-server.html) da Referência do Modelo *CloudFormation do Guia do Usuário* para saber mais sobre os valores suportados e necessários no CloudFormation modelo que você usa para criar seu servidor.
Se você estiver criando um servidor que use um domínio personalizado, precisará de um domínio, um certificado e uma chave privada personalizados. Você deve especificar valores para todos esses três parâmetros em seu CloudFormation modelo. Para obter mais informações sobre os requisitos dos `CustomPrivateKey` parâmetros `CustomDomain``CustomCertificate`,, e, consulte [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)a *Referência da API OpsWorks CM*.
Crie um valor de senha para o atributo do mecanismo `CHEF_AUTOMATE_ADMIN_PASSWORD`. O comprimento da senha deve ter um mínimo de 8 e um máximo de 32 caracteres. A senha só pode conter letras, números e caracteres especiais `(!/@#$%^+=_)`. Ela deve conter pelo menos uma letra minúscula, uma letra maiúscula, um número e um caractere especial. Você especifica essa senha em seu CloudFormation modelo ou como o valor do `CHEF_AUTOMATE_ADMIN_PASSWORD` parâmetro ao criar sua pilha.
Gere um par de chaves RSA codificado em base64 antes de começar a criar um servidor Chef Automate em. CloudFormation A chave pública do par é o valor de`CHEF_AUTOMATE_PIVOTAL_KEY`, o Chef específico [EngineAttributes](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opsworkscm-server.html#cfn-opsworkscm-server-engineattributes)da [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)API. Essa chave é fornecida como o valor de **Parâmetros** no CloudFormation console ou no **create-stack** comando no AWS CLI. Para gerar essa chave, sugerimos os métodos a seguir.
+ Em computadores baseados em Linux, você pode gerar essa chave executando o comando [OpenSSL](https://www.openssl.org/) a seguir.
```
openssl genrsa -out pivotal_key_file_name.pem 2048
```
Em seguida, exporte a parte da chave pública RSA do par para um arquivo. A chave pública se torna o valor de `CHEF_AUTOMATE_PIVOTAL_KEY`.
```
openssl rsa -in pivotal_key_file_name.pem -pubout -out public.pem -outform PEM
```
+ Em computadores baseados em Windows, você pode usar o TTYgen utilitário Pu para gerar um par de chaves RSA codificado em base64. Para obter mais informações, consulte [Pu TTYgen - Gerador de chaves para PuTTY no Windows em SSH.com](https://www.ssh.com/ssh/putty/windows/puttygen).
## Criar um servidor Chef Automate no CloudFormation
Esta seção descreve como usar um CloudFormation modelo para criar uma pilha que cria um AWS OpsWorks for Chef Automate servidor. Você pode fazer isso usando o CloudFormation console ou AWS CLI o. Um [CloudFormation modelo de exemplo](samples/opsworkscm-server.zip) está disponível para você usar para criar uma pilha de AWS OpsWorks for Chef Automate servidores. Certifique-se de atualizar o modelo de exemplo com suas próprias informações de nome do servidor, perfis do IAM, perfil de instância, descrição do servidor, contagem de retenção de backup, opções de manutenção e tags opcionais. Se seu servidor usar um domínio personalizado, você deverá especificar valores para os `CustomPrivateKey` parâmetros `CustomDomain``CustomCertificate`, e em seu CloudFormation modelo. Você pode especificar os atributos `CHEF_AUTOMATE_ADMIN_PASSWORD` e o `CHEF_AUTOMATE_PIVOTAL_KEY` mecanismo e seus valores no CloudFormation modelo, ou fornecer apenas os atributos e, em seguida, especificar valores para os atributos no assistente ou **create-stack** comando CloudFormation **Create Stack**. Para obter mais informações sobre esses atributos, consulte [Crie um servidor Chef Automate no Console de gerenciamento da AWS](gettingstarted-opscm-create.md#gettingstarted-opscm-create-console) na seção de Conceitos básicos deste guia.
**Topics**
+ [Criar um servidor Chef Automate usando o CloudFormation (console)](#opscm-create-server-cfn-console)
+ [Criar um servidor Chef Automate usando o CloudFormation (CLI)](#opscm-create-server-cfn-cli)
### Criar um servidor Chef Automate usando o CloudFormation (console)
1. Faça login no Console de gerenciamento da AWS e abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Na página CloudFormation inicial, escolha **Criar pilha**.
1. Em **Pré-requisito - Preparar modelo**, se você estiver usando o [CloudFormation modelo de exemplo](samples/opsworkscm-server.zip), escolha O **modelo está** pronto.
1. Em **Specify template (Especificar modelo)**, escolha a origem do seu modelo. Para este passo a passo, escolha **Carregar um arquivo de modelo** e carregue um CloudFormation modelo que crie um servidor Chef Automate. Procure seu arquivo de modelo e escolha **Next (Próximo)**.
Um CloudFormation modelo pode estar no formato YAML ou JSON. Um [CloudFormation modelo de exemplo](samples/opsworkscm-server.zip) está disponível para você usar; certifique-se de substituir os valores de exemplo pelos seus. Você pode usar o designer CloudFormation de modelos para criar um novo modelo ou validar um existente. Para obter mais informações sobre como fazer isso, consulte [Visão geral da interface do CloudFormation Designer](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer-overview.html) no *Guia do usuário do CloudFormation *.
![\[CloudFormation Criar página de pilha\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/cfn_select_template.png)
1. Na página **Specify stack details (Especificar detalhes da pilha)**, insira um nome para a pilha. Ele não será o mesmo que o nome do servidor, apenas o nome de uma pilha. Na área **Parameters (Parâmetros)**, cole os valores criados em [Pré-requisitos](#opscm-create-server-cfn-prereqs). Insira a senha em **Password (Senha)**.
Cole o conteúdo do arquivo de chave RSA em **PivotalKey**. No CloudFormation console, você deve adicionar caracteres newline (**\$1n**) no final de cada linha do valor da chave principal, conforme mostrado na captura de tela a seguir. Escolha **Próximo**.
![\[Especifique a página de detalhes da pilha em CloudFormation\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/cfn_template_params_opscm.png)
1. Na página **Configurar opções da pilha**, você poderá adicionar tags ao servidor que está criando com a pilha e escolher um perfil do IAM para a criação de recursos, caso ainda não tenha especificado um perfil do IAM a ser usada no modelo. Quando terminar de especificar as opções, selecione **Next (Próximo)**. *Para obter mais informações sobre opções avançadas, como acionadores de reversão, consulte [Configurando opções de CloudFormation pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html) no Guia do usuário.CloudFormation *
1. Na página **Analisar**, examine suas escolhas. Quando estiver pronto para criar a pilha do servidor, selecione **Create (Criar)**.
Enquanto você espera para criar CloudFormation a pilha, veja o status de criação da pilha. Se a criação da pilha falhar, analise as mensagens de erro mostradas no console para ajudá-lo a resolver os problemas. Para obter mais informações sobre como solucionar problemas de erros em pilhas do CloudFormation , consulte [Solução de problemas de erros](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors) no *Guia do usuário do CloudFormation *.
Quando a criação for concluída, o servidor Chef Automate estará disponível na página inicial do AWS OpsWorks for Chef Automate , com um status **online**. Gere um novo Starter Kit e novas credenciais do painel do Chef Automate na página Properties (Propriedades) do servidor. Depois que o servidor estiver online, o painel do Chef Automate estará disponível no domínio do servidor, em um URL no seguinte formato: `https://your_server_name-randomID.region.opsworks-cm.io`.
**nota**
Se você especificou um domínio, certificado e chave privada personalizados para seu servidor, crie uma entrada CNAME na ferramenta de gerenciamento de DNS da sua empresa que mapeie seu domínio personalizado para o endpoint gerado AWS OpsWorks for Chef Automate automaticamente para o servidor. Não é possível gerenciar o servidor nem se conectar ao painel do Chef Automate para o servidor até que o endpoint gerado seja mapeado para o valor de domínio personalizado.
Para obter o valor do endpoint gerado, execute o seguinte AWS CLI comando depois que seu servidor estiver on-line:
```
aws opsworks describe-servers --server-name server_name
```
### Criar um servidor Chef Automate usando o CloudFormation (CLI)
Se o seu computador local ainda não estiver executando o AWS CLI, faça o download e instale-o AWS CLI seguindo [as instruções de instalação](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) no *Guia do usuário da interface de linha de comando da AWS*. Esta seção não descreve todos os parâmetros que você pode usar com o comando **create-stack**. Para obter mais informações sobre os parâmetros do **create-stack**, consulte [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) na *Referência da AWS CLI *.
1. Certifique-se de concluir o [Pré-requisitos](gettingstarted-opscm.md#gettingstarted-opscm-prereq) para criar um servidor AWS OpsWorks for Chef Automate .
1. Crie uma função de serviço e um perfil de instância.
Encontre e copie as funções ARNs de serviço em sua conta.
```
aws iam list-roles --path-prefix "/service-role/" --no-paginate
```
Nos resultados do comando `list-roles`, procure pelas entradas da função de serviço e do perfil de instância que sejam semelhantes aos seguintes. Anote a função ARNs de serviço e o perfil da instância e adicione-os ao CloudFormation modelo que você está usando para criar sua pilha de servidores.
1. Crie o AWS OpsWorks for Chef Automate servidor executando o **create-stack** comando novamente.
+ *stack\$1name*Substitua pelo nome da sua pilha. Este é o nome da CloudFormation pilha, não do seu servidor Chef Automate. O nome do servidor Chef Automate é o valor de `ServerName` em seu CloudFormation modelo.
+ *template*Substitua pelo caminho do arquivo de modelo e pela extensão *yaml or json* por `.yaml` ou `.json` conforme apropriado.
+ Os valores de `--parameters` correspondem aos [EngineAttributes](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opsworkscm-server.html#cfn-opsworkscm-server-engineattributes)da [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)API. Para o Chef, os atributos do mecanismo fornecido pelo usuário para criar um servidor são `CHEF_AUTOMATE_PIVOTAL_KEY`, uma chave pública RSA codificada em base64 gerada usando utilitários descritos em [Pré-requisitos](#opscm-create-server-cfn-prereqs) e `CHEF_AUTOMATE_ADMIN_PASSWORD`, uma senha criada por você que tem entre oito e 32 caracteres. Para obter mais informações sobre o `CHEF_AUTOMATE_ADMIN_PASSWORD`, consulte [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli). Você pode fornecer um ponteiro para o arquivo PEM que contém a chave principal como o valor do parâmetro `PivotalKey`, conforme mostrado no exemplo. Se os valores para `CHEF_AUTOMATE_ADMIN_PASSWORD` e não `CHEF_AUTOMATE_PIVOTAL_KEY` estiverem especificados em seu modelo, você deverá fornecer os valores em seu AWS CLI comando.
```
aws cloudformation create-stack --stack-name stack_name --template-body file://template.yaml or json --parameters ParameterKey=PivotalKey,ParameterValue="base64_encoded_RSA_public_key_value"
```
Veja a seguir um exemplo que inclui amostras de valores para os atributos `CHEF_AUTOMATE_ADMIN_PASSWORD` e `CHEF_AUTOMATE_PIVOTAL_KEY`. Execute um comando semelhante se você não especificou valores para esses atributos em seu CloudFormation modelo.
```
aws cloudformation create-stack --stack-name "OpsWorksCMChefServerStack" --template-body file://opsworkscm-server.yaml --parameters ParameterKey=PivotalKey,ParameterValue="$(openssl rsa -in "pivotalKey.pem" -pubout)" ParameterKey=Password,ParameterValue="SuPer\$ecret890"
```
1. Quando a criação da pilha estiver concluída, abra a página Propriedades do novo servidor no AWS OpsWorks for Chef Automate console e baixe um kit inicial. Ao fazer download de um novo starter kit, a senha de administrador do painel do Chef Automate é redefinida.
1. Se o servidor usar um domínio personalizado, um certificado e uma chave privada, siga as etapas para configurar `knife.rb` no [(Opcional) Configurar `knife` para trabalhar com um domínio personalizado](opscm-starterkit.md#opscm-starterkit-customdomain) e, depois, vá para a etapa 7.
1. Para usar comandos `knife` no novo servidor, atualize as configurações do arquivo de configuração `knife.rb` do Chef. Um exemplo do arquivo `knife.rb` está incluso no starter kit. O exemplo a seguir mostra como configurar `knife.rb` em um servidor que não usa um domínio personalizado. Se você estiver usando um domínio personalizado, consulte [(Opcional) Configurar `knife` para trabalhar com um domínio personalizado](opscm-starterkit.md#opscm-starterkit-customdomain) para obter instruções de configuração para `knife`.
+ *ENDPOINT*Substitua pelo valor do endpoint do servidor. Isso faz parte da saída da operação de criação da pilha. É possível obter o endpoint executando o comando a seguir.
```
aws cloudformation describe-stacks --stack-name stack_name
```
+ Substitua *key\$1pair\$1file.pem* na `client_key` configuração pelo nome do arquivo PEM que contém o `CHEF_AUTOMATE_PIVOTAL_KEY` que você usou para criar seu servidor.
```
base_dir = File.join(File.dirname(File.expand_path(__FILE__)), '..')
log_level :info
log_location STDOUT
node_name 'pivotal'
client_key File.join(base_dir, '.chef', 'key_pair_file.pem')
syntax_check_cache_path File.join(base_dir, '.chef', 'syntax_check_cache')
cookbook_path [File.join(base_dir, 'cookbooks')]
chef_server_url 'ENDPOINT/organizations/default'
ssl_ca_file File.join(base_dir, '.chef', 'ca_certs', 'opsworks-cm-ca-2020-root.pem')
trusted_certs_dir File.join(base_dir, '.chef', 'ca_certs')
```
1. Quando o processo de criação do servidor for concluído, vá para [Configurar o servidor do Chef usando o Starter Kit](opscm-starterkit.md). Se a criação da pilha falhar, analise as mensagens de erro mostradas no console para ajudá-lo a resolver os problemas. Para obter mais informações sobre como solucionar erros em CloudFormation pilhas, consulte [Solução de problemas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors) no *Guia do CloudFormation usuário*.
# Atualizar um AWS OpsWorks for Chef Automate servidor para usar um domínio personalizado
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Esta seção descreve como atualizar um AWS OpsWorks for Chef Automate servidor existente para usar um domínio e um certificado personalizados usando um backup do servidor para criar um novo servidor. Basicamente, você está copiando um servidor AWS OpsWorks for Chef Automate 2.0 existente criando um novo servidor a partir de um backup e, em seguida, configurando o novo servidor para usar um domínio, certificado e chave privada personalizados.
