Uso de Agente de SSM - AWS Systems Manager

Uso de Agente de SSM

AWS Systems Manager Agent (Agente de SSM) es el software de Amazon que se puede instalar y configurar en una instancia EC2, un servidor local o una máquina virtual(VM). Agente de SSM permite que Systems Manager actualice, administre y configure estos recursos. El agente procesa las solicitudes desde el servicio de Systems Manager en la nube de AWS y, a continuación, las ejecuta tal y como se especifica en la solicitud. A continuación, Agente de SSM devuelve información de estado y de ejecución al servicio de Systems Manager mediante el Amazon Message Delivery Service (prefijo de servicio: ec2messages).

Si monitoriza el tráfico, verá que las instancias EC2, y todos los servidores locales o las máquinas virtuales de su entorno híbrido, comunican con puntos de enlace ec2messages.*. Para obtener más información, consulte Referencia: ec2messages, ssmmessages y otras llamadas a la API. Para obtener información acerca de la migración de los registros de Agente de SSM a Amazon CloudWatch Logs, consulte Monitorización de AWS Systems Manager.

Mantener el Agente de SSM actualizado

Cada vez que se añaden capacidades nuevas en Systems Manager o se actualizan las capacidades existentes, se lanza una versión actualizada de Agente de SSM. Si se ejecuta una versión anterior del agente en una instancia, algunos procesos de Agente de SSM pueden fallar. Por este motivo, le recomendamos que automatice el proceso de mantener Agente de SSM actualizado en las instancias. Para obtener información, consulte Automatizar las actualizaciones en Agente de SSM. Si desea recibir notificaciones sobre actualizaciones de Agente de SSM, suscríbase a la página de notas de la versión de Agente de SSM en GitHub.

nota

Las AMI que incluyen Agente de SSM de forma predeterminada, pueden tardar hasta dos semanas en disponer de la versión más reciente de Agente de SSM. Le recomendamos que configure las actualizaciones automáticas de Agente de SSM con una mayor frecuencia.

Las versiones actualizadas de Agente de SSM se implementan en nuevas regiones de AWS en diferentes momentos. Por este motivo, es posible que reciba el error del tipo "No compatible en la plataforma actual" o "actualizando amazon-ssm-agent a una versión anterior, habilite permitir que continúe la actualización" al intentar implementar una nueva versión de Agente de SSM en una región.

Agente de SSM y el servicio de metadatos de instancia (IMDS)

Systems Manager depende de los metadatos de instancia EC2 para funcionar correctamente. Systems Manager puede acceder a los metadatos de instancia mediante la versión 1 o la versión 2 del servicio de metadatos de instancia (IMDSv1 e IMDSv2). Para obtener más información, consulte Metadatos de instancia y datos de usuario en la Amazon EC2 User Guide for Linux Instances.

Prioridad de credenciales de Agente de SSM

El Agente de SSM requiere permisos proporcionados por un rol de IAM para comunicarse con Systems Manager. Es importante comprender cómo el Agente de SSM obtiene y evalúa estas credenciales. De lo contrario, las credenciales configuradas previamente en las instancias administradas podrían reemplazar al proveedor de credenciales deseado. Las credenciales de Agente de SSM se evalúan en el siguiente orden.

  1. Variables de entorno ($HOME, %USERPROFILE%)

  2. Archivo de credenciales compartidas ($HOME/.aws/credentials, %USERPROFILE%\.aws\credentials)

  3. Perfil de instancia

Acerca de la cuenta ssm-user local

A partir de la versión 2.3.50.0 de Agente de SSM, el agente crea una cuenta de usuario local llamada ssm-user y la añade a /etc/sudoers (Linux) o al grupo de administradores (Windows). En las versiones del agente anteriores a la 2.3.612.0, la cuenta se crea la primera vez que se inicia Agente de SSM o al reiniciar después de la instalación. En la versión 2.3.612.0 y posteriores, la cuenta ssm-user se crea la primera vez que se inicia una sesión en una instancia. Este ssm-user es el usuario de SO predeterminado cuando se inicia una sesión de Session Manager. Puede cambiar los permisos al trasladar la cuenta ssm-user a un grupo con menos privilegios o al cambiar el archivo sudoers. La cuenta ssm-user no se elimina del sistema cuando se desinstala Agente de SSM.

En Windows Server, Agente de SSM controla la configuración de una nueva contraseña para la cuenta ssm-user cada vez que se inicia una sesión. No se establecen contraseñas para ssm-user en las instancias administradas de Linux.

A partir de la versión 2.3.612.0 de Agente de SSM, la cuenta ssm-user no se crea automáticamente en equipos de Windows Server que se utilizan como controladores de dominio. Para utilizar Session Manager en un controlador de dominio de Windows Server, debe crear la cuenta ssm-user manualmente si aún no está presente.

importante

Para que se cree la cuenta ssm-user, el perfil de instancia asociado a la instancia debe proporcionar los permisos necesarios. Para obtener más información, consulte Verificar o crear un perfil de instancia de IAM con permisos de Session Manager.

AMI con Agente de SSM preinstalado

Agente de SSM está preinstalado de forma predeterminada en las siguientes imágenes de máquina de Amazon (AMI):

  • AMI de Windows Server 2008-2012 R2 publicadas en noviembre de 2016 o posteriormente

  • Windows Server 2016 y 2019

  • Amazon Linux

  • Amazon Linux 2

  • Servidor Ubuntu 16.04

  • Servidor Ubuntu 18.04

  • Optimizado para Amazon ECS

Debe instalar manualmente Agente de SSM en las instancias EC2 creadas desde otras AMI de Linux. Asimismo, debe instalar manualmente Agente de SSM en los servidores locales o máquinas virtuales en su entorno híbrido. Para obtener más información, consulte Configuración de AWS Systems Manager para entornos híbridos.

Agente de SSM en GitHub

El código fuente del Agente de SSM está disponible en GitHub, de modo que puede adaptar el agente a sus necesidades. Le recomendamos enviar solicitudes de inserción para los cambios que le gustaría que incluyamos. No obstante, Amazon Web Services actualmente no ofrece soporte para la ejecución de copias modificadas de este software.