Paso 1: completar los requisitos previos de Session Manager - AWS Systems Manager

Paso 1: completar los requisitos previos de Session Manager

Antes de utilizar Session Manager, asegúrese de que el entorno cumple los siguientes requisitos.

Requisitos previos de Session Manager
Requisito Descripción

Sistemas operativos compatibles

Session Manager admite la conexión a instancias de Amazon Elastic Compute Cloud (Amazon EC2) y a equipos que no son de EC2 en su entorno híbrido y multinube que utilizan el nivel de instancias avanzadas.

Session Manager es compatible con las siguientes versiones de los sistemas operativos:

nota

Session Manager admite instancias de EC2, dispositivos periféricos, servidores en las instalaciones y máquinas virtuales (VM) en su entorno híbrido y multinube que utilizan el nivel de instancias avanzadas. Para obtener más información acerca de las instancias avanzadas, consulte Configuración de los niveles de instancias.

Linux y macOS

Session Manager es compatible con todas las versiones de Linux y macOS que admite AWS Systems Manager. Para obtener más información, consulte Sistemas operativos y tipos de equipos compatibles.

Windows

Session Manager es compatible con las versiones de Windows Server de 2012 hasta las versiones de Windows Server de 2022.

nota

Microsoft Windows Server 2016 Nano no es compatible.

SSM Agent

Como mínimo, debe estar instalada la versión 2.3.68.0 de AWS Systems Manager SSM Agent o una posterior en los nodos administrados a los que desee conectarse a través de sesiones.

Para utilizar la opción de cifrar los datos de la sesión con una clave creada en AWS Key Management Service (AWS KMS), el nodo administrado debe tener instalada la versión 2.3.539.0 de SSM Agent o una posterior.

Para utilizar perfiles de shell en una sesión, el nodo administrado debe tener instalada la versión 3.0.161.0 de SSM Agent o una posterior.

Para iniciar una sesión de SSH o de reenvío de puertos de Session Manager, el nodo administrado debe tener instalada la versión 3.0.222.0 de SSM Agent o una posterior.

Para transmitir datos de la sesión mediante los Registros de Amazon CloudWatch, el nodo administrado debe tener instalada la versión 3.0.284.0 de SSM Agent o una posterior.

Para obtener información acerca de cómo determinar el número de versión que se ejecuta en una instancia, consulte Verificación del número de versión de SSM Agent. Para obtener más información acerca de la instalación manual o la actualización automática de SSM Agent, consulte Uso de SSM Agent.

Acerca de la cuenta ssm-user

A partir de la versión 2.3.50.0 de SSM Agent, el agente crea una cuenta de usuario en el nodo administrado, con permisos raíz o de administrador, denominada ssm-user. (En las versiones anteriores a la 2.3.612.0, la cuenta se crea cuando SSM Agent se inicia o se reinicia. En la versión 2.3.612.0 y posteriores, la cuenta ssm-user se crea la primera vez que se inicia una sesión en el nodo administrado). Las sesiones se lanzan con las credenciales administrativas de esta cuenta de usuario. Para obtener más información acerca de cómo restringir el control administrativo para esta cuenta, consulte Activación o desactivación de los permisos administrativos de la cuenta ssm-user.

ssm-user en controladores de dominio de Windows Server

A partir de la versión 2.3.612.0 de SSM Agent, la cuenta ssm-user no se crea automáticamente en los nodos administrados que se utilizan como controladores de dominio de Windows Server. Para utilizar Session Manager en un equipo Windows Server que se utiliza como un controlador de dominio, debe crear la cuenta ssm-user de forma manual si ella aún no está presente y asignar permisos de administrador de dominio al usuario. En Windows Server, SSM Agent establece una nueva contraseña para la cuenta ssm-user cada vez que se inicia una sesión, por lo que no es necesario especificar ninguna contraseña cuando se crea la cuenta.

Conectividad a puntos de enlace

Los nodos administrados a los que se conecta también deben permitir el tráfico saliente HTTPS (puerto 443) a los siguientes puntos de conexión:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Para obtener más información, consulte los temas siguientes:

Alternativamente, puede conectarse a los puntos de enlace necesarios mediante los puntos de enlace de la interfaz. Para obtener más información, consulte Paso 6: (Opcional) Utilizar AWS PrivateLink para configurar un punto de enlace de la VPC para Session Manager.

AWS CLI

(Opcional) Si utiliza la AWS Command Line Interface (AWS CLI) para iniciar sus sesiones (en lugar de utilizar la consola de AWS Systems Manager o la consola de Amazon EC2), su equipo local debe tener instalada la versión 1.16.12 de la CLI o una posterior.

Puede llamar a aws --version para comprobar la versión.

Si necesita instalar o actualizar la CLI, consulte Instalación de la AWS Command Line Interface en la Guía del usuario de AWS Command Line Interface.

importante

Cada vez que se agregan capacidades nuevas a Systems Manager o se actualizan las capacidades existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas capacidades y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. Suscríbase a la página SSM Agent Release Notes en GitHub para recibir notificaciones sobre las actualizaciones de SSM Agent.

Además, si desea utilizar la CLI para administrar los nodos con Session Manager, debe instalar primero el complemento de Session Manager en su equipo local. Para obtener más información, consulte Instalación del complemento de Session Manager para la AWS CLI.

Activación del nivel de instancias avanzadas (entornos híbridos y multinube)

Para conectarse a equipos que no son de EC2 mediante Session Manager, debe activar el nivel de instancias avanzadas en la Cuenta de AWS y la Región de AWS donde crea activaciones híbridas para registrar equipos que no son de EC2 como nodos administrados. El uso del nivel de instancias avanzadas conlleva un cargo. Para obtener más información acerca del nivel de instancias avanzadas, consulte Configuración de los niveles de instancias.

Verificación de los permisos de rol de servicio de IAM (entornos híbridos y multinube)

Los nodos activados de manera híbrida utilizan el rol de servicio de AWS Identity and Access Management (IAM) especificado en la activación híbrida para comunicarse con las operaciones de la API de Systems Manager. Este rol de servicio debe contener los permisos necesarios para conectarse a los equipos híbridos y multinube mediante Session Manager. Si el rol de servicio contiene la política administrada por AWS AmazonSSMManagedInstanceCore, ya se habrán proporcionado los permisos necesarios para Session Manager.

Si descubre que el rol de servicio no contiene los permisos necesarios, debe anular el registro de la instancia administrada y registrarla con una nueva activación híbrida que utilice un rol de servicio de IAM con los permisos necesarios. Para obtener más información acerca de cómo se anula el registro de las instancias administradas, consulte Anulación del registro de nodos administrados en un entorno híbrido y multinube. Para obtener más información sobre la creación de políticas de IAM con permisos de Session Manager, consulte Paso 2: verificar o agregar permisos de instancia para Session Manager.