Verknüpfungen erstellen, die MOF Dateien ausführen - AWS Systems Manager
Verwenden von Amazon S3 zum Speichern von ArtefaktenAuflösen von Anmeldeinformationen in Dateien MOFVerwenden von Tokens in Dateien MOFVoraussetzungen für das Erstellen von Verknüpfungen, die Dateien ausführen MOFEine Assoziation erstellen, die Dateien ausführt MOFBehebung von Problemen beim Erstellen von Verknüpfungen, die MOF Dateien ausführenDetails zur DSC Ressourcen-Compliance anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verknüpfungen erstellen, die MOF Dateien ausführen

Mithilfe des AWS-ApplyDSCMofs SSM Dokuments können Sie Dateien im Managed Object Format (MOF) ausführenState Manager, um einen gewünschten Status auf verwalteten Windows Server-Knoten mit der Fähigkeit von AWS Systems Manager, zu erzwingen. Das AWS-ApplyDSCMofs-Dokument weist zwei Ausführungsmodi auf. Im ersten Modus können Sie die Zuordnung so konfigurieren, dass gescannt wird und gemeldet wird, ob sich die verwalteten Knoten im gewünschten Zustand befinden, der in den angegebenen MOF Dateien definiert ist. Im zweiten Modus können Sie die MOF Dateien ausführen und die Konfiguration Ihrer Knoten auf der Grundlage der in den MOF Dateien definierten Ressourcen und deren Werte ändern. Das AWS-ApplyDSCMofs Dokument ermöglicht es Ihnen, MOF Konfigurationsdateien von Amazon Simple Storage Service (Amazon S3), einem lokalen Share oder von einer sicheren Website mit einer HTTPS Domain herunterzuladen und auszuführen.

State Managerprotokolliert und meldet den Status jeder MOF Dateiausführung während jedes Zuordnungslaufs. State Managermeldet außerdem die Ausgabe jeder MOF Dateiausführung als Konformitätsereignis, das Sie auf der AWS Systems Manager Compliance-Seite einsehen können.

MOFDie Dateiausführung basiert auf der Windows PowerShell Desired State Configuration (PowerShell DSC). PowerShell DSCist eine deklarative Plattform, die für die Konfiguration, Bereitstellung und Verwaltung von Windows-Systemen verwendet wird. PowerShell DSCermöglicht es Administratoren, in einfachen Textdokumenten, den sogenannten DSC Konfigurationen, zu beschreiben, wie ein Server konfiguriert werden soll. Eine PowerShell DSC Konfiguration ist ein spezialisiertes PowerShell Skript, das angibt, was zu tun ist, aber nicht, wie es zu tun ist. Beim Ausführen der Konfiguration wird eine MOF Datei erzeugt. Die MOF Datei kann auf einen oder mehrere Server angewendet werden, um die gewünschte Konfiguration für diese Server zu erreichen. PowerShell DSCRessourcen übernehmen die eigentliche Aufgabe, die Konfiguration durchzusetzen. Weitere Informationen finden Sie unter Übersicht über die Konfiguration des PowerShell gewünschten Windows-Zustands.

Verwenden von Amazon S3 zum Speichern von Artefakten

Wenn Sie Amazon S3 zum Speichern von PowerShell Modulen, MOF Dateien, Konformitätsberichten oder Statusberichten verwenden, AWS Systems Manager SSM Agent müssen Sie die Rolle AWS Identity and Access Management (IAM), die von verwendet wird, GetObject und ListBucket Berechtigungen für den Bucket haben. Ohne diese Berechtigungen gibt das System einen Zugriff verweigert Fehler zurück. Unten finden Sie wichtige Informationen zum Speichern von Artefakten in Amazon S3.

  • Wenn sich der Bucket in einem anderen Bucket befindet AWS-Konto, erstellen Sie eine Bucket-Ressourcenrichtlinie, die dem Konto (oder der IAM Rolle) GetObject und ListBucket Berechtigungen gewährt.

  • Wenn Sie benutzerdefinierte DSC Ressourcen verwenden möchten, können Sie diese Ressourcen aus einem Amazon S3 S3-Bucket herunterladen. Sie können sie auch automatisch aus der PowerShell Galerie installieren.

  • Wenn Sie Amazon S3 als Modulquelle verwenden, laden Sie das Modul als Zip-Datei im folgenden Format mit Groß- und Kleinschreibung hoch: ModuleName_ModuleVersion.zip. Zum Beispiel: MyModule _1.0.0.zip.