**Topics**
+ [Pré-requisitos](#opscm-update-server-custom-domain-reqs)
+ [Limitações](#opscm-update-server-custom-domain-limits)
+ [Atualizar um servidor para usar um domínio personalizado](#opscm-update-server-custom-domain-howto)
+ [Consulte também](#opscm-update-server-custom-domain-seealso)
## Pré-requisitos
A seguir estão os requisitos para atualizar um AWS OpsWorks for Chef Automate servidor existente para usar um domínio e um certificado personalizados.
+ O servidor que você deseja atualizar (ou copiar) deve estar executando o Chef Automate 2.0.
+ Decida qual backup você deseja usar para criar um novo servidor. É necessário ter pelo menos um backup de segurança disponível do servidor que você quer atualizar. Para obter mais informações sobre backups em AWS OpsWorks for Chef Automate, consulte[Faça backup de um AWS OpsWorks for Chef Automate servidor](opscm-chef-backup.md).
+ Prepare a função de serviço e o perfil da instância ARNs que você usou para criar o servidor existente que é a origem do seu backup.
+ Certifique-se de que você esteja executando a versão mais atual da AWS CLI. Para obter mais informações sobre como atualizar suas AWS CLI ferramentas, consulte [Instalando o AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) no *Guia do usuário da interface de linha de comando da AWS*.
## Limitações
Quando você atualiza um servidor existente criando um novo servidor a partir de um backup, o novo servidor não pode ser exatamente igual ao AWS OpsWorks for Chef Automate servidor existente.
+ Você só pode concluir esse procedimento usando o AWS CLI ou um dos [AWS SDKs](https://docs.aws.amazon.com/#sdks). Não é possível criar um novo servidor de um backup utilizando o Console de gerenciamento da AWS.
+ O novo servidor não pode usar o mesmo nome do servidor existente em uma conta e em uma região da AWS. O nome deve ser diferente do servidor existente que você usou como a origem do backup.
+ Os nós que foram conectados ao servidor existente não são gerenciados pelo novo servidor. Você deve fazer um dos seguintes procedimentos.
+ Associe nós diferentes, porque os nós não podem ser gerenciados por mais de um servidor Chef Automate.
+ Migre os nós do servidor existente (a origem do backup) para o novo servidor e o novo endpoint de domínio personalizado. Para obter mais informações sobre como migrar nós, consulte a documentação do Chef.
## Atualizar um servidor para usar um domínio personalizado
Para atualizar um servidor Chef Automate 2.0 existente, faça uma cópia dele executando o comando `create-server`, adicionando parâmetros para especificar um backup, além de um domínio, um certificado e uma chave privada personalizados.
1. Se você não tiver uma função de serviço ou um perfil de instância ARNs disponível para especificar em seu `create-server` comando, siga as etapas de 1 a 5 [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli) para criar uma função de serviço e um perfil de instância que você possa usar.
1. Se ainda não tiver feito isso, localize o backup do servidor Chef Automate 2.0 existente no qual você deseja basear um novo servidor com um domínio personalizado. Execute o comando a seguir para mostrar informações sobre todos os AWS OpsWorks for Chef Automate backups em sua conta e em uma região. Anote o ID do backup que você deseja usar.
```
aws opsworks-cm --region region name describe-backups
```
1. Crie o AWS OpsWorks for Chef Automate servidor executando o `create-server` comando.
+ O valor de `--engine` é `ChefAutomate`, de `--engine-model` é `Single` e de `--engine-version` é `12`.
+ O nome do servidor deve ser exclusivo em sua AWS conta, em cada região. Os nomes dos servidores devem começar com uma letra; letras, números ou hífens (-) são permitidos, até um máximo de 40 caracteres.
+ Use o ARN do perfil de instância e o ARN da função de serviço da etapa 1.
+ Os tipos de instância válidos são `m5.large`, `r5.xlarge` ou `r5.2xlarge`. Para obter mais informações sobre as especificações desses tipos de instância, consulte [Tipos de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html) no *Guia EC2 do usuário da Amazon*.
+ O parâmetro `--engine-attributes` é opcional; se você não especificar um dos valores ou ambos, o processo de criação do servidor gerará os valores para você. Se você adicionar `--engine-attributes`, especifique o valor da `CHEF_AUTOMATE_PIVOTAL_KEY` que você gerou na Etapa 2, uma `CHEF_AUTOMATE_ADMIN_PASSWORD` ou ambos.
Se você não definir um valor para `CHEF_AUTOMATE_ADMIN_PASSWORD`, uma senha será gerada e retornada como parte da resposta do comando `create-server`. Você também pode fazer download do starter kit novamente no console, o que fará com que a senha seja gerada novamente. O comprimento da senha deve ter um mínimo de 8 e um máximo de 32 caracteres. A senha só pode conter letras, números e caracteres especiais (`!/@#$%^+=_`). Ela deve conter pelo menos uma letra minúscula, uma letra maiúscula, um número e um caractere especial.
+ Um par de chaves SSH é opcional, mas pode ajudá-lo a se conectar ao servidor do Chef Automate se você precisar redefinir a senha de administrador do painel do Chef Automate. Para obter mais informações sobre a criação de um par de chaves SSH, consulte [Amazon EC2 Key Pairs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) no *Amazon EC2 User Guide*.
+ Para usar um domínio personalizado, adicione os seguintes parâmetros ao comando. Caso contrário, o processo de criação do servidor Chef Automate gerará automaticamente um endpoint para você. Todos os três parâmetros são necessários para configurar um domínio personalizado. Para obter informações sobre requisitos adicionais para usar esses parâmetros, consulte [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)a Referência da API OpsWorks CM.
+ `--custom-domain` – um endpoint público opcional de um servidor, como `https://aws.my-company.com`.
+ `--custom-certificate` – um certificado HTTPS no formato PEM. O valor pode ser um certificado autoassinado único ou uma cadeia de certificados.
+ `--custom-private-key` – uma chave privada no formato PEM para a conexão com o servidor usando HTTPS. A chave privada não deve ser criptografada e não pode ser protegida por senha nem por frase secreta.
+ É necessário fazer a manutenção semanal do sistema. Os valores válidos devem sempre ser especificados no seguinte formato: `DDD:HH:MM`. A hora especificada está em formato de Tempo Universal Coordenado (UTC). Se você não especificar um valor para `--preferred-maintenance-window`, o valor padrão será aleatório, um período de uma hora na terça, quarta ou sexta-feira.
+ Os valores válidos para `--preferred-backup-window` devem ser especificados em um dos seguintes formatos: `HH:MM` para backups diários ou `DDD:HH:MM` para backups semanais. A hora é especificada em UTC. O valor padrão é uma hora de início aleatória estabelecida diariamente. Para cancelar os backups automáticos, adicione o parâmetro `--disable-automated-backup`.
+ Para`--security-group-ids`, insira um ou mais grupos de segurança IDs, separados por um espaço.
+ Em `--subnet-ids`, insira um ID de sub-rede.
+ Em `--backup-id`, insira o ID do backup que você copiou na etapa 2.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" --server-name "server_name" --instance-profile-arn "instance_profile_ARN" --instance-type "instance_type" --engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"pivotal_key","CHEF_AUTOMATE_ADMIN_PASSWORD":"password"}' --key-pair "key_pair_name" --preferred-maintenance-window "ddd:hh:mm" --preferred-backup-window "ddd:hh:mm" --security-group-ids security_group_id1 security_group_id2 --service-role-arn "service_role_ARN" --subnet-ids subnet_ID --backup-id backup_ID
```
O exemplo a seguir cria um servidor Chef Automate que usa um domínio personalizado.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" \
--server-name "my-custom-domain-server" \
--instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" \
--instance-type "m5.large" \
--engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' \
--custom-domain "my-chef-automate-server.my-corp.com" \
--custom-certificate "-----BEGIN CERTIFICATE----- EXAMPLEqEXAMPLE== -----END CERTIFICATE-----" \
--custom-private-key "-----BEGIN RSA PRIVATE KEY----- EXAMPLEqEXAMPLE= -----END RSA PRIVATE KEY-----" \
--key-pair "amazon-test" \
--preferred-maintenance-window "Mon:08:00" \
--preferred-backup-window "Sun:02:00" \
--security-group-ids sg-b00000001 sg-b0000008 \
--service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" \
--subnet-ids subnet-300aaa00 \
--backup-id MyChefServer-20191004122143125
```
1. AWS OpsWorks for Chef Automate leva cerca de 15 minutos para criar um novo servidor. Na saída do comando `create-server`, copie o valor do atributo `Endpoint`. Veja um exemplo do a seguir:
```
"Endpoint": "automate-07-exampleexample.opsworks-cm.us-east-1.amazonaws.com"
```
Não descarte a saída do comando `create-server` ou feche a sessão de shell, pois a saída pode conter informações importantes que não serão exibidas novamente. Para obter as senhas e o starter kit dos resultados do comando `create-server`, vá para a próxima etapa.
1. [Se você optou por AWS OpsWorks for Chef Automate gerar uma chave e uma senha para você, poderá extraí-las dos `create-server` resultados em formatos utilizáveis usando um processador JSON, como jq.](https://stedolan.github.io/jq/) Após instalar o [jq](https://stedolan.github.io/jq/), você pode executar os comandos a seguir para extrair a chave principal, a senha de administrador do painel do Chef Automate e o starter kit. Se você não forneceu sua própria chave principal e senha na etapa 3, salve a chave principal e a senha de administrador extraídas em locais seguros e convenientes.
```
#Get the Chef password:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_ADMIN_PASSWORD") | .Value'
#Get the Chef Pivotal Key:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_PIVOTAL_KEY") | .Value'
#Get the Chef Starter Kit:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_STARTER_KIT") | .Value' | base64 -D > starterkit.zip
```
1. Opcionalmente, se você não extraiu o kit inicial dos resultados do `create-server` comando, você pode baixar um novo kit inicial na página Propriedades do servidor no console. AWS OpsWorks for Chef Automate Ao fazer download de um novo starter kit, a senha de administrador do painel do Chef Automate é redefinida.
1. Crie uma entrada CNAME na ferramenta de gerenciamento de DNS da sua empresa para direcionar seu domínio personalizado para o AWS OpsWorks for Chef Automate endpoint que você copiou na etapa 4. Você não poderá acessar nem se conectar ao servidor se não concluir esta etapa.
1. Quando o processo de criação do servidor for concluído, vá para [Configurar o servidor do Chef usando o Starter Kit](opscm-starterkit.md).
## Consulte também
+ [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli)
+ [Restaurar um AWS OpsWorks for Chef Automate servidor a partir de um backup](opscm-chef-restore.md)
+ [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)na referência da API OpsWorks CM
+ [https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html](https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html) na *AWS CLI Command Reference*
# Regenere o kit inicial para um servidor AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
O kit inicial AWS OpsWorks for Chef Automate contém um arquivo README com exemplos, um arquivo de `knife.rb` configuração e uma chave privada para o usuário principal ou principal. Um novo par de chaves será gerado (e a antiga chave será redefinida) sempre que você fizer o download do starter kit. Você pode regenerar o kit inicial para um AWS OpsWorks for Chef Automate servidor de duas maneiras:
+ No OpsWorks console, no menu **Ações** da página de detalhes de um AWS OpsWorks for Chef Automate servidor. Você será solicitado a confirmar se deseja regenerar e redefinir a chave central antiga.
+ Ao executar comandos no AWS CLI.
Para obter mais informações sobre como usar a interface do starter kit, consulte [Configurar o servidor do Chef usando o Starter Kit](opscm-starterkit.md).
## Regenere o kit AWS OpsWorks for Chef Automate inicial com o AWS CLI
**nota**
Ao regenerar o starter kit, você também regenera e redefine o par de chaves de autenticação do seu servidor Chef Automate e exclui o par de chaves atual.
Regenere o starter kit executando o comando [https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/update-server-engine-attributes.html](https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/update-server-engine-attributes.html). Em uma AWS CLI sessão, execute o comando a seguir. Especifique o nome do seu servidor como o valor de `--server-name`. Para definir sua própria chave pública como valor de `CHEF_AUTOMATE_PIVOTAL_KEY`, especifique o valor da chave pública em `--attribute-value`. Caso contrário, defina `--attribute-value` como nulo.
```
aws opsworks-cm update-server-engine-attributes \
--server-name server_name \
--attribute-name "CHEF_AUTOMATE_PIVOTAL_KEY" \
--attribute-value your_public_key
```
O comando a seguir é um exemplo que especifica um valor de chave pública que o administrador do servidor deseja usar.
```
aws opsworks-cm update-server-engine-attributes \
--server-name your-test-server \
--attribute-name "CHEF_AUTOMATE_PIVOTAL_KEY" \
--attribute-value "-----BEGIN PUBLIC KEY-----ExamplePublicKey-----END PUBLIC KEY-----"
```
O comando a seguir é um exemplo que permite AWS OpsWorks for Chef Automate regenerar a chave pública.
```
aws opsworks-cm update-server-engine-attributes \
--server-name your-test-server \
--attribute-name "CHEF_AUTOMATE_PIVOTAL_KEY" \
--attribute-value null
```
A saída desse comando são informações sobre o servidor e um arquivo ZIP codificado em base64. O arquivo ZIP contém um starter kit do Chef, que inclui um LEIAME, um arquivo de configuração e a chave privada RSA necessária. Salve esse arquivo, descompacte-o e, em seguida, vá para o diretório em que você descompactou o conteúdo do arquivo. Nesse diretório, você pode executar comandos `knife`.
# Trabalhando com tags em AWS OpsWorks for Chef Automate recursos
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
As tags são palavras ou frases que atuam como metadados para identificar e organizar os recursos da AWS. Em AWS OpsWorks for Chef Automate, um recurso pode ter até 50 tags aplicadas pelo usuário. Cada tag consiste em uma chave e em um valor opcional. É possível aplicar tags aos seguintes recursos no AWS OpsWorks for Chef Automate:
+ AWS OpsWorks for Chef Automate servidores
+ Backups de AWS OpsWorks for Chef Automate servidores
As tags nos AWS recursos podem ajudar você a monitorar custos, controlar o acesso aos recursos, agrupar recursos para automatizar tarefas ou organizar recursos por finalidade ou estágio do ciclo de vida. Para obter mais informações sobre os benefícios das tags, consulte [Estratégias de marcação da AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) no AWS Answers e [Usar tags de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html#allocation-what) no *Guia do usuário do Gerenciamento de Faturamento e Custos da AWS *.
