Configurar el SSM Agent para usar un proxy para las instancias de Windows Server - AWS Systems Manager
Prioridad de la configuración del proxy en SSM AgentConfiguración del proxy de SSM Agent y servicios de Systems Manager

Configurar el SSM Agent para usar un proxy para las instancias de Windows Server

La información de este tema se aplica a las instancias de Windows Server creadas en noviembre de 2016 o a partir de esta fecha que no utilicen la opción de instalación Nano. Si piensa utilizar Session Manager, tenga en cuenta que los servidores proxy HTTPS no son compatibles.

nota

A partir del 14 de enero de 2020, Windows Server 2008 ya no será compatible para obtener actualizaciones de características o de seguridad de Microsoft. Amazon Machine Images heredadas (AMIs) para Windows Server 2008 y 2008 R2 aún incluyen la versión 2 de SSM Agent preinstalada, pero Systems Manager ya no admite oficialmente las versiones 2008 ni actualiza el agente para estas versiones de Windows Server. Además, es posible que la versión 3 de SSM Agent no sea compatible con todas las operaciones en Windows Server 2008 y 2008 R2. La versión final oficialmente admitida de SSM Agent para las versiones Windows Server 2008 es 2.3.1644.0.

Antes de empezar

Antes de configurar SSM Agent para usar un proxy, tenga en cuenta la siguiente información importante.

En el siguiente procedimiento, debe ejecutar un comando para configurar SSM Agent para usar un proxy. El comando incluye un valor no_proxy con una dirección IP. La dirección IP es el punto de conexión de los servicios de metadatos de instancias (IMDS) de Systems Manager. Si no especifica no_proxy, las llamadas a Systems Manager adoptan la identidad del servicio del proxy (si la opción alternativa de IMDSv1 está habilitada) o se produce un error en las llamadas a Systems Manager (si se aplica IMDSv2).

  • Para IPv4, especifique no_proxy=169.254.169.254.

  • Para IPv6, especifique no_proxy=[fd00:ec2::254]. La dirección IPv6 del servicio de metadatos de instancia es compatible con los comandos IMDSv2. Solo se puede acceder a la dirección IPv6 en instancias integradas en AWS Nitro System. Para obtener más información, consulte Funcionamiento de Servicio de metadatos de instancia versión 2 en la Guía del usuario de Amazon EC2.

Para configurar el SSM Agent para utilizar un proxy

  1. Con Escritorio remoto o Windows PowerShell, conéctese a la instancia que desea configurar para utilizar un proxy.

  2. Ejecute el siguiente bloque de comandos en PowerShell. Reemplace hostname y port por la información sobre su proxy.

    $serviceKey = "HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent"
$keyInfo = (Get-Item -Path $serviceKey).GetValue("Environment")
$proxyVariables = @("http_proxy=hostname:port", "https_proxy=hostname:port", "no_proxy=IP address for instance metadata services (IMDS)")

if ($keyInfo -eq $null) {
    New-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables -PropertyType MultiString -Force
} 
else {
    Set-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables
}

Restart-Service AmazonSSMAgent

Después de ejecutar el comando anterior, puede revisar los registros de SSM Agent para confirmar que se aplicó la configuración del proxy. Las entradas de los registros tienen un aspecto similar al siguiente. Para obtener más información acerca de los registros de SSM Agent, consulte Visualización de registros de SSM Agent.

2020-02-24 15:31:54 INFO Getting IE proxy configuration for current user: The operation completed successfully.
2020-02-24 15:31:54 INFO Getting WinHTTP proxy default configuration: The operation completed successfully.
2020-02-24 15:31:54 INFO Proxy environment variables:
2020-02-24 15:31:54 INFO http_proxy: hostname:port
2020-02-24 15:31:54 INFO https_proxy: hostname:port
2020-02-24 15:31:54 INFO no_proxy: IP address for instance metadata services (IMDS)
2020-02-24 15:31:54 INFO Starting Agent: amazon-ssm-agent - v2.3.871.0
2020-02-24 15:31:54 INFO OS: windows, Arch: amd64
Para restablecer la configuración de proxy del SSM Agent

  1. Utilizando el Escritorio remoto o Windows PowerShell, conéctese a la instancia que desee configurar.

  2. Si se ha conectado con Escritorio remoto, lance PowerShell como administrador.

  3. Ejecute el siguiente bloque de comandos en PowerShell.

    Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent -Name Environment
Restart-Service AmazonSSMAgent

Prioridad de la configuración del proxy en SSM Agent

Al configurar los ajustes del proxy para SSM Agent en las instancias de Windows Server, es importante que conozca cómo estos ajustes se evalúan y aplican a la configuración del agente cuando se inicia SSM Agent. La forma en que establece la configuración del proxy para una instancia de Windows Server puede determinar si otras configuraciones pueden anular la configuración prevista. El agente utiliza la primera configuración de proxy que encuentra.

importante

SSM Agent se comunica mediante el protocolo HTTPS. Por este motivo, debe configurar el parámetro HTTPS proxy mediante una de las siguientes opciones de configuración.

La configuración del proxy de SSM Agent se evalúa en el siguiente orden.

  1. Configuración del Registro de AmazonSSMAgent (HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent)

  2. Variables de entorno del sistema (http_proxy, https_proxy, no_proxy)

  3. Variables de entorno de la cuenta de usuario de LocalSystem (http_proxy, https_proxy, no_proxy)

  4. Configuración de Internet Explorer (HTTP, secure, exceptions)

  5. Configuración del proxy de WinHTTP (http=, https=, bypass-list=)

Configuración del proxy de SSM Agent y servicios de Systems Manager

Si configuró SSM Agent para usar un proxy y utiliza capacidades de AWS Systems Manager, como Run Command y Patch Manager, que utilizan PowerShell o el cliente de Windows Update durante su ejecución en instancias de Windows Server, configure los ajustes del proxy adicionales. De lo contrario, la operación podría producir un error porque PowerShell y el cliente de Windows Update utilizan la configuración del proxy y estos ajustes no se heredan de la configuración del proxy de SSM Agent.

Para Run Command, configure los ajustes del proxy WinINet en sus instancias de Windows Server. La comandos [System.Net.WebRequest] se proporcionan por sesión. Para aplicar estas configuraciones a los comandos de red posteriores que se ejecutan en Run Command, estos comandos deben preceder a otros comandos de PowerShell en la misma entrada de un complemento aws:runPowershellScript.

Los siguientes comandos de PowerShell devuelven la configuración del proxy de WinINet actual y aplican la configuración del proxy a WinINet.

[System.Net.WebRequest]::DefaultWebProxy

$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)

[System.Net.WebRequest]::DefaultWebProxy = $WebProxy

Para Patch Manager, debe configurar los ajustes del proxy de todo el sistema para que el cliente de Windows Update pueda buscar y descargar las actualizaciones. Se recomienda utilizar Run Command para ejecutar los siguientes comandos, ya que se ejecutan en la cuenta SYSTEM y la configuración se aplica a todo el sistema. Los siguientes comandos netsh regresan la configuración del proxy actual y aplican la configuración del proxy al sistema local.

netsh winhttp show proxy

netsh winhttp set proxy proxy-server="hostname:port" bypass-list="169.254.169.254"

Para obtener más información acerca del uso de Run Command, consulte AWS Systems Manager Run Command.