  • Alle Dateien müssen im sich im Stammverzeichnis des Buckets befinden. Ordnerstrukturen werden nicht unterstützt.

Auflösen von Anmeldeinformationen in Dateien MOF

Anmeldeinformationen werden mithilfe von AWS Secrets Manager oder AWS Systems Manager Parameter Store aufgelöst. Auf diese Weise können Sie eine automatische Rotation der Anmeldeinformationen einrichten. Auf diese Weise können DSC Sie Anmeldeinformationen auch automatisch an Ihre Server weitergeben, ohne sie erneut bereitstellen zu müssen. MOFs

Um ein AWS Secrets Manager Geheimnis in einer Konfiguration zu verwenden, erstellen Sie ein PSCredential Objekt, bei dem der Benutzername dem SecretId oder dem Geheimnis ARN des Geheimnisses entspricht, das die Anmeldeinformationen enthält. Sie können für das Passwort einen beliebigen Wert angeben. Der Wert wird ignoriert. Im Folgenden sehen Sie ein Beispiel.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Kompilieren Sie es MOF mithilfe der PsAllowPlaintextPassword Einstellung in den Konfigurationsdaten. Dies ist kein besonderes Risiko, weil die Anmeldeinformationen nur einen Bezeichner enthalten.

Stellen Sie in Secrets Manager sicher, dass der Knoten in einer IAM verwalteten Richtlinie und optional in der Secret Resource Policy, falls vorhanden, GetSecretValue Zugriff hat. Um damit arbeiten zu könnenDSC, muss das Secret das folgende Format haben.

{ 'Username': 'a_name', 'Password': 'a_password' }

Das Secret kann weitere Eigenschaften (z. B. Eigenschaften für die Rotation) haben, aber es muss mindestens den Benutzernamen und das Passwort enthalten.

Wir empfehlen, dass Sie eine Rotationsmethode für mehrere Benutzer verwenden, bei der Sie zwei verschiedene Benutzernamen und Kennwörter haben und die AWS Lambda Rotationsfunktion zwischen diesen wechselt. Diese Methode ermöglicht Ihnen, mehrere aktive Konten zu haben, ohne in Gefahr zu laufen, dass Benutzer bei einer Rotation ausgesperrt werden.

Verwenden von Tokens in Dateien MOF

Tokens geben Ihnen die Möglichkeit, Eigenschaftswerte von Ressourcen zu ändern, nachdem sie MOF kompiliert wurden. Auf diese Weise können Sie gemeinsame MOF Dateien auf mehreren Servern wiederverwenden, für die ähnliche Konfigurationen erforderlich sind.

Die Ersetzung der Token funktioniert nur für Ressourceneigenschaften des Typs String. Wenn Ihre Ressource jedoch über eine Eigenschaft für verschachtelte CIM Knoten verfügt, löst sie auch Token aus String Eigenschaften in diesem CIM Knoten auf. Sie können die Token-Ersetzung nicht für Zahlen oder Arrays verwenden.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie die xComputerManagement Ressource verwenden und den Computer mithilfe von umbenennen möchten. DSC Normalerweise benötigen Sie eine spezielle MOF Datei für diesen Computer. Mit Token-Unterstützung können Sie jedoch eine einzelne MOF Datei erstellen und sie auf alle Ihre Knoten anwenden. In der ComputerName Eigenschaft können Sie ein Token vom Typ Instanz-Tag verwendenMOF, anstatt den Computernamen fest zu codieren. Der Wert wird beim MOF Parsen aufgelöst. Sehen Sie sich das folgende -Beispiel an.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Anschließend legen Sie entweder ein Tag für den verwalteten Knoten in der Systems Manager Manager-Konsole oder ein Amazon Elastic Compute Cloud (AmazonEC2) -Tag in der EC2 Amazon-Konsole fest. Wenn Sie das Dokument ausführen, ersetzt das Skript den Wert des Instance-Tags durch das Token {tag:ComputerName}.

Sie können auch mehrere Tags in einer einzigen Eigenschaft kombinieren, wie im folgenden Beispiel gezeigt.

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Es gibt fünf verschiedene Arten von Token, die Sie verwenden können:

  • Tag: Amazon EC2 - oder verwaltete Node-Tags.

  • tagb64: Dies ist das gleiche wie tag, aber das System verwendet base64, um den Wert zu dekodieren. Auf diese Weise können Sie in Tag-Werten Sonderzeichen verwenden.