Para usar tags para controlar o acesso a AWS OpsWorks for Chef Automate servidores ou backups, você cria ou edita declarações de política no AWS Identity and Access Management (IAM). Para obter mais informações, consulte [Controlar o acesso aos recursos da AWS usando tags de recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do AWS Identity and Access Management *.
Quando você aplica tags a um AWS OpsWorks for Chef Automate servidor, as tags também são aplicadas aos backups do servidor, ao bucket Amazon S3 que armazena os backups, à EC2 instância Amazon do servidor, aos segredos do servidor que estão armazenados e ao endereço IP elástico usado pelo servidor. AWS Secrets Manager As tags não são propagadas para a CloudFormation pilha OpsWorks usada para criar seu servidor.
**Topics**
+ [Como as tags funcionam em AWS OpsWorks for Chef Automate](#opscm-tags-concepts)
+ [Adicionar e gerenciar tags no AWS OpsWorks for Chef Automate (console)](#opscm-tags-howto-console)
+ [Adicionar e gerenciar tags em AWS OpsWorks for Chef Automate (CLI)](#opscm-tags-howto)
+ [Consulte também](#opscm-tags-seealso)
## Como as tags funcionam em AWS OpsWorks for Chef Automate
Nesta versão, é possível adicionar e gerenciar tags usando a [API do OpsWorks CM](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/Welcome.html) ou o Console de gerenciamento da AWS. OpsWorks O CM também tenta adicionar tags que você adiciona a um servidor aos AWS recursos associados ao servidor, incluindo a EC2 instância, os segredos no Secrets Manager, o endereço IP elástico, o grupo de segurança, o bucket do S3 e os backups. A tabela a seguir fornece uma visão geral de como adicionar e gerenciar tags no AWS OpsWorks for Chef Automate.
| Ação | O que usar |
| --- | --- |
| Adicione tags a um novo AWS OpsWorks for Chef Automate servidor ou backup que você está criando manualmente. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/opscm-tags.html) |
| Visualize tags em um recurso. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/opscm-tags.html) |
| Adicione tags a um AWS OpsWorks for Chef Automate servidor ou backup existente, independentemente de o backup ter sido criado manual ou automaticamente. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/opscm-tags.html) |
| Exclua tags de um recurso. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/opscm-tags.html) |
As respostas `DescribeServers` e `DescribeBackups` não incluem informações de tag. Para mostrar tags, use a API `ListTagsForResource`.
## Adicionar e gerenciar tags no AWS OpsWorks for Chef Automate (console)
Os procedimentos nesta seção são realizados na Console de gerenciamento da AWS.
Se você adicionar tags, uma chave de tag não poderá ficar vazia. A chave pode ter, no máximo, 127 caracteres e pode conter somente letras, números ou separadores Unicode, ou os seguintes caracteres especiais: `+ - = . _ : / @`. Um valor de tag é opcional. É possível adicionar uma tag que tenha uma chave, mas nenhum valor. O valor pode ter, no máximo, 255 caracteres e conter somente letras, números ou separadores Unicode, ou os seguintes caracteres especiais: `+ - = . _ : / @`
**Topics**
+ [Adicionar tags a um novo AWS OpsWorks for Chef Automate servidor (console)](#opscm-tags-howto-createserver-console)
+ [Adicionar tags a um novo backup (console)](#opscm-tags-howto-createbackup-console)
+ [Adicionar ou visualizar tags em um servidor existente (console)](#opscm-tags-howto-server-tag-console)
+ [Adicionar ou visualizar tags em um backup existente (console)](#opscm-tags-existing-backup-console)
+ [Excluir tags de um servidor (console)](#opscm-tags-delete-server-console)
+ [Excluir tags de um backup (console)](#opscm-tags-delete-backup-console)
### Adicionar tags a um novo AWS OpsWorks for Chef Automate servidor (console)
1. Certifique-se de preencher todos os [pré-requisitos](gettingstarted-opscm.md#gettingstarted-opscm-prereq-customdomain) para criar um servidor. AWS OpsWorks for Chef Automate
1. Siga as etapas de 1 a 10 em [Criar um servidor Chef Automate](gettingstarted-opscm-create.md).
1. Depois que especificar as configurações de backup automatizado, adicione as tags na área **Tags** da página **Configure advanced settings (Definir configurações avançadas)**. É possível adicionar um máximo de 50 tags. Quando terminar de adicionar tags, escolha **Próximo**.
1. Vá para a etapa 13 de [Criar um servidor Chef Automate](gettingstarted-opscm-create.md) e revise as configurações escolhidas para o novo servidor.
### Adicionar tags a um novo backup (console)
1. Na página AWS OpsWorks for Chef Automate inicial, escolha um servidor Chef Automate existente.
1. Na página de detalhes do servidor, escolha **Backups** no painel de navegação.
1. Na página **Backups**, escolha **Create backup (Criar backup)**.
1. Adicionar tags. Escolha **Create (Criar)** quando terminar de adicionar as tags.
### Adicionar ou visualizar tags em um servidor existente (console)
1. Na página AWS OpsWorks for Chef Automate inicial, escolha um servidor Chef Automate existente para abrir sua página de detalhes.
1. Escolha **Tags** no painel de navegação ou, na parte inferior da página de detalhes, escolha **View all tags (Visualizar todas as tags)**.
1. Na página **Tags**, escolha **Edit (Editar)**.
1. Adicione ou edite as tags no servidor. Escolha **Salvar** quando terminar.
**nota**
Esteja ciente de que alterar as tags em seu servidor Chef Automate também altera as tags nos recursos associados ao servidor, como EC2 instância, endereço IP elástico, grupo de segurança, bucket S3 e backups.
### Adicionar ou visualizar tags em um backup existente (console)
1. Na página AWS OpsWorks for Chef Automate inicial, escolha um servidor Chef Automate existente para abrir sua página de detalhes.
1. Escolha **Backups** no painel de navegação ou, na área **Recent backups (Backups recentes)** da página de detalhes, escolha **View all backups (Visualizar todos os backups)**.
1. Na página **Backups**, escolha um backup para gerenciar e, depois, escolha **Edit backup (Editar backup)**.
1. Adicione ou edite as tags no backup. Escolha **Update (Atualizar)** quando terminar.
### Excluir tags de um servidor (console)
1. Na página AWS OpsWorks for Chef Automate inicial, escolha um servidor Chef Automate existente para abrir sua página de detalhes.
1. Escolha **Tags** no painel de navegação ou, na parte inferior da página de detalhes, escolha **View all tags (Visualizar todas as tags)**.
1. Na página **Tags**, escolha **Edit (Editar)**.
1. Escolha **X** ao lado de uma tag para excluí-la. Escolha **Salvar** quando terminar.
**nota**
Esteja ciente de que alterar as tags em seu servidor Chef Automate também altera as tags nos recursos associados ao servidor, como EC2 instância, endereço IP elástico, grupo de segurança, bucket S3 e backups.
### Excluir tags de um backup (console)
1. Na página AWS OpsWorks for Chef Automate inicial, escolha um servidor Chef Automate existente para abrir sua página de detalhes.
1. Escolha **Backups** no painel de navegação ou, na área **Recent backups (Backups recentes)** da página de detalhes, escolha **View all backups (Visualizar todos os backups)**.
1. Na página **Backups**, escolha um backup para gerenciar e, depois, escolha **Edit backup (Editar backup)**.
1. Escolha **X** ao lado de uma tag para excluí-la. Escolha **Update (Atualizar)** quando terminar.
## Adicionar e gerenciar tags em AWS OpsWorks for Chef Automate (CLI)
Os procedimentos nesta seção são realizados na AWS CLI. Verifique se você está executando a versão mais recente do AWS CLI antes de começar a trabalhar com tags. Para obter mais informações sobre como instalar ou atualizar o AWS CLI, consulte [Instalando o AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) no *Guia AWS Command Line Interface do Usuário*.
Se você adicionar tags, uma chave de tag não poderá ficar vazia. A chave pode ter, no máximo, 127 caracteres e pode conter somente letras, números ou separadores Unicode, ou os seguintes caracteres especiais: `+ - = . _ : / @`. Um valor de tag é opcional. É possível adicionar uma tag que tenha uma chave, mas nenhum valor. O valor pode ter, no máximo, 255 caracteres e conter somente letras, números ou separadores Unicode, ou os seguintes caracteres especiais: `+ - = . _ : / @`
**Topics**
+ [Adicionar tags a um novo AWS OpsWorks for Chef Automate servidor (CLI)](#opscm-tags-howto-createserver)
+ [Adicionar tags a um novo backup (CLI)](#opscm-tags-howto-createbackup)
+ [Adicionar tags a backups ou servidores existentes (CLI)](#opscm-tags-howto-addtags)
+ [Listar tags de recurso](#opscm-tags-howto-listtags)
+ [Excluir tags de um recurso](#opscm-tags-howto-untag)
### Adicionar tags a um novo AWS OpsWorks for Chef Automate servidor (CLI)
Você pode usar o AWS CLI para adicionar tags ao criar um AWS OpsWorks for Chef Automate servidor. Este procedimento não descreve na íntegra como criar um servidor. Para obter informações detalhadas sobre como criar um AWS OpsWorks for Chef Automate servidor usando o, AWS CLI consulte [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli) neste guia. É possível adicionar até 50 tags a um servidor.
1. Certifique-se de preencher todos os [pré-requisitos](gettingstarted-opscm.md#gettingstarted-opscm-prereq-customdomain) para criar um servidor. AWS OpsWorks for Chef Automate
1. Conclua as etapas 1 a 5 de [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli).
1. Na etapa 6, ao executar o comando `create-server`, adicione o parâmetro `--tags` ao comando, conforme mostrado no exemplo a seguir.
```
aws opsworks-cm create-server ... --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
Veja a seguir um exemplo que mostra somente a parte de tags do comando `create-server`.
```
aws opsworks-cm create-server ... --tags Key=Stage,Value=Production Key=Department,Value=Marketing
```
1. Conclua as etapas restantes em [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli). Para verificar se as tags foram adicionadas ao novo servidor, siga as etapas em [Listar tags de recurso](#opscm-tags-howto-listtags) neste tópico.
### Adicionar tags a um novo backup (CLI)
Você pode usar o AWS CLI para adicionar tags ao criar um novo backup manual de um AWS OpsWorks for Chef Automate servidor. Este procedimento não descreve na íntegra como criar um backup manual. Para obter informações detalhadas sobre como criar um backup manual, consulte “Para realizar um backup manual no AWS CLI" em[Faça backup de um AWS OpsWorks for Chef Automate servidor](opscm-chef-backup.md). É possível adicionar até 50 tags a um backup. Se um servidor tiver tags, novos backups serão marcados automaticamente com as tags do servidor.
Por padrão, quando você cria um novo AWS OpsWorks for Chef Automate servidor, os backups automatizados são habilitados. É possível adicionar tags a um backup automatizado executando o comando `tag-resource`, descrito em [Adicionar tags a backups ou servidores existentes (CLI)](#opscm-tags-howto-addtags) neste tópico.
+ Para adicionar tags a um backup manual à medida que cria o backup, execute o comando a seguir. Somente a parte de tags do comando é exibida. Para obter um exemplo do comando `create-backup` completo, consulte "Como executar um backup manual na AWS CLI" em [Faça backup de um AWS OpsWorks for Chef Automate servidor](opscm-chef-backup.md).
```
aws opsworks-cm create-backup ... --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
O exemplo a seguir mostra somente a parte de tags do comando `create-backup`.
```
aws opsworks-cm create-backup ... --tags Key=Stage,Value=Production Key=Department,Value=Marketing
```
### Adicionar tags a backups ou servidores existentes (CLI)
É possível executar o comando `tag-resource` para adicionar tags a servidores do AWS OpsWorks for Chef Automate ou backups existentes (se os backups foram criados manual ou automaticamente). Especifique o número de recurso da Amazon (ARN) de um recurso de destino para adicionar tags a ele.
1. Para obter o ARN do recurso ao qual deseja aplicar tags:
+ Para um servidor, execute `describe-servers --server-name server_name`. Os resultados do comando mostram o ARN do servidor.
+ Para um backup, execute `describe-backups --backup-id backup_ID`. Os resultados do comando mostram o ARN do backup. Você também pode executar `describe-backups --server-name server_name` para mostrar informações sobre todos os backups de um AWS OpsWorks for Chef Automate servidor específico.
O exemplo a seguir mostra somente o `ServerArn` nos resultados de um comando `describe-servers --server-name opsworks-cm-test`. O valor `ServerArn` é adicionado a um comando `tag-resource` para adicionar tags ao servidor.
```
{
"Servers": [
{
...
"ServerArn": "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE"
}
]
}
```
1. Execute o comando `tag-resource` com o ARN retornado na etapa 1.
```
aws opsworks-cm tag-resource --resource-arn "server_or_backup_ARN" --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
Veja um exemplo do a seguir:
```
aws opsworks-cm tag-resource --resource-arn "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE" --tags Key=Stage,Value=Production Key=Department,Value=Marketing
```
1. Para verificar se as tags foram adicionadas com êxito, vá para o próximo procedimento, [Listar tags de recurso](#opscm-tags-howto-listtags).
### Listar tags de recurso
Você pode executar o `list-tags-for-resource` comando para mostrar as tags que estão anexadas aos AWS OpsWorks for Chef Automate servidores ou backups. Especifique o ARN de um recurso de destino para exibir suas tags.
1. Para obter o ARN do recurso para o qual deseja listar tags:
+ Para um servidor, execute `describe-servers --server-name server_name`. Os resultados do comando mostram o ARN do servidor.
+ Para um backup, execute `describe-backups --backup-id backup_ID`. Os resultados do comando mostram o ARN do backup. Você também pode executar `describe-backups --server-name server_name` para mostrar informações sobre todos os backups de um AWS OpsWorks for Chef Automate servidor específico.
1. Execute o comando `list-tags-for-resource` com o ARN retornado na etapa 1.
```
aws opsworks-cm list-tags-for-resource --resource-arn "server_or_backup_ARN"
```
Veja um exemplo do a seguir:
```
aws opsworks-cm tag-resource --resource-arn "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE"
```
Se houver tags no recurso, o comando retornará resultados como os seguintes.
