Paso 1: completar los requisitos previos de Session Manager - AWS Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1: completar los requisitos previos de Session Manager

Antes de utilizar Session Manager, asegúrese de que el entorno cumple los siguientes requisitos.

Requisitos previos de Session Manager
Requisito Descripción

Sistemas operativos compatibles

Session Manager admite la conexión a instancias de Amazon Elastic Compute Cloud (Amazon EC2) y a equipos que no son de EC2 en su entorno híbrido y multinube que utilizan el nivel de instancias avanzadas.

Session Manager es compatible con las siguientes versiones de los sistemas operativos:

nota

Session Manager admite instancias de EC2, dispositivos periféricos, servidores en las instalaciones y máquinas virtuales (VM) en su entorno híbrido y multinube que utilizan el nivel de instancias avanzadas. Para obtener más información acerca de las instancias avanzadas, consulte Configuración de los niveles de instancias.

Linux y macOS

Session Manageres compatible con todas las versiones de Linux y macOS que son compatibles con AWS Systems Manager. Para obtener más información, consulte Sistemas operativos y tipos de equipos compatibles.

Windows

Session Manager es compatible con las versiones de Windows Server de 2012 hasta las versiones de Windows Server de 2022.

nota

Microsoft Windows Server 2016 Nano no es compatible.

SSM Agent

Como mínimo, la AWS Systems Manager SSM Agent versión 2.3.68.0 o posterior debe estar instalada en los nodos gestionados a los que desee conectarse mediante sesiones.

Para utilizar la opción de cifrar los datos de la sesión mediante una clave creada en AWS Key Management Service (AWS KMS), SSM Agent debe estar instalada la versión 2.3.539.0 o posterior de en el nodo gestionado.

Para utilizar perfiles de shell en una sesión, el nodo administrado debe tener instalada la versión 3.0.161.0 de SSM Agent o una posterior.

Para iniciar una sesión de SSH o de reenvío de puertos de Session Manager, el nodo administrado debe tener instalada la versión 3.0.222.0 de SSM Agent o una posterior.

Para transmitir los datos de la sesión mediante Amazon CloudWatch Logs, se debe instalar la SSM Agent versión 3.0.284.0 o posterior en el nodo gestionado.

Para obtener información acerca de cómo determinar el número de versión que se ejecuta en una instancia, consulte Verificación del número de versión de SSM Agent. Para obtener más información acerca de la instalación manual o la actualización automática de SSM Agent, consulte Trabajar con SSM Agent.

Acerca de la cuenta ssm-user

A partir de la versión 2.3.50.0 de SSM Agent, el agente crea una cuenta de usuario en el nodo administrado, con permisos raíz o de administrador, denominada ssm-user. (En las versiones anteriores a la 2.3.612.0, la cuenta se crea cuando SSM Agent se inicia o se reinicia. En la versión 2.3.612.0 y posteriores, la cuenta ssm-user se crea la primera vez que se inicia una sesión en el nodo administrado). Las sesiones se lanzan con las credenciales administrativas de esta cuenta de usuario. Para obtener más información acerca de cómo restringir el control administrativo para esta cuenta, consulte Activación o desactivación de los permisos administrativos de la cuenta ssm-user.

ssm-user en controladores de dominio de Windows Server

A partir de la versión 2.3.612.0 de SSM Agent, la cuenta ssm-user no se crea automáticamente en los nodos administrados que se utilizan como controladores de dominio de Windows Server. Para utilizar Session Manager en un equipo Windows Server que se utiliza como un controlador de dominio, debe crear la cuenta ssm-user de forma manual si ella aún no está presente y asignar permisos de administrador de dominio al usuario. En Windows Server, SSM Agent establece una nueva contraseña para la cuenta ssm-user cada vez que se inicia una sesión, por lo que no es necesario especificar ninguna contraseña cuando se crea la cuenta.

Conectividad a puntos de enlace

Los nodos administrados a los que se conecta también deben permitir el tráfico saliente HTTPS (puerto 443) a los siguientes puntos de conexión:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Para obtener más información, consulte los temas siguientes:

Alternativamente, puede conectarse a los puntos de enlace necesarios mediante los puntos de enlace de la interfaz. Para obtener más información, consulte Paso 6: (Opcional) Utilizar AWS PrivateLink para configurar un punto de enlace de la VPC para Session Manager.

AWS CLI

(Opcional) Si utiliza AWS Command Line Interface (AWS CLI) para iniciar las sesiones (en lugar de utilizar la AWS Systems Manager consola o la consola Amazon EC2), la versión 1.16.12 o posterior de la CLI debe estar instalada en su máquina local.

Puede llamar a aws --version para comprobar la versión.

Si necesita instalar o actualizar la CLI, consulte Instalación de AWS Command Line Interface en la Guía del AWS Command Line Interface usuario.

importante

Cada vez que se agregan capacidades nuevas a Systems Manager o se actualizan las capacidades existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas capacidades y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. Suscríbase a la página de notas de la SSM Agent versión GitHub para recibir notificaciones sobre SSM Agent las actualizaciones.

Además, si desea utilizar la CLI para administrar los nodos con Session Manager, debe instalar primero el complemento de Session Manager en su equipo local. Para obtener más información, consulte Instale el Session Manager complemento para AWS CLI.

Activación del nivel de instancias avanzadas (entornos híbridos y multinube)

Para conectarse a máquinas que no son de EC2Session Manager, debe activar el nivel de instancias avanzadas en el nivel de instancias avanzadas Cuenta de AWS y, en el que se crean las activaciones híbridas, para registrar las máquinas Región de AWS que no son de EC2 como nodos gestionados. El uso del nivel de instancias avanzadas conlleva un cargo. Para obtener más información acerca del nivel de instancias avanzadas, consulte Configuración de los niveles de instancias.

Verificación de los permisos de rol de servicio de IAM (entornos híbridos y multinube)

Los nodos activados de forma híbrida utilizan la función de servicio AWS Identity and Access Management (IAM) especificada en la activación híbrida para comunicarse con las operaciones de la API de Systems Manager. Este rol de servicio debe contener los permisos necesarios para conectarse a los equipos híbridos y multinube mediante Session Manager. Si su función de servicio contiene la política AWS gestionadaAmazonSSMManagedInstanceCore, ya se han proporcionado los Session Manager permisos necesarios.

Si descubre que el rol de servicio no contiene los permisos necesarios, debe anular el registro de la instancia administrada y registrarla con una nueva activación híbrida que utilice un rol de servicio de IAM con los permisos necesarios. Para obtener más información acerca de cómo se anula el registro de las instancias administradas, consulte Anulación del registro de nodos administrados en un entorno híbrido y multinube. Para obtener más información sobre la creación de políticas de IAM con permisos de Session Manager, consulte Paso 2: verificar o agregar permisos de instancia para Session Manager.