  • env: Löst Umgebungsvariablen auf.

  • ssm: Parameter Store-Werte. Es werden nur die Typen String und Secure String unterstützt.

  • tagssm: Dies ist dasselbe wie Tag, aber wenn das Tag auf dem Knoten nicht festgelegt ist, versucht das System, den Wert aus einem Systems Manager-Parameter mit demselben Namen aufzulösen. Dies ist nützlich, wenn Sie einen „globalen Standardwert“ benötigen, den Sie auf einzelnen Knoten außer Kraft setzen möchten (z. B. bei One-Box-Bereitstellungen).

Es folgt ein Parameter Store-Beispiel, bei dem der Token-Typ ssm verwendet wird. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Tokens spielen eine wichtige Rolle bei der Reduzierung von redundantem Code, indem sie MOF Dateien generisch und wiederverwendbar machen. Wenn Sie serverspezifische MOF Dateien vermeiden können, ist kein Building-Service erforderlich. MOF Ein MOF Building-Service erhöht die Kosten, verlangsamt die Bereitstellungszeit und erhöht das Risiko von Konfigurationsabweichungen zwischen gruppierten Knoten aufgrund unterschiedlicher Modulversionen, die bei der Kompilierung auf dem Build-Server installiert MOFs wurden.

Voraussetzungen für das Erstellen von Verknüpfungen, die Dateien ausführen MOF

Bevor Sie eine Zuordnung erstellen, die MOF Dateien ausführt, stellen Sie sicher, dass auf Ihren verwalteten Knoten die folgenden Voraussetzungen installiert sind:

Eine Assoziation erstellen, die Dateien ausführt MOF

Um eine Assoziation zu erstellen, die MOF Dateien ausführt

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich State Manager aus.

  3. Wählen Sie State Manager und dann Create association (Zuordnung wählen) aus.

  4. Geben Sie im Feld Name einen Namen an. Dies ist zwar optional, wird aber empfohlen. Ein Name kann Ihnen helfen, den Zweck der Zuordnung zu verstehen, nachdem Sie sie erstellt haben. Der Name darf keine Leerzeichen enthalten.

  5. Wählen Sie in der Liste Dokument die Option AWS-ApplyDSCMofs aus.

  6. Geben Sie im Abschnitt Parameters (Parameter) die benötigten Angaben für die erforderlichen und die optionalen Eingabeparameter ein.

    1. Anzuwendende Mofs: Geben Sie eine oder mehrere MOF Dateien an, die ausgeführt werden sollen, wenn diese Zuordnung ausgeführt wird. Verwenden Sie Kommas, um eine Liste von MOF Dateien zu trennen. Sie können die folgenden Optionen für das Auffinden von MOF Dateien angeben.

      • Eine Amazon S3-Bucket-Bezeichnung. Bucketnamen müssen Kleinbuchstaben angegeben werden. Geben Sie diese Informationen in dem folgenden Format an.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Wenn Sie eine angeben möchten AWS-Region, verwenden Sie das folgende Format.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Eine sichere Website. Geben Sie diese Informationen in dem folgenden Format an.

        https://domain_name/MOF_file_name.mof

        Ein Beispiel.

        https://www.example.com/TestMOF.mof

      • Ein Dateisystem auf einer lokalen Freigabe. Geben Sie diese Informationen in dem folgenden Format an.

        \server_name\shared_folder_name\MOF_file_name.mof

        Ein Beispiel.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Service-Pfad): (Optional) Ein Service-Pfad ist entweder das Präfix eines Amazon S3-Buckets, in den Sie Berichte und Statusinformationen schreiben möchten, oder ein Service-Pfad ist ein Pfad für Parameter Store-Parameter-basierte Tags. Bei der Auflösung parameterbasierter Tags verwendet das System {ssm:% %/ servicePathparameter_name}, um den Wert in den Parameternamen einzufügen. servicePath Wenn Ihr Servicepfad beispielsweise "WebServers/Production" lautet, löst das System den Parameter wie folgt auf: /Production/ WebServersparameter_name. Dies ist nützlich, wenn Sie mehrere Umgebungen in demselben Konto ausführen.

    3. Report Bucket Name (Bucket-Name für Berichte): (Optional) Geben Sie den Namen eines Amazon S3-Buckets ein, in den Sie Compliance-Daten schreiben möchten. Berichte werden in diesem Bucket im JSON Format gespeichert.