```
{
"Tags": [
{
"Key": "Stage",
"Value": "Production"
},
{
"Key": "Department",
"Value": "Marketing"
}
]
}
```
### Excluir tags de um recurso
É possível executar o comando `untag-resource` para excluir tags de servidores do AWS OpsWorks for Chef Automate ou de backups. Se o recurso for excluído, as tags no recurso também serão excluídas. Especifique o número de recurso da Amazon (ARN) de um recurso de destino para remover as tags dele.
1. Para obter o ARN do recurso do qual deseja remover tags:
+ Para um servidor, execute `describe-servers --server-name server_name`. Os resultados do comando mostram o ARN do servidor.
+ Para um backup, execute `describe-backups --backup-id backup_ID`. Os resultados do comando mostram o ARN do backup. Você também pode executar `describe-backups --server-name server_name` para mostrar informações sobre todos os backups de um AWS OpsWorks for Chef Automate servidor específico.
1. Execute o comando `untag-resource` com o ARN retornado na etapa 1. Especifique somente as tags que deseja excluir.
```
aws opsworks-cm untag-resource --resource-arn "server_or_backup_ARN" --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
Neste exemplo, o comando `untag-resource` remove somente a tag com uma chave de `Stage` e um valor de `Production`.
```
aws opsworks-cm untag-resource --resource-arn "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE" --tags Key=Stage,Value=Production
```
1. Para verificar se as tags foram excluídas com êxito, siga as etapas em [Listar tags de recurso](#opscm-tags-howto-listtags) neste tópico.
## Consulte também
+ [Crie um servidor Chef Automate usando o AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli)
+ [Faça backup de um AWS OpsWorks for Chef Automate servidor](opscm-chef-backup.md)
+ [Estratégias de marcação da AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
+ [Controlando o acesso aos AWS recursos usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) de recursos no *Guia AWS Identity and Access Management do usuário*
+ [Usar tags de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html#allocation-what) no *Guia do usuário do Gerenciamento de Faturamento e Custos da AWS *.
+ [CreateBackup](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateBackup.html) na *Referência de API do OpsWorks CM*
+ [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html) na *Referência de API do OpsWorks CM*
+ [TagResource](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_TagResource.html) na *Referência de API do OpsWorks CM*
+ [ListTagsForResource](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_ListTagsForResource.html) na *Referência de API do OpsWorks CM*
+ [UntagResource](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_UntagResource.html) na *Referência de API do OpsWorks CM*
# Fazer backup e restaurar um AWS OpsWorks for Chef Automate servidor
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Esta seção descreve como fazer backup e restaurar um AWS OpsWorks for Chef Automate servidor e como excluir backups.
**Topics**
+ [Faça backup de um AWS OpsWorks for Chef Automate servidor](opscm-chef-backup.md)
+ [Restaurar um AWS OpsWorks for Chef Automate servidor a partir de um backup](opscm-chef-restore.md)
# Faça backup de um AWS OpsWorks for Chef Automate servidor
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Você pode definir um backup recorrente diário ou semanal AWS OpsWorks for Chef Automate do servidor e fazer com que o serviço armazene os backups no Amazon Simple Storage Service (Amazon S3) em seu nome. Como alternativa, você pode fazer backups manuais sob demanda.
Como os backups são armazenados no Amazon S3, há a cobrança de taxas adicionais. É possível definir um período de retenção de backups de até 30 gerações. Você pode enviar uma solicitação de serviço para alterar esse limite usando os canais de AWS suporte. O conteúdo entregue aos buckets do Amazon S3 pode conter conteúdo do cliente. Para obter mais informações sobre a remoção de dados confidenciais, consulte [Como faço para esvaziar um bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html) ou [Como faço para excluir um bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html).
Você pode adicionar tags aos backups de um AWS OpsWorks for Chef Automate servidor. Se você adicionou tags a um servidor AWS OpsWorks for Chef Automate , os backups automatizados do servidor herdarão essas tags. Para obter mais informações sobre como adicionar e gerenciar tags em backups, consulte [Trabalhando com tags em AWS OpsWorks for Chef Automate recursos](opscm-tags.md) neste guia.
**Topics**
+ [Backups automatizados](#opscm-chef-backup-auto)
+ [Backups manuais](#opscm-chef-backup-manual)
+ [Excluir backups](#opscm-chef-backup-delete)
## Backups automatizados
Ao configurar seu AWS OpsWorks for Chef Automate servidor, você escolhe backups automáticos ou manuais. AWS OpsWorks for Chef Automate inicia backups automatizados durante a hora e no dia que você escolher na seção **Backup automatizado** da página **Definir configurações avançadas** da Configuração. Após o servidor ficar online, você poderá alterar as configurações de backup executando as seguintes etapas, no bloco do servidor na página inicial dos servidores do Chef Automate ou na página Properties do servidor.
**Para alterar configurações de backup automático**
1. No menu **Actions** do bloco do servidor na página inicial **Chef servers**, escolha **Change settings**
1. Para desativar backups automatizados, escolha **No** para a opção **Enable automated backups**. Salve as alterações; não é necessário ir para a próxima etapa.
1. Na seção **Automated Backup**, altere a frequência, o horário de início ou as gerações que serão mantidas. Salve as alterações.
## Backups manuais
Você pode iniciar um backup manual a qualquer momento no Console de gerenciamento da AWS, ou executando o comando AWS CLI [create-backup](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateBackup.html). Os backups manuais não são incluídos no limite máximo de 30 gerações de backups automáticos que estão armazenados; no máximo 10 backups manuais são armazenados e devem ser excluídos manualmente do Amazon S3.
Você pode adicionar tags ao criar um novo backup manual de um AWS OpsWorks for Chef Automate servidor. Para obter mais informações sobre como adicionar tags ao criar um backup manual, consulte [Adicionar tags a um novo backup (CLI)](opscm-tags.md#opscm-tags-howto-createbackup).
**Para realizar um backup manual no Console de gerenciamento da AWS**
1. Na página **Chef Automate servers**, selecione o servidor para o qual você deseja fazer backup.
1. Na página de propriedades do servidor, no painel de navegação esquerdo, selecione **Backups**.
1. Escolha **Create backup**.
1. O backup manual é finalizado quando a página mostra uma marca de seleção verde na coluna **Status** do backup.
**Para realizar um backup manual no AWS CLI**
+ Para iniciar um backup manual, execute o AWS CLI comando a seguir.
```
aws opsworks-cm --region region name create-backup --server-name "Chef server name" --description "optional descriptive string"
```
## Excluir backups
A exclusão de um backup permanentemente o exclui do bucket do S3 em que os backups estão armazenados.
**Para excluir um backup no Console de gerenciamento da AWS**
1. Na página **Chef Automate servers**, selecione o servidor para o qual você deseja fazer backup.
1. Na página de propriedades do servidor, no painel de navegação esquerdo, selecione **Backups**.
1. Escolha o backup que você deseja excluir e, em seguida, selecione **Delete backup**. Você pode selecionar somente um backup por vez.
1. Quando você for solicitado a confirmar a exclusão, marque a caixa de seleção **Delete the backup, which is stored in an S3 bucket** e, em seguida, escolha **Yes, Delete**.
**Para excluir um backup no AWS CLI**
+ Para excluir um backup, execute o AWS CLI comando a seguir, `--backup-id` substituindo-o pelo ID do backup que você deseja excluir. O backup IDs está no formato*ServerName-yyyyMMddHHmmssSSS*. Por exemplo, .**test-chef-server-20171218132604388**
```
aws opsworks-cm --region region name delete-backup --backup-id ServerName-yyyyMMddHHmmssSSS
```
# Restaurar um AWS OpsWorks for Chef Automate servidor a partir de um backup
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Depois de navegar pelos backups disponíveis, você pode escolher um momento a partir do qual restaurar seu AWS OpsWorks for Chef Automate servidor. Os backups do servidor contêm apenas os dados persistentes do software de gerenciamento de configuração (livros de receitas, nós registrados, etc). Executar uma restauração local de um servidor (ou seja, restaurar o AWS OpsWorks for Chef Automate servidor existente em uma nova EC2 instância) registra novamente os nós que foram registrados no momento do backup que você usa para restaurar o servidor e transfere o tráfego para a nova instância se a restauração for bem-sucedida e o estado restaurado do servidor for. AWS OpsWorks for Chef Automate `Healthy` Restaurar para um servidor do AWS OpsWorks for Chef Automate recém-criado não mantém conexões de nó. A restauração de um servidor não atualiza versões secundárias de software do Chef; ela aplica as mesmas versões do Chef e dados de gerenciamento de configuração que estão disponíveis no backup que você escolher.
A restauração de um servidor normalmente leva mais tempo do que a criação de um novo servidor; o tempo depende do tamanho do backup escolhido. Após a conclusão da restauração, a EC2 instância antiga permanece no `Stopped` estado `Running` ou, mas apenas temporariamente. Ela será encerrada por fim.
Nesta versão, você pode usar o AWS CLI para restaurar um servidor Chef em AWS OpsWorks for Chef Automate.
**nota**
Você também pode executar o comando [restore-server](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_RestoreServer.html) para alterar o tipo de instância atual ou para restaurar ou definir a chave SSH se ela for perdida ou comprometida.
**Para restaurar um servidor a partir de um backup**
1. No AWS CLI, execute o comando a seguir para retornar uma lista dos backups disponíveis e seus IDs. Anote o ID do backup que você deseja usar. O backup IDs está no formato*myServerName-yyyyMMddHHmmssSSS*.
```
aws opsworks-cm --region region name describe-backups
```
1. Execute o comando a seguir.
```
aws opsworks-cm --region region name restore-server --backup-id "myServerName-yyyyMMddHHmmssSSS" --instance-type "Type of instance" --key-pair "name of your EC2 key pair" --server-name "name of Chef server"
```
Veja um exemplo do a seguir:
```
aws opsworks-cm --region us-west-2 restore-server --backup-id "MyChefServer-20161120122143125" --server-name "MyChefServer"
```
1. Aguarde até que a restauração esteja concluída.
# Manutenção do sistema em AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
A manutenção obrigatória do sistema garante que as versões secundárias mais recentes do Chef Server e do Chef Automate Server, incluindo atualizações de segurança, estejam sempre em execução em um AWS OpsWorks for Chef Automate servidor. É necessário fazer a manutenção do sistema pelo menos uma vez por semana. Ao usar o AWS CLI, você pode configurar a manutenção automática diária, se desejar. Você também pode usar o AWS CLI para realizar a manutenção do sistema sob demanda, além da manutenção programada do sistema.
Quando novas versões secundárias do software do Chef forem disponibilizadas, a manutenção do sistema é projetada para atualizar a versão secundária do Chef Automate e do Chef Server automaticamente no servidor, assim que ela passar nos testes da AWS. A AWS realiza testes extensivos para verificar se as atualizações do Chef estão prontas para produção e não interrompem os ambientes existentes dos clientes, portanto, pode haver atrasos entre os lançamentos do software Chef e sua disponibilidade para aplicação e os existentes nos servidores do Chef Automate. OpsWorks Para atualizar versões secundárias de software do Chef disponíveis sob demanda, consulte [Iniciar a manutenção do sistema sob demanda](#opscm-maintenance-startdemand) neste tópico.
A manutenção do sistema inicia uma nova instância a partir de um backup que é executado como parte do processo de manutenção, o que ajuda a reduzir o risco de EC2 instâncias Amazon degradadas ou danificadas que passam por manutenção periódica.
**Importante**
A manutenção do sistema exclui arquivos ou configurações personalizadas que você adicionou ao servidor AWS OpsWorks for Chef Automate . Para obter mais informações sobre como reparar a configuração ou a perda de arquivos, consulte [Restaurar configurações e arquivos personalizados após a manutenção](#opscm-maintenance-restore) neste tópico.
**Topics**
+ [Garantir que os nós confiem na Autoridade OpsWorks de Certificação](#w2ab1b9c40c15)
+ [Configurar a manutenção do sistema](#w2ab1b9c40c17)
+ [Iniciar a manutenção do sistema sob demanda](#opscm-maintenance-startdemand)
+ [Restaurar configurações e arquivos personalizados após a manutenção](#opscm-maintenance-restore)
## Garantir que os nós confiem na Autoridade OpsWorks de Certificação
**nota**
As etapas desta seção não são necessárias se você estiver usando um domínio e um certificado personalizados com seu AWS OpsWorks for Chef Automate servidor.
Os nós que você está gerenciando com um AWS OpsWorks for Chef Automate servidor devem se autenticar com o servidor usando certificados. Durante a manutenção do sistema, OpsWorks substitui a instância do servidor e regenera novos certificados por meio da autoridade de OpsWorks certificação (CA). Para restaurar automaticamente a comunicação com seus nós gerenciados após a conclusão da manutenção, os nós devem confiar na OpsWorks CA que acompanha o kit inicial e está hospedada nas regiões que são suportadas pela AWS OpsWorks for Chef Automate. Quando você usa a OpsWorks CA para estabelecer a confiança entre os nós e o servidor, os nós se reconectam à nova instância do servidor após a manutenção. Se você estiver adicionando EC2 nós usando o EC2 `userdata` script descrito em[Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md), os nós já estão configurados para confiar na OpsWorks CA.
+ Para os nós baseados no Linux, o local do bucket do S3 da CA é `https://opsworks-cm-${REGION}-prod-default-assets.s3.amazonaws.com/misc/opsworks-cm-ca-2020-root.pem`. A CA OpsWorks confiável deve ser armazenada no caminho`/etc/chef/opsworks-cm-ca-2020-root.pem`.
+ Para os nós baseados no Windows, o local do bucket do S3 da CA é `https://opsworks-cm-$env:AWS_REGION-prod-default-assets.s3.amazonaws.com/misc/opsworks-cm-ca-2020-root.pem`. A OpsWorks CA deve ser armazenada na pasta raiz do Chef; por exemplo, `C:\chef\opsworks-cm-ca-2020-root.pem`
Nos dois caminhos, a variável de região resulta em uma das seguintes:
+ `us-east-2`
+ `us-east-1`
+ `us-west-1`
+ `us-west-2`
+ `ap-northeast-1`
+ `ap-southeast-1`
+ `ap-southeast-2`
+ `eu-central-1`
+ `eu-west-1`
## Configurar a manutenção do sistema
Ao criar um novo AWS OpsWorks for Chef Automate servidor, você pode configurar um dia e um horário da semana, no [Horário Universal Coordenado](https://en.wikipedia.org/wiki/Coordinated_Universal_Time) (UTC), para iniciar a manutenção do sistema. A manutenção começa na hora que você especificar. Como é recomendável que o servidor esteja offline durante a manutenção do sistema, escolha um horário de baixa demanda do servidor no horário comercial regular. Enquanto a manutenção estiver em andamento, o status do servidor será `UNDER_MAINTENANCE`.