      Anmerkung

      Sie können dem Bucketnamen ein Präfix voranstellen, um die Region anzugeben, in der sich der Bucket befindet. Hier ist ein Beispiel: US-West-2:MyMOFBucket. Wenn Sie einen Proxy für Amazon S3-Endpunkte in einer bestimmten Region verwenden, die us-east-1 nicht enthält, stellen Sie dem Bucket-Namen eine Region voran. Wenn dem Bucketname kein Präfix vorangestellt ist, wird die Bucketregion unter Verwendung des Endpunkts us-east-1 automatisch erkannt.

    4. Mof Operation Mode (MOF-Betriebsmodus): Wählen Sie das State Manager-Verhalten beim Ausführen der Zuordnung AWS-ApplyDSCMofs aus:

      • Apply (Anwenden): Korrigiert Knoten-Konfigurationen, die nicht konform sind.

      • ReportOnly: Korrigieren Sie keine Knotenkonfigurationen, sondern protokollieren Sie stattdessen alle Compliance-Daten und melden Sie Knoten, die nicht konform sind.

    5. Status-Bucket-Name: (Optional) Geben Sie den Namen eines Amazon S3 S3-Buckets ein, in den Sie Informationen zum MOF Ausführungsstatus schreiben möchten. Diese Statusberichte sind Singleton-Zusammenfassungen des letzten Compliance-Laufs eines Knotens. Das bedeutet, dass der Bericht überschrieben wird, wenn die Assoziation das nächste Mal MOF Dateien ausführt.

      Anmerkung

      Sie können dem Bucketnamen ein Präfix voranstellen, um die Region anzugeben, in der sich der Bucket befindet. Ein Beispiel: us-west-2:amzn-s3-demo-bucket. Wenn Sie einen Proxy für Amazon S3-Endpunkte in einer bestimmten Region verwenden, die us-east-1 nicht enthält, stellen Sie dem Bucket-Namen eine Region voran. Wenn dem Bucketname kein Präfix vorangestellt ist, wird die Bucketregion unter Verwendung des Endpunkts us-east-1 automatisch erkannt.

    6. Name des Quell-Buckets für das Modul: (Optional) Geben Sie den Namen eines Amazon S3 S3-Buckets ein, der PowerShell Moduldateien enthält. Wenn Sie None (Keine) angeben, wählen Sie True (Wahr) für die nächste Option, Allow PS Gallery Module Source.

      Anmerkung

      Sie können dem Bucketnamen ein Präfix voranstellen, um die Region anzugeben, in der sich der Bucket befindet. Ein Beispiel: us-west-2:amzn-s3-demo-bucket. Wenn Sie einen Proxy für Amazon S3-Endpunkte in einer bestimmten Region verwenden, die us-east-1 nicht enthält, stellen Sie dem Bucket-Namen eine Region voran. Wenn dem Bucketname kein Präfix vorangestellt ist, wird die Bucketregion unter Verwendung des Endpunkts us-east-1 automatisch erkannt.

    7. Quelle des PS Gallery-Moduls zulassen: (Optional) Wählen Sie True, um PowerShell Module von https://www.powershellgallery.com/herunterzuladen. Wenn Sie Falsch wählen, geben Sie eine Quelle für die vorherige Option an ModuleSourceBucketName.

    8. Proxy-URI: (Optional) Verwenden Sie diese Option, um MOF Dateien von einem Proxyserver herunterzuladen.

    9. Neustartverhalten: (Optional) Geben Sie eines der folgenden Neustartverhalten an, wenn Ihre MOF Dateiausführung einen Neustart erfordert:

      • AfterMof: Startet den Knoten neu, nachdem alle MOF Ausführungen abgeschlossen sind. Selbst wenn mehrere MOF Ausführungen Neustarts erfordern, wartet das System mit dem Neustart, bis alle MOF Ausführungen abgeschlossen sind.

      • Sofort: Startet den Knoten neu, wann immer eine Ausführung ihn anfordert. MOF Wenn mehrere MOF Dateien ausgeführt werden, die Neustarts erfordern, werden die Knoten mehrmals neu gestartet.

      • Niemals: Knoten werden nicht neu gestartet, auch wenn die MOF Ausführung ausdrücklich einen Neustart anfordert.

    10. Use Computer Name For Reporting (Computername für Berichte verwenden): (Optional) Aktivieren Sie diese Option, um in gemeldeten Compliance-Informationen den Namen des Computers aufzuführen. Der Standardwert ist false (falsch). Das bedeutet, dass das System bei der Meldung von Compliance-Informationen die Knoten-ID verwendet.