Você também pode alterar as configurações de manutenção do sistema em um AWS OpsWorks for Chef Automate servidor existente, alterando as configurações na área **Manutenção do sistema** da página **Configurações** do seu servidor, conforme mostrado na captura de tela a seguir.
![\[Configurações do Chef Automate Server, exibindo a seção Manutenção de sistema.\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_exist_update_maintenance.png)
Na seção **System maintenance**, defina o dia e a hora em que você deseja que a manutenção do sistema se inicie.
### Configurando a manutenção do sistema usando o AWS CLI
Você também pode configurar a hora do início automático da manutenção do sistema usando a AWS CLI. O AWS CLI permite que você configure a manutenção automática diária, se desejar, omitindo o prefixo de três caracteres do dia da semana.
Em um comando `create-server`, adicione o parâmetro `--preferred-maintenance-window`, depois de especificar os requisitos para a criação da instância do servidor (como o tipo de instância e o Nome de região da Amazon (ARN) do perfil da instância e da função de serviço). No exemplo de `create-server` a seguir, `--preferred-maintenance-window` está definido como `Mon:08:00`. Isso significa que você configurou a manutenção para começar toda segunda-feira às 8:00 da manhã. UTC.
```
aws opsworks-cm create-server --engine "Chef" --engine-model "Single" --engine-version "12" --server-name "automate-06" --instance-profile-arn "arn:aws:iam::1019881987024:instance-profile/aws-opsworks-cm-ec2-role" --instance-type "t2.medium" --key-pair "amazon-test" --service-role-arn "arn:aws:iam::044726508045:role/aws-opsworks-cm-service-role" --preferred-maintenance-window "Mon:08:00"
```
Em um comando `update-server`, você pode atualizar o valor `--preferred-maintenance-window` sozinho, se desejar. No exemplo a seguir, a janela de manutenção está configurada para toda sexta-feira às 18h15. UTC.
```
aws opsworks-cm update-server --server-name "shiny-kitchen" --preferred-maintenance-window "Fri:18:15"
```
Para alterar o horário de início da janela de manutenção para todos os dias às 18h15, UTC, omita o prefixo de dia da semana de três caracteres, como mostrado no exemplo a seguir.
```
aws opsworks-cm update-server --server-name "shiny-kitchen" --preferred-maintenance-window "18:15"
```
[Para obter mais informações sobre como definir a janela preferencial de manutenção do sistema usando o AWS CLI, consulte [create-server e update-server](https://docs.aws.amazon.com/cli/latest/reference/opsworkscm/update-server.html).](https://docs.aws.amazon.com/cli/latest/reference/opsworkscm/update-server.html)
## Iniciar a manutenção do sistema sob demanda
Para iniciar a manutenção do sistema sob demanda, fora da manutenção automática semanal ou diária configurada, execute o AWS CLI comando a seguir. Não é possível iniciar a manutenção sob demanda no Console de gerenciamento da AWS.
```
aws opsworks-cm start-maintenance --server-name server_name
```
Para obter mais informações sobre esse comando, consulte [start-maintenance](https://docs.aws.amazon.com/cli/latest/reference/opsworkscm/start-maintenance.html).
## Restaurar configurações e arquivos personalizados após a manutenção
A manutenção do sistema pode excluir ou alterar arquivos ou configurações personalizados que você adicionou ao seu AWS OpsWorks for Chef Automate servidor.
Se, após uma execução de manutenção, faltarem arquivos ou configurações que você adicionou usando `RunCommand` ou SSH em seu servidor Chef, você pode usar uma Amazon Machine Image (AMI) para iniciar uma nova EC2 instância da Amazon. AMIs estão disponíveis e são criados a partir da configuração de pré-manutenção de um servidor.
A nova instância estará no mesmo estado em que o servidor do Chef estava antes da manutenção e deve incluir os arquivos e configurações que estão faltando.
**Importante**
Não é possível usar a nova instância para restaurar seu servidor, pois ela não pode ser executada como um servidor do Chef. Você pode usar a instância apenas para recuperar seus arquivos e configurações.
Para iniciar uma EC2 instância a partir de uma AMI, no EC2 console da Amazon, abra o assistente **Launch**, escolha **My** e AMIs, em seguida, escolha a AMI que tem o nome do seu servidor. Siga as etapas do EC2 assistente da Amazon como você faria para iniciar qualquer outra instância.
# Verificações de conformidade em AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
As verificações de conformidade permitem acompanhar a conformidade de nós gerenciados na infraestrutura com base em políticas predefinidas, também chamadas de *regras*. As visualizações de conformidade permitem que você audite regularmente os aplicativos em busca de vulnerabilidades e configurações fora de conformidade. O Chef oferece mais de 100 *perfis* de conformidade predefinidos – coleções de regras que se aplicam a configurações de nó específicas – que você pode usar nas verificações de conformidade. Você também pode usar a [ InSpec linguagem Chef](https://www.inspec.io/docs/) para criar seus próprios perfis personalizados.
Se o servidor ainda não estiver executando o Chef Automate 2.0, você poderá configurar o [Chef Compliance](https://www.chef.io/solutions/compliance/) manualmente instalando o livro de receitas de auditoria.
**nota**
A versão mínima suportada do software de agente cliente Chef Infra (`chef-client`) nos nós associados a um AWS OpsWorks for Chef Automate servidor é 13. *x.* Recomendamos executar a `chef-client` versão mais atual e estável, ou pelo menos a 14.10.9.
**Topics**
+ [Conformidade no Chef Automate 2.0](#opscm-compliance-ca20)
+ [Conformidade no Chef Automate 1.*x*](#opscm-compliance-ca1x)
+ [Atualizações feitas na conformidade](#opscm-chefcompliance-updates)
+ [Perfis de conformidade e comunidade personalizados](#opscm-compliance-custom)
+ [Consulte também](#opscm-compliance-seealso)
## Conformidade no Chef Automate 2.0
Se o seu AWS OpsWorks for Chef Automate servidor estiver executando o Chef Automate 2.0, configure o Chef Compliance usando os procedimentos desta seção.
### Executar tarefas de verificação de conformidade com o Chef Automate 2.0
O Chef Automate 2.0 inclui o recurso de InSpec verificação de conformidade do Chef que anteriormente exigia configuração manual e configuração do livro de receitas. Você pode executar *trabalhos de digitalização* em um AWS OpsWorks for Chef Automate servidor que esteja executando o Chef Automate 2.0. As tarefas podem ser executadas imediatamente (uma vez), programadas para um horário posterior ou programadas para serem executadas em intervalos específicos, como diariamente ou a cada duas horas. Os resultados de uma tarefa de verificação são enviados para geração de relatórios de conformidade. Você pode visualizar e tomar atitudes com base nos resultados de verificação de conformidade no painel do Chef Automate. Para abrir a guia **Compliance (Conformidade)** e visualizar relatórios, na guia **Scan Jobs (Tarefas de verificação)** do painel do Chef Automate, escolha **Report (Relatório)** à direita de uma linha de nós gerenciados.
Para executar tarefas de verificação em nós gerenciados, você deve ter os itens a seguir.
+ Pelo menos um perfil de conformidade instalado no namespace.
+ [Pelo menos um nó de destino, adicionado manualmente ou uma EC2 instância adicionada automaticamente.](opscm-unattend-assoc.md)
Em AWS OpsWorks for Chef Automate, os trabalhos de digitalização são suportados nos seguintes alvos.
+ Nós adicionados manualmente
+ Instâncias `aws-ec2`
+ Regiões da AWS
Para obter instruções detalhadas sobre como executar tarefas de verificação, consulte [Tarefas de verificação do Chef Automate](https://automate.chef.io/docs/scan-jobs/) na documentação do Chef.
### (Opcional, Chef Automate 2.0) Configuração de conformidade com o livro de receitas de auditoria
Você pode configurar a conformidade em qualquer AWS OpsWorks for Chef Automate servidor. Depois de iniciar um servidor do AWS OpsWorks for Chef Automate , você poderá instalar perfis pelo painel do Chef Automate ou adicionar perfis desejados a atributos do livro de receitas de auditoria no arquivo de política `Policyfile.rb`. Um arquivo `Policyfile.rb` pré-preenchido está incluído no Starter Kit.
Depois de editar `Policyfile.rb` com perfis como atributos do livro de receitas de auditoria, execute comandos `chef push` para fazer o upload do [livro de receitas de auditoria](https://supermarket.chef.io/cookbooks/audit) e outros livros de receitas especificados em `Policyfile.rb` no servidor do Chef Automate. A instalação do livro de receitas de auditoria também instala a gema do [Chef InSpec](https://www.inspec.io/), uma estrutura de teste e auditoria de código aberto produzida pelo Chef. Para o Chef Automate [2.0](https://discourse.chef.io/t/automate-2-version-20190410001346-released/14930), escolha a versão 7.1.0 ou posterior do livro de receitas de auditoria. O InSpec gem deve ser da versão 2.2.102 ou posterior.
As instruções nesta seção mostram como implementar o livro de receitas `opsworks-audit`. O livro de receitas de auditoria baixa perfis especificados do servidor Chef Automate, avalia os nós em relação ao perfil **DevSec SSH Baseline** e relata o resultado das verificações de conformidade em cada execução. `chef-client`
**Para instalar perfis de conformidade**
1. Se você ainda não tiver feito isso, [acesse o painel baseado na Web do Chef Automate](opscm-chef-dashboard.md). Use as credenciais que você recebeu quando fez download do Starter Kit ao criar o servidor do AWS OpsWorks for Chef Automate .
1. No painel do Chef Automate, escolha a guia **Asset Store (Loja de ativos)**.
![\[Perfis de conformidade\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_profiles.png)
1. Escolha a guia **Disponível** para ver perfis predefinidos.
1. Pesquise a lista de perfis. Escolha um perfil que corresponda ao sistema operacional e à configuração de pelo menos um de seus nós gerenciados. Para visualizar detalhes sobre o perfil, incluindo uma descrição das violações direcionadas do perfil e o código da regra subjacente, escolha **>** à direita da entrada do perfil. Você pode escolher vários perfis. Se você estiver configurando o exemplo no Starter Kit, escolha **DevSec SSH** Baseline.
![\[Visualização detalhada do perfil de conformidade do Chef\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_rule.png)
1. Para instalar os perfis selecionados no seu servidor Chef Automate, escolha **Get (Obter)**.
1. Depois que você instalar os perfis, eles serão mostrados na guia **Profiles (Perfis)** do painel do Chef Automate.
**Para instalar livros de receita com `Policyfile.rb`**
1. Visualize `Policyfile.rb` no Starter Kit para ver quais atributos do livro de receitas de auditoria especificam o perfil `ssh-baseline` em `['profiles']`.
```
# Define audit cookbook attributes
default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
default["opsworks-demo"]["audit"]["profiles"] = [
{
"name": "DevSec SSH Baseline",
"compliance": "admin/ssh-baseline"
}
]
```
1. Faça o download e instale os livros de receitas definidos em `Policyfile.rb`.
```
chef install
```
Todos os livros de receitas têm versionamento no arquivo `metadata.rb` do livro de receitas. Sempre que altera um livro de receitas, você deve aumentar a versão dele que está no `metadata.rb`.
1. Envie a política `opsworks-demo`, definida em `Policyfile.rb`, para o servidor.
```
chef push opsworks-demo
```
1. Verifique a instalação da política. Execute o comando a seguir.
```
chef show-policy
```
Os resultados devem ser semelhantes ao seguinte:
```
opsworks-demo-webserver
=======================
* opsworks-demo: ec0fe46314
```
1. Adicione nós ao servidor para gerenciar, se você ainda não tiver feito isso. Para conectar seu primeiro nó ao AWS OpsWorks for Chef Automate servidor, use o `userdata.sh` script incluído neste Starter Kit. Ele usa a OpsWorks `AssociateNode` API para conectar um nó ao seu servidor.
Você pode automatizar a associação de nós seguindo as etapas em [Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ou adicionar nós, um de cada vez, seguindo as etapas em [Adicione nós individualmente](opscm-addnodes-individually.md).
1. Depois de atualizar a lista de execução de seus nós, o agente `chef-client` executará as receitas especificadas na próxima execução. Por padrão, isso ocorre a cada 1.800 segundos (30 minutos). Depois da execução, você poderá visualizar e tomar medidas com base nos resultados da guia **Compliance (Conformidade)** no painel do Chef Automate.
![\[Resultados da verificação de conformidade do Chef\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_scan.png)
### Execução de uma verificação de conformidade
Você deverá ver os resultados de verificação de conformidade no painel do Chef Automate logo depois da primeira execução do agente ocorrida depois de configurar listas de execução de nós.
![\[Visualização da página de relatórios de conformidade do Chef\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_reporting.png)
No painel do Chef Automate, escolha a guia **Compliance (Conformidade)**. No painel de navegação à esquerda, escolha **Relatórios**. Escolha a guia **Profiles (Perfis)**, selecione **Scan Results (Resultados da verificação)** e escolha um nó com falhas de verificação para saber mais sobre as regras nas quais o nó falhou.
![\[Lista de resultados com falha de conformidade\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_results.png)
Normalmente, você vê resultados de varredura incompatíveis, porque os novos nós ainda não satisfazem todas as regras no perfil **DevSec SSH** Baseline. **O [DevSec Hardening Framework](https://github.com/dev-sec), um projeto baseado na comunidade, oferece livros de receitas para corrigir problemas que violam as regras do perfil SSH Baseline. DevSec **
### (Opcional) resolução de resultados não compatíveis
**O kit inicial inclui um livro de receitas de código aberto,`ssh-hardening`, que você pode executar para corrigir resultados não compatíveis de execuções no perfil SSH Baseline. DevSec **
**nota**
O `ssh-hardening` livro de receitas faz alterações em seus nós para cumprir as regras de linha de **base do DevSec SSH**. Antes de executar este livro de receitas em qualquer nó de produção, revise os detalhes sobre o perfil **DevSec SSH Baseline** no console do Chef Automate para entender as violações de regras que o livro de receitas visa. Revise as informações sobre o livro de receitas de código-fonte aberto [https://github.com/dev-sec/chef-ssh-hardening](https://github.com/dev-sec/chef-ssh-hardening) antes de executá-lo em qualquer um dos nós de produção.