    11. Ausführliche Protokollierung aktivieren: (Optional) Wir empfehlen, die ausführliche Protokollierung zu aktivieren, wenn Sie MOF Dateien zum ersten Mal bereitstellen.

      Wichtig

      Wenn diese Option aktiviert ist, schreibt die ausführliche Protokollierung mehr Daten in Ihren Amazon S3-Bucket als die Standardprotokollierung für die Zuordnungsausführung. Dies kann dazu führen, dass die Leistung beeinträchtigt wird und etwas höhere Speichergebühren für Amazon S3 anfallen. Um diese Probleme beim Speichern großer Datenvolumen abzumildern, empfehlen wir, die Lebenszyklusrichtlinien für Ihren Amazon S3-Bucket zu aktivieren. Weitere Informationen finden Sie unter Wie erstelle ich eine Lebenszyklus-Richtlinie für einen S3-Bucket? im Benutzerhandbuch zu Amazon Simple Storage Service.

    12. Debug-Protokollierung aktivieren: (Optional) Wir empfehlen, die Debug-Protokollierung zu aktivieren, um Fehler zu beheben. MOF Wir empfehlen außerdem, diese Option bei normaler Nutzung zu deaktivieren.

      Wichtig

      Wenn diese Option aktiviert ist, schreibt die Debug-Protokollierung mehr Daten in Ihren Amazon S3-Bucket als die Standardprotokollierung für die Zuordnungsausführung. Dies kann dazu führen, dass die Leistung beeinträchtigt wird und etwas höhere Speichergebühren für Amazon S3 anfallen. Um diese Probleme beim Speichern großer Datenvolumen abzumildern, empfehlen wir, die Lebenszyklusrichtlinien für Ihren Amazon S3-Bucket zu aktivieren. Weitere Informationen finden Sie unter Wie erstelle ich eine Lebenszyklus-Richtlinie für einen S3-Bucket? im Benutzerhandbuch zu Amazon Simple Storage Service.

    13. Compliance Type (Compliance-Typ): (Optional) Geben Sie den Compliance-Typ für die Meldung von Compliance-Informationen an. Der standardmäßige Konformitätstyp ist Benutzerdefiniert:. DSC Wenn Sie mehrere Verknüpfungen erstellen, die MOF Dateien ausführen, stellen Sie sicher, dass Sie für jede Zuordnung einen anderen Konformitätstyp angeben. Wenn Sie dies nicht tun, DSC überschreibt jede weitere Zuordnung, die Benutzerdefiniert: verwendet, die vorhandenen Konformitätsdaten.

    14. Pre Reboot Script (Skript vor dem Neustart): (Optional) Geben Sie ein Skript an, das ausgeführt werden soll, wenn die Konfiguration einen Neustart anfordert. Das Skript wird vor dem Neustart ausgeführt. Das Skript muss aus einer einzelnen Zeile bestehen. Trennen Sie zusätzliche Zeilen mithilfe von Semikolons.

  7. Wählen Sie im Abschnitt Targets (Ziele) entweder Specifying tags (Angaben von Tags) oder Manually Selecting Instance (Manuelles Auswählen einer Instance) aus. Wenn Sie die Zielressourcen mithilfe von Tags ausgewählt haben, geben Sie einen Tag-Schlüssel und den Tag-Wert in die entsprechenden Felder ein. Weitere Informationen zur Verwendung von Zielen finden Sie unter Ziele und Tarifkontrollen in State Manager Verbänden verstehen.

  8. Wählen Sie im Abschnitt Specify schedule (Zeitplan angeben) entweder On Schedule (Nach Zeitplan) oder No schedule (Kein Zeitplan) aus. Wenn Sie On Schedule (Nach Zeitplan) auswählen, verwenden Sie die verfügbaren Schaltflächen zum Erstellen eines cron- oder rate-Zeitplans für die Zuordnung.

  9. Führen Sie im Abschnitt Advanced options (Erweiterte Optionen) Folgendes durch:

    • Wählen Sie unter Compliance severity (Compliance -Schweregrad), einen Schweregrad für die Zuordnung aus. In den Compliance-Berichten finden Sie Informationen dazu, ob die Zuordnung konform ist, zusammen mit dem Schweregrad, den Sie hier angeben. Weitere Informationen finden Sie unter Informationen zu State Manager-Zuordnungs-Compliance.

  10. Konfigurieren Sie im Abschnitt Rate control (Ratensteuerung) Optionen für die Ausführung von State Manager-Zuordnungen in der Flotte der verwalteten Knoten. Weitere Informationen zu diesen Optionen finden Sie unter Ziele und Tarifkontrollen in State Manager Verbänden verstehen.

    Wählen Sie im Abschnitt Concurrency (Gleichzeitigkeit) eine Option aus:

    • Wählen Sie Targets (Ziele) aus, um eine absolute Anzahl von Zielen einzugeben, die die Zuordnung gleichzeitig ausführen können.

    • Wählen Sie Percentage (Prozentsatz) aus, um einen Prozentsatz der Ziele anzugeben, die die Zuordnung gleichzeitig ausführen können.

    Wählen Sie im Abschnitt Error threshold (Fehlerschwellenwert) eine Option aus:

    • Wählen Sie Errors (Fehler) aus und geben Sie die absolute Anzahl erlaubter Fehler an, bis State Manager die Ausführung von Zuordnungen für weitere Ziele beendet.

    • Wählen Sie Percentage (Prozentsatz) aus und geben Sie den Prozentsatz erlaubter Fehler an, bis State Manager die Ausführung von Zuordnungen für weitere Ziele beendet.

  11. (Optional) Wenn Sie im Abschnitt Ausgabeoptionen die Befehlsausgabe in einer Datei speichern möchten, aktivieren Sie das Kontrollkästchen Schreiben der Ausgabe in S3 aktivieren. Geben Sie die Namen für den Bucket und das Präfix (Ordner) in die Textfelder ein.

    Anmerkung

    Die S3-Berechtigungen, die das Schreiben der Daten in einen S3-Bucket ermöglichen, entsprechen denen des Instanzprofils, das dem verwalteten Knoten zugewiesen ist, und nicht denen des IAM Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen oder Erstellen einer IAM Servicerolle für eine Hybridumgebung. Wenn sich der angegebene S3-Bucket in einem anderen befindet, stellen Sie außerdem sicher AWS-Konto, dass das Instanzprofil oder die IAM Servicerolle, die dem verwalteten Knoten zugeordnet sind, über die erforderlichen Berechtigungen verfügt, um in diesen Bucket zu schreiben.

  12. Wählen Sie Create Association.

State Manager erstellt die Assoziation und führt sie sofort auf den angegebenen Knoten aus. Nach der ersten Ausführung wird die Zuordnung gemäß dem festgelegten Zeitplan und entsprechend den folgenden Regeln in Intervallen ausgeführt:

  • State Manager führt Assoziationen für Knoten aus, die online sind, wenn das Intervall gestartet wird und überspringt Offline-Knoten.

  • State Manager versucht, die Assoziation während eines Intervalls auf allen konfigurierten Knoten auszuführen.

  • Wenn eine Assoziation in einem Intervall nicht ausgeführt wird (weil beispielsweise die Anzahl der Knoten, die die Assoziation gleichzeitig ausführen können, durch einen Gleichzeitigkeitswert begrenzt wird), versucht State Manager, die Assoziation im nächsten Intervall auszuführen.

  • State Manager zeichnet einen Verlauf für alle übersprungenen Datensätze an. Sie können den Verlauf auf der Registerkarte Execution History (Ausführungsverlauf) anzeigen.

Anmerkung

Das AWS-ApplyDSCMofs ist ein Systems Manager Befehlsdokument. Das bedeutet, dass Sie dieses Dokument auch mit Run Command einer Funktion von ausführen können AWS Systems Manager. Weitere Informationen finden Sie unter AWS Systems Manager Run Command.

Behebung von Problemen beim Erstellen von Verknüpfungen, die MOF Dateien ausführen

Dieser Abschnitt enthält Informationen zur Behebung von Problemen beim Erstellen von Verknüpfungen, die MOF Dateien ausführen.

Aktivieren der erweiterten Protokollierung

Aktivieren Sie als ersten Schritt zur Fehlerbehebung die erweiterte Protokollierung. Führen Sie dazu die folgenden Schritte aus:

  1. Stellen Sie sicher, dass die Zuordnung so konfiguriert ist, dass sie Befehlsausgaben entweder in Amazon S3 oder Amazon CloudWatch Logs (CloudWatch) schreibt.