**Para executar o livro de receitas `ssh-hardening`**
1. Em um editor de texto, anexe o livro de receitas `ssh-hardening` à lista de execução de `Policyfile.rb`. A lista de execução `Policyfile.rb` deve corresponder ao seguinte.
```
run_list 'chef-client', 'opsworks-webserver', 'audit', 'ssh-hardening'
```
1. Atualize `Policyfile.rb` e o envie para o servidor do AWS OpsWorks for Chef Automate .
```
chef update Policyfile.rb
chef push opsworks-demo
```
1. Os nós associados à política `opsworks-demo` atualizam a lista de execução automaticamente e aplicarão o livro de receitas `ssh-hardening` na próxima execução de `chef-client`.
Como você está usando o livro de receitas `chef-client`, o nó é verificado em intervalos regulares (por padrão, a cada 30 minutos). No próximo check-in, o `ssh-hardening` livro de receitas é executado e ajuda a melhorar a segurança dos nós para atender às regras do perfil **DevSec SSH Baseline**.
1. Após a execução inicial do livro de receitas `ssh-hardening`, aguarde 30 minutos para que uma verificação de conformidade seja executada novamente. Visualize os resultados no painel do Chef Automate. Os resultados não compatíveis que ocorreram na execução inicial da verificação de **linha de base do DevSec SSH devem ser resolvidos**.
## Conformidade no Chef Automate 1.*x*
Se o seu AWS OpsWorks for Chef Automate servidor estiver executando o Chef Automate 1. *x*, configure o Chef Compliance usando os procedimentos desta seção.
### (Opcional, Chef Automate 1.*x*) Configuração do Chef Compliance
Você pode configurar o Chef Compliance em qualquer AWS OpsWorks for Chef Automate servidor. Depois de iniciar um servidor AWS OpsWorks for Chef Automate , escolha os perfis que você deseja executar a partir dos perfis no painel do Chef Automate. Depois de instalar perfis, execute comandos `berks` para carregar o [livro de receitas de auditoria](https://supermarket.chef.io/cookbooks/audit) para o servidor Chef Automate. A instalação do livro de receitas de auditoria também instala o gem for [InSpec](https://www.inspec.io/), uma estrutura de teste de código aberto produzida pelo Chef que permite integrar testes automatizados em qualquer estágio do seu pipeline de implantação. Para o Chef Automate 1.*x*, escolha a versão 5.0.1 ou posterior do livro de receitas de auditoria. O InSpec gem deve ser da versão 1.24.0 ou posterior.
O kit AWS OpsWorks for Chef Automate inicial inclui um livro de receitas embalado`opsworks-audit`, que baixa e instala a versão correta do livro de receitas do Chef's Audit para você. O `opsworks-audit` livro de receitas também instrui o `chef-client` agente a avaliar os nós em relação ao perfil **DevSecSSH Baseline** que você instala a partir do console de conformidade do Chef posteriormente neste tópico. Você pode configurar o Compliance usando o livro de receitas para atender suas preferências. As instruções nesta seção mostram como implementar o livro de receitas `opsworks-audit`.
**Para instalar perfis do Compliance**
1. Se você ainda não tiver feito isso, [acesse o painel baseado na Web do Chef Automate](opscm-chef-dashboard.md). Use as credenciais que você recebeu ao baixar o Starter Kit ao criar seu AWS OpsWorks for Chef Automate servidor.
1. No painel do Chef Automate, escolha a guia **Compliance (Conformidade)**.
![\[Perfis do Chef Compliance\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_profiles_ca1.png)
1. Na barra de navegação à esquerda, escolha **Armazenamento de perfis** e, em seguida, selecione a guia **Disponível** para ver os perfis predefinidos.
1. Pesquise a lista de perfis. Escolha um perfil que corresponda ao sistema operacional e à configuração de pelo menos um de seus nós gerenciados. Para visualizar detalhes sobre o perfil, incluindo uma descrição das violações direcionadas do perfil e o código da regra subjacente, escolha **>** à direita da entrada do perfil. Você pode escolher vários perfis.
![\[Visualização de detalhes do perfil do Chef Compliance\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_rule_ca1.png)
1. Para instalar os perfis selecionados no seu servidor Chef Automate, escolha **Get (Obter)**.
1. Quando o download estiver concluído, vá para o próximo procedimento.
**Para instalar e configurar o livro de receitas `opsworks-audit`**
1. Esta etapa é opcional, mas economiza tempo na Etapa 6, quando você está adicionando receitas às listas de execução de nós. Edite o arquivo `roles/opsworks-example-role.rb` que está incluído no starter kit que você baixou durante a criação do servidor AWS OpsWorks for Chef Automate . Adicione as linhas a seguir. A última linha é comentada, pois é opcional a adição do livro de receitas `ssh-hardening` e da receita para resolver nós não compatíveis após as execuções de verificação do Compliance.
```
run_list(
"recipe[chef-client]",
"recipe[apache2]",
"recipe[opsworks-audit]"
# "recipe[ssh-hardening]"
)
```
1. Use um editor de texto para especificar os livros de receita desejados no seu Berksfile. Um Berksfile de exemplo é fornecido para você no starter kit. Neste exemplo, instalamos o livro de receitas cliente do Chef Infra (`chef-client`), o livro de receitas `apache2` e o livro de receitas `opsworks-audit`. Seu Berksfile deve se parecer com o seguinte.
```
source 'https://supermarket.chef.io
cookbook 'chef-client'
cookbook 'apache2', '~> 5.0.1'
cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0'
```
Todos os livros de receitas têm versionamento no arquivo `metadata.rb` do livro de receitas. Sempre que altera um livro de receitas, você deve aumentar a versão dele que está no `metadata.rb`.
1. Execute o comando a seguir para baixar e instalar os livros de receitas na pasta `cookbooks` do seu computador local ou de trabalho.
```
berks vendor cookbooks
```
1. Execute o comando a seguir para carregar os livros de receitas do fornecedor no servidor AWS OpsWorks for Chef Automate .
```
knife upload .
```
1. Execute o comando a seguir para verificar a instalação do livro de receitas `opsworks-audit` mostrando uma lista de livros de receitas que estão disponíveis atualmente no servidor.
```
knife cookbook list
```
1. Adicione nós ao servidor para gerenciar, se você ainda não tiver feito isso. Você pode automatizar a associação de nós seguindo as etapas em [Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ou adicionar nós, um de cada vez, seguindo as etapas em [Adicione nós individualmente](opscm-addnodes-individually.md). Edite a lista de execução de seus nós para adicionar a função que você especificou na Etapa 1, `opsworks-example-role`. Neste exemplo, edite o atributo `RUN_LIST` no script `userdata` que você usa para automatizar a associação de nós.
```
RUN_LIST="role[opsworks-example-role]"
```
Se você ignorou a Etapa 1 e não configurou a função, adicione os nomes das receitas individuais à lista de execuções. Salve suas alterações e siga as etapas [Etapa 3: Criar instâncias com um script de associação autônoma](opscm-unattend-assoc.md#opscm-unattend-script) para aplicar seu script de dados de usuário às EC2 instâncias da Amazon.
```
RUN_LIST="recipe[chef-client],recipe[apache2],recipe[opworks-audit]"
```
1. Depois de atualizar a lista de execução de seus nós, o agente `chef-client` executará as receitas especificadas na próxima execução. Por padrão, isso ocorre a cada 1.800 segundos (30 minutos). Após a execução, os seus resultados do Compliance ficam visíveis no painel do Chef Automate.
### Execução de uma verificação de conformidade
Você deve ver os resultados de verificação de conformidade no painel do Chef Automate logo após a primeira execução do agente daemon que ocorre depois de configurar listas de execução de nós.
![\[Visualização da página de relatórios do Chef Compliance\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_reporting_ca1.png)
No painel do Chef Automate, escolha a guia **Compliance (Conformidade)**. No painel de navegação à esquerda, escolha **Relatórios**. Escolha a guia **Profiles (Perfis)**, selecione **Scan Results (Resultados da verificação)** e escolha um nó com falhas de verificação para saber mais sobre as regras nas quais o nó falhou.
![\[Lista de resultados com falha do Chef Compliance\]](http://docs.aws.amazon.com/pt_br/opsworks/latest/userguide/images/opscm_compliance_results_ca1.png)
Normalmente, você vê resultados de varredura incompatíveis, porque os novos nós ainda não satisfazem todas as regras no perfil **DevSec SSH** Baseline. **O [DevSec Hardening Framework](https://github.com/dev-sec), um projeto baseado na comunidade, oferece livros de receitas para corrigir problemas que violam as regras do perfil SSH Baseline. DevSec **
### (Opcional) resolução de resultados não compatíveis
**O kit inicial inclui um livro de receitas de código aberto,`ssh-hardening`, que você pode executar para corrigir resultados não compatíveis de execuções no perfil SSH Baseline. DevSec **
**nota**
O `ssh-hardening` livro de receitas faz alterações em seus nós para cumprir as regras de linha de **base do DevSec SSH**. Antes de executar este livro de receitas em qualquer nó de produção, revise os detalhes sobre o perfil **DevSec SSH Baseline** no console do Chef Automate para entender as violações de regras que o livro de receitas visa. Revise as informações sobre o livro de receitas de código-fonte aberto [https://github.com/dev-sec/chef-ssh-hardening](https://github.com/dev-sec/chef-ssh-hardening) antes de executá-lo em qualquer um dos nós de produção.
**Para executar o livro de receitas `ssh-hardening`**
1. Em um editor de texto, anexe o livro de receitas `ssh-hardening` ao seu Berksfile. Seu Berksfile deve se parecer com o seguinte.
```
source 'https://supermarket.chef.io'
cookbook 'chef-client'
cookbook 'apache2', '~> 5.0.1'
cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0' # optional
cookbook 'ssh-hardening'
```
1. Execute os comandos a seguir para baixar o livro de receitas `ssh-hardening` na sua pasta local de livros de receitas e, em seguida, carregue-o no servidor AWS OpsWorks for Chef Automate .
```
berks vendor cookbooks
knife upload .
```
1. Adicione a receita `ssh-hardening` à lista de execução de nós conforme descrito nas Etapas 1 e 6 de [Para instalar e configurar o livro de receitas `opsworks-audit`](#opscm-compliance-setup-cookbook).
Se você atualizar o arquivo `opsworks-example-role.rb`, carregue as alterações no servidor executando o comando a seguir.
```
knife upload .
```
Se você atualizar a lista de execuções diretamente, carregue as alterações no servidor executando o comando a seguir. O nome do nó geralmente é o ID da instância.
```
knife node run_list add 'recipe[ssh-hardening]'
```
1. Como você está usando o livro de receitas `chef-client`, o nó é verificado em intervalos regulares (por padrão, a cada 30 minutos). No próximo check-in, o `ssh-hardening` livro de receitas é executado e ajuda a melhorar a segurança dos nós para atender às regras do perfil **DevSec SSH Baseline**.
1. Após a execução inicial do livro de receitas `ssh-hardening`, aguarde 30 minutos para que uma verificação do Compliance seja executada novamente. Visualize os resultados no painel do Chef Automate. Os resultados não compatíveis que ocorreram na execução inicial da verificação de **linha de base do DevSec SSH devem ser resolvidos**.
## Atualizações feitas na conformidade
Em um AWS OpsWorks for Chef Automate servidor, a funcionalidade de conformidade é atualizada automaticamente pela [manutenção programada do sistema](opscm-maintenance.md). À medida que as versões atualizadas do Chef Automate, Chef Infra Server e Chef InSpec se tornam disponíveis para seu AWS OpsWorks for Chef Automate servidor, talvez seja necessário verificar e atualizar as versões suportadas do livro de receitas Audit e do Chef InSpec gem que estão sendo executadas em seu servidor. Os perfis que você já instalou no seu AWS OpsWorks for Chef Automate servidor não são atualizados como parte da manutenção.
## Perfis de conformidade e comunidade personalizados
O Chef atualmente inclui mais de 100 perfis de verificação de conformidade. Você pode adicionar perfis personalizados e de comunidade à lista, fazer o download e executar verificações de conformidade com base nesses perfis, da mesma forma que faria para perfis incluídos. Os perfis de conformidade baseados em comunidade estão disponíveis no [Chef Supermarket](https://supermarket.chef.io/tools?q=&type=compliance_profile). Os perfis personalizados são programas baseados no Ruby que incluem uma pasta de controles que especificam as regras de verificação.
## Consulte também
+ [Post do blog de anúncios do Chef Compliance](https://blog.chef.io/2017/07/05/chef-automate-release-july-2017/)
+ [Treinamento online do Chef Automate Compliance](https://training.chef.io/instructor-led-training/chef-automate-compliance)
+ InSpecSite [do Chef](https://www.inspec.io/)
+ [ InSpec Tutoriais do Chef](https://www.inspec.io/tutorials/)
# Desassociar um nó de um servidor AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Esta seção descreve como desassociar ou remover um nó gerenciado do gerenciamento por um AWS OpsWorks for Chef Automate servidor. Essa operação é executada na linha de comando; você não pode desassociar nós no console AWS OpsWorks for Chef Automate de gerenciamento. Atualmente, a AWS OpsWorks for Chef Automate API não permite a remoção em lote de vários nós. O comando nesta seção dissociará um nó por vez.
Recomendamos que você dissocie os nós de um servidor Chef antes de excluir o servidor, de forma que os nós continuem a operar sem tentar se reconectar ao servidor. Para fazer isso, execute o [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html) AWS CLI comando.
**Como desassociar nós**
1. No AWS CLI, execute o comando a seguir para dissociar os nós. *Node\$1name*é o nome do nó que você deseja desassociar; para EC2 instâncias da Amazon, esse é o ID da instância. *Server\$1name*é o nome do servidor Chef do qual você deseja desassociar o nó. `--engine-attributes`especifica seu `CHEF_AUTOMATE_ORGANIZATION` nome padrão. Todos os três parâmetros são obrigatórios.
O parâmetro `--region` não será necessário, a menos que você queira dissociar um nó de um servidor Chef que não esteja na região padrão.
```
aws opsworks-cm --region Region_name disassociate-node --node-name Node_name --server-name Server_name --engine-attributes "Name=CHEF_AUTOMATE_ORGANIZATION,Value='default'"
```
O comando a seguir é um exemplo.
```
aws opsworks-cm --region us-west-2 disassociate-node --node-name i-0010zzz00d66zzz90 --server-name opsworkstest --engine-attributes "Name=CHEF_AUTOMATE_ORGANIZATION,Value='default'"
```
1. Aguarde pela mensagem de resposta indicando que a dissociação foi concluída.
Depois de desassociar com sucesso um nó de um AWS OpsWorks for Chef Automate servidor, ele ainda pode estar visível no painel do Chef Automate. Por padrão, o Chef impõe um período de retenção para informações de estados de nós e limpa o nó automaticamente após alguns dias.
Para obter mais informações sobre como excluir um AWS OpsWorks for Chef Automate servidor, consulte[Excluir um AWS OpsWorks for Chef Automate servidor](opscm-delete-server.md).
## Related Topics
As postagens de AWS blog a seguir oferecem mais informações sobre a associação automática de nós ao seu servidor Chef Automate, usando grupos de Auto Scaling ou em várias contas.
+ [Usando o AWS OpsWorks for Chef Automate para gerenciar EC2 instâncias com Auto Scaling](https://aws.amazon.com/blogs/mt/using-aws-opsworks-for-chef-automate-to-manage-ec2-instances-with-auto-scaling/)
+ [OpsWorks para Chef Automate — Inicializando automaticamente nós em contas diferentes](https://aws.amazon.com/blogs/mt/opsworks-for-chef-automate-automatically-bootstrapping-nodes-in-different-accounts/)
# Excluir um AWS OpsWorks for Chef Automate servidor
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Esta seção descreve como excluir um AWS OpsWorks for Chef Automate servidor. A exclusão de um servidor também exclui seus eventos, logs e todos livros de receitas que foram armazenados no servidor. Os recursos de suporte (instância do Amazon Elastic Compute Cloud, volume do Amazon Elastic Block Store etc.) também são excluídos, junto com todos os backups automatizados.
Embora a exclusão de um servidor não exclua os nós, eles não serão mais gerenciados pelo servidor excluído e tentarão continuamente a se reconectar. Por esse motivo, recomendamos que você desassocie os nós gerenciados antes de excluir um servidor do Chef. Nesta versão, você pode dissociar os nós executando um AWS CLI comando.
## Etapa 1: Dissociação dos nós gerenciados
Desassocie os nós do servidor Chef antes de excluir o servidor, de forma que os nós continuem a operar sem tentar a reconexão com o servidor. Para fazer isso, execute o [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html) AWS CLI comando.
**Como desassociar nós**
1. No AWS CLI, execute o comando a seguir para dissociar os nós. *Server\$1name*é o nome do servidor Chef do qual você deseja desassociar o nó.
```
aws opsworks-cm --region Region_name disassociate-node --node-name Node_name --server-name Server_name
```
1. Aguarde pela mensagem de resposta indicando que a dissociação foi concluída.
## Etapa 2: Exclusão do servidor
1. No bloco do servidor no painel, expanda o menu** Actions**.
1. Escolha **Delete server**.
1. Quando você for solicitado a confirmar a exclusão, escolha **Yes**.
# Redefinição das credenciais do painel do Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Periodicamente, você pode querer alterar a senha com a qual faz login no painel do Chef Automate. Você também pode usar os AWS CLI comandos do Amazon EC2 Systems Manager mostrados nesta seção para alterar a senha do painel do Chef Automate, caso a tenha perdido. O comando que você usa depende se o seu servidor Chef Automate está executando a versão 1 ou a versão 2 do Chef Automate.
1. Para retornar o ID da instância do seu servidor Chef, abra Console de gerenciamento da AWS a página a seguir.
https://console.aws.amazon.com/ec2/v2/home? region= \$1instâncias:search= *region\$1of\$1your\$1server* - aws-opsworks-cm *server\$1name*
Por exemplo, para um servidor Chef chamado **MyChefServer**na região Oeste dos EUA (Oregon), o URL do console seria o seguinte.
https://console.aws.amazon.com/ec2/v2/home? region=us-west-2 \$1instâncias:search= - aws-opsworks-cm MyChefServer
Anote o ID da instância que é exibido no console;, pois você precisará dele para alterar sua senha.
1. Para redefinir a senha de login do painel do Chef Automate, execute um dos seguintes comandos AWS CLI , dependendo se o seu servidor está executando o Chef Automate 1 ou o Chef Automate 2. *enterprise\$1name*Substitua pelo nome da sua empresa ou organização, *user\$1name* pelo nome de usuário de um administrador no servidor, *new\$1password* pela senha que você deseja usar e *region\$1name* pela região na qual seu servidor está localizado. Se você não especificar um nome de empresa, o nome da empresa será `default`. Por padrão, *enterprise\$1name* é `default` (esse é o nome da organização que está sempre provisionada). Para*user\$1name*, cria AWS OpsWorks for Chef Automate apenas um usuário chamado`admin`. Anote a nova senha e guarde-a em um local seguro, mas de fácil acesso.
Para Chef Automate 1:
```
aws ssm send-command --document-name "AWS-RunShellScript" --comment "reset admin password" --instance-ids "instance_id"
--parameters commands="sudo delivery-ctl reset-password enterprise_name user_name new_password" --region region_name --output text
```
Para Chef Automate 2:
```
aws ssm send-command --document-name "AWS-RunShellScript" --comment "reset admin password" --instance-ids "instance_id"
--parameters commands="sudo chef-automate iam admin-access restore new_password" --region region_name --output text
```
1. Aguarde o texto de saída (neste caso, o ID de comando) para mostrar que a alteração da senha foi concluída.
# Registrando chamadas de AWS OpsWorks for Chef Automate API com AWS CloudTrail
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
AWS OpsWorks for Chef Automate é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por uma identidade do IAM ou por um AWS serviço em AWS OpsWorks for Chef Automate. CloudTrail captura todas as chamadas de API para eventos AWS OpsWorks for Chef Automate as, incluindo chamadas do AWS OpsWorks for Chef Automate console e de chamadas de código para o. AWS OpsWorks for Chef Automate APIs Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS OpsWorks for Chef Automate Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS OpsWorks for Chef Automate, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS OpsWorks for Chef Automate Informações em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando a atividade ocorre em AWS OpsWorks for Chef Automate, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para AWS OpsWorks for Chef Automate, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, ao criar uma trilha no console, ela é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas AWS OpsWorks for Chef Automate as ações são registradas CloudTrail e documentadas na [Referência da AWS OpsWorks for Chef Automate API](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/Welcome.html). Por exemplo, chamadas para as [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html)ações [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html), e geram entradas nos arquivos de CloudTrail log.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Entendendo as entradas do arquivo de AWS OpsWorks for Chef Automate log
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro para a AWS OpsWorks for Chef Automate `CreateServer` ação.
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"AssumedRole",
"principalId":"ID number:OpsWorksCMUser",
"arn":"arn:aws:sts::831000000000:assumed-role/Admin/OpsWorksCMUser",
"accountId":"831000000000","accessKeyId":"ID number",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2017-01-05T22:03:47Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"ID number",
"arn":"arn:aws:iam::831000000000:role/Admin",
"accountId":"831000000000",
"userName":"Admin"
}
}
},
"eventTime":"2017-01-05T22:18:23Z",
"eventSource":"opsworks-cm.amazonaws.com",
"eventName":"CreateServer",
"awsRegion":"us-west-2",
"sourceIPAddress":"101.25.190.51",
"userAgent":"console.amazonaws.com",
"requestParameters":{
"serverName":"OpsChef-test-server",
"engineModel":"Single",
"engine":"Chef",
"instanceProfileArn":"arn:aws:iam::831000000000:instance-profile/aws-opsworks-cm-ec2-role",
"backupRetentionCount":3,"serviceRoleArn":"arn:aws:iam::831000000000:role/service-role/aws-opsworks-cm-service-role",
"engineVersion":"12",
"preferredMaintenanceWindow":"Fri:21:00",
"instanceType":"t2.medium",
"subnetIds":["subnet-1e111f11"],
"preferredBackupWindow":"Wed:08:00"
},
"responseElements":{
"server":{
"endpoint":"OpsChef-test-server-thohsgreckcnwgz3.us-west-2.opsworks-cm.io",
"createdAt":"Jan 5, 2017 10:18:22 PM",
"serviceRoleArn":"arn:aws:iam::831000000000:role/service-role/aws-opsworks-cm-service-role",
"preferredBackupWindow":"Wed:08:00",
"status":"CREATING",
"subnetIds":["subnet-1e111f11"],
"engine":"Chef",
"instanceType":"t2.medium",
"serverName":"OpsChef-test-server",
"serverArn":"arn:aws:opsworks-cm:us-west-2:831000000000:server/OpsChef-test-server/8epp7f6z-e91f-4z10-89z5-8c6219cdb09f",
"engineModel":"Single",
"backupRetentionCount":3,
"engineAttributes":[
{"name":"CHEF_STARTER_KIT","value":"*** Redacted ***"},
{"name":"CHEF_PIVOTAL_KEY","value":"*** Redacted ***"},
{"name":"CHEF_DELIVERY_ADMIN_PASSWORD","value":"*** Redacted ***"}],
"engineVersion":"12.11.1",
"instanceProfileArn":"arn:aws:iam::831000000000:instance-profile/aws-opsworks-cm-ec2-role",
"preferredMaintenanceWindow":"Fri:21:00"
}
},
"requestID":"de7f64f9-d394-12ug-8081-7bb0386fbcb6",
"eventID":"8r7b18df-6c90-47be-87cf-e8346428cfc3",
"eventType":"AwsApiCall",
"recipientAccountId":"831000000000"
}
```
# Solução de problemas AWS OpsWorks for Chef Automate
**Importante**
AWS OpsWorks O Chef Automate chegou ao fim da vida útil em 5 de maio de 2024 e foi desativado para clientes novos e existentes. Recomendamos que os clientes existentes migrem para o Chef SaaS ou uma solução alternativa. Se você tiver dúvidas, pode entrar em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).
Este tópico contém alguns AWS OpsWorks for Chef Automate problemas comuns e sugestões de soluções para esses problemas.
**Topics**
+ [Dicas para solução de problemas em geral](#w2ab1b9c52b9)
+ [Solução de problemas de erros específicos](#tshooterrors-chef)
+ [Ajuda e suporte adicionais](#tshooterrors-chef-support)
## Dicas para solução de problemas em geral
Caso não consiga criar ou trabalhar com um servidor do Chef, você pode exibir mensagens de erro ou logs para ajudar a solucionar o problema. As tarefas a seguir descrevem locais em geral para iniciar quando você está solucionando um problema no servidor do Chef. Para obter mais informações sobre erros específicos e soluções, consulte a seção [Solução de problemas de erros específicos](#tshooterrors-chef) deste tópico.
+ Use o AWS OpsWorks for Chef Automate console para visualizar mensagens de erro se um servidor Chef falhar ao iniciar. Na página de detalhes do servidor do Chef, as mensagens de erro relacionadas à inicialização e à execução do servidor são mostradas na parte superior da página. Os erros podem vir de AWS OpsWorks for Chef Automate CloudFormation, ou da Amazon EC2, serviços usados para criar um servidor Chef. Na página de detalhes, você também pode visualizar eventos que ocorrem em um servidor em execução, que podem conter mensagens de evento de falha.
+ Para ajudar a resolver EC2 problemas, conecte-se à instância do seu servidor usando SSH e visualize os registros. EC2 os registros da instância são armazenados no `/var/log/aws/opsworks-cm` diretório. Esses registros capturam as saídas do comando enquanto AWS OpsWorks for Chef Automate inicia um servidor Chef.
## Solução de problemas de erros específicos
**Topics**
+ [O servidor está em um estado de **conexão perdida**](#tshooterrors-chef-connection-lost)
+ [Nó gerenciado aparece no painel Automate do Chef, na coluna Missing](#w2ab1b9c52c11b6)
+ [Não é possível criar um cofre do Chef; falha no comando `knife vault` com erros](#w2ab1b9c52c11b8)
+ [Falha na criação do servidor com a mensagem "requested configuration is currently not supported"](#w2ab1b9c52c11c10)
+ [O servidor do Chef não reconhece os nomes da organização adicionados no painel do Chef Automatize](#w2ab1b9c52c11c12)
+ [Não é possível criar a EC2 instância Amazon do servidor](#w2ab1b9c52c11c14)
+ [Erro na função de serviço impede a criação do servidor](#w2ab1b9c52c11c16)
+ [Limite de endereço IP elástico excedido](#w2ab1b9c52c11c18)
+ [Não é possível fazer logon no painel do Chef Automatize](#w2ab1b9c52c11c20)
+ [Falha na associação do nó autônomo](#w2ab1b9c52c11c22)
+ [Falha na manutenção do sistema](#tshooterrors-chef-maintenance-fails)
### O servidor está em um estado de **conexão perdida**
**Problema:** o status de um servidor é exibido como **Conexão perdida**.
**Causa:** Isso geralmente ocorre quando uma entidade externa OpsWorks faz alterações em um AWS OpsWorks for Chef Automate servidor ou em seus recursos de suporte. OpsWorks não pode se conectar aos servidores do Chef Automate nos estados **perdidos do Connection** para lidar com tarefas de manutenção, como criar backups, aplicar patches do sistema operacional ou atualizar o Chef Automate. Como resultado, seu servidor pode estar perdendo atualizações importantes, suscetível a problemas de segurança ou não funcionando conforme o esperado.
**Solução:** tente as etapas a seguir para restaurar a conexão do servidor.
1. Verifique se seu perfil de serviço tem todas as permissões necessárias.
1. Na página **Configurações** do seu servidor, em **Rede e segurança**, escolha o link para o perfil de serviço que o servidor está usando. Isso abrirá o perfil de serviço para visualização no console do IAM.
1. Na guia **Permissões**, verifique se `AWSOpsWorksCMServiceRole` está na lista de **Políticas de permissões**. Se ela não estiver listada, adicione a política `AWSOpsWorksCMServiceRole` gerenciada manualmente ao perfil.
1. Na guia **Relações de confiança**, verifique se o perfil de serviço tem uma política de confiança que confia no serviço `opsworks-cm.amazonaws.com` para assumir perfis em seu nome. Para obter mais informações sobre como usar políticas de confiança com funções, consulte [Modificação de uma função (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) ou a postagem do blog de AWS segurança, [Como usar políticas de confiança com funções do IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
1. Verifique se seu perfil de instância tem todas as permissões necessárias.
1. Na página **Configurações** do seu servidor, em **Rede e segurança**, escolha o link para o perfil de instância que o servidor está usando. Isso abrirá o perfil de instância para visualização no console do IAM.
1. Na guia **Permissões**, verifique se `AmazonEC2RoleforSSM` e `AWSOpsWorksCMInstanceProfileRole` estão na lista de **Políticas de permissões**. Se uma ou ambas não estiverem listadas, adicione essas políticas gerenciadas manualmente ao perfil.
1. Na guia **Relações de confiança**, verifique se o perfil de serviço tem uma política de confiança que confia no serviço `ec2.amazonaws.com` para assumir perfis em seu nome. Para obter mais informações sobre como usar políticas de confiança com funções, consulte [Modificação de uma função (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) ou a postagem do blog de AWS segurança, [Como usar políticas de confiança com funções do IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
1. No EC2 console da Amazon, verifique se você está na mesma região do AWS OpsWorks for Chef Automate servidor e, em seguida, reinicie a EC2 instância que seu servidor está usando.
1. Escolha a EC2 instância nomeada `aws-opsworks-cm-instance-`*server-name*.
1. Escolha **Estado da instância** e **Reinicializar instância** no menu.
1. Aguarde até 15 minutos para que seu servidor reinicie e fique totalmente on-line.
1. No AWS OpsWorks for Chef Automate console, na página de detalhes do servidor, verifique se o status do servidor agora está **íntegro**.
Se o status do servidor ainda for **Conexão perdida** após a execução das etapas anteriores, tente uma das opções a seguir.
+ Substitua o servidor [criando um novo](gettingstarted-opscm-create.md) e [excluindo o original](opscm-delete-server.md). Se os dados do servidor atual forem importantes para você, [restaure o servidor a partir de um backup recente](opscm-chef-restore.md) e verifique se os dados estão atualizados antes de [excluir o servidor original que não responde](opscm-delete-server.md).
+ [Entre em contato com o suporte da AWS](#tshooterrors-chef-support).
### Nó gerenciado aparece no painel Automate do Chef, na coluna Missing
**Problema:** um nó gerenciado aparece na coluna **Missing** do painel do Chef Automate.
**Motivo:** quando um nó não se conecta ao servidor do Chef Automate por mais de 12 horas, e `chef-client` não pode ser executado no nó, ele muda do estado em que estava antes do período de 12 horas e avança para a coluna **Missing** do painel Chef Automate.
**Solução:** Verifique se o nó está online. Tente executar `knife node show node_name --run-list` para saber se `chef-client` pode ser executado no nó, ou `knife node show -l node_name` para exibir todas as informações sobre o nó. O nó pode estar off-line ou desconectado da rede.
### Não é possível criar um cofre do Chef; falha no comando `knife vault` com erros
**Problema:** Você está tentando criar um cofre no servidor Chef Automate (como um cofre para armazenar credenciais para nós baseados no Windows de ingresso no domínio), executando o comando `knife vault`. O comando retorna uma mensagem de erro semelhante à seguinte.
```
WARN: Auto inflation of JSON data is deprecated. Please pass in the class to inflate or use #edit_hash (CHEF-1)
at /opt/chefdk/embedded/lib/ruby/2.3.0/forwardable.rb:189:in `edit_data'.Please see https://docs.chef.io/deprecations_json_auto_inflate.html
for further details and information on how to correct this problem.
WARNING: pivotal not found in users, trying clients.
ERROR: ChefVault::Exceptions::AdminNotFound: FATAL: Could not find pivotal in users or clients!
```
O usuário essencial não é retornado quando você executa `knife user list` remotamente, embora possa vê-lo em resultados ao executar o comando `chef-server-ctl user-show` localmente no servidor do Chef Automatize. Em outras palavras, o comando `knife vault` não pode encontrar o usuário essencial, mas você sabe que ele existe.
**Causa:** Embora seja considerado o superusuário no Chef e tenha permissões completas, o usuário essencial não é membro de nenhuma organização, inclusive a organização `default` usada no AWS OpsWorks for Chef Automate. O comando `knife user list` retorna todos os usuários presentes na organização atual na configuração do Chef. O comando `chef-server-ctl user-show` retorna todos os usuários, independentemente da organização, inclusive o usuário essencial.
**Solução:** Para corrigir o problema, adicione o usuário essencial à organização padrão executando `knife opc`.
Primeiro, você precisará instalar o plug-in [knife-opc](https://github.com/chef/knife-opc).
```
chef gem install knife-opc
```
Depois de instalar o plug-in, execute o comando a seguir para adicionar o usuário essencial à organização padrão.
```
knife opc org user add default pivotal
```
Você pode verificar se o usuário essencial faz parte da organização padrão executando o `knife user list` novamente. O `pivotal` deve ser listado nos resultados. Em seguida, tente reexecutar `knife vault`.
### Falha na criação do servidor com a mensagem "requested configuration is currently not supported"
**Problema:** Você está tentando criar um servidor do Chef Automatize, mas a criação do servidor falha com uma mensagem de erro semelhante a "The requested configuration is currently not supported. Please check the documentation for supported configurations."
**Causa:** Um tipo de instância não compatível pode ter sido especificado para o servidor do Chef Automatize. Se você optar por criar o servidor do Chef Automatize em uma VPC que tenha uma locação não padrão, como uma para [instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html), todas as instâncias dentro da VPC especificada também devem ser de locação dedicada ou host. Como alguns tipos de instância, como t2, só estão disponíveis com a locação padrão, o tipo de instância do servidor do Chef Automatize talvez não seja compatível com a VPC especificada, e a criação do servidor falha.
**Solução:** Se você escolher uma VPC que tenha uma locação não padrão, use um tipo de instância m4, que pode dar suporte à locação dedicada.
### O servidor do Chef não reconhece os nomes da organização adicionados no painel do Chef Automatize
**Problema:** Você adicionou novos nomes de organização de fluxo de trabalho no painel do Chef Automatize ou especificou um valor `CHEF_AUTOMATE_ORGANIZATION` diferente de `"default"` no [script de associação de nó autônomo](opscm-unattend-assoc.md), mas a associação do nó falha. O servidor do AWS OpsWorks for Chef Automate não reconhece os novos nomes de organização.
**Causa:** Os nomes de organização do fluxo de trabalho e os nomes de organização do servidor do Chef não são iguais. Você pode criar novas organizações de fluxo de trabalho no painel do Chef Automate baseado na web, mas não nomes de organização do servidor do Chef. Você só pode usar o painel Chef Automatize para visualizar as organizações de servidor do Chef existentes. Uma nova organização que você cria no painel Chef Automate é uma organização de fluxo de trabalho, e não é reconhecida pelo servidor do Chef. Você não pode criar novos nomes de organização especificando-os no script de associação do nó. A consulta ao nome de uma organização em um script de associação do nó quando a organização não tiver sido adicionada primeiro ao servidor do Chef fará a associação do nó falhar.
**Solução:** Para criar novas organizações reconhecidas no servidor do Chef, use o comando [https://docs.chef.io/plugin_knife_opc.html#opc-org-create](https://docs.chef.io/plugin_knife_opc.html#opc-org-create) ou execute [https://docs.chef.io/ctl_chef_server.html#organization-management](https://docs.chef.io/ctl_chef_server.html#organization-management).
### Não é possível criar a EC2 instância Amazon do servidor
**Problema:** a criação do servidor falhou com uma mensagem de erro semelhante à seguinte: “Falha na criação dos seguintes recursos: [EC2Instância]. Failed to receive 1 resource signal(s) within the specified duration."
**Causa:** Isso provavelmente ocorre porque a EC2 instância não tem acesso à rede.
**Solução:** certifique-se de que a instância tenha acesso de saída à Internet e que o agente AWS de serviço seja capaz de emitir comandos. Certifique-se de que a VPC (uma VPC com uma única sub-rede pública) tenha **DNS resolution** ativado e que a sub-rede tenha a configuração **Auto-assign Public IP** ativada.
### Erro na função de serviço impede a criação do servidor
**Problema:** A criação do servidor falha com uma mensagem de erro que diz: “Não autorizado a realizar sts:”AssumeRole.
**Causa:** Isso pode ocorrer quando a função de serviço que você está usando não tem permissões adequadas para criar um novo servidor.
**Solução:** abra o AWS OpsWorks for Chef Automate console; use o console para gerar uma nova função de serviço e uma função de perfil de instância. Se você preferir usar sua própria função de serviço, anexe a AWSOps política de **CMServiceFunção** de Trabalho à função. Verifique se **opsworks-cm.amazonaws.com** está listado entre os serviços nas **Relações de confiança** do perfil. Verifique se a função de serviço associada ao servidor Chef tem a política gerenciada do **AWSOpsWorks CMService Role** anexada.
### Limite de endereço IP elástico excedido
**Problema:** a criação do servidor falha com uma mensagem de erro que diz: “Falha na criação dos seguintes recursos: [EIP, EC2 Instância]. Resource creation cancelled, the maximum number of addresses has been reached."
**Causa:** Isso ocorre quando a conta usou o número máximo de endereços Elastic IP (EIP – IP elástico). O limite de endereços EIP padrão é cinco.
**Solução:** você pode liberar endereços EIP existentes ou excluir aqueles que sua conta não está usando ativamente, ou pode entrar em contato com o Suporte AWS ao Cliente para aumentar o limite de endereços EIP associados à sua conta.
### Não é possível fazer logon no painel do Chef Automatize
**Problema:** O painel do Chef Automate mostra um erro semelhante ao seguinte: “Solicitação de origem cruzada bloqueada: a mesma política de origem não permite a leitura do recurso remoto na https://myserver-name.region.opsworks-cm.io/api/v0/e/default/verify-token. (Reason: CORS header 'Access-Control-Allow-Origin' missing)". The error can also be similar to "The User Id / Password com binação inserida e está incorreta”.
**Causa:** O painel do Chef Automate define explicitamente o FQDN e não aceita o relativo. URLs No momento, você não pode fazer logon usando o endereço IP do servidor do Chef; você só pode fazer logon usando o nome DNS do servidor.
**Solução:** Faça login no painel do Chef Automatize apenas usando a entrada de nome DNS do servidor do Chef, e não o endereço IP. Você também pode tentar redefinir as credenciais do painel do Chef Automate executando um comando da AWS CLI , conforme descrito em [Redefinição das credenciais do painel do Chef Automate](opscm-resetchefcreds.md).
### Falha na associação do nó autônomo
**Problema:** a associação autônoma ou automática de novos EC2 nós da Amazon está falhando. Os nós que devem ter sido adicionados ao servidor do Chef não estão aparecendo no painel do Chef Automate, e não são listados em resultados dos comandos `knife client show` ou `knife node show`.
**Causa:** isso pode ocorrer quando você não tem uma função do IAM configurada como um perfil de instância que permita que as chamadas de `opsworks-cm` API se comuniquem com novas EC2 instâncias.
**Solução:** anexe uma política ao seu perfil de EC2 instância que permita que as chamadas de `DescribeNodeAssociationStatus` API `AssociateNode` e as chamadas de API funcionem EC2, conforme descrito em[Adicione nós automaticamente em AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md).
### Falha na manutenção do sistema
AWS OpsWorks CM realiza manutenção semanal do sistema para garantir que as versões secundárias mais recentes do Chef Server e do Chef Automate Server, incluindo atualizações de segurança, estejam sempre em execução em um servidor AWS OpsWorks for Chef Automate. Se, por algum motivo, a manutenção do sistema falhar, AWS OpsWorks CM notifica você sobre a falha. Para obter mais informações sobre manutenção do sistema, consulte [Manutenção do sistema em AWS OpsWorks for Chef Automate](opscm-maintenance.md).
Esta seção descreve os possíveis motivos da falha e sugere soluções.
**Topics**
+ [Erro no perfil de serviço ou no perfil de instância impede a manutenção do sistema](#w2ab1b9c52c11c24b8)
#### Erro no perfil de serviço ou no perfil de instância impede a manutenção do sistema
**Problema:** A manutenção do sistema falha com uma mensagem de erro que diz: “Não autorizado a executar sts: AssumeRole “ou uma mensagem de erro semelhante sobre permissões.
**Causa:** isso pode ocorrer quando o perfil de serviço ou o perfil de instância que você está usando não têm permissões adequadas para realizar a manutenção do sistema no servidor.
**Solução:** verifique se seu perfil de serviço e perfil de instância têm todas as permissões necessárias.
1. Verifique se seu perfil de serviço tem todas as permissões necessárias.
1. Na página **Configurações** do seu servidor, em **Rede e segurança**, escolha o link para o perfil de serviço que o servidor está usando. Isso abrirá o perfil de serviço para visualização no console do IAM.
1. Na guia **Permissões**, verifique se `AWSOpsWorksCMServiceRole` está anexado ao perfil de serviço. Se `AWSOpsWorksCMServiceRole` não estiver listada, adicione essa política ao perfil.
1. Verifique se **opsworks-cm.amazonaws.com** está listado entre os serviços nas **Relações de confiança** do perfil. Para obter mais informações sobre como usar políticas de confiança com funções, consulte [Modificação de uma função (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) ou a postagem do blog de AWS segurança, [Como usar políticas de confiança com funções do IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
1. Verifique se seu perfil de instância tem todas as permissões necessárias.
1. Na página **Configurações** do seu servidor, em **Rede e segurança**, escolha o link para o perfil de instância que o servidor está usando. Isso abrirá o perfil de instância para visualização no console do IAM.
1. Na guia **Permissões**, verifique se `AmazonEC2RoleforSSM` e `AWSOpsWorksCMInstanceProfileRole` estão na lista de **Políticas de permissões**. Se uma ou ambas não estiverem listadas, adicione essas políticas gerenciadas manualmente ao perfil.
1. Na guia **Relações de confiança**, verifique se o perfil de serviço tem uma política de confiança que confia no serviço `ec2.amazonaws.com` para assumir perfis em seu nome. Para obter mais informações sobre como usar políticas de confiança com funções, consulte [Modificação de uma função (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) ou a postagem do blog de AWS segurança, [Como usar políticas de confiança com funções do IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
## Ajuda e suporte adicionais
Caso você não veja o problema específico descrito neste tópico ou tenha tentado as sugestões neste tópico e ainda esteja enfrentando problemas, visite os [fóruns do OpsWorks](https://forums.aws.amazon.com/forum.jspa?forumID=153&start=0).
Você também pode acessar o [AWS Support Center](https://console.aws.amazon.com/support/home#/). O AWS Support Center é o hub para criar e gerenciar casos de AWS suporte. O AWS Support Center também inclui links para outros recursos úteis, como fóruns, informações técnicas FAQs, status de integridade do serviço AWS Trusted Advisor e.