  2. Setzen Sie den Parameter Enable Verbose Logging auf „True“ fest.

  3. Setzen Sie den Parameter Enable Debug Logging auf „True“ fest.

Wenn die Verbose- und die Debug-Protokollierung aktiviert ist, enthält die Stdout-Ausgabedatei Details über die Skriptausführung. Diese Ausgabedatei kann Sie bei der Suche, an welcher Stelle das Skript fehlgeschlagen ist, unterstützen. Die Stderr-Ausgabedatei enthält Fehler, die während der Skriptausführung aufgetreten sind.

Häufige Probleme beim Erstellen von Verknüpfungen, die MOF Dateien ausführen

Dieser Abschnitt enthält Informationen zu häufigen Problemen, die beim Erstellen von Verknüpfungen zur Ausführung von MOF Dateien auftreten können, sowie Schritte zur Behebung dieser Probleme.

Mein MOF wurde nicht angewendet

Wenn State Manager die Assoziation nicht auf Ihre Knoten anwenden konnte, überprüfen Sie zunächst die Stderr-Ausgabedatei. Diese Datei kann Ihnen helfen, die Ursache des Problems zu verstehen. Überprüfen Sie auch Folgendes:

  • Der Knoten verfügt über die erforderlichen Zugriffsberechtigungen für alle zugehörigen Amazon MOF S3 S3-Buckets. Das heißt:

    • s3: GetObject Berechtigungen: Dies ist für MOF Dateien in privaten Amazon S3 S3-Buckets und benutzerdefinierte Module in Amazon S3 S3-Buckets erforderlich.

    • s3: PutObject Berechtigung: Dies ist erforderlich, um Compliance-Berichte und den Compliance-Status in Amazon S3 S3-Buckets zu schreiben.

  • Wenn Sie Tags verwenden, stellen Sie sicher, dass der Knoten über die erforderliche IAM Richtlinie verfügt. Für die Verwendung von Tags muss die IAM Instanzrolle über eine Richtlinie verfügen, die die ssm:ListTagsForResource Aktionen ec2:DescribeInstances und zulässt.

  • Stellen Sie sicher, dass dem Knoten die erwarteten Tags oder SSM Parameter zugewiesen wurden.

  • Stellen Sie sicher, dass die Tags oder SSM Parameter nicht falsch geschrieben sind.

  • Versuchen Sie, das MOF lokal auf dem Knoten anzuwenden, um sicherzustellen, dass kein Problem mit der MOF Datei selbst vorliegt.

Mein MOF schien fehlgeschlagen zu sein, aber die Ausführung von Systems Manager war erfolgreich

Wenn das Dokument AWS-ApplyDSCMofs erfolgreich ausgeführt wurde, wird der Systems Manager-Ausführungsstatus als Success (Erfolg) angezeigt. Dieser Status spiegelt nicht den Konformitätsstatus Ihres Knotens mit den Konfigurationsanforderungen in der MOF Datei wider. Um den Compliance-Status Ihrer Knoten anzuzeigen, zeigen Sie die Compliance-Berichte an. Sie können einen JSON Bericht im Amazon S3 Report Bucket anzeigen. Dies gilt nur für Run Command- und für State Manager-Ausführungen. Darüber hinaus können Sie Compliance-Details für State Manager auf der Systems Manager-Compliance-Seite anzeigen.

In der Stderr-Ausgabedatei finden sich Hinweise, dass bei dem Versuch, den Service zu erreichen, ein Fehler bei der Namensauflösung aufgetreten ist.

Dieser Fehler weist darauf hin, dass das Skript einen Remoteservice nicht erreichen kann. In den meisten Fällen dürfte das Skript Probleme haben, Amazon S3 zu erreichen. Dieses Problem tritt am häufigsten auf, wenn das Skript versucht, Compliance-Berichte oder den Compliance-Status in den Amazon S3-Bucket zu schreiben, der in den Dokumentparametern angegeben ist. In der Regel tritt dieser Fehler auf, wenn eine Datenverarbeitungsumgebung eine Firewall oder einen transparenten Proxy mit einer Zulassungsliste verwendet. So beheben Sie dieses Problem

  • Verwenden Sie die regionsspezifische Bucket-Syntax für alle Amazon S3-Bucket-Parameter. Beispiel: Die Mofs to Apply-Parameter sollten in dem folgenden Format angegeben werden:

    s3:bucket-region:bucket-name:mof-file-name.mof.

    Ein Beispiel: s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Die Bucketnamen für Berichte, Statusinformationen und Modulquellen sollten in dem folgenden Format angegeben werden.

    bucket-region:bucket-name. Hier ist ein Beispiel: us-west-1:amzn-s3-demo-bucket;

  • Wenn sich das Problem nicht durch Verwendung einer regionsspezifischen Syntax beheben lässt, stellen Sie sicher, dass die Ziel-Knoten in der gewünschten Region auf Simple Storage Service (Amazon S3) zugreifen können. So können Sie dies überprüfen

    1. Suchen Sie den Endpunktnamen für Amazon S3 in der entsprechenden Amazon S3-Region. Weitere Informationen finden Sie unter Amazon-S3-Service-Endpunkte im Allgemeine Amazon Web Services-Referenz.

    2. Melden Sie sich am Ziel-Knoten an und führen Sie den folgenden Ping-Befehl aus.

      ping s3.s3-region.amazonaws.com

      Wenn der Ping-Aufruf fehlgeschlagen ist, bedeutet dies, dass entweder Simple Storage Service (Amazon S3) nicht verfügbar ist, dass eine Firewall bzw. ein transparenter Proxy den Zugriff auf die Simple Storage Service (Amazon S3)-Region blockiert oder dass der Knoten nicht auf das Internet zugreifen kann.

Details zur DSC Ressourcen-Compliance anzeigen

Systems Manager erfasst Compliance-Informationen zu DSC Ressourcenausfällen in dem Amazon S3 S3-Status-Bucket, den Sie bei der Ausführung des AWS-ApplyDSCMofs Dokuments angegeben haben. Die Suche nach Informationen über DSC Ressourcenausfälle in einem Amazon S3 S3-Bucket kann zeitaufwändig sein. Stattdessen können Sie diese Informationen auf der Systems Manager-Seite Compliance anzeigen.

Der Bereich Compliance resources summary (Compliance-Ressourcen-Zusammenfassung) zeigt die Anzahl der Ressourcen an, die fehlgeschlagen sind. Im folgenden Beispiel ComplianceTypelautet Custom: DSC und eine Ressource ist nicht konform.

Anmerkung

Benutzerdefiniert: DSC ist der ComplianceTypeStandardwert im AWS-ApplyDSCMofs Dokument. Dieser Wert ist anpassbar.

Anzeigen der Anzahl im Bereich Compliance resources summary (Compliance-Ressourcen-Zusammenfassung) der Seite Compliance.

Im Abschnitt „Detailübersicht für Ressourcen“ werden Informationen über die AWS Ressource mit der nicht konformen DSC Ressource angezeigt. Dieser Abschnitt enthält auch den MOF Namen, die Schritte zur Skriptausführung und (falls zutreffend) einen Link „Ausgabe anzeigen“, über den Sie detaillierte Statusinformationen anzeigen können.

Konformitätsdetails für einen Fehler bei der MOF Ausführungsressource anzeigen

Der Link View output zeigt die letzten 4.000 Zeichen des detaillierten Status an. Systems Manager beginnt mit der Ausnahme als erstem Element und scannt dann durch die ausführlichen Nachrichten und stellt so viele wie möglich voran, bis das Kontingent von 4.000 Zeichen erreicht wird. Dieser Vorgang zeigt die Protokollmeldungen an, die vor dem Auslösen der Ausnahme ausgegeben wurden. Dabei handelt es sich um die relevantesten Nachrichten für die Fehlerbehebung.

Anzeige detaillierter Informationen zu Problemen mit der Einhaltung der MOF Ressourcenbestimmungen

Weitere Informationen zum Anzeigen von Compliance-Informationen finden Sie unter AWS Systems Manager-Compliance.

Situationen, die die Compliance-Berichterstellung beeinflussen

Wenn die State Manager-Zuordnung fehlschlägt, werden keine Compliance-Daten gemeldet. Genauer gesagt, wenn eine MOF nicht verarbeitet werden kann, meldet Systems Manager keine Konformitätselemente, da die Zuordnungen fehlschlagen. Wenn Systems Manager beispielsweise versucht, einen Bucket MOF von einem Amazon S3 S3-Bucket herunterzuladen, für den der Knoten keine Zugriffsberechtigung hat, schlägt die Zuordnung fehl und es werden keine Compliance-Daten gemeldet.

Wenn eine Ressource innerhalb einer Sekunde MOF ausfällt, meldet Systems Manager Konformitätsdaten. Wenn beispielsweise MOF versucht wird, eine Datei auf einem Laufwerk zu erstellen, das nicht existiert, meldet Systems Manager die Konformität, da das AWS-ApplyDSCMofs Dokument vollständig verarbeitet werden kann, was bedeutet, dass die Zuordnung erfolgreich ausgeführt